搶國際創新創業人才，韓國擬年內推出「韓國新創特殊簽證」

2024年7月1日，美國實務界律師撰文針對使用生成式AI（Generative AI）工具可能導致的營業秘密外洩風險提出營業秘密保護管理的強化建議，其表示有研究指出約56%的工作者已經嘗試將生成式AI工具用於工作中，而員工輸入該工具的資訊中約有11%可能包含公司具有競爭力的敏感性資訊或客戶的敏感資訊，以Chat GPT為例，原始碼（Source Code）可能是第二多被提供給Chat GPT的機密資訊類型。系爭機密資訊可能被生成式AI工具提供者（AI Provider）用於訓練生成式AI模型等，進而導致洩漏；或生成式AI工具提供者可能會監控和存取公司輸入之資訊以檢查是否有不當使用，此時營業秘密可能在人工審查階段洩漏。 該篇文章提到，以法律要件而論，生成式AI有產生營業秘密之可能，因為營業秘密與著作權和專利不同之處在於「發明者不必是人類」；因此，由生成式 AI 工具協助產出的內容可能被視為營業秘密，其範圍可能包括：公司的內部 AI 平台、基礎的訓練算法和模型、輸入參數和輸出結果等。惟基於目前實務上尚未有相關案例，故生成式AI輸出結果在法律上受保護的範圍與條件仍需待後續的判例來加以明確。 實務專家提出，即使訴訟上尚未明確，企業仍可透過事前的管理措施來保護或避免營業秘密洩露，以下綜整成「人員」與「技術」兩個面向分述之： 一、人員面： 1.員工（教育訓練、合約） 在員工管理上，建議透過教育訓練使員工了解到營業秘密之定義及保護措施，並告知向生成式AI工具提供敏感資訊的風險與潛在後果；培訓後，亦可進一步限制能夠使用AI工具的員工範圍，如只有經過培訓及授權之員工才能夠存取這些AI工具。 在合約方面，建議公司可與員工簽訂或更新保密契約，納入使用生成式AI的指導方針，例如：明確規定禁止向生成式AI工具輸入公司營業秘密、客戶數據、財務信息、未公開的產品計劃等機密資訊；亦可增加相關限制或聲明條款，如「在生成式AI工具中揭露之資訊只屬於公司」、「限制公司資訊僅能存儲於公司的私有雲上」等條款。 2.生成式AI工具提供者（合約） 針對外部管理時，公司亦可透過「終端使用者授權合約（End User License Agreement，簡稱EULA）」來限制生成式AI工具提供者對於公司在該工具上「輸入內容」之使用，如輸入內容不可以被用於訓練基礎模型，或者該訓練之模型只能用在資訊提供的公司。 二、技術方面： 建議公司購買或開發自有的生成式AI工具，並將一切使用行為限縮在公司的私有雲或私有伺服器中；或透過加密、防火牆或多種編碼指令（Programmed）來避免揭露特定類型的資訊或限制上傳文件的大小或類型，防止機密資訊被誤輸入，其舉出三星公司（Samsung）公司為例，三星已限制使用Chat GPT的用戶的上傳容量為1024位元組（Bytes），以防止輸入大型文件。 綜上所述，實務界對於使用生成式AI工具可能的營業秘密風險，相對於尚未可知的訴訟攻防，律師更推薦企業透過訴訟前積極的管理來避免風險。本文建議企業可將前述建議之作法融入資策會科法所創意智財中心於2023年發布「營業秘密保護管理規範」中，換言之，企業可透過「營業秘密保護管理規範」十個單元（包括從最高管理階層角色開始的整體規劃建議、營業秘密範圍確定、營業秘密使用行為管理、員工管理、網路與環境設備管理、外部活動管理，甚至是後端的爭議處理機制，如何監督與改善等）的PDCA管理循環建立基礎的營業秘密管理，更可以透過上述建議的做法（對單元5.使用管理、單元6.1保密約定、單元6.4教育訓練、單元7.網路與環境設備管理等單元）加強針對生成式AI工具之管理。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

