歐盟GDPR保護適足性審核與因應作為

2024年7月1日，美國實務界律師撰文針對使用生成式AI（Generative AI）工具可能導致的營業秘密外洩風險提出營業秘密保護管理的強化建議，其表示有研究指出約56%的工作者已經嘗試將生成式AI工具用於工作中，而員工輸入該工具的資訊中約有11%可能包含公司具有競爭力的敏感性資訊或客戶的敏感資訊，以Chat GPT為例，原始碼（Source Code）可能是第二多被提供給Chat GPT的機密資訊類型。系爭機密資訊可能被生成式AI工具提供者（AI Provider）用於訓練生成式AI模型等，進而導致洩漏；或生成式AI工具提供者可能會監控和存取公司輸入之資訊以檢查是否有不當使用，此時營業秘密可能在人工審查階段洩漏。 該篇文章提到，以法律要件而論，生成式AI有產生營業秘密之可能，因為營業秘密與著作權和專利不同之處在於「發明者不必是人類」；因此，由生成式 AI 工具協助產出的內容可能被視為營業秘密，其範圍可能包括：公司的內部 AI 平台、基礎的訓練算法和模型、輸入參數和輸出結果等。惟基於目前實務上尚未有相關案例，故生成式AI輸出結果在法律上受保護的範圍與條件仍需待後續的判例來加以明確。 實務專家提出，即使訴訟上尚未明確，企業仍可透過事前的管理措施來保護或避免營業秘密洩露，以下綜整成「人員」與「技術」兩個面向分述之： 一、人員面： 1.員工（教育訓練、合約） 在員工管理上，建議透過教育訓練使員工了解到營業秘密之定義及保護措施，並告知向生成式AI工具提供敏感資訊的風險與潛在後果；培訓後，亦可進一步限制能夠使用AI工具的員工範圍，如只有經過培訓及授權之員工才能夠存取這些AI工具。 在合約方面，建議公司可與員工簽訂或更新保密契約，納入使用生成式AI的指導方針，例如：明確規定禁止向生成式AI工具輸入公司營業秘密、客戶數據、財務信息、未公開的產品計劃等機密資訊；亦可增加相關限制或聲明條款，如「在生成式AI工具中揭露之資訊只屬於公司」、「限制公司資訊僅能存儲於公司的私有雲上」等條款。 2.生成式AI工具提供者（合約） 針對外部管理時，公司亦可透過「終端使用者授權合約（End User License Agreement，簡稱EULA）」來限制生成式AI工具提供者對於公司在該工具上「輸入內容」之使用，如輸入內容不可以被用於訓練基礎模型，或者該訓練之模型只能用在資訊提供的公司。 二、技術方面： 建議公司購買或開發自有的生成式AI工具，並將一切使用行為限縮在公司的私有雲或私有伺服器中；或透過加密、防火牆或多種編碼指令（Programmed）來避免揭露特定類型的資訊或限制上傳文件的大小或類型，防止機密資訊被誤輸入，其舉出三星公司（Samsung）公司為例，三星已限制使用Chat GPT的用戶的上傳容量為1024位元組（Bytes），以防止輸入大型文件。 綜上所述，實務界對於使用生成式AI工具可能的營業秘密風險，相對於尚未可知的訴訟攻防，律師更推薦企業透過訴訟前積極的管理來避免風險。本文建議企業可將前述建議之作法融入資策會科法所創意智財中心於2023年發布「營業秘密保護管理規範」中，換言之，企業可透過「營業秘密保護管理規範」十個單元（包括從最高管理階層角色開始的整體規劃建議、營業秘密範圍確定、營業秘密使用行為管理、員工管理、網路與環境設備管理、外部活動管理，甚至是後端的爭議處理機制，如何監督與改善等）的PDCA管理循環建立基礎的營業秘密管理，更可以透過上述建議的做法（對單元5.使用管理、單元6.1保密約定、單元6.4教育訓練、單元7.網路與環境設備管理等單元）加強針對生成式AI工具之管理。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

