美國證券交易委員會發布指引要求公司進一步揭露加密資產之潛在影響

美國智慧財產律師於2026年4月撰文說明兩件聯邦地方法院之判決揭示將機密資訊分享於生成式AI平台上的重大風險。 在Trinidad v. OpenAI 案中(Trinidad使用ChatGPT開發出AI框架，並將其框架申請美國專利，其主張OpenAI 後續申請專利之產品係基於使用其成果所開發，惟法院駁回原告依據美國營業秘密保護法(即DTSA)提出使用ChatGPT的產出物”專有AI開發框架(proprietary AI development frameworks，簡稱框架)為其營業秘密之主張，理由是原告在使用ChatGPT創建這些框架時，是自願向OpenAI 揭露其框架相關資訊。本案中，法院認為，原告使用ChatGPT創建框架時未有採取保密措施，且基於接受OpenAI的使用條款，也就是同意於未建立任何保護下揭露資訊，而不屬於DTSA保護的營業秘密。 在United States v. Heppner案中(被告Heppner 因涉及金融詐騙案件遭起訴，其收到法院傳票後使用Claude AI，將該案件的案件事實、可能的抗辯事由、法律分析和防禦策略輸入至Claude AI，使用AI產出法律分析報告)，則是強調使用公開可得的生成式AI平台所建立之文件不受律師與當事人間之秘匿特權( attorney-client privilege)保護，因為在AI平台記錄的對話內容，在沒有與平台合約約定保密義務時，這些內容並不具保密性。本案主要探討於被告與Claude AI之間之對話紀錄是否符合律師與當事人間之秘匿特權之範圍，法院認為Claude AI並非律師，兩位非律師之人的法律討論並不享有特權，且成立律師與當事人間之秘匿特權需建立於當事人與有委託關係之律師(或其代理人：實習律師、法務助理等)因為法律諮詢目的之通訊內容。此外，被告與Claude AI之間的通訊並非機密，因為Claude AI的用戶須同意「Anthropic (Claude AI之開發商)收集用戶輸入與輸出資料，利用這些資料訓練 Claude，並保留向第三方(包括政府監管機構)揭露此類資料的權利」，故法院未將律師與當事人間之秘匿特權延伸至AI平台產出的資訊。 在如今生成式AI已被普遍使用之時代，AI工具可提高生產力及工作效率，而對企業而言，開放員工使用AI時應留意公司是否有對使用AI工具提供相應的管理措施。可參考的管理方式有二： 作法其一是：建立企業內部的生成式AI平台 在此狀況下與AI共享的資訊只會留在公司的環境中，並且員工會受到聘用條件中所簽署過的保密協議拘束，此種做法可提供強而有力的保護，但也需要公司投入大量財務資源，惟許多企業未有足夠資源採取此做法。 作法其二：企業從商業生成式AI供應商取得企業授權 企業可跟AI供應商簽定特殊的授權模式，例如約定除了為遵守法律規範或防止濫用之情況外均不儲存輸入或輸出之資訊、約定不會使用其資料進行AI模型訓練、不向第三方揭露客戶所提供之資訊等保密條款，此類保密條款約定會被視為合理保密措施。 企業亦須留意法院在檢視是否成立合理保密措施時，通常只有簽訂相關保密條款並不足夠，法院通常會審查是否有其他保護措施，例如哪些員工有權使用AI平台、是否規範哪些資訊可用/不可用於AI平台、員工是否簽署對其使用AI平台應遵守之義務的確認書等。此外，企業還須避免員工以個人消費者帳號(非企業用戶權限)於AI平台輸入公司機密資訊，而使公司在不知情狀況下同意AI供應商使用其公司機密資訊。因此，企業應建立明確政策，限制員工將公司機密資訊輸入任何AI平台，並留存管理存取紀錄。 由前面兩個案件我們可了解，在未有適當合約與相關保密措施的情況下，於公開的生成式 AI 平台分享機密或專有資訊，法律上等同於向全世界揭露該資訊。法院於營業秘密、律師與當事人間之秘匿特權不太可能對 AI 相關揭露行為做出特別豁免。因此，對於AI工具的使用，企業至少需確保使用的是在具備適當合約保護的商業或企業級 AI 平台，制定明確的內部政策規範可輸入 AI 平台的資訊，提供員工相關訓練，並審核現有的營業秘密保護計畫找出因應AI工具使用的相關風險並予以補強。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://keid.nat.gov.tw/tips/）

