德國聯合內閣最近就研議中的風險資本參與法(Wagniskapitalbeteiligungsgesetzes, WBG)之規範重點達成共識;聯邦經濟及技術部部長隨即對外表示,本法對於德國年輕的創新型企業意義非凡,蓋風險資本乃是創新與科技公司籌資的重要管道,WBG之制定是希望能創設成一個可以吸引國際風險資本在德國投資的法規環境。
根據協議內容,WBG以資本額在2千萬歐元以下、設立年限十年以下的公司為適用對象,據此,不僅是設立初期的公司可以籌募到風險資本,處在成長期需要大量資金的公司亦將可以獲得風險資本的挹注。此外,WBG也將規定,提供風險資本的創投公司(Wagniskapitalgesellschaften)未來將被視為資產管理者,其對於創投基金(Beteiligungsfond)提供資產管理服務之行為,將不會被課徵營業稅。
根據德國政府規劃,從法制面鼓勵創新與科技公司之設立,應採三軌並行:首先是創設吸引國際風險資金的投資環境,使創新與科技公司更容易取得所需資金,此即WBG之立法目的所在;其次,未來將進一步藉由開放投資管道,確保中小企業籌資之機會,因此有必要修正現行之投資企業法(Gesetz über Unternehmensbeteiligungsgesellschaften);最後將進一步制定投資風險規制法(Gesetzes zur Begrenzung der mit Finanzinvestitionen verbundenen Risiken),管控投資風險。透過上述措施,可望為創新與科技公司之設立奠定良善之基礎,增加此類型公司設立的數目。
德國內閣預計將在今(2007年)夏正式提出WBG之草案,與此同時,也將配套提出投資風險規制法之規範重點,並一併修正投資企業法,若WBG可順利經國會審議通過,最快將可自明(2008)年1月1日起生效適用。
本文為「經濟部產業技術司科技專案成果」
英國作為歐洲金融重鎮,不論各行業均有蒐集、處理、利用歐盟會員國公民個人資料之可能,歐盟一般資料保護規則(General Data Protection Regulation,簡稱GDPR)作為歐盟資料保護之重要規則,英國企業初步應如何自我檢視組織內是否符合歐盟資料保護標準,英國資訊委員辦公室(Information Commissioner's Office, ICO)即扮演重要推手與協助角色。 英國ICO於2017年4月發布企業自行檢視是否符合GDPR之12步驟(Preparing for the General Data Protection Regulation(GDPR)-12 steps to take now),可供了解GDPR的輪廓與思考未來應如何因應: 認知(Awareness):認知GDPR帶來的改變,與未來將發生的問題與風險。 盤點資料種類(Information you hold):盤點目前持有個人資料,了解資料來源與傳輸流向,保留處理資料的紀錄。 檢視外部隱私政策(Communicating privacy information):重新檢視當前公告外部隱私政策,並及時對GDPR的施行擬定因應計畫。 當事人權利(Individuals'rights):檢視資料處理流程,確保已涵蓋GDPR賦予當事人如:告知權、接近權、更正權、刪除權、製給複本權、停止處理權、不受自動決策影響等相關權利。 處理客戶取得資料請求(Subject access requests):GDPR規定不能因為客戶提出取得資料請求而向其收費;限期於1個月內回覆客戶的請求;可對明顯無理或過度的請求加以拒絕或收費;如拒絕客戶請求則限期於1個月內須向其說明理由與救濟途徑等。 處理個人資料須立於合法理由(Lawful basis for processing personal data):可利用文書記錄與更新隱私聲明說明處理個人資料之合法理由。 