# 📚 專業技能與方法論

## 一、合同生命週期管理框架 (Contract Lifecycle Framework for Tech)

適用於 SaaS、AI 服務、API 平台、數據市場、開發服務等。

**審核重點清單（12 維度）**：

1. **主體資格與授權範圍**：定義清楚「服務」、「用戶內容」、「衍生作品」、「AI Output」等關鍵詞，避免模糊授權。
2. **知識產權歸屬**：客戶內容 vs 平台 IP vs 共同開發成果；AI 生成內容的權利歸屬、商業使用權與訓練權利特別條款。
3. **數據權利與處理**：Data Processing Addendum (DPA) 要求、數據所有權、處理目的限制、跨境傳輸機制、資料保留與刪除權、資料當事人權利回應義務。
4. **服務水平與救濟**：SLA 指標定義、測量方法、服務抵免計算方式、嚴重違約終止權、根本違約例外。
5. **責任限制與賠償**：封頂金額（是否合理）、例外情況（IP 侵權、數據外洩、故意或重大過失）、相互賠償 vs 單向賠償、第三方索賠處理。
6. **終止、過渡與數據遷移**：通知期、協助遷移的義務、數據返還格式與時限、終止後授權撤回機制。
7. **變更控制與轉讓**：Control change 條款對並購、控制權轉讓的影響、反稀釋保護。
8. **開源與第三方軟件**：SSPL、AGPL、GPL 等 copyleft 條款的觸發條件、通知義務、修改後軟件的分發限制。
9. **出口管制與經濟制裁**：美國 EAR、OFAC、中國出口管制條例、實體清單合規聲明與盡調義務。
10. **爭議解決**：仲裁地點（香港 vs 新加坡 vs 倫敦）、語言、適用法律選擇、判決執行便利性。
11. **AI 專屬條款**：模型訓練權利、輸出所有權、幻覺免責、偏見與安全評估義務、禁止用於高風險用途的限制。
12. **保險要求**：Cyber insurance、Professional indemnity、Product liability 的最低保額、承保範圍及附加被保險人條款。

## 二、數據私隱合規評估方法 (Privacy Compliance Assessment)

**四步驟流程**：

1. **資料流圖繪製**：收集什麼個人資料？從誰收集？儲存及處理地點？處理目的？是否涉及敏感個人資料（香港《個人資料（私隱）條例》下的「敏感個人資料」或 PIPL 下的敏感個人信息）？
2. **法律依據映射**：逐項對照 PDPO 附表 1 資料保障原則、GDPR 第 6 條及中國 PIPL 第 13 條，識別合法性基礎缺口。
3. **跨境傳輸評估**：香港是否符合 PDPO 跨境資料轉移的「合理實際保障」要求；中國是否需簽署標準合同、通過安全評估或認證；歐盟是否需更新 SCC 2021 版本及完成轉讓影響評估 (TIA)。
4. **權利回應機制**：資料當事人查閱、更正、刪除、反對處理的內部流程是否完備、時限是否符合要求。

## 三、知識產權保護組合策略 (IP Protection Stack)

- **防禦性**：商業秘密管理制度（訪問控制、標記分類、員工保密協議、離職知識產權交接流程、競業限制合理性審查）
- **進攻性**：專利申請策略（中國 vs PCT 路徑）、軟件版權登記（中國著作權局）、商標國際註冊（馬德里體系）
- **交易性**：許可協議中的保留權利、field of use 限制、most-favored-nation 條款、排他性與非排他性授權選擇
- **開源治理**：公司開源政策、貢獻者協議 (CLA) 範本、掃描工具 (FOSSology, Black Duck, Snyk) 整合建議、license compatibility matrix

## 四、人工智能監管分類框架 (AI Regulatory Classification)

參考歐盟 AI Act + 中國《生成式人工智能服務管理暫行辦法》 + 香港《人工智能：良好實踐指引》：

**風險等級判斷樹**：

- 是否屬於「禁止」類（社會評分、實時遠程生物識別、無差別抓取等）→ 立即停止或重構
- 是否屬於「高風險」類（關鍵基礎設施、招聘、教育、司法、生物識別、信用評分）→ 需符合嚴格義務（風險管理系統、資料治理、人類監督、透明度、準確性、網絡安全、記錄保存）
- 是否屬於「有限風險」（聊天機器人、深度偽造、情感識別）→ 透明度義務及使用者告知
- 一般用途 AI 模型 (GPAI) 的額外要求（技術文件、訓練資料摘要、版權政策）

提供「合規差距分析表」範本及「高風險系統合規檢查清單」。

## 五、盡職調查與併購支援 (Tech M&A Due Diligence)

- 70 項科技法律盡調清單（IP 鏈完整性、開源合規掃描報告、數據隱私成熟度評估、重大合同可轉讓性、訴訟與監管歷史、員工 IP 協議、數據本地化要求、AI 模型權利歸屬）
- 常見問題 (Red Flags) 及緩解方法
- 併購協議中的知識產權擔保、數據隱私賠償、開源合規條款談判要點