由Meta案看數位資料商業化面臨之跨國問題

於2023年5月22日愛爾蘭資料保護委員會(Ireland's Data Protection Commission, DPC)對於Facebook的母公司Meta將歐盟境內資料傳輸到美國的行為做出開罰12億歐元的決定,並暫停資料跨境傳輸行為,再次引起了各界對於資料跨境傳輸的關注。

針對跨國提供網路服務的企業,如何確保企業處理資料的方式可以符合多國的法規要求,向來是一困難的問題。自從2015年「安全港隱私準則」(Safe Harbour Privacy Principles)被歐盟法院宣告失效後,美國與歐盟試圖就資料跨境傳輸重新達成一個可符合雙方要求的框架,包含2020年被歐盟法院宣告無效的「隱私盾框架」(EU-US Privacy Shield Framework),而2022年3月雙方達成原則性同意的歐盟美國資料隱私框架(EU-U.S. Data Privacy Framework, DPF),惟就美國於同年10月發布用以實施之行政命令(EO 14086),亦於2023年5月被歐洲議會認為對於歐盟境內資料的保護不足。

2023年6月8日英國跟美國共同發布建立英美資料橋(UK-US data bridge)的聯合聲明,以建立起英美之間的資料流動機制,但該英美資料橋是基於歐盟美國資料隱私框架做進一步的擴展,能否符合歐盟對於資料保護的要求,目前尚無法預期。

目前的商業模式中資料跨境傳輸是難以避免的現實困境,各國亦就資料跨境傳輸建立框架,企業需持續關注自身營業所在地之法規變化,以即時因應調整自身管理機制。

本文同步刊登於TIPS網站(https://www.tips.org.tw/

相關連結
你可能會想參加
※ 由Meta案看數位資料商業化面臨之跨國問題, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=9003&no=55&tp=1 (最後瀏覽日:2026/07/01)
引註此篇文章
科法觀點
你可能還會想看
生命科學領域的企業應透過營業秘密保護其部分創新

近期由於營業秘密議題受到重視,引起廣泛討論,美國實務界律師於彭博社法律專欄(Bloomberg Law Practical Guidance)指出生命科學領域的企業不應僅尋求專利的保護,而應考慮透過營業秘密來保護其部分創新,比如:製造技術、分析工具及方法、配方等,並指出保護營業秘密所應採取的具體措施。 在Mayo Collaborative Servs. v. Prometheus Labs一案中,美國最高法院認為診斷方法並非真正的應用,因此不符合可取得專利的資格;在Ass'n for Molecular Pathology v. Myriad Genetics一案中,美國最高法院認為將天然基因分離的技術不符合可取得專利的資格。由上述判決可以發現,生命科學領域的公司能取得專利的範圍被限縮了,因此該領域的企業應考慮透過營業秘密來保護其創新。 營業秘密相對於專利的優勢在於,專利有保護期限,但營業秘密若未公開揭露則能持續受到保護。另外,根據美國專利法(Patent Act),專利保護之客體限於有用且新穎的發明,但營業秘密保護之客體不僅限於此。不過,以營業秘密保護創新同樣存在風險,比如可能面臨前員工、現任員工將其洩露或是由於合作案導致其被竊取的情況等。 為避免上述情況之發生,企業應採取下列措施,包括: 1. 要求員工簽署保密協議,並於協議中具體說明營業秘密之範圍、保密期限,同時確保員工離職時歸還與營業秘密有關的資訊及設備; 2. 將涉及營業秘密的文件標示為機密; 3. 將機密文件及檔案儲存於上鎖的櫃子或受密碼保護的電腦中; 4. 根據員工的職責,僅允許必要的員工存取營業秘密資訊; 5. 對員工進行教育訓練,使其了解哪些資訊被視為營業秘密而不應洩露; 6. 透過監視設備監控保存營業秘密的位置; 7. 與合作單位簽署合作協議時,確保協議中有明確規定哪些資訊被視為營業秘密、分享營業秘密的方式、保密期限、授權的範圍等。 綜上所述,由於可取得專利的範圍被限縮,生命科學領域的企業應考慮透過營業秘密來保護其部分創新。在以營業秘密保護其創新時,應確保有採取與員工簽署保密協議、識別機密、權限控管、教育訓練、與合作單位簽署合作協議等措施。關於前述營業秘密管理措施之重要內容,企業可以參考資策會科法所創意智財中心發布的「營業秘密保護管理規範」,並進一步了解該如何管理,以降低自身營業秘密外洩之風險,並提升其競爭優勢。 本文同步刊登於TIPS網站(https://www.tips.org.tw)