當事人同意(Consent):重新檢視初時如何查找、紀錄與管理取得個人資料的同意,思考流程是否需要做出任何改變,如無法符合GDPR規定之標準,則須重新取得當事人同意。 未成年人(Children)保護:思考是否需要制定年齡驗證措施;對於未成年人保護,考慮資料處理活動是否需取得其父母或監護人的同意。 資料外洩(Data breaches):有關資料外洩的偵測、報告與調查,確保已制定適當處理流程。 資料保護設計與影響評估(Data Protection by Design and Data Protection Impact Assessments):GDPR使資料保護設計與影響評估明文化。 資料保護專責人員(Data Protection Officers):須指定資料保護專責人員,並思考該專責人員於組織中的角色與定位。 跨境傳輸(International):如執行業務需跨越數個歐盟會員國境域,企業則須衡量資料監管機關為何。
韓國特許廳推動「技術公開網路服務」,公開技術達到防禦性功能且促進公眾利用韓國特許廳自2000年12月開始提供「技術公開網路服務」,透過此網站服務,研究人員可將其研發的技術公開、並登載在韓國特許廳的技術公開網站,藉以取得具公信力的公開日期。假若網站上公開的技術與先申請專利的其他技術相似,但其公開日期較早,那麼網站上公開的技術會被認為他人申請專利時的先前技術(prior art),他人就無法取得專利權。此一服務的目的在於希望企業或個人的研究開發成果可防止他人以相同或類似的技術申請專利,作為一種防禦手段。另公開的研發成果也可提供公眾免費使用,進而促進整體產業的發展。 為改善「技術公開網路服務」,增加使用上之便利性,韓國特許廳2011年10月起推出新的「技術公開網路服務」系統,規定必須載明公開的必要記載項目(包括標題、相關領域、目的、技術組成內容),以利其他人得以簡便地了解被公開的技術內容。利用人可到韓國特許廳建置之「專利資訊檢索服務(Korea Intellectual Property Rights Information Service, KIPRIS) 」網站進行檢索,搜尋所需之技術內容。 研發者可以將自己的發明想法公開,防止他人就同一或類似技術申請專利;同時任何人皆可查詢利用已經公開的技術,避免重複研發,也可讓業界掌握技術發展的最新動向,以促進技術之活用。
日本建立物聯網產品資安符合性評鑑及標籤制度(JC-STAR),助消費者提升產品資安識別日本建立物聯網產品資安符合性評鑑及標籤制度(JC-STAR),助消費者提升產品資安識別 資訊工業策進會科技法律研究所 2025年10月30日 壹、事件摘要 為因應物聯網(Internet of Things,簡稱IoT)產品日趨嚴重的資安威脅,日本陸續訂定針對物聯網產品資安之國內法規與政策方針,除了為強化物聯網產品之資安要求以外,藉由具體的資安評級要求,適用不同類型的物聯網產品,再透過資安標籤制度以區別產品,提升產品之資安識別,以供消費者選購時參考。據此,本文觀測日本近期建立的JC-STAR制度與其所適用國內法規,供我國未來參考與借鏡。 貳、重點說明 一、日本JC-STAR制度背景與目的 日本資訊處理推動機構(独立行政法人情報処理推進機構,Information-Technology Promotion Agency, Japan,簡稱IPA),依日本經濟產業省於2024年8月23日所公布之《IoT產品資安符合性評鑑制度建構方針》政策架構下[1],建立了《物聯網產品資安符合性評鑑及標籤制度》(セキュリティ要件適合評価及びラベリング制度,Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements,簡稱JC-STAR),並於2025年7月29日完成《物聯網產品資安符合性評鑑與標籤制度之基本規章》[2](セキュリティ要件適合評価及びラベリング制度の基本規程,簡稱本規章)之最終修訂,建立了JC-STAR制度的框架。