因應使用「生成式AI(Generative AI)」工具的營業秘密管理強化建議
2024年7月1日,美國實務界律師撰文針對使用生成式AI(Generative AI)工具可能導致的營業秘密外洩風險提出營業秘密保護管理的強化建議,其表示有研究指出約56%的工作者已經嘗試將生成式AI工具用於工作中,而員工輸入該工具的資訊中約有11%可能包含公司具有競爭力的敏感性資訊或客戶的敏感資訊,以Chat GPT為例,原始碼(Source Code)可能是第二多被提供給Chat GPT的機密資訊類型。系爭機密資訊可能被生成式AI工具提供者(AI Provider)用於訓練生成式AI模型等,進而導致洩漏;或生成式AI工具提供者可能會監控和存取公司輸入之資訊以檢查是否有不當使用,此時營業秘密可能在人工審查階段洩漏。
該篇文章提到,以法律要件而論,生成式AI有產生營業秘密之可能,因為營業秘密與著作權和專利不同之處在於「發明者不必是人類」;因此,由生成式 AI 工具協助產出的內容可能被視為營業秘密,其範圍可能包括:公司的內部 AI 平台、基礎的訓練算法和模型、輸入參數和輸出結果等。惟基於目前實務上尚未有相關案例,故生成式AI輸出結果在法律上受保護的範圍與條件仍需待後續的判例來加以明確。
實務專家提出,即使訴訟上尚未明確,企業仍可透過事前的管理措施來保護或避免營業秘密洩露,以下綜整成「人員」與「技術」兩個面向分述之:
一、人員面:
1.員工(教育訓練、合約)
在員工管理上,建議透過教育訓練使員工了解到營業秘密之定義及保護措施,並告知向生成式AI工具提供敏感資訊的風險與潛在後果;培訓後,亦可進一步限制能夠使用AI工具的員工範圍,如只有經過培訓及授權之員工才能夠存取這些AI工具。
在合約方面,建議公司可與員工簽訂或更新保密契約,納入使用生成式AI的指導方針,例如:明確規定禁止向生成式AI工具輸入公司營業秘密、客戶數據、財務信息、未公開的產品計劃等機密資訊;亦可增加相關限制或聲明條款,如「在生成式AI工具中揭露之資訊只屬於公司」、「限制公司資訊僅能存儲於公司的私有雲上」等條款。
2.生成式AI工具提供者(合約)
針對外部管理時,公司亦可透過「終端使用者授權合約(End User License Agreement,簡稱EULA)」來限制生成式AI工具提供者對於公司在該工具上「輸入內容」之使用,如輸入內容不可以被用於訓練基礎模型,或者該訓練之模型只能用在資訊提供的公司。
二、技術方面:
建議公司購買或開發自有的生成式AI工具,並將一切使用行為限縮在公司的私有雲或私有伺服器中;或透過加密、防火牆或多種編碼指令(Programmed)來避免揭露特定類型的資訊或限制上傳文件的大小或類型,防止機密資訊被誤輸入,其舉出三星公司(Samsung)公司為例,三星已限制使用Chat GPT的用戶的上傳容量為1024位元組(Bytes),以防止輸入大型文件。
綜上所述,實務界對於使用生成式AI工具可能的營業秘密風險,相對於尚未可知的訴訟攻防,律師更推薦企業透過訴訟前積極的管理來避免風險。本文建議企業可將前述建議之作法融入資策會科法所創意智財中心於2023年發布「營業秘密保護管理規範」中,換言之,企業可透過「營業秘密保護管理規範」十個單元(包括從最高管理階層角色開始的整體規劃建議、營業秘密範圍確定、營業秘密使用行為管理、員工管理、網路與環境設備管理、外部活動管理,甚至是後端的爭議處理機制,如何監督與改善等)的PDCA管理循環建立基礎的營業秘密管理,更可以透過上述建議的做法(對單元5.使用管理、單元6.1保密約定、單元6.4教育訓練、單元7.網路與環境設備管理等單元)加強針對生成式AI工具之管理。
本文同步刊登於TIPS網站(https://www.tips.org.tw)
徐婕伊
專案經理 編譯整理
Diana H. Leiden & Helen Winters, Harnessing Generative AI: Best Practices For Trade Secret Protection, Mondaq, Jul. 1, 2024, https://www.mondaq.com/unitedstates/new-technology/1485314/harnessing-generative-ai-best-practices-for-trade-secret-protection#authors (last visited Jul. 26, 2024).
