德國公布NAP II，要求能源及工業部門減少二氧化碳排放量

2025年2月7日，經濟合作暨發展組織（Organization for Economic Cooperation and Development，OECD）正式啟動《開發先進人工智慧系統組織的報告框架》（Reporting Framework for the Hiroshima Process International Code of Conduct for Organizations Developing Advanced AI Systems，簡稱G7AI風險報告框架）。 該框架之目的是具體落實《廣島進程國際行為準則》（Hiroshima Process International Code of Conduct）的11項行動，促進開發先進人工智慧系統（Advanced AI Systems）的組織建立透明度和問責制。該框架為組織提供標準化方法，使其能夠證明自身符合《廣島進程國際行為準則》的行動，並首次讓組織可以提供有關其人工智慧風險管理實踐、風險評估、事件報告等資訊。對於從事先進人工智慧開發的企業與組織而言，該框架將成為未來風險管理、透明度揭露與國際合規的重要依據。 G7 AI風險報告框架設計，對應《廣島進程國際行為準則》的11項行動，提出七個核心關注面向，具體說明組織於AI系統開發、部署與治理過程中應採取之措施： 1. 組織如何進行AI風險識別與評估； 2. 組織如何進行AI風險管理與資訊安全； 3. 組織如何進行先進AI系統的透明度報告； 4. 組織如何將AI風險管理納入治理框架； 5. 組織如何進行內容驗證與來源追溯機制； 6. 組織如何投資、研究AI安全與如何降低AI社會風險； 7. 組織如何促進AI對人類與全球的利益。 為協助G7推動《廣島進程國際行為準則》，OECD建構G7「AI風險報告框架」網路平台，鼓勵開發先進人工智慧的組織與企業於2025年4月15日前提交首份人工智慧風險報告至該平台（https://transparency.oecd.ai/），目前已有包含OpenAI等超過15家國際企業提交報告。OECD亦呼籲企業與組織每年定期更新報告，以提升全球利益相關者之間的透明度與合作。 目前雖屬自願性報告，然考量到國際監理機關對生成式AI及高風險AI 系統透明度、可問責性（Accountability）的日益關注，G7 AI風險報告框架內容可能成為未來立法與監管的參考作法之一。建議企業組織持續觀測國際AI治理政策變化，預做合規準備。

　　歐洲資料保護委員會（European Data Protection Board, EDPB）於2021年1月18日發布《個資侵害通知範例指引》（Guidelines 01/2021 on Examples regarding Data Breach Notification）草案，並進行為期六週之公眾諮詢。該指引針對2017年10月所發布之《個資侵害通知指引》（Guidelines on Personal data breach notification under Regulation 2016/679）透過案例分析進行補充說明，對於資料控制者如何識別侵害類別以及評估風險提出更詳細的實務建議，協助資料控制者處理資料外洩及風險評估考量因素之認定。 　　個資侵害係指違反安全性規定而導致傳輸、儲存或以其他方式處理之個資，遭意外或非法破壞、遺失、變更、未獲授權之揭露或近用之情形，由於個資事故將對資料主體可能造成重大不利影響，該指引首先要求資料控制者進行侵害類別之辨識，依據2017年指引將個資侵害分為機密性侵害（confidentiality breach）、完整性侵害（integrity breach）以及可用性侵害（availability breach）。而資料控制者最重要的義務在於主動識別系統漏洞，評估侵害對資料主體權利所產生之風險，制定適當計畫及程序採取適當因應措施，確定侵害事件之問題根因及安全漏洞，加強員工認知培訓及制定操作手冊，並確實記錄各項侵害行為，以提升個資事故因應效率及降低時間延誤。 　　此外，該指引彙整自GDPR實施以來個資侵害通知具體案例，分為勒索軟體攻擊、資料外洩攻擊、內部人為風險、硬體設備或紙本檔案失竊、誤發郵件以及電子郵件內容外洩，共六大主題十八件案例，針對不同程度風險提供最典型的正確及錯誤作法，並提出資料控制者有關預防潛在攻擊及減輕影響之措施建議。

