世界經濟論壇(World Economic Forum, WEF)於2022年1月18日發布《2022年全球網路安全展望》(Global Cybersecurity Outlook 2022),以面對因COVID-19大流行所致之遠距辦公、遠距學習、遠距醫療等新形態數位生活模式快速發展,以及日漸頻繁之具破壞性網路攻擊事件。為考量國家應優先考慮擴展數位消費工具(digital consumer tools)、培育數位人才及數位創新,本報告說明今年度網路安全發展趨勢及未來所要面對之挑戰包括如下:
高達十億美元的著作權訴訟案件大大挑戰YouTube,YouTube之母公司Google的律師向美國曼哈頓地方法院(U.S. District Court in Manhattan)提交文件對Viacom最新提出的訴訟作出以下回應: 『對受著作權保護的資訊無法出現在該網站上的指控,將威脅兩億用戶在網路上交換資訊的權益』。 自從Viacom於2007年提出訴訟以來,這兩家公司之間的交鋒戰況日益激烈。Viacom聲稱,由於用戶能夠不經允許地看到該公司的傳播內容,YouTube反而一貫縱容未經授權的流行電視劇和電影在其網站上放置,並被瀏覽數萬次,並稱Google對此視而不見,已使該公司遭受嚴重損失。 Google在上周五提交給法官的文件中宣稱,『YouTube在幫助著作內容擁有者保護其著作權方面做的已遠遠超過法律應承擔的義務』。同時,Google表示:『為了尋求上傳者和網路服務業者的合法性,Viacom反而威脅了兩億網路用戶合法交換資訊、新聞、娛樂、政治和藝術表達的方式與自由』。 Google稱所屬的YouTube乃忠實執行1998年『千禧年著作權法』(1998 Digital Millennium Copyright Act) 的要求,認為聯邦法會保護YouTube等對著作權擁有者的要求做出適當回應。但Viacom卻認為YouTube開啟了一個不良示範。
論智慧科技裝置之法律問題—美國資訊隱私法制變革與發展 美國專利商標局針對最近可專利性客體之相關判決發布了備忘錄美國專利商標局下之專利審查政策處(Office of Patent Examination Policy)於2016年11月2日發布了一份備忘錄(memorandum),就近來聯邦巡迴上訴法院所做之可專利性客體(subject matters eligibility, SME)相關判決為整理並對專利審查者提出若干指引。 該備忘錄表示,美國可專利性客體審查手冊(SME guideline,下稱SME審查手冊)自今年5月修改後,聯邦巡迴上訴法院陸續做出相關判決,因此除了先就相關事項為一整理,之後亦會依據這些判決所確立之一些原則以及專利之利益相關人(patent stake holders)之回饋意見對SME審查手冊進行修改。 此備忘錄主要討論的判決為McRO案以及BASCOM案,在此兩判決中,聯邦巡迴上訴法院均認為下級審法院錯誤地依Alice規則認定專利無效。在McRO案,法院認為有關利用電腦所執行之自動人臉語音同步之動畫系統(automatic lip synchronization and facial expression animation )之方法請求項係屬有效。審查者在適用Alice規則時應依據SME手冊的2階段步驟對請求項進行整體考量,且不應忽略請求項中許多特定要件,過度簡化請求項為抽象概念。其並指出「電腦相關技術之改良」,不僅止於電腦運作或是電腦網路本身,若是一些規則(rules)(主要為一些數理關係式(mathematical relationship))可以增進改善電腦之效能者亦屬之。 備忘錄另藉著BASCOM案提醒審查者,在決定請求項是否無效時,應考慮所有的請求項之元件(elements),以判斷該請求項是否已經具備實質超越(substantial more)一般常規、通用之元件(conventional elements)之要素。同時備忘錄並提醒審查者不應依據一些法院決定不做為先例之判決(nonprecedential decisions)之意見。
當員工將個資輸入AI工具:Community Bank事件帶來的法遵警訊2026年5月5日,美國賓州地區銀行 Community Bank 發現一名員工於未獲授權之情形下,將客戶非公開個人資料利用於外部人工智慧應用程式。遭不當利用之資料涵蓋客戶姓名、社會安全號碼及出生日期等高度敏感個人資料。事件發現後,Community Bank 隨即採取資料安全控管措施,並委託外部專家展開調查。 同年5月7日,Community Bank 之母公司 CB Financial Services, Inc. 判定本事件具有重大性,並於同月11日依《1934年證券交易法》(Securities Exchange Act of 1934)向美國證券交易委員會(U.S. Securities and Exchange Commission, SEC)申報 Form 8-K(第1.05條)。值得注意者,CB Financial Services, Inc. 同時聲明本事件預計不致對其財務狀況或日常營運造成重大影響,申報之理由係單純基於所涉非公開資訊之數量與敏感程度。 蓋依 SEC 於2023年發布之《網路安全風險管理、策略、治理及事件揭露規則》,網路安全事件之重大性應依美國證券法下之一般標準判斷,即資訊是否具有「理性投資人在作成投資決策時認為重要之實質可能性」;該規則進一步指出,重大性之判斷不以財務損失為必要條件,應綜合考量量化與質化因素,包括事件對客戶或其他相關人士所造成損害之範圍與性質。 本案引發金融業及上市公司廣泛關注。過去依第1.05條申報之案例幾乎均涉及外部駭客入侵或惡意攻擊,而本案係因內部人員之行為所引發,成為美國史上首件因員工未經授權使用人工智慧工具(即「Shadow AI」,又稱「影子AI」)而觸發第1.05條揭露義務之案例。因此,企業於積極導入人工智慧工具提升營運效率之際,亦應建立明確之人工智慧工具使用政策與內部控管機制,將Shadow AI之風險納入整體資料安全與法遵管理架構,以符合相關法遵義務之要求。