日本2021年修正《個人資料保護法》，整合個資法體系

　　美國參議員2017年08月01日提案立法，要求提供給美國政府的物聯網網路連結設備，須符合產業資訊安全標準，同時規範設備供應商，提供之設備必須可持續更新，不得含有無法更改參數的設定與不得具有任何已知安全漏洞。兩黨皆有參與提案參議員，共和黨為Cory Gardner和Steve Daines，以及民主黨的Mark Warner和Ron Wyden。 　　由於物聯網連結數持續成長，與物聯網相連的裝置與感應器，預計在2020年會超過200億台裝置，相關裝置的資料蒐集與傳輸，同時影響消費者與產業。當這些裝置在出廠時若預設無法更改的參數，即預設固定程式無法更新，則該裝置連接物聯網時，會因裝置無法更新程式，而可能產生資安漏洞，進而影響物聯網上其它連結設備之安全性。 　　2016至今，物聯網相關設備已被惡意阻斷服務攻擊(DDOS)影響相關網站、伺服器以及網路基礎設施提供者。 　　Warner等4位參議員提出的〈2017年物聯網資安改進法〉(Internet of Things (IoT) Cybersecurity Improvement Act of 2017)草案，主要關注： 聯邦政府採購的物聯網相關設備，須可持續更新、符合產業標準、不含無法更改內建參數的設定、以及不含已知安全漏洞。 行政管理和預算局(Direct the Office of Management and Budget ,OMB)，須發展可供替代網路級(network-level)資安設備以供限制性資料處理。 國土安全部的國家保護和計畫局(National Protection and Programs Directorate)須向提供連線設備予聯邦政府的承包商，發布整合性的資安漏洞揭露指導原則。 免除資安研究人員基於誠實信用研究時，所揭露與資安漏洞有關之法規責任。 要求所有執行機構清點所有連結物聯網的設備。

　　於2015年10月19日，經濟合作與發展組織(OECD)發布最新2015年OECD科學、科技與產業計分板(OECD Science, Technology and Industry Scoreboard 2015)，此份報告指出，各國政府應增加對於創新研發的投資，以發展工業、醫療、資通訊產業的新領域科技，也將為氣候變化等全球性挑戰提供急需的解決措施。該報告數據顯示，美國、日本和韓國在新一代突破性科技方面具領先地位，即智慧製造材料、健康、資通訊技術這些有潛力改變現有進程的領域，尤其是韓國，最近在這些領域獲得了重大進展。自2000年以來，韓國的公共研發支出增加二倍之多，2014年GDP佔比達1.2%。反觀，許多發達經濟體的公共研發支出卻停滯不前，2014年OECD經濟體公共研發GDP佔比平均水平低於0.7%。 　　於2010-12年間，在智慧製造材料、健康和新一代資通訊技術領域，在歐洲和美國申請專利家族(patent families)中，美國、日本和韓國共佔到65%以上，接著是德國、法國與中國。2005-07年，韓國在這三個領域的專利家族申請數表現出最為強勁。在資通訊技術領域，韓國正致力於推動智慧聯網技術，歐盟是量子計算，中國則是巨量資料。於2013年OECD國家總研發支出實際增長了2.7%，達1.1萬億美元，但其GDP佔比與2012年相同，為2.4%。這一增長主要來自企業研發投入，而政府研發投入受到了預算合併等措施的影響。創新不止依靠研發上的投入，也依靠互補性資產，如軟體、設計和人力資本，即知識資本（knowledge-based capital, KBC）。知識資本投入已證實可抵抗經濟危機的衝擊，且2013年的數據表明各個經濟行業都增加了對知識資本的投入。但自2010年以來，許多發達國家政府資助或實施的研發減少或停滯不前。OECD警示，研發支出的減少對許多發達經濟體科技研發系統的穩定產生了威脅。鑑於OECD國家70%的研發來自企業部門，也傾向於關注特定應用程序的開發，從而改進先前的OECD計分版本，此份報告強調政府有必要保持對更具開放性的“基礎研究”的投入，始能激發與一些潛在用戶相關的新發現與新發明。