　　以Google及微軟為首等網路業者，及名為「資訊正當法律程序」協會的數個成員，呼籲美國聯邦政府對於儲存於雲端或第三人資料儲存系統的私人電子郵件或電子資料之取得，應進行相關法律修正。 　　由於1986年開始施行的「電子通訊隱私法（Electronic Communications Privacy Act, ECPA）」，係立法者基於當時資通訊技術水準所制定，然近年來諸如電子郵件、雲端運算、網路社群活動及行動通訊等科技之興起，使得該法已不足因應當今狀況，故有制定更為透明、簡單且明瞭的資料取得標準之需要。尤其是現今電子資訊儲存於第三人資訊系統內情形之普遍，更讓此等資訊取得行為是否適用該法，產生相當的模糊。 　　此等模糊性，讓現今的司法部門認為僅需使用傳票（subpoena）或取得法院命令（court order），便可要求第三人提供客戶的資料。但是，上述這些團體希望政府應修正既有法律以與現時社會相符，確保須透過更為嚴謹的程序，始能要求第三人提供客戶的私人資訊，例如需申請「令狀」(warrant)。蓋因資料儲存於私人電腦內，需透過令狀以命其揭露，而若儲存於第三人處，理論上亦應該透過令狀以命第三人揭露該等資訊；再者，「美國人權法案（Bill of rights ）」要求政府機關除非具特定理由，否則不得對他人住宅進行無搜索令之搜索，同樣的，在電腦資訊之取得，亦不應降低保護人民之標準。 該團體揭示之四項標準為： ．政府僅能在出示正當理由，並取得搜索令（search warrant）的情況下，才能對任何受ECPA規範的實體（無線或電子通訊服務的提供者，或遠端電腦服務提供者）要求揭露未能輕易由公眾取得之資訊。且不受通訊時代，儲存工具及狀態，或提供者的權限及其通常商業活動的通訊使用所影響。 ．政府僅能在獲得具有正當理由之搜索令下，才得要求任何受ECPA規範的實體，提供行動通訊裝置的地點資訊。 ．政府僅能在獲得司法審查，及透過法院認為其已具備第2703(d)條之情形，才能要求任何受ECPA規範的實體提供撥打電話號碼的資訊，往來電子郵件、及該實體藉由電子記錄器和追蹤設備所記錄的資訊或數據。 ．政府單位經「Stored Communications Act」之授權取得傳票，其取得資訊之範圍僅得針對特定帳號或個人。其他非特定的要求，皆須司法同意後始得進行。

歐盟提出通用型人工智慧模型的著作權管理合規措施建議 資訊工業策進會科技法律研究所 2025年07月23日 為推動以人為本且值得信賴之人工智慧（Artificial Intelligence, AI）應用，同時確保高度保護健康、安全及歐盟《基本權利憲章》所載之基本權利，包括民主、法治及環境保護，防止AI在歐盟境內造成有害影響，並依據歐盟《人工智慧法》（AI Act, AIA）第1條第1項支持創新。歐盟人工智慧辦公室(The European AI Office) 於2025年7月10日提出《人工智慧法案》關於通用型人工智慧的準則(The General-Purpose AI Code of Practice)[1]，以下簡稱「GPAI實踐準則」。 該準則由辦公室擬定計劃邀集通用型人工智慧(以下簡稱GPAI)模型提供商、下游提供商、公協會、權利人、專家學者、民間團體組成工作小組，進行討論與草擬。目的在協助GPAI模型的提供者符合AIA要求其應訂定模型技術文件，提供給下游提供者，並應制定著作權政策、發布訓練內容摘要的規定。預計將自 2025 年 8 月 2 日起適用。 壹、事件摘要 歐盟GPAI實踐準則包括透明度、著作權與安全維護(Transparency, Copyright, and Safety and Security)三大章節。為證明符合AIA第53條及第55條所規定義的指導文件（guiding document），並確保GPAI提供者（providers）遵守其在《人工智慧法》下之義務，於該準則於著作權章節提供適用AIA第53條第1項(c)款規定[2]的措施建議。 