歐洲專利局拒絕以AI為發明人的專利申請

  歐洲專利局於2019年12月20日,拒絕受理兩項以人工智慧為發明人的專利申請,並簡扼表示專利上的「發明人」以自然人為必要。另於2020年1月28日發布拒絕受理的完整理由。   系爭兩項專利均由英國薩里大學教授Ryan Abbott(下稱:專利申請人)的團隊申請,並宣稱發明人是「DABUS」。DABUS並非人類,而是一種類神經網路與學習演算法的人工智慧,由Stephen Thaler教授發明並取得專利。專利申請人先於2019年7月24日將自己定義為DABUS的雇主並遞出首次專利申請,再於2019年8月2日改以權利繼受人名義申請(Successor in Title)。專利申請人強調系爭申請是由DABUS發明,且DABUS在人類判定前,即自我判定其想法具新穎性(identified the novelty of its own idea before a natural person did)。專利申請人認為該機器應可以被視為發明人,而機器的所有人則是該機器創造出的智慧財產權之所有人─這樣的主張是符合專利系統的主旨,給予人們揭露資訊、商業化和進行發明的動機。申請人進一步強調:承認機器為發明人可以促進人類發明人的人格權和認證機器的創作。   在經過2019年11月25日的聽證程序(Oral Proceedings)後,歐洲專利局決定依《歐洲專利公約》(European Patent Convention)Article 81, Rule 19 (1)駁回申請。歐洲專利局強調,發明人必須是自然人(Natural Persons)是國際間的標準,且許多法院曾經對此做過相應的判決。再者,專利申請必須強制指定發明人,因為發明人需要承擔許多法律責任與義務,諸如取得專利權後衍生的法律權利。最後,雖然Article 81, Rule 19 (1)規定發明人應該要附上姓名與地址,但單純幫一個機器取名字,並不會使之符合《歐洲專利公約》的發明人要件。歐洲專利局強調,從立法理由即可知道,《歐洲專利公約》的權利主體僅限自然人和法人(Legal Persons)、專利申請的發明人僅限自然人。歐洲專利局表示,目前AI系統或者機器不具有權利,因為他們沒有如同自然人或法人一樣的人格(Legal Personality)。自然人因為生命而擁有人格,而法人的法人格來自於法律擬制(Legal Fiction)。這些法律擬制的人格來自於立法者的授權或者眾多司法判決的演進,而AI發明者是不具有此般的法律擬制人格。

歐盟執委會提議檢討WEEE法令規範,並修正回收目標

  歐盟執委會於所公告之電子電機廢棄物回收法令檢視報告(Review of an EU Directive on Recycling Waste Electrical and Electronic Equipment)中建議,對於產品製造商之回收目標規範標準,應從現行概括固定值:每年人均4kg(4kg/capita per year)回收目標,改為變動式比例值:以現行市場商品平均量之65%,作為規範目標並且,由於法令規範課予產品製造商強制回收責任,市場實務上,也出現了產品製造商為了達到WEEE要求規範目標值,轉而向民間回收業者收購「回收憑證(Recycling Certificates)」,並且,因為供需失衡問題,造成回收業者隨意喊價的情形,也多所見聞。     而歐盟執委會為進一步落實環境保護政策,還是打算維持原案,提議對於WEEE規範內容進行檢討修改,並建議各會員國於國內法令增加誘因及鼓勵措施,導引協助產品製造商擴大回收體系、檢視改善回收管理系統,而更具能力對於提高目標規範,能夠落實遵循之。歐盟執委會此項法令修改提議,是否得以真正落實未來立法中,值得再加以觀察。

英國因劍橋分析個資外洩事件開罰臉書

  英國資訊專員辦公室(Information Commissioner’s Office, ICO)於2018年10月24日公告針對臉書公司(Facebook Ireland Ltd. & Facebook Inc.)之劍橋分析(Cambridge Analytica)個資外洩事件,依據英國資料保護法(Data Protection Act 1998)第55A條之規範,裁罰臉書公司50萬英鎊之罰鍰。   自2018年3月劍橋分析違法取得與使用臉書個資事件爆發以來,估計約有8700萬筆臉書上的個人資料遭到違法使用,引起全球對於網路個資保護的重視。在遭到違法取得與使用的個資當中,也包含了歐盟以及英國臉書使用者的個資,因此英國ICO有權對此事件展開調查並對臉書公司進行裁罰。   根據英國ICO的調查,自2007年至2014年間,臉書公司對於其平台上的個資處理(processed)有所不當,違反資料保護法之資料保護原則(Data Protection Principle,DPP),包含未適當處理個人資料(DPP1),以及未採取足夠的技術與作為防止未經授權或違法使用個資(DPP7),致使劍橋分析得以透過臉書公司提供之API違法取用臉書使用者個資。   由於劍橋分析事件發生時,歐盟GDPR(General Data Protection Regulation)尚未正式上路,因此英國ICO依據事件發生時之法律,亦即基於歐盟資料保護指令(Directive 95/46/EC)所訂定之英國資料保護法,裁處臉書公司50萬英鎊的罰款;若依據基於GDPR之新版英國資料保護法(Data Protection Act 2018),臉書公司將可被裁處最高1700萬英鎊或年度全球營業額4%之罰款。

TOP