美國證券交易委員會(United States Securities and Exchange Commission, SEC)於2022年3月9日提出關於上市公司網路安全風險管理、治理及相關事件揭露規則,希望加強上市公司的網路安全風險管理以及網路安全事件之揭露監管,其提案核心內容有二,第一係要求國內上市公司於確定發生重大網路安全事件後四個工作日內,揭露有關資訊,且揭露內容必須包含以下五大項,(1)事件何時發現、目前是否持續中、(2)事件性質與其範圍簡要說明、(3)是否有任何資料被洩漏、竄改或被不當使用、(4)該事件對於公司之營運影響、(5)公司是否已著手進行補救及處理。
該提案的第二個核心內容係定期報告公司的網路安全風險管理及治理資訊,例如公司是否具有網路安全風險評估計畫,其內容為何、公司是否有政策及程序監督第三方服務提供商之網路安全風險、當公司發生網路安全事件時,是否具備應變程序及網路攻擊復原計畫、網路安全相關風險對於營運結果及財務狀況將可能產生何種影響等等。
該提案的公眾諮詢期間為提案發布後60天,鑒於網路安全風險增加,美國證券交易委員會期望藉由此提案,更明確的告知投資者上市公司的網路安全風險管理及治理相關資訊、並且可以即時通知投資者重大網路安全事件,給予上市公司投資者及其他資本市場參與者更周延之保障。
在香港金融管理局(Hong Kong Monetary Authority, HKMA)於2016年9月推出金融科技監管沙盒(Fintech Supervisory Sandbox, FSS)滿一年後,於今年9月29日再公布2.0升級版。而香港保險業監管局(Insurance Authority, IA)同時發布保險科技沙盒(Insurtech Sandbox),證券及期貨事務監察委員會(Securities and Futures Commission, SFC)亦公告證監會監管沙盒(SFC Regulatory Sandbox),初步完備香港金融領域沙盒制度之建立。 於金融科技監管沙盒2.0版中,香港金融管理局為加強金融科技公司與HKMA連繫機制,將成立金融科技監管聊天室(Fintech Supervisory Chatroom),改變最初金融科技公司僅能透過銀行窗口與HKMA進行試驗商品相關聯繫,造成程序不便、資訊不流通等問題,2.0版後金融科技公司可透過HKMA隸屬之金融科技監管聊天室進行意見回饋。並且由於香港針對金融科技、保險、證券及期貨領域推出三種沙盒機制,故推出「一點通」之一站式便民服務,提供企業選擇沙盒並得以和各機關進行相互協調,此次改革將於年底作業完成。 而IA為促進保險科技發展,推出保險科技沙盒,對於保險公司計畫在香港推出的創新技術不確定是否符合香港法規,給予受授權保險公司在沙盒機制內進行沙盒試驗,在沙盒試驗中,主管機關得隨時對保險公司之風險控管做查核,並且消費者有隨時退出試驗並給予補償機制,IA亦可針對不符合之試驗計劃宣告中止。 另外,SFC開放合資格之企業提供沙盒試驗,所謂「合資格之企業」是指經由香港《證券及期貨條例》規範而設立之持照企業或新創公司,同時該公司必須使用創新科技並為投資者帶來更多優質產品服務,並受惠於香港金融服務業者。並且為保護投資者權益,除申請公司應有給予投資者退出機制與提供賠償方式外,並應揭露潛在風險。若最後申請公司證明其試驗客體可靠且符合目的,可向SFC申請走出沙盒機制,並對外營運。
英國提出因應GDPR自動化決策與資料剖析規定之細部指導文件2018年5月,英國資訊專員辦公室(Information Commissioner’s Office, ICO)針對歐盟GDPR有關資料自動化決策與資料剖析之規定,公布了細部指導文件(detailed guidance on automated decision-making and profiling),供企業、組織參考。 在人工智慧與大數據分析潮流下,越來越多企業、組織透過完全自動化方式,廣泛蒐集個人資料並進行剖析,預測個人偏好或做出決策,使個人難以察覺或期待。為確保個人權利和自由,GDPR第22條規定資料當事人應有權免受會產生法律或相類重大效果的單純自動化處理決策(a decision based solely on automated processing)之影響,包括對個人的資料剖析(profiling),僅得於三種例外情況下進行單純自動化決策: 為簽訂或履行契約所必要; 歐盟或會員國法律所授權; 基於個人明示同意。 英國2018年新通過之資料保護法(Data Protection Act 2018)亦配合GDPR第22條規定,制定相應國內規範,改變1998年資料保護法原則上容許資料自動化決策而僅於重大影響時通知當事人之規定。 