<營業秘密保護管理規範>,財團法人資訊工業策進會科技法律研究所網站,https://stli.iii.org.tw/publish-detail.aspx?no=72&d=7212(最後瀏覽日:2024/07/30)。
於去年(2009)年11月20日,歐盟會員國通過了一項關於化妝品上市與安全相關的新規則(REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on cosmetic products,以下簡稱化妝品規則),該項規則也將歐盟過往用以規範化妝品的55項指令化整為零,成為一項單一且更具法律拘束力之規範。 化妝品規則中前言中也特別肯認奈米物質於化妝品之應用為未來趨勢,而有必要於消費者保護、貨物自由流通以及對於製造商之法律確定性之間取得一衡平作法。針對此種內含奈米物質化妝品之管理,該規則也十分重視對產品內含奈米物質之事實提供資訊之義務。以標示為例,化妝品規則第19條針對此等化妝品,要求以「nano」字樣標明於包裝上之成分標示。值得注意的是,德國針對是項條款於去年(2009)年11月17日於歐盟理事會之官方文件中表達不同意見。認為此種標示可能被消費者誤解為一警告標示,且亦強調市售的化妝品皆屬通過嚴格的安全測試者,此也表示對內含奈米級物質之化妝品不應再給予額外的檢視。其也認為消費者對於奈米物質所關切之重點,應為此等奈米物質對產品之特性所生之改變,而非產品中是否含有奈米物質。 在歐盟綠黨成員和環保遊說團體針對奈米科技刻正鼓吹「沒有數據,就不得上市」原則之際,該項原則將加重業者證明自身產品安全無虞之舉證責任,業者也擔心該項原則將導致市面上有數百種產品自市場中下架,而德國上述聲明的意見,似乎較傾向於業者以奈米物質之功能而非以物質本身作為標示基礎之意見。
柏克萊市開啟奈米科技管理規範的先河美國柏克萊﹙Berkley﹚市議會日前無異議通過既有有害物質法令修正之決議,企圖涵蓋奈米物質之情形,此其為奈米科技地方性立法之首例。此項行動迫使研究人員及製造人必須於研究或生產過程中,申報所使用的奈米材料,以及提出有效管理奈米物質的證明。 在商業世界當中,奈米科技的目標是在原子或分子層次,藉由改變或創造新的成份,以發展出新的產品及材料。不過,這些材料是否會產生環境及健康方面的問題,目前尚不得而知。 此項修正已蘊釀兩年。市府官員表示,此項法規修正主要在於監管奈米新創事業﹙startups﹚或小型企業﹙small business﹚,而非國家型實驗室﹙the national lab﹚所造成的影響,因為後者目前係由美國能源部﹙Department of Energy﹚所管理,地方法規對其並無管理權限。一開始,國家實驗室相當反對柏克萊市的這項計畫;不過,經過溝通其表示未來將繼續支持該市市府的行動。 負責柏克萊市有害物質管理事務的Nabil Al-Hadithy表示,他期許這項新法成為其他城市有效管理奈米物質的榜樣,並希望其他城市能夠將這樣類型的規範,有效運用在全加州的健康及安全法規上。
經濟部技術處研究機構智慧財產管理制度評鑑與台灣智慧財產管理規範(TIPS)驗證內容比較 加拿大運輸部發布2025無人機方案,提出建立無人機交管系統等優先項目加拿大運輸部(Transport Canada)於2021年3月22日發布「2025無人機方案」(Transport Canada’s Drone Strategy to 2025),概述其對無人機的願景及方案,並提出其至2025年前所應優先關注之項目,以確保無人機安全地整合進現代化航空系統並進入空域中。 為因應無人機產業發展帶來新挑戰及機會,加拿大運輸部列出五點事項做為對總體政策及優先事項之考量,包括: (一)透過安全規範支持創新:相關方案包含為偏鄉地區操作較低風險之視距外操作制定規範、為中度風險視距外操作核發飛行操作許可、在實際操作環境中測試技術,以及核准相關試行計畫,以提供中度風險之視距外操作更多的政策規劃資訊。 (二)建立無人機交通管理系統:包括建立無人機飛行計畫、空域使用請求系統、通訊、導航及空域監管系統、自2021年於偏鄉地區進行無人機交通管理實驗、探索「數位牌照」(digital license plate)用於遠端識別無人機的選項,以作為無人機交通管理系統基礎。 (三)無人機的安全風險:與利益相關人合作釐清機場保安的角色與職責、通訊傳輸協定及突發事件回應期間的工作協調、評估機場威脅及漏洞以了解風險、探索反無人機技術、對未經授權無人機的侵入進行偵測及追踪,以及導入驅逐未經授權無人機的安全框架。 (四)創新推動經濟發展:促進短、中期研發計畫、對先進無人機研發活動尋求合作機會、尋求能為加拿大氣候環境與操作提供資料的優先研發項目、制定方案使新型無人機技術更容易被國際市場接受、針對無人機之營運框架及產業目標進行評估、擬定產業合作策略並促進現有航空經濟框架現代化。 (五)建立民眾對無人機的信任:為增進民眾對無人機的認識及接受度,制定行動計畫、與地方政府共同規劃營運、鼓勵更多的社群參與,並與執法單位持續合作執行安全無人機操作規則。 加拿大運輸部將對本方案定期進行評估並於2025年前完成總體檢視,並公布2025-2030年的無人機發展方案。