美國有線電視法節目載送規則實務現況簡介

韓國人工智慧風險管理趨勢研析 資訊工業策進會科技法律研究所 2020年6月25日 　　人工智慧技術正不斷地突飛猛進，後更因深度學習應用帶來令人難以置信的進步，迅速成為眾多產業轉型的重要推手。然而，當眾人專注於追求人工智慧的逐利時，也隱然意識到人工智慧與現實世界的互動，似已超越人類認知能力，或依當下技術知識經驗仍難加以掌握。以自駕車為例，其利用感測器感知外界進行影像辨識、理解預測進而做出決策的整體流程上，不論是在路人、車輛等圖像辨識、現場就路人及車輛行動之預測，乃至後端根據前階段路人、車輛行動預測與現在位置判斷最佳路徑的過程，處處是不可測的風險。申言之，從辨識正確率、現場狀況理解度至演算法決策來說，吾人所得掌控者有限。主因在於人工智慧的複雜與靈活性特色，實難通過統一概念加以界定。次者是人工智慧的自動化決策本身，事實上難以被確實地預見。甚至，就人工智慧可控性上，亦充斥各類不確定要素，特別是訓練資料偏差、又或設計者主觀意識之偏頗都可能造成預想之外的結果。 　　截至目前為止，人工智慧應用已然帶來已引發諸多風險議題，包含於開發、設計及製造端所論及之風險議題涵蓋歧視與偏見，如資料偏差、樣本資料結構性不平等[1]致使機器學習或有偏誤，進而影響判斷，產出具有歧視或偏見之結果[2]；個人資料及隱私保護上，則係因人工智慧訓練對資料具有大量需求，涉及個人資料部分，將面臨蒐集（踐行告知程序）、處理和利用（於當事人同意之範圍內處理、利用）是否善盡保護義務與合乎法規要求；演算法黑箱帶來不透明的決策，難以預測與檢驗決策流程、判準是否有誤[3]。就此，考慮到人工智慧之重要性與風險，或有必要立基於風險預防理念進行相關風險控管，甚或以風險責任分擔角度，討論相關權責分配，以應對未來可能衍生的危害或重大風險。 　　人工智慧風險控管之法律基礎無法悖於倫理道德基礎。觀諸國際間討論，韓國早在2007年即已倡議機器人道德理念，並在2008年起接連有相關立法舉措。本文將以之為中心，探究其人工智慧在風險控管之相關立法政策措施，盼可從韓國做法中反思我國推行人工智慧風險管理之方向。 壹、事件摘要 一、韓國智慧機器人相關法制措施 （一）《智慧機器人發展和促進法》風險管控介紹 　　2008年9月韓國《智慧機器人發展和促進法》（지능형 로봇 개발 및 보급 촉진법）正式生效。該法旨在鋪設智慧機器人產業發展之法律基礎，包含在法律中嘗試引入智慧機器人定義（指通過識別外部環境並判斷狀況後自動運行之機器設備，包含機器設備運行所必要軟體），以此作為後續促進產業發展、規劃機器人責任歸屬或保險等討論之開展基礎；另外也以促進產業發展觀點，訂定產品安全開發與布建之支持法源依據；挹注國家科研能量確保技術穩定；建置智慧機器人產業分類系統，依此做為機器人產業統計基礎，為國家在機器人管理及政策提供相關數據。 　　其中，特別的是除了促進性規範外，亦首度於法律提出機器人倫理道德的概念，賦予主管機關訂定與「機器人倫理道德憲章」（로봇윤리헌장）相關內容之義務。 　　所謂「機器人倫理道德憲章」，係指針對智慧機器人功能及其智慧化發展，規範製造和使用人員之指導方針，以防杜危險發生並避免機器人不利於人類生活品質。換言之，機器人倫理道德憲章可認為是針對智慧機器人開發、製造、使用上的準則，盼可用以防止因智慧機器人功能而衍生之社會損害。就此，韓國工商部曾擬定《機器人倫理道德憲章草案》，可參考如下： 第一條（目標）機器人倫理道德憲章目標係為人類和機器人共存共榮，並確認以人類爲中心的倫理規範。 第二條（人與機器人的共同原則）人類和機器人應當維護相互之間生命的尊嚴、資訊和工程倫理。 第三條（人類倫理）人類在製造和使用機器人時，必須使用良好的方法判斷和決定。 第四條（機器人倫理）機器人是順從人類命令的朋友或是協助者、夥伴，不得傷害人類。 第五條（製造商倫理規範）機器人製造商有義務製造維護人類尊嚴之機器人，同時，必須承擔回收機器人、資訊保護義務。 第六條（使用者倫理）機器人使用者應當尊重機器人爲人類的朋友，禁止非法改造和濫用機器人。 第七條（實施的承諾）政府和地方政府應實施有效措施，以體現《憲章》的精神[4]。 　　觀察《智慧機器人發展和促進法》內涵，富有藉重法律效果與效能引領智慧機器人產業發展之精神，企圖形成政府政策借助立法促成經濟層面活動向上發展。然而，隨智慧機器人技術逐漸深入社會，韓國旋即意識到人工智慧在權益維護、風險管控上仍有進一步補強之必要，進而提出《機器人基本法草案》，並開展韓國在機器人倫理道德、歸責原則之相關討論，以順應社會整體的變革。 （二）《機器人基本法草案》 　　如前所述，意識到人工智慧發展已然滲入日常生活，有必要在機器人普及化的社會接受過程中，應對各類問題預先防範。