根據指導文件,企業、組織為因應GDPR而需特別留意或做出改變的事項有: 記錄資料處理活動,以幫助確認資料處理是否符合GDPR第22(1)條單純自動化決策之定義。 倘資料處理涉及資料剖析或重大自動化決策,應進行資料保護影響評估(Data Protection Impact Assessment, DPIA),判斷是否有GDPR第22條之適用,並及早了解相關風險以便因應處理。 提供給資料當事人的隱私權資訊(privacy information),必須包含自動化決策之資訊。 應確保組織有相關程序能接受資料當事人的申訴或異議,並有獨立審查機制。 指導文件並解釋所謂「單純自動化決策」、「資料剖析」、「有法律效果或相類重大影響」之意義,另就可進行單純自動化決策的三種例外情況簡單舉例。此外,縱使符合例外情況得進行單純自動化決策,資料控制者(data controller)仍必須提供重要資訊(meaningful information)給資料當事人,包括使用個人資料與自動化決策邏輯上的關聯性、對資料當事人可能產生的結果。指導文件亦針對如何向資料當事人解釋自動化決策處理及提供資訊較佳的方式舉例說明。
人工智慧專利加速審查計畫人工智慧專利加速審查計畫(Accelerated Initiative for Artificial Intelligence,又稱AI2)是新加坡智慧財產局(Intellectual Property Office of Singapore, IPOS)於2019年4月宣布之計畫,目的在於加快與人工智慧相關的專利申請程序。該計畫自2019年4月26日開始實施兩年,每年有50位名額。專利申請權人申請適用該計畫並申請專利者,最快可在6個月內審核通過並授證。 適用AI2計畫之技術主體需與AI發明領域密切有關,該申請案之AI功能包含自然語言學習(Natural Language Processing)、影像辨識、聲音辨識、自動化系統(Autonomous Systems)、機器人、預測分析(Predictive Analytics)等;並須應用在生命科學、醫學、農業、資通訊、交通等領域。 AI2與新加坡智財局2018年實施的「金融科技專利優速計畫」(FinTech Fast Track Initiative, FTFT)類似,FTFT旨在加速金融科技領域之專利申請及審查時效。除了技術主體不同,兩者在申請和審查程序上大致類似:不需支付額外的申請與審查費用、該項專利之首件申請案需於新加坡智財局提出、專利請求項(claims)最多為20項、該項專利之「請求專利核准」與「請求專利檢索審查」文件需於同一日提交、專利申請權人收到實質審查意見書需兩個月內回覆等。 人工智慧是新加坡轉型為數位經濟國家的關鍵,隨著全球AI專利申請活躍,新加坡智財局支持將AI產品更快地推向市場,並期望有利新加坡爭取更多新創企業及投資。
日本名古屋地方法院強調刑事手段對於營業秘密保護的必要性日本名古屋地方法院(下稱法院)在2022年3月18日,對於被控訴違反《不正競爭防止法》的「愛知製鋼」前董事本蔵義信(下稱本蔵)等,宣判無罪。被告本蔵致力研發磁阻抗( Magnetic Impedance, MI)感測器,嗣後對於提高感測器性能及開拓市場等方向,與「愛知製鋼」意見分歧。故於2014年離職另成立マグネデザイン公司,翌年研究發現Giga Spin Rotation (GSR)原理,能製造更小且性能更高的感測器,並取得多項專利。 在2017年,原告「愛知製鋼」以被告本蔵等在2013年的會議中洩露營業秘密等為理由,提起告訴。經過兩次搜查,檢調發現相關會議筆記及白板照片等證據,故向法院提起公訴。法院指出在刑事程序,同樣適用民事上營業秘密法定構成要件,然而本案涉及的技術資訊,屬於工程上一般性、抽象性資訊,不符合秘密性要件。此外,法院認為原告「愛知製鋼」除未落實機密分級,在書面資料上標示「機密」外;且在保密期限屆滿後,亦未與生產商再簽署保密契約,難認為已採取合理保密措施,故不能認定被告本蔵等洩漏營業秘密。 雖然日本經濟產業省已明確指出刑事罰係針對違法性高的行為,且法院對於刑事訴訟的舉證程度,要求必須達到無合理懷疑。同時社會亦有輿論認為調查人員應慎重判斷,避免因不當提起訴訟,造成科學技術發展的負面影響。但在本案中,法院則強調營業秘密對於企業經濟活動的重要性極高,為避免因營業秘密侵害行為,致損害企業競爭力,故採取刑事保護的必要性,越發提高。綜上所述,若企業欲透過刑事罰,保護營業秘密,須採取更嚴謹的管理措施,始能確保藉由刑事訴訟程序,主張權利救濟。 本文同步刊登於TIPS網站(https://www.tips.org.tw)