　　在電腦與網際網路普及與便利的今日，只要上網搜尋一些特定軟體，非常容易就能下載侵害智慧財產權的音樂或是影片，這樣的行為當然是非法的，但在美國出現爭議，若未成年人利用電腦非法下載，可否用「不知道這是犯罪行為」來抗辯侵權呢？ 　　美國就發生了這樣的案例，現年22歲Whitney Harper，於2004年被美國唱片業協會（The Recording Industry Association of America，RIAA）控告其使用Kazaa分享軟體，下載阿姆（Eminem）、瑪麗亞凱莉（Mariah Carey）等37首歌曲，並將該37首歌曲透過線上分享軟體讓其他使用者亦得下載，RIAA認為此行為侵害了這些歌曲的智慧財產權，要求Whitney Harper每首歌曲需付750美元懲罰性賠償。 　　在訴訟中，唱片公司主張，其已於每張CD上貼上警示標籤；而Whitney Harper則抗辯自己不應該負擔如此高的罰款，係因當時她只有16歲，沒有意識到未經授權下載歌曲是違法行為，且認為下載就像利用網路聽收音機節目一樣，應該是免費的，認為自己無罪。 　　雖然有一些法官支持Whitney Harper的爭辯，不過第五巡迴上訴法院認為，無論Whitney Harper是否知悉其下載音樂之行為係屬違法，只要唱片公司有公告未經授權之重製行為即侵害著作權，與被告Whitney Harper之主觀意識無關。最後第五巡迴上訴法院確認Whitney Harper有罪，並判定 Whitney Harper共需賠償27,750美元。 　　Whitney Harper不滿其判決結果，向美國最高法院提起上訴，但法院拒絕其上訴。

　　美國資安事件頻傳，美國 8/30 驚傳電信及電報公司（ AT ＆ T ）購物網站中之顧客消費資料遭駭客竊取事件。 AT ＆ T 發言人表示工程師在發現異狀後一個小時內關閉該網站並已採取相關保護措施，據 AT ＆ T 估計約 1 萬 9 千名在該網頁上以信用卡消費的顧客機密資料已外流，目前該公司正進行通知客戶之動作，並聯繫相關信用卡公司，期能將對顧客之損害降至最低。 　　AT ＆ T 通知當事人之作法，符合美國立法之趨勢。目前美國除了部分州已經通過立法要求資料持有業者必須將資料外洩事件告知當事人外，今年 7 月 19 日 Virginia 州議員 Thomas Davis 亦提出美國聯邦法典第 44 編（ title 44 ）修正提案，該提案通過後將強化美國聯邦法典中對於個人資料外洩時資料收集者之告知義務，以避免當事人因此蒙受損失。 　　雖然法規要求漸趨嚴格、完整，但長期關注隱私權問題之 Privacy Rights Clearinghouse 估計，美國自去年 2 月起至今年 8 月底止，約有 9100 萬人次之機密資料遭到竊取，換言之，約 1/3 的美國人機密資料曾遭竊取或外洩，網際網路與駭客技術的發展使得機密資料今日已不再機密了。

　　為因應歐盟一般資料保護規則（General Data Protection Regulation，簡稱歐盟GDPR）於2018年5月正式施行，英國資訊委員辦公室（Information Commissioner’s Office, 簡稱ICO）於2017年11月21日發布一般資料保護規則指引（guide to general data protection regulation）（簡稱一般資料保護規則指引）。 　　ICO所發布的一般資料保護規則指引，係用於解釋歐盟GDPR的各條規定，協助企業符合歐盟GDPR的各項要求，適用於企業中擔負資料保護義務責任者。ICO說明本指引文件致力於擴展與歐盟GDPR、ICO所制定公告之其他指引文件、歐盟第29條工作小組制定公告之相關指導文件的聯結。歐盟第29條工作小組係由歐盟各會員國的資料保護機構代表組成，而ICO即為英國派任於該工作小組之資料保護機構代表。 　　ICO發布的一般資料保護規則指引，內容簡述如下：本指引文件係在建構歐盟GDPR法規的架構，將反映歐盟GDPR未來的導引與如何呈現，本指引內容有歐盟GDPR的重要定義（如歐盟GDPR適用對象、歐盟GDPR所欲保謢之資料種類）、歐盟GDPR原則、個人資料處理、當事人同意、當事人權利介紹、資料保護、資料洩漏處理、未成年人保護等議題之參考要點；並針對部分議題，設計有簡易清單，供參閱者勾選確認。 　　英國ICO除採取對外發布一般資料保護規則指引外，另有制定數個線上工具，協助企業依其身分別（如資料管理者或資料處理者），選擇線上工具進行自我檢視是否符合歐盟GDPR要求，期以協助英國業者為今（2018）年5月GDPR正式施行，能作更充分的準備。