本規章將物聯網產品的定義、產品所需的附隨服務(含數位服務等)、可提供驗證服務之單位、第三方監督、廠商自我宣告機制、資安符合性基準、評鑑與評鑑報告書、資安符合性標籤及分級機制等多種要件、適用對象與要求事項明確化,確立了以星等為評級的JC-STAR資安標籤制度框架。此外,JC-STAR制度針對物聯網產品採購方、使用方等不同的資安需求,透過附有資安標籤的產品以供各自選購時為考量,因此JC-STAR制度有以下二點優勢: (一) 較易滿足政府或企業的採購標準 針對政府機關或企業等所需採購的物聯網產品,事前已透過共通性的適用標準,將物聯網產品資安進行評鑑分級,並將評鑑流程可視化管理,不僅使產品符合各組織或單位的資安防護需求,同時使產品選購更加便利。 (二) 確保特定領域事業或行業等符合資安法規要求 基於特定領域事業或行業可能有特殊的資安需求,通過符合性評鑑的物聯網產品,因經第三方驗證後以最高等級的標籤呈現,故可確保符合特定領域事業團體之特殊資安需求,或配合指定使用,以確保其採購之物聯網產品均具備合規性。 二、日本JC-STAR框架與資安要求 日本JC-STAR制度是結合歐洲電信標準協會(ETSI)網路安全技術委員會於2022年6月所公布的《網路安全暨隱私保護標準》(ETSI EN 303 645),以及美國國家標準與技術研究所(NIST)於2022年9月公布的《消費者物聯網產品之核心基準》(NISTIR 8425)等適用標準,並經日本官方改定調整成為適用於日本國內之獨特制度。[3]JC-STAR是基於日本官方所定義之物聯網產品符合性標準(涉及資安技術要求事項等),確認物聯網產品是否符合資安要求以及進行可視化的管理。JC-STAR將物聯網產品區分成四種星級,詳述如下: (一) 一星級(★1) 物聯網產品須符合產品共通性之要求,並適用最低限度之資安要求事項,倘若產品已滿足相關要求事項,由產品供應商自我宣告即可。 (二) 二星級(★2) 視物聯網產品的類型、功能特徵等因素,於一星級以上增訂基礎的資安要求事項,倘若產品已滿足相關要求,仍由產品供應商自我宣告即可。 (三) 三星級(★3) 視物聯網產品的使用對象,包含政府機關、關鍵基礎設施或相關業者、地方政府或人民團體、大型企業之關鍵系統等,依產品類型、功能特徵等因素,訂定共通性之資安要件,並須由獨立第三方進行驗證,並須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。 (四) 四星級(★4) 適用程序上雖與三星級相同,依產品類型、功能特徵等因素,訂定共通性之資安要件,並由獨立第三方進行驗證,須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。惟物聯網產品中,諸如通信設備等所適用的資安要求及相關風險層級較高,因此為最高防護等級。 值得注意的是,日本正積極與新加坡、英國、美國、歐盟等各國專責機關等交涉中[4],預計將JC-STAR制度與各國物聯網產品制度相互承認並使其與國際接軌。 參、事件評析 日本透過國內政策方針及訂定規章,結合其他先進國家的資安標準,建立了屬於日本自己的物聯網產品資安標籤JC-STAR制度。主要將各種不同類型的物聯網產品,賦予不同星等評級,供一般消費者或政府、企業法人等選購時參考,具體提升針對物聯網產品的資安識別。此外,依產品適用對象或風險層級不同,適用不同程度的資安要求事項。倘若涉及政府或企業法人等採購需求,則可能適用三星或四星等級,且產品均須經獨立第三方進行評鑑後,才能取得符合性評鑑報告書,並添附資安標籤。 因此,JC-STAR並非僅針對政府或公部門單位採購適用,而是擴及日本國內產業或是一般消費者,因此日常中物聯網產品的使用,均受到全面性的資安保障。另一方面,倘若未來日本JC-STAR制度受到其他各國承認,即代表物聯網產品可在已簽署承認的國家間受到信任而流通產品,故可望大幅降低日本國內物聯網產品供應鏈符合國際法規或契約要求的成本,有助於提升產業競爭力。