資通安全法律案例宣導彙編 第3輯

刊登期別
2004年06月編印
 

相關附件
※ 資通安全法律案例宣導彙編 第3輯, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=2371&no=67&tp=1 (最後瀏覽日:2026/07/11)
引註此篇文章
你可能還會想看
日本發布2026年10大資訊安全威脅,呼籲企業強化資料管理對策

日本獨立行政法人情報處理推進機構(Information-technology Promotion Agency,下稱IPA)於2026年1月29日發布「2026年10大資訊安全威脅」,呼籲企業應留意自身資訊安全防護對策。 IPA將2026年10大資訊安全威脅區分為「組織」與「個人」兩大面向。在組織面向的威脅中,前三位依序為勒索病毒攻擊、針對供應鏈或委託方的攻擊,以及AI應用所帶來的網路風險。其中,「AI應用所帶來的網路風險」是自2016年IPA開始進行資訊安全威脅調查以來,首度入選前10大威脅,其風險內容主要為使用者對AI技術缺乏充分了解而導致的資訊外洩,或是由於AI遭惡意濫用,進而降低網路攻擊的門檻等風險。 此外,2026年10大資訊安全威脅第四至第十名依序分別為,針對系統漏洞的攻擊、竊取機密資訊的攻擊、由地緣政治風險引起的網路攻擊(包含資訊戰)、內部違規行為導致的資訊外洩、針對遠距工作環境的攻擊、分散式阻斷服務攻擊,以及商務電子郵件詐欺。從10大資訊安全威脅之內涵可知,多數資安威脅均與資訊外洩或惡意攻擊相關,顯見資訊的價值與重要度在現代數位化社會中日益提升。 臺灣企業如欲強化資訊安全防護對策,並針對資料本身進行妥善管理,建議參考資訊工業策進會科技法律研究所創意智財中心(資策會科法所創智中心)發布之《重要數位資料治理暨管理制度規範》,建立涵蓋數位資料生命週期之資料治理機制,同時參考該中心發布之《營業秘密保護管理規範》、《營業秘密管理指針2.0》,建立營業秘密管理措施或相關機制,避免具備機敏性或屬於營業秘密之資訊外洩。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)

美國田納西州《確保肖像、聲音和圖像安全法案》要求第三方若利用生成工具重製肖像、聲音或圖像應得本人之事前同意

作為鄉村音樂發源地的美國田納西州,有著蓬勃的音樂產業,匯聚來自各路的表演藝術工作者,因而對相關從業者的個人公開權(Right of Publicity)保障尤為重視,早在1984年即制訂《個人權利保護法》(Personal Rights Protection Act),確保該權利不會因權利人死亡而消滅,屬於可由他人繼承之財產權,允許繼承人自由轉讓和授權,包含其姓名(Name)、肖像(Image)、形象(Likeness)之權利主張,但被繼承人之聲音仍不在權利主張的範疇。 惟現今AI深偽仿聲技術所生成之音樂亦可能侵害音樂人及藝術家的智慧財產權,因而於2024年3月21日由州長簽署《確保肖像、聲音和圖像安全法案》(Ensuring Likeness Voice and Image Security Act),簡稱貓王法案(ELVIS Act),該法案於3月7日獲得州議會兩黨一致支持,首度明確將個人公開權得主張之範圍擴及至表演者的聲音(NIL+V),其目的是為了應對AI生成音樂的突破性進展,以保護音樂創作人及表演藝術家之權利免受AI技術侵害,這是全美首部禁止他人未經授權使用或重製權利人的聲音以供訓練AI模型或生成深偽內容所制定的法律(註:加州雖已將聲音作為權利保護客體但非針對AI技術之侵害),明確規定第三人在未得本人之同意下,若意圖利用AI深偽技術生成經仿製、偽造或變造的圖片、影音、聲音等數位檔案,而後續冒用本人名義進行公開發表或公開演出詞曲創作人及表演藝術工作者之聲音或影像的行為,則須承擔相應的民事侵權行為責任,以及構成歸類在微罪的刑事犯罪,刑期最高可處11個月又29天的監禁或2,500美元以下的罰金,該法案預計於今年7月1日生效,且僅適用於在田納西州境內的工作者。 該法案所保護之主體除音樂創作人及表演藝術家外,亦包含動畫配音員及串流媒體盛行下廣播與網路節目的播音員(俗稱播客),以確保這類主要仰賴聲音維生的工作者能免於AI仿聲技術而減損其專業價值;另外若有與詞曲創作人或表演藝術工作者締結專屬合約之唱片公司或經紀公司亦為訴訟程序的適格當事人,可代理公司旗下的工作者尋求救濟管道;最後,若利用權利人的姓名(Name)、肖像(Image)、形象(Likeness)或聲音(Voice)屬於法案中列舉的合理使用行為,如基於公益目的、新聞播報、轉化性使用、偶然入鏡或著作之附帶性利用等,則應屬美國憲法第一修正案之保障範圍而非在該法案的規範射程。 除田納西州之外,美國尚有其他39個州提出或正在推動相似的法案,但全美目前仍欠缺統一性的立法;聯邦政府仍尚在研擬如何保護表演藝術工作者個人公開權的階段,日前在田納西州政府今年1月時提出貓王法案的草案後不久,由美國眾議院議員組成的跨黨派小組曾公佈《禁止人工智慧偽造和未經授權的重製法案》(或稱為《禁止人工智慧詐欺法案》),旨在推動建立聯邦層級的框架性立法,以確保個人的聲音或肖像權屬美國憲法第一修正案的保障範圍,而該提案據稱是針對美國參議院去年10月提出的《鼓勵原創、培育藝術和維繫安全娛樂法案》(或稱為《禁止仿冒法案》)的更新及補充,以維護公共利益,創造具有原創性、正當性及安全性的休閒娛樂環境。

