歐盟食品安全與標示近期發展－以歐盟法院Teekanne案為例

　　在2013年的國際資訊安全會議（RSA Conference）上，資安專家紛紛表示，將Big Data技術應用於資訊安全分析的項目上，確實可以幫助企業建立更佳的情勢判斷能力，但在實際執行過程中是一大挑戰。 　　資安廠商如RSA和賽門鐵克公司，在會議上表示目前的策略是透過新的數據匯集、比對和分析協助企業篩選、過濾結構化和未結構化資料的威脅指標，這是傳統的特徵偵測（signature-based）安全工具無法做到的。 　　不像傳統的安全手段著重於阻斷攻擊，新的技術強調偵測並立即回應違犯行為，也就是提前遏止任何違犯行為，協助企業作全面性的偵測而不擔心有所遺漏。 　　由於越來越多的美國政府機關和民間企業遭受到針對性和持續性的攻擊，巨量資料技術的應用需求激增。企業內部都累積著大量的數據和多元的數據種類，而需要動新技術來保護這些數據資料免於惡意人士或對手的竊取或其他侵害行為。企業應該要因應實際面臨的威脅和所獲悉的威脅情報來建立安全模型，取代部署特定產品和外圍系統的防禦。 　　美國無論是政府機關或民間企業都被捲入了不對稱戰爭-對手是武器精良、準備充分並有嚴密組織的網路敵人。 　　「駭客只需要攻擊成功一次，但我們必須每次都是成功的」賽門鐵克的總裁deSouza表示。「因此與其專注的在阻擋所有威脅，更好的辦法是使用巨量資料技術偵測侵入行為並消解之」。而在會議中資安專家都肯認至少從理論上來說，以巨量資料技術強化資訊安全是很好的想法。 　　不過另有其他的說法，金融服務企業LSQ的首席安全及法務主管皮爾遜認為，許多人的電腦紀錄檔和所有的電子裝置都早就被侵入滲透了，這才是問題所在。他表示，目前現存的SIEM（安全性資訊及事件管理）工具可以讓企業聚集來自許多個安全設備的巨量登錄數據整合在同一系統內，但真正的問題是，SIEM工具必須要有能力分析數據並找出關聯性，如此才能偵測到駭客入侵的前兆證據和真實的入侵行為，這和彙整數據是不同的兩件事。許多企業所面臨的問題不是缺乏數據資料，而是要如何為資訊安全的目的建立關聯規則和應用方式，以有效率的方式找出有用的巨量數據並進行分析，和留下可供進行訴訟使用的證據。

　　由美國商會（the United States Chamber of Commerce）於2007年成立的全球智慧財產中心（Global Intellectual Property Center，以下簡稱GIPC）發布2017年國際智慧財產指數排名，前三名分別為美國、英國和德國，而泰國在45個經濟體中排名第40名，在滿分35分的評分中僅得到9.35分。指數的計算方式係基於專利、著作權、商標、營業秘密、執法、國際條約的批准和執行狀況等6個智財保護面向，共35個指標組成。 　　GIPC指出，泰國關鍵優勢在於具備商標、著作權和設計專利的基本註冊和保護制度，具備智財權執行的基本法律架構，配合新技術的發展試圖調整著作權的法規，改進部份海關防止仿冒的措施。而得分低的主要原因則為專利保護不足、數位著作權制度不完整、智財資產商業化的繁鎖程序和額外成本、仿冒猖獗和執法不力等。 　　泰國智慧財產局（the Department of Intellectual Property，以下簡稱DIP）局長表示美國商會未充分考慮泰國在智慧財產權發展方面的努力。泰國是按與貿易有關之智慧財產權協定（Agreement on Trade-Related Aspects of Intellectual Property Rights，以下簡稱TRIPS）的要求提供智財保護，然GIPC的部份指標較TRIPS的要求嚴格，導致泰國得分偏低；且指標評估者僅為美國商界人士，而非所有利害相關人。不過DIP也表示，儘管在推動泰國智慧財產權保護方面存在諸多困難，同時需要與包括衛生部、海關廳、財政部、國家警察總署、特安廳以及數位經濟和社會部等部門合作開展，DIP仍將繼續推動各項工作進展，努力提高泰國在國際智財指數的排名。 【本文同步刊登於TIPS網站(http://www.tips.org.tw)】