該準則強調採取相關措施可以證明符合前揭定之義務，但符合歐盟著作權及相關權利法規，並不以遵守該準則為要件，而且也不會影響歐盟著作權及相關權利法規的適用與執行，其權利最終歸屬法院。而著作權人依法保留的權利，以及針對文字與資料探勘（Text and Data Mining, TDM）的例外或限制 (EU 2019/790號指令第4條第1項)，仍應在合法條件下適用。 考量到一些GPAI提供者是新創企業，規模有別於一般企業，故該準則亦強調其所要求採取的是相稱措施（proportionate measures），應與提供者之規模相稱且合乎比例（commensurate and proportionate），並充分考量中小企業（SMEs），包括新創公司（startups）之利益。 貳、重點說明 該準則建議GPAI提供者，採取訂定著作權政策、合法重製、尊重權利保留、積極防止侵權、提供問責管道等五大著作權管理措施。 一、訂定、維持並實施著作權政策 為證明已符合AIA第53條第1項(c)款所負之義務，GPAI提供者針對其投放於歐盟市場之通用人工智慧模型，應制定政策以遵守歐盟著作權及相關權利法規。該準則建議提供者應將著作權章節所列措施納入於政策中，公開發布並維持最新狀態其著作權政策摘要，且在組織內部指派負責實施和監督。 二、獲取合法可存取之受著作權保護內容 GPAI提供者進行 EU 2019/790號指令第2條第2項之文字與資料探勘及訓練其通用人工智慧模型進行網際網路內容的重製並擷取時，例如使用網路爬蟲（web-crawlers）或授權他人使用網路爬蟲代其抓取（scrape）或以其他方式編譯資料，應防止或限制對作品及其他受保護標的物之未經授權行為，特別是應尊重訂閱模式（subscription models）或付費牆（paywalls）所施加之任何技術性拒絕或限制存取。而且在進行網路爬取時，應排除歐盟認定為持續且重複大規模商業侵犯著作權及相關權利之網站。 三、識別並遵守權利人的權利保留 GPAI提供者文字與資料探勘及訓練其通用人工智慧模型，其網路爬蟲應識別並遵守EU 2019/790號指第4條第3項的機器可讀（machine-readable）權利保留[3]，讀取並遵循機器人排除協議（Robot Exclusion Protocol, robots.txt）。 該協議包括任何經網際網路工程任務組(Internet Engineering Task Force，IETF)證明技術上可行且可由AI提供者和內容提供者（包括權利人）實施之版本，或經國際或歐洲標準化組織採納透過基於資產（asset-based）或基於位置（location-based）之詮釋資料（metadata）等其他方式的機器可讀協議。亦包括通常係透過在歐盟層級經由權利人、AI提供者及其他相關利害關係人參與討論所達成共識的識別方案。 GPAI提供者亦應透過公開該等資訊並提供受影響權利人可在該等資訊更新時自動獲得通知的適當措施，使受影響之權利人能夠取得相關資訊，包括所用的網路爬蟲、所採識別並遵守權利保留之措施。 四、降低著作權侵權輸出之風險 為降低整合GPAI模型的下游人工智慧系統（downstream AI system），生成可能侵害著作權或相關權利的作品或其他標的物GPAI提供者應實施適當且合乎比例之技術保障措施，防止其模型生成以侵權方式重製受歐盟著作權及相關權利法規保護之訓練內容。;同時，在使用政策、條款與條件或其他類似文件中禁止模型用於著作權侵權目的。對於以自由及開源授權（free and open source licenses）發布之GPAI模型，應在隨附文件中請使用者注意禁止模型用於著作權侵權用途。無論是將模型整合至其自身的人工智慧系統，或係依據契約關係提供給他人。 五、提供聯繫受理管道 GPAI提供者應提供與受影響權利人進行連繫的管道與資訊，讓受影響之權利人及其代理人（包括集體管理組織（collective management organizations））以電子方式進行投訴。同時，勤勉、非任意地並在合理時間內處理投訴，除非投訴明顯無根據，或已對同一權利人提出之相同投訴作出回應。 