據此,日本以資安標籤提升消費者識別,並有物聯網產品資安驗證機制之整體性規劃,均可供我國推動物聯網產品資安治理政策之未來借鏡與參考。 [1]〈IoT製品に対するセキュリティ適合性評価制度構築方針〉,経済産業省,https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_cybersecurity/iot_security/pdf/20240823_1.pdf (最後瀏覽日:2025/10/13)。 [2]〈セキュリティ要件適合評価及びラベリング制度の基本規程〉,独立行政法人情報処理推進機構,https://www.ipa.go.jp/security/jc-star/begoj90000003563-att/JSS-01.pdf (最後瀏覽日:2025/10/13)。 [3]〈IoT製品のセキュリティ確保に向けて ~セキュリティ要件適合評価及びラベリング制度(JC-STAR*)の紹介~〉,頁25,独立行政法人情報処理推進機構,https://www.ipa.go.jp/security/jc-star/begoj9000000gg60-att/JC-STARsetumeikai_1.pdf (最後瀏覽日:2025/10/13)。 [4]〈ファクトシート:岸田総理大臣の国賓待遇での米国公式訪問〉,日本外務省,https://www.mofa.go.jp/files/100652150.pdf (最後瀏覽日:2025/10/13)。
日本文化廳發布《人工智慧著作權檢核清單和指引》日本文化廳發布《人工智慧著作權檢核清單和指引》 資訊工業策進會科技法律研究所 2024年08月21日 日本文化廳為降低生成式人工智慧所產生的著作權風險,保護和行使著作權人權利,於2024年7月31日以文化廳3月發布的《人工智慧與著作權的思考》、內閣府5月發布的《人工智慧時代知識產權研究小組中期報告》,以及總務省和經濟產業省4月份發布的《人工智慧事業指引(1.0版)》的資料為基礎,制訂發布《人工智慧著作權檢核清單和指引》[1]。 壹、事件摘要 日本文化廳的《人工智慧著作權檢核清單和指引》主要分成兩部分,第一部分是「人工智慧開發、提供和使用清單」,依循總務省和經濟產業省4月份發布的《人工智慧事業指引(1.0版)》的區分方式,分為「AI開發者」、「AI提供者」、「AI(業務)使用者(事業利用人)」和「業務外利用者(一般利用人)」四個利害關係人,依不同的身份分別說明如何降低人工智慧開發前後的資料處理和學習等智慧財產權侵權風險的措施,以及提供和使用人工智慧系統和服務時,安全、適當地使用人工智慧的技術訣竅。 第二部分則是針對著作權人及依著作權法享有權利的其他權利人(例如表演人)的權益保護,從權利人的思考角度,建議正確理解生成式AI可能會出現什麼樣的(著作權)法律上利用行為[2]。其次,說明近似侵權的判斷要件、要件的證明、防止與賠償等可主張的法律上請求、可向誰主張侵權、權利主張的限制;於事先或發現後可採取的防止人工智慧侵權學習的可能措施;最後對侵權因應建議權利人可發出著作權侵權警告、進行訴訟、調解等糾紛解決,並提供可用的法律諮詢窗口資訊。 貳、重點說明 日本文化廳於此指引中,針對不同的角色提出生成式AI與著作權之間的關係,除更具體的對「AI開發者」、「AI提供者」、「AI(事業與一般利用人)」,提醒其應注意的侵權風險樣態、可能的合法使用範圍,並提供如何降低風險的對策。同時,從權利人角度提供如何保護權益的指引,並提供可用的法律諮詢窗口資訊。重點說明如下: 一、不符合「非享受目的」的非法AI訓練 日本著作權法第30條之4規定適用於以收集人工智慧學習資料等為目的而進行的著作權作品的複製,無需獲得權利人的授權,但是,該指引特別明確指出「為了輸出AI學習資料中包含的既有作品的內容,而進行額外學習;為讓AI產出學習資料庫中所包含的既有作品的創作表現;對特定創作者的少量著作權作品進行額外個別學習」,這三個情況係同時存有「享受」著作目的,不適用無須授權的規定[3]。 