　　中國總理溫家寶對於最近發生疑似中國駭客入侵德國政府機關電腦事件表示關心，並於2007年8月27日宣布–中國將與德國共同合作解決此一問題。 　　本起事件起因於德國總理Angela Merkel宣稱中國駭客企圖利用間碟軟體影響德國政府的電腦運作。其特別強調中國在快速工業化的過程中，與其他國家的關係正在不斷增強，不應放任駭客恣意入侵他國電腦，以免損害中、德長期的友好關係。 　　德國政府資料安全暨保護部的資安專家在今年五月份早已發現電腦駭客曾企圖利用間碟軟體經由網際網路入侵德國政府部門的電腦，且有若干政府部門被植入特洛伊木馬程式，其中包括外交部、經濟部、研究發展部等。他們曾監測到有一個約160G-bye的電腦檔案正從德國政府部門的電腦傳送到中國，幸好及時阻止資料傳送而得以避免損害發生。倘若當時中國駭客成功竊取德國政府的電腦資料，後果恐怕難以預料。 　　對於此一事件，德國的內政部發言人始終不願予以證實或作任何評論。僅強調德國政府將會持續增強所有政府部門的電腦防駭能力，保證能夠確實防止駭客的攻擊和入侵。 　　為對付駭客行為，德國在2007年8月7日公布「反駭客法」，即使駭客僅有侵入他人電腦系統的行為而未有竊取資料或造成損害，仍須面臨十年的刑則。另外，任何故意設計、散佈或購買非法駭客工具程式的行為亦同。

歐盟執委會（European Commission, EC）於2023年6月13日發佈「環境、社會與治理（ESG）評鑑透明度與誠信的規則草案（Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the transparency and integrity of Environmental, Social and Governance (ESG) rating activities，下稱本草案）」，以健全歐盟永續金融市場。 ESG評鑑係指評鑑機構向投資者和金融機構提供有關ESG的投資策略和風險管理等關鍵資訊，在歐盟永續金融市場扮演重要角色。因此本草案提出評鑑機構治理與利益衝突防免的規範，確保ESG評鑑機構誠信營運、提升評鑑的可靠性和透明度、並協助投資者作出更明智的永續投資決策。本草案要點如下： （1）授權許可：ESG評鑑機構原則上須取得歐洲證券與市場管理局（European Securities and Markets Authority, ESMA）的授權許可，始得於歐盟境內經營ESG評鑑業務。如為第三國ESG評鑑機構，則須申請取得同等認定（equivalence decision）後始得在歐盟經營ESG評鑑業務 （2）評鑑機構內部治理：要求ESG評鑑機構確保其獨立性、建立申訴處理機制、限制評鑑機構兼營金融與稽核業務等 （3）提升評鑑透明度：要求ESG評鑑機構公開揭露方法論、模型、主要假設與技術標準等 （4）授予ESMA監管權力：ESMA得要求評鑑機構與相關人士提供資料、詢問評鑑機構代表或職員、甚至實地查核等措施；就違反規定的評鑑機構，ESMA亦有要求暫停營運、課予罰鍰以及撤銷經營許可的權力

　　瑞典斯德哥爾摩地方法院於2015/11/27針對網路服務提供者（ISP）責任作出判決，有別於過往相關著作侵權訴訟，對象係針對個人或是散布侵權檔案之網站經營者，此次為針對網路服務提供者責任作成的第一筆判決，其結果具有指標性意義。 　　此次訴訟是由華納、新力、聯合音樂、北歐電影與瑞典電影中心聯合提起，請求法院命一瑞典ISP業者阻斷二個涉及著作權侵害之網站連結。原告等聲稱被告提供網路連接到侵權網站之行為，已構成侵害行為的參與（medverkar），據此請求法院禁止被告繼續此參與侵害行為。然法院未予採納，認為：（一）依歐盟指令（Infosoc-directivet）之要求，若網路中介者之服務受到第三人利用，作為侵害著作權及其鄰接權之用途，各會員國須提供著作權人司法救濟途徑，以對抗中介人。由於瑞典著作權法已提供禁制令（föreläggande）之申請予著作權人，藉此對抗參與侵害行為的幫助犯。可見瑞典著作權法已符合指令之要求。（二）其次，法院認定本案被告係單純提供其顧客網路聯結到侵權網站，不構成瑞典著作權法上之參與侵權行為。因所謂參與必須是客觀上對侵權行為人有幫助行為（如給與建議及諮詢），但本案被告並未與侵權網站有任何契約或特定關係，不能因為少部分之非法使用者利用其網站連結便認定其構成參與侵權行為。故法院認定本案不具備核發禁制令條件，駁回原告等請求。對此，原告擬提出上訴，後續發展有待觀察。