參、事件評析 美國先前於2025年6月23日曾由加州北區聯邦地方法院（United States District Court for the Northern District of California），威廉·阿爾斯法官（Judge William Alsup）針對Andrea Bartz、Charles Graeber、Kirk Wallace Johnson這三位美國作家，對Anthropic公司訓練大型語言模型（Large Language Model, LLM）時使用受其等著作權保護書籍一案，作出AI訓練行為可主張合理使用的簡易裁決(summary judgment)[4]。但法官仍然指出提供AI訓練的合理使用（Fair Use）不代表資料來源的適法性（Legality of Source）獲得合法認定，並不支持盜版一本本來可以在書店購買的書籍對於創建大型語言模型 (LLM) 是合理必要 (reasonably necessary) 的。 這次歐盟的準則更明確指出，GPAI提供者進行文字與資料探勘及訓練其通用人工智慧模型，以網路爬蟲（web-crawlers）進行網際網路內容的擷取，應尊重訂閱模式（subscription models）或付費牆（paywalls）所採取的技術性拒絕或限制存取。而且在進行網路內容爬取時，應排除歐盟認定為持續且重複大規模商業侵犯著作權及相關權利之網站，即訓練資料的取得必須是合法。而且必須積極使用可識別並遵守機器人排除協議（Robot Exclusion Protocol, robots.txt）的技術，更應透過公開該等資訊、提供受影響權利人可在該等資訊更新時自動獲得通知的適當措施，使受影響之權利人能夠及時知悉所用網路爬蟲、所採尊重權利保留之措施。 雖然前揭美國法院案件正在進行審理，但顯然與歐盟的GPAI實踐準則及美國著作權局的合理使用立場[5]一樣，均不認同迴避權利保護施、自盜版網站取得的資料之情況。我國日前發生七法與法源公司之間的著作權訴訟，七法以網路爬蟲爬取法源公司於使用條款限制存取的資料，並非技術創新撞上不合時宜的舊有法律框架，而是創新應用仍應在合理保護權利的前提下進行。 歐盟GPAI實踐準則所揭示的政策制訂、尊重權利保留、積極防止侵權、提供有效且給予合理回應的問責管道等AIA合規要求，已提示GPAI的開發、服務提供，應如何透過公開、揭露措施來配套降低科技創新應用過程對既有權利的影響，也指引其應建立的內部管理與外部溝通重點。對於開發、運用GPAI對外提供服務的企業而言，在爭執訓練資料應有合法空間的同時，或許應該思考是否應先採取歐盟GPAI實踐準則所建議的措施，以尊重既有權利的態度，積極降低權利人的疑慮，始有助於形成互利的合法利用空間。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw） [1]The European AI Office, The General-Purpose AI Code of Practice, https://digital-strategy.ec.europa.eu/en/policies/contents-code-gpai。(最後閱覽日：2025/07/21) [2]該條款要求將通用人工智慧模型投放於歐盟市場（Union market）之提供者，必須制定政策以遵守歐盟著作權及相關權利法規，特別是透過最先進之技術，識別並遵守權利人依據《第2019/790號指令》（Directive (EU) 2019/790）第4條第3項所表達之權利保留。 [3]指不接受其著作被用於文字與資料探勘目的之利用。 [4]Bartz et al. v. Anthropic PBC, No. 3:24-cv-05417-WHA, Doc. 231, (N.D. Cal. June 23, 2025)，https://cdn.arstechnica.net/wp-content/uploads/2025/06/Bartz-v-Anthropic-Order-on-Fair-Use-6-23-25.pdf。(最後閱覽日：2025/06/25) [5]劉家儀，美國著作權局發布AI著作權報告第三部分：生成式AI訓練－AI訓練是否構成合理使用？https://stli.iii.org.tw/article-detail.aspx?no=0&tp=1&d=9352。