歐盟推出給在中華區企業參考之網路犯罪與營業秘密保護指南

　　美國加州議會於2018年9月7日通過Asilomar人工智慧原則決議（23 Asilomar AI Principles, ACR-215），此決議表達加州對於「23條Asilomar人工智慧原則」之支持，以作為產業或學界發展人工智慧、政府制定人工智慧政策之指標，並提供企業開發人工智慧系統時可遵循之原則。依此法案所建立之重要指標如下： （1）於研究原則上，人工智慧之研究應以建立對於人類有利之人工智慧為目標。 （2）於研究資助上，人工智慧之研究資助應著重幾個方向，如：使人工智慧更加健全且可抵抗外界駭客干擾、使人工智慧促進人類福祉同時保留人類價值以及勞動意義、使法律制度可以順應人工智慧之發展。 （3）於科學政策之連結上，人工智慧研究者與政策擬定者間應有具有建設性且健全之資訊交流。 （4）於研究文化上，人工智慧研究者應保持合作、互信、透明之研究文化。 （5）於安全性上，人工智慧研究團隊應避免為了研究競爭而忽略人工智慧應具備之安全性。 （6）人工智慧系統應該於服務期間內皆具備安全性及可檢視性。 （7）人工智慧系統之編寫，應可使外界於其造成社會損失時檢視其出錯原因。 （8）人工智慧系統如應用於司法判斷上，應提供可供專門人員檢視之合理推論過程。 （9）人工智慧所產生之責任，應由設計者以及建造者負擔。 （10）高等人工智慧內在價值觀之設計上，應符合人類社會之價值觀。 （11）高等人工智慧之設計應可與人類之尊嚴、權利、自由以及文化差異相互調和。 （12）對於人工智慧所使用之資料，其人類所有權人享有擷取、更改以及操作之權利。 （13）人工智慧之應用不該限制人類「客觀事實上」或「主觀知覺上」之自由。 （14）人工智慧之技術應盡力滿足越多人之利益。 （15）人工智慧之經濟利益，應為整體人類所合理共享。 （16）人類對於人工智慧之內在目標應享有最終設定權限。 （17）高等人工智慧所帶來或賦予之權力，對於人類社會之基本價值觀應絕對尊重。 （18）人工智慧所產生之自動化武器之軍備競賽應被禁止。 （19）政策上對於人工智慧外來之發展程度，不應預設立場。 （20）高等人工智慧系統之研發，由於對於人類歷史社會將造成重大影響，應予以絕對慎重考量。 （21）人工智慧之運用上，應衡量其潛在風險以及可以對於社會所帶來之利益。 （22）人工智慧可不斷自我循環改善，而可快速增進運作品質，其安全標準應予以嚴格設定。 （23）對於超人工智慧或強人工智慧，應僅為全體人類福祉而發展、設計，不應僅為符合特定國家、組織而設計。

　　美國聯邦地區法院於 12月初對伊利諾州禁止商家販售或出租色情及暴力電玩遊戲予未成年人，如有違反將會處以美金1000罰金之規定做出判決，宣告該等法律規定違憲，並對其執行發出禁止令。 　　法官指出該等規定將對電玩遊戲的創作以及發行造成寒蟬效應，沒有證據可以證明暴力電玩遊戲會對未成年遊戲者造成持續性的負面影響，使其思想和行為具有侵略性，且其對色情的定義並不是很明確。由於此等規定已對於電玩遊戲業者之言論自由造成限制，但是並沒有實質重大的理由得以支持該等限制，故宣告該等規定違憲，並對其執行發出禁止令。 　　伊利諾州一案並不是美國法院第一遭禁止相關電玩遊戲規定之執行的判決，於今年 11月時，美國法院即曾禁止密西根州執行禁止商家販售暴力電玩遊戲之規定。

　　愛爾蘭資料保護委員會（Ireland's Data Protection Commission）於今（2020）年2月公布控制者資料安全指引（Guidance for Controllers on Data Security），愛爾蘭資料保護委員會表示本指引亦適用於資料處理者。指引內針對17個面向說明控制者於資料處理時應考量之安全措施，分別為：（1）資料蒐集與留存政策（Data Collection and Retention Policies）；（2）存取控制（Access Controls）；（3）螢幕保護程式（Automatic Screen Savers）；（4）加密（Encryption）；（5）防毒軟體（Anti-Virus Software）；（6）防火牆（Firewalls）（7）程式修補更新（Software Patching）；（8）遠端存取（Remote Access）；（9）無線網路（Wireless Networks）；（10）可攜式設備（Portable Devices）；（11）檔案日誌及軌跡紀錄（Logs and Audit Trails）；（12）備份系統（Back-Up Systems）；（13）事故應變計畫（Incident Response Plans）；（14）設備汰除（Disposal of Equipment）；（15）實體安全（Physical Security）；（16）人為因素（The Human Factor）；（17）認證（Certification）。 　　此外，愛爾蘭資料保護委員會還強調，歐盟一般資料保護規則（General Data Protection Regulation, GDPR）第25條與第32條有關資料控制者之義務，可透過「從設計與預設機制著手資料保護（Data protection by design and by default）」，與適當的技術及組織措施等方式，並考量現有技術、執行成本、處理之本質、範圍、脈絡及目的與對當事人權利及自由之風險可能性與嚴重性等因素，以確保其安全措施符合相應資料風險之安全等級。 　　最後，愛爾蘭資料保護委員會表示資料控制者更應確保其組織內員工瞭解該等安全措施並確實遵守，資料控制者應於制定其資料安全政策時考量到本指引所列各項目，以履行其保護資料安全之義務。

近期人工智慧（Artificial Intelligence, AI）的智慧財產權保護受到各界廣泛注意，而OpenAI於2023年3月所提出有關最新GPT- 4語言模型的技術報告更將此議題推向前所未有之高峰。過去OpenAI願意公布細節，係由於其標榜的是開源精神，但近期的報告卻決定不公布細節（如訓練計算集、訓練方法等），因為其認為開源將使GPT- 4語言模型面臨數據洩露的安全隱患，且尚有保持一定競爭優勢之必要。 若AI產業選擇不採取開源，通常會透過以下三種方式來保護AI創新，包括申請專利、以營業秘密保護，或同時結合兩者。相對於專利，以營業秘密保護AI創新可以使企業保有其技術優勢，因不用公開技術內容，較符合AI產業對於保護AI創新的期待。然而，企業以營業秘密保護AI創新有其限制，包含： 1.競爭者可能輕易透過還原工程了解該產品的營業秘密內容，並搶先申請專利，反過來起訴企業侵害其專利，而面臨訴訟風險； 2.面對競爭者提起的專利侵權訴訟，企業將因為沒有專利而無法提起反訴，或透過交互授權（cross-licensing）來避免訴訟； 3.縱使企業得主張「先使用權（prior user right）」，但其僅適用在競爭者於專利申請前已存在的技術，且未來若改進受先使用權保護之技術，將不再受到先使用權之保護，而有侵犯競爭者專利之虞，因此不利於企業提升其競爭力。 綜上所述，儘管AI產業面有從開源轉向保密的傾向，但若要完全仰賴營業秘密來保護AI創新仍有其侷限，專利依舊是當前各企業對AI領域的保護策略中的關鍵。 本文同步刊登於TIPS網站（https://www.tips.org.tw）