複製人類在歐美之法制規範

因應生成式AI使用的營業秘密保護對策

美國智慧財產律師於2026年4月撰文說明兩件聯邦地方法院之判決揭示將機密資訊分享於生成式AI平台上的重大風險。 在Trinidad v. OpenAI 案中(Trinidad使用ChatGPT開發出AI框架,並將其框架申請美國專利,其主張OpenAI 後續申請專利之產品係基於使用其成果所開發,惟法院駁回原告依據美國營業秘密保護法(即DTSA)提出使用ChatGPT的產出物”專有AI開發框架(proprietary AI development frameworks,簡稱框架)為其營業秘密之主張,理由是原告在使用ChatGPT創建這些框架時,是自願向OpenAI 揭露其框架相關資訊。本案中,法院認為,原告使用ChatGPT創建框架時未有採取保密措施,且基於接受OpenAI的使用條款,也就是同意於未建立任何保護下揭露資訊,而不屬於DTSA保護的營業秘密。 在United States v. Heppner案中(被告Heppner 因涉及金融詐騙案件遭起訴,其收到法院傳票後使用Claude AI,將該案件的案件事實、可能的抗辯事由、法律分析和防禦策略輸入至Claude AI,使用AI產出法律分析報告),則是強調使用公開可得的生成式AI平台所建立之文件不受律師與當事人間之秘匿特權( attorney-client privilege)保護,因為在AI平台記錄的對話內容,在沒有與平台合約約定保密義務時,這些內容並不具保密性。本案主要探討於被告與Claude AI之間之對話紀錄是否符合律師與當事人間之秘匿特權之範圍,法院認為Claude AI並非律師,兩位非律師之人的法律討論並不享有特權,且成立律師與當事人間之秘匿特權需建立於當事人與有委託關係之律師(或其代理人:實習律師、法務助理等)因為法律諮詢目的之通訊內容。此外,被告與Claude AI之間的通訊並非機密,因為Claude AI的用戶須同意「Anthropic (Claude AI之開發商)收集用戶輸入與輸出資料,利用這些資料訓練 Claude,並保留向第三方(包括政府監管機構)揭露此類資料的權利」,故法院未將律師與當事人間之秘匿特權延伸至AI平台產出的資訊。 在如今生成式AI已被普遍使用之時代,AI工具可提高生產力及工作效率,而對企業而言,開放員工使用AI時應留意公司是否有對使用AI工具提供相應的管理措施。可參考的管理方式有二: 作法其一是:建立企業內部的生成式AI平台 在此狀況下與AI共享的資訊只會留在公司的環境中,並且員工會受到聘用條件中所簽署過的保密協議拘束,此種做法可提供強而有力的保護,但也需要公司投入大量財務資源,惟許多企業未有足夠資源採取此做法。 作法其二:企業從商業生成式AI供應商取得企業授權 企業可跟AI供應商簽定特殊的授權模式,例如約定除了為遵守法律規範或防止濫用之情況外均不儲存輸入或輸出之資訊、約定不會使用其資料進行AI模型訓練、不向第三方揭露客戶所提供之資訊等保密條款,此類保密條款約定會被視為合理保密措施。 企業亦須留意法院在檢視是否成立合理保密措施時,通常只有簽訂相關保密條款並不足夠,法院通常會審查是否有其他保護措施,例如哪些員工有權使用AI平台、是否規範哪些資訊可用/不可用於AI平台、員工是否簽署對其使用AI平台應遵守之義務的確認書等。此外,企業還須避免員工以個人消費者帳號(非企業用戶權限)於AI平台輸入公司機密資訊,而使公司在不知情狀況下同意AI供應商使用其公司機密資訊。因此,企業應建立明確政策,限制員工將公司機密資訊輸入任何AI平台,並留存管理存取紀錄。 由前面兩個案件我們可了解,在未有適當合約與相關保密措施的情況下,於公開的生成式 AI 平台分享機密或專有資訊,法律上等同於向全世界揭露該資訊。法院於營業秘密、律師與當事人間之秘匿特權不太可能對 AI 相關揭露行為做出特別豁免。因此,對於AI工具的使用,企業至少需確保使用的是在具備適當合約保護的商業或企業級 AI 平台,制定明確的內部政策規範可輸入 AI 平台的資訊,提供員工相關訓練,並審核現有的營業秘密保護計畫找出因應AI工具使用的相關風險並予以補強。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://keid.nat.gov.tw/tips/)

TOP