　　基因改造作物的商業化普遍在各地受到管理規範，如今全球即將步入上市階段的基因改造作物與日俱增，相反地在歐洲地區相關核准作業程序卻遲滯緩慢。這主要起因於各國家地區對於基因改造產品所採取管理方式與法律規範各有不同，相關產品的安全評估標準及法律審查程序也有所差異，因此目前基因改造作物產品雖然在同一時間內申請上市核准，之後仍難以取得全球各國家地區之核准。 　　今(2009)年7月，歐盟所屬之研究單位Joint Research Centre(JRC)指出基因改造作物產品的非同期性核准(asynchronous approval)將為全球農業市場交易帶來相關一連串的問題。根據JRC研究，某些國家地區如歐盟，採取全面禁止基因改造作物(“zero-tolerance policy”)，立法禁止核准基因改造作物以進口商品之名義輸入，即便某些基因改造作物已在本國境內允許種植並且將其歸類為安全，但任何含有上述微量基因改造作物成分之農產品，也同樣遭歐盟禁止輸入，歐盟全面禁止基因改造作物產品之作法形同架設了一道產品交易的禁令。以過往經驗為例，因歐盟全面禁止基因改造作物之管理方式，已導致產品無法輸入，大幅影響該地區的動物飼料。 　　隨著全球基因改造作物種植面積及商業使用量增加的發展趨勢，未來恐將難以在全球市場中取得毫無添加基因改造作物的產品，尤其當這些基因改造作物是允許在其他國家境內種植，但卻未獲歐盟批准者。因此，相對於未添加基因改造作物產品之價格將因此上揚，而仰賴動物飼料進口輸入的歐盟則應多加關切此事。 　　為能降低含有微量基因改造作物商品所帶來的衝擊，JRC歸納「全球基因改造作物商業化流程研討會」中專家學者之意見，建議歐盟宜再次考量全面禁止政策之必要，或改以容許低含量基因改造作物產品之上市標準予以取代；其他建議則包括簡化核准程序，設立各國互相認可的基因改造作物風險評估方法，以及彈性落實國際食品標準委員會相關之規定，以期能減少日後基因改造作物產品非同期性核准之影響。

本文參照2025年3月21日紐約東區地方法院的Superb Motors Inc. v. Deo一案，提醒企業：在數位化與資料外洩風險日增的時代，即使資訊具有高度價值，若僅採取防火牆（Firewall）、帳號密碼之技術手段，而未採取具體之書面規範或契約之營業秘密保密措施者，法院仍可能認定不足以符合營業秘密之合理保密措施要件。 本案源於2023年8月16日，Superb汽車經銷公司控訴前股東Deo離開公司後，擅自使用其客戶名單與核心系統Dealer Management System（下稱DMS），協助競爭對手拓展業務、挖角員工，並導致前公司客戶流失。Superb公司主張，公司投入逾12萬美元整合DMS系統，且以150萬美元的廣告與行銷策略蒐集並以多年經驗建構完整的客戶資料庫，屬於具競爭優勢的關鍵資產。 法院認為，Superb公司僅以防火牆、帳號密碼限制資訊存取，期待員工自發性保密，而未提供任何形式的保密協議或明確政策文件，此舉不足以構成合理保密之手段。法院認為，營業秘密保護法所要求的保密措施，需具備可執行的契約條款，例如：保密協議或公司內部保密政策規範。 為助於訴訟舉證、減少因人力流動可能發生的資料外洩風險，企業不能僅依賴科技工具，而應積極主動地搭配企業政策與契約等法律文件。參考美國實務，建議企業採取下列營業秘密管理作法： 1.與有權接觸敏感資訊之員工、顧問簽訂保密協議，且企業應定期檢視與修訂保密條款，以確保條款符合最新的勞動法相關要求並具備可執行性。 2.建立公司內部保密制度與定期教育訓練，以確保員工理解公司要求之保密義務。 本案顯示出法院對「營業秘密合理保密措施」認定的標準，不僅留意保密技術複雜性，更著重於企業採取的保密措施（如保密契約）是否具有法律上的拘束力。 資策會科法所創意智財中心於2023年發布之「營業秘密保護管理規範」已涵蓋前述美國實務建議之管理作法，我國企業如欲精進系統化的營業秘密管理作法，可以參考此規範。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）