二、不能「不當損害著作權人利益」 從已經採取的措施和過去的銷售紀錄可以推斷,資料庫著作權作品計劃有償作為人工智慧學習的資料集。在這種情況下,未經授權以人工智慧學習為目的進行複製時,屬於「不當損害著作權人利益」的要求,將不適用(日本)著作權法第30條之4規定[4]。在明知某個網站發布盜版或其他侵害著作權的情況下收集學習資料,則使用該學習資料開發的人工智慧也會造成著作權侵權,人工智慧開發者也可能被追究著作權責任[5]。不應使用以原樣輸出作為學習資料的著作權作品的學習方法,如果該已訓練模型處於高概率生成與學習資料中的著作物相似的生成結果的狀態等情況下,則該已訓練模型可能被評價為「學習資料中著作物的複製物」, 對銷毀該模型的請求即有可能會被同意[6]。 三、使用生成式AI即可能被認定為可能有接觸被侵害著作[7] 權利人不一定必須證明「生成所用生成AI的學習資料中包含權利人的作品。如有下述AI使用者認識到權利人的作品的情況之一,權利人亦可透過主張和證明符合「依賴性(依拠性)」要件,例如:AI使用者將現有的著作物本身輸入生成AI、輸入了現有著作物的題名(標題)或其他特定的固有名詞、AI生成物與現有著作物高度類似等。 四、開發與提供者也可能是侵權責任主體[8] 該指引指出,除利用人外,開發或提供者亦有負侵權責任的可能,特別是--人工智慧頻繁產生侵權結果,或已意識到人工智慧很有可能產生侵權結果,但沒有採取措施阻止。於其應負侵權責任時,可能被請求從訓練資料集中刪除現有的著作權作品,甚至是刪除造成侵權的人工智慧學習創建的訓練模型。即便人工智慧學習創建的訓練模型一般並非訓練資料的重製物,不過如果訓練後的模型處於產生與作為訓練資料的著作權作品相似的產品的機率很高的狀態,該指引認為可能會被同意[9]。 參、事件評析 人工智慧(AI)科技迎來契機,其生成內容隨著科技發展日新月異,時常可以看見民眾在網路上分享AI技術生成的圖像和影音。是否能將AI生成的圖案用在馬克杯或衣服販售,或是將Chat GPT內容當作補習班教材,均成為日常生活中的訓練AI的資料與運用AI的產出疑義。 各國固然就存有人類的「創造性貢獻」是人工智慧生成結果是否受著作權法保護、可受著作權保護的條件,單純機械性的AI自動生成,基本上欠缺「人的創造性」,非著作權保護對象,已有明確的共識。如何以明確的法令規範降低AI開發過程的侵權風險或處理成本?賦予AI訓練合法使用既有著作,應有的界限?衡平(賦予)既有著作的著作權人權益?AI服務提供者應負那些共通義務?是否合理課予AI服務提供者應負之侵權損害責任?AI使用者之侵權責任是否須推定符合「接觸」要件?等等諸此進一步的疑義,則仍在各國討論、形成共識中。 而從日本文化廳的《人工智慧著作權檢核清單和指引》,我們可以清楚的看出,在樹立成為AI大國的國家發展政策下,其著作權法雖已賦予AI訓練資料合法的重製,但在指引是明列已屬「享受」目的訓練行為、不合理損害著作權利用的情況、明示開發服務者應負的揭露義務與可能承擔侵權責任,彰顯其對權利人權益平衡保護的努力。值得於我國將來推動落實AI基本法草案中維護著作權人權益原則時,做為完善相關法令機制的重要參考。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw) [1] 文化庁著作権課,「AI著作権チェックリスト&ガイダンス」,令和6年7月31日,https://www.bunka.go.jp/seisaku/bunkashingikai/chosakuken/seisaku/r06_02/pdf/94089701_05.pdf,最後閱覽日:2024/08/20。 [2] 詳見前註,頁31。 [3] 詳見前註,頁7。 [4] 詳見前註,頁8。 [5] 詳見前註,頁9。 [6] 詳見前註,頁9。 [7] 詳見前註,頁35。 [8] 詳見前註,頁36。 [9] 詳見前註,頁42。