　　為釐清自駕車事故發生時，該如何適用日本《汽車賠償法》相關規定，國土交通省於2016年11月設置「自動駕駛損害賠償責任研究會」，檢討︰(1)自動駕駛是否適用《汽車賠償法》上運用供用者概念？(2)汽車製造商在自動駕駛事故損害中應負何種責任？(3)因資料謬誤、通訊不良、被駭等原因導致事故發生時應如何處理？(4)利用自動駕駛系統時發生之自損事故，是否屬於《汽車賠償法》保護範圍等議題，並於2018年3月公布研究報告。針對上述各點，研究會認為目前仍宜維持現行法上「運行供用者」責任，由具有支配行駛地位及行駛利益者負損害賠償責任，故自駕車製造商或因系統被駭導致失去以及支配行駛之地位及行駛利益者，不負運行供用者責任。此外，研究報告亦指出，從《汽車賠償法》立法意旨在於保護和汽車行駛無關之被害者，以及迅速使被害者得到救濟觀之，自動駕駛系統下之自損事故，應仍為《汽車賠償法》保護範圍所及。

　　根據2005年一項統計調查指出，員工超過一千人的公司中，36.1％對員工從公司內部外寄的電子郵件加以監視，而同時亦有26.5％的公司正準備對員工由公司內部發送的電子郵件加以監視。若是以員工超過二萬人的公司來看，更有高達40％的公司已然利用過濾科技對員工外寄的電子郵件加以監視，而正準備利用相關科技對員工外寄的電子郵件加以監視的公司亦高達32％。 　　然而根據歐洲人權法院近日所做出的判決，不論公司是否訂有清楚的員工使用政策，一旦公司並未告知員工其在公司內的通訊或電子郵件往來可能會受到公司的監視，則該公司將可能違反歐洲人權公約(European Convention on Human Rights)。 　　該案例乃是由於一位任職於英國南威爾斯之卡馬森學院(Carmarthenshire College)的員工—Lynette Copland發現自己的網路使用情形及電話均遭到工作單位之監視，憤而向歐洲法院提出告訴。由於卡馬森學院並未提醒員工在工作場合之電子郵件、電話或其他通訊可能遭到監視，因此Lynette Copland之律師主張當事人在工作場合之電話、電子郵件、網路使用等其他通訊都應具有合理的隱私權期待，而受到歐洲人權公約第8條的保障。歐洲法院判決Lynette Copland可獲得約5910美元之損害賠償以及1,1820美元之訴訟費用。

　　越南科技部（Ministry of Science and Technology）於2016年7月30日發布No. 16/2016/TT-BKHCN通知（以下稱第16號通知），此為越南針對《智慧財產法》第四次修正的通知。今（2018）年1月15日已正式生效。在越南，通知（Circular）主要是作為各主管機關執行法律的指南，而本次發布的第16號通知，便是針對越南《智慧財產法》所做的細部解釋，是了解當地智財實務的重要文件。 　　整體而言，第16號通知針對智財的申請程序做了相當多修正。例如，申請人回覆越南智慧財產局官方審查意見（office action）的期限由一個月延長為兩個月。又例如，過去越南智慧財產局針對實體審查的申請案一旦做了核駁處分後，申請人僅能透過訴願予以救濟。根據第16號通知，若申請人能夠針對申請案提出在審查過程中未被考量但可以影響審查結果的新事證，越南智慧財產局則得考量撤回核駁處分。 　　此外，第16號通知亦釐清了過去越南在智慧財產各權利別，有關實體認定上的疑慮。一、在「商標方面」，第16號通知修正了越南過去對於著名商標（Well-known mark）的認定方式。在過去，著名商標的狀態可藉由法院判決，或是藉由智慧財產局的認定取得。在本次新修正的第16號通知中，著名商標狀態仍可藉由法院判決取得，但智慧財產局只能在「商標被駁回」的情形下對著名商標進行認定。二、在「專利方面」，第16號通知則是再次強調「用途」不得作為專利的申請標的，釐清了越南一直以來拒絕「用途發明專利」的立場。根據第16號通知，用途並非一項申請標的可主張的必要技術特徵（essential feature），只是單純申請標的之目的或結果而已。三、在「工業設計方面」，第16號通知釐清了越南對於「產品」的定義，指出產品必須要能夠「獨立流通」（circulated independently），始能成為工業設計保護的標的。例如圖形使用者介面（GUI）因其必須依賴手機等載體才能流通，故根據第16號通知無法被認為是能夠申請工業設計保護的「產品」。 　　從本次第16號修正可以看出，越南近年來因應智慧財產權的國際趨勢，在法規上做出的回應及釐清。對於在越南從事商業活動的我國廠商而言，建議除了瞭解越南《智慧財產法》外，更應關注越南的通知等下位階法規的狀況及發展。 「本文同步刊登於TIPS網站（https://www.tips.org.tw）」