　　英國上議院人工智慧專責委員會（Select Committee on Artificial Intelligence）2018年4月18日公開「AI在英國：準備、意願與可能性？（AI in the UK: ready, willing and able?）」報告，針對AI可能產生的影響與議題提出政策建議。 　　委員會建議為避免AI的系統與應用上出現偏頗，應注重大量資訊蒐集之方式；無論是企業或學術界，皆應於人民隱私獲得保障之情況下方有合理近用數據資訊的權利。因此為建立保護框架與相關機制，其呼籲政府應主動檢視潛在英國中大型科技公司壟斷數據之可能性；為使AI的發展具有可理解性和避免產生偏見，政府應提供誘因發展審查AI領域中資訊應用之方法，並鼓勵增加AI人才訓練與招募的多元性。 　　再者，為促進AI應用之意識與了解，委員會建議產業應建立機制，知會消費者其應用AI做出敏感決策的時機。為因應AI對就業市場之衝擊，建議利用如國家再訓練方案發展再訓練之計畫，並於早期教育中即加入AI教育；並促進公部門AI之發展與布建，特別於健康照顧應用層面。另外，針對AI失靈可能性，應釐清目前法律領域是否足以因應其失靈所造成之損害，並應提供資金進行更進一步之研究，特別於網路安全風險之面向。 　　本報告並期待建立AI共通之倫理原則，為未來AI相關管制奠定初步基礎與框架。

繼2023年1月5日美國總統拜登（Joe Biden）簽署《2022年保護美國智慧財產法》（Protecting American Intellectual Property Act of 2022）並生效後，至今尚未見任何根據該法規展開行動的報告，不過各界仍相當關注該法案的動向，因為其與過往的經濟制裁措施有著顯著的差異。 《2022年保護美國智慧財產法》與其他經濟制裁措施之差異包括： 1.僅針對營業秘密之重大竊盜，不包括其他智慧財產權如專利、著作權等； 2.未要求行為人主觀是為他國政府之利益而竊取營業秘密； 3.法規中使用到關鍵術語的標準及定義較少； 4.某些制裁措施具有強制性； 5.制裁的對象不僅包括竊取美國營業秘密者，也包括從他人竊取美國營業秘密中獲利者； 6.營業秘密盜竊行為須有合理可能性或已經對美國國家安全、外交、經濟、金融穩定構成重大威脅。 雖然《2022年保護美國智慧財產法》即將成為重要的政府工具，以解決營業秘密損失及其對國家安全之影響，且允許當事人面臨營業秘密訴訟或威脅時，將制裁措施武器化，但仍有部分問題有待解決，包括： 1.營業秘密受各州法律管轄，各州之管理機構是否會制定自己的營業秘密定義標準？ 2.若在訴訟進行期間實施制裁措施，將產生甚麼影響？ 3.是否產生《經濟間諜法》（Economic Espionage Act）之待審案件？美國司法部（US Department of Justice）是否必須參與？ 4.判斷是否制裁的標準與美國司法部所採用的《經濟間諜法》之標準是否相同？若不同，則差異為何？ 5.當事人或法院是否知道判定營業秘密盜竊行為時該適用什麼證據標準？（法規僅規定由總統決定） 6.法院能否將此類制裁措施作為其決策的一部分？ 儘管《2022年保護美國智慧財產法》所衍生的問題及將產生的影響尚有待觀察，但建議企業採取下列合規措施，以避免成為美國新制裁措施的目標，包括： 1.制定並實施合規的營業秘密保護政策與程序； 2.對員工進行教育訓練，使其瞭解有關《2022年保護美國智慧財產法》的基礎知識以及對營業秘密之管理要求； 3.對有可能被盜竊營業秘密的流程進行稽核審查。 本文同步刊登於TIPS網站（https://www.tips.org.tw）。