韓國國會議員遂於2017年7月19日提出《機器人基本法草案》（로봇기본법）以反映機器人發展趨勢與問題。 　　《機器人基本法草案》主要目的是為機器人融入社會過程中的政策方向、原則進行引導，以有助於機器人產業健全發展。是以，該法在風險控管部分，通過二類做法予以調控，一是建立倫理道德準則之原則、二是嘗試提出歸責原則以釐清相關應用所生之爭議。 　　一者，藉道德倫理界線之提出使產業更為允當運用人工智慧。借用產品生命週期之概念，分就設計、製造以及使用者責任三階段規範。在設計階段，著重於產品內部構造、軟體介面設計的安全性，另就不侵犯人權及社會利益上，強調預先從設計確保產品永續性、倫理性及使用上的安全性；在製造階段，則從遵法性、說明義務及產品維護修繕責任等，揭示製造商在產品製造、銷售應行之事項；最後，則從使用者角度，以應用階段各項自律、他律規範，明示遵法義務與道德倫理原則，並特別指明宜避免過度成癮。 　　次者，在責任分配與歸屬上，於現行法令無以適用情況下，允許受損害者得向機器人之銷售者或提供者求償。然而，為免製造商或銷售者過度承擔賠償責任之風險，亦設置免責條款，規定當產品因缺陷致使損害發生，而該缺陷係以當時技術水準所無法發現之情況，或是該缺陷是製造商遵守當時機器人法令所規定標準所肇致，則將免除製造商之損害賠償責任。 　　綜合前述，《機器人基本法草案》在倫理道德及責任分配歸屬的風險管控上，提出諸多可資參考之方式，然而在基本法審議過程中，韓國政府認為雖有必要管制風險，卻不宜過早以立法手段介入遏止創新，而未能通過韓國國民議會。 （三）韓國人工智慧國家戰略 　　雖然《機器人基本法草案》未能立法通過，然而韓國相關立法脈絡已展現除關注於促進智慧機器人產業發展外，在倫理道德、責任上的風險調控亦不可偏廢態勢，且從智慧機器人進一步聚焦於人工智慧。 　　2019年12月第53屆總理會議（국무회의）[5]，韓國擬定涵蓋科學資通訊技術部在內所有部會共同推動之「人工智慧國家戰略」（AI 국가전략）作為橫跨經濟和社會的創新專案[6]，以攻守兼備方式發展人工智慧。分從技術、產業、社會三方面著手，為韓國發展人工智慧半導體產業取得先機，進而拔得在相關領域的頭籌；次者，完備先進資通訊技術基礎設施，借力人工智慧積極轉型為新世代數位政府；其三，從教育扎根，建設人工智慧教育體系以培植相關領域專業人才；第四，秉持「以人為本」精神發展人工智慧，建立人工智慧倫理原則、擴張就業安全網保障勞工，使人工智慧所產生之效益可散發至社會各個角落。預計通過該戰略，將可在2030年壯大韓國之數位競爭力，使人工智慧經濟產值增長至4550000億韓圜（約3800億美元），提升國民生活品質[7]。 　　整體而言，該戰略建立基於技術的立法、以人為本的道德以及改善整體社會法律體系三者為核心。基於技術的立法，如《信用資訊法》修訂，允許假名化資料利用，以鬆綁人工智慧資料應用需求，並平衡隱私保障；以人為本的道德，像是參考國際間道德倫理之標準，推行「人工智慧道德標準行動計畫」（AI 윤리기준 및 실천방안 마련），加速研擬建立在安全、責任或是擔保上的規範[8]；改善整體社會法律體系，包含修正《國民就業援助法》擴大就業安全網，透過保險、教育、就業支援等方式協助受人工智慧衝擊影響之勞工、《就業政策基本法》中研擬為人工智慧業務建立相應人才教育。三者之推動，除帶動人工智慧產業蓬勃發展外，也兼顧社會層面道德、權益保障。 貳、重點說明 一、以剛性立法手段推進產業發展 　　觀察韓國，其人工智慧發展態度係以鼓勵為重。主因在於對企業來說，採用新興科技應用或可能囿於法遵成本、研發投資耗費過鉅、相關領域人才稀缺等多重因素而有所疑慮。有鑑於前開問題，韓國以正面態度，在風險控管措施上，嘗試藉由法規手段解消人工智慧發展所面臨之問題，即在賦予政府確實制訂與推進人工智慧發展政策責任，使業者可預期政府態度；次者，設置法律作為行政機關提供產品安全開發與布建支援依據，確保科研能量技術的穩定；再者，藉由智慧機器人分類系統建立產業管理與統計基礎，俾利後續依統計數據進行決策。 　　至於權益保障、風險如何評價及規範，雖有論者倡議另制定《機器人基本法草案》彌補《智慧機器人發展和促進法》於法律內部體系權利價值詮釋上的缺陷，然經立法成本與當時技術成熟度之衡量，並未過早規範技術之發展。 二、借軟性規範措施型塑兼容並顧之環境 　　另方面，觀察韓國在面對人工智慧機器人時的應對方式，發現在促進發展上，韓國無不餘力地大力採用剛性立法手段，以鋪設技術、投資所需之基礎建設及支援。而就尚難定論之技術風險管控，像是倫理道德、歸責原則調控等，考量技術尚未臻成熟，實難以剛性立法方式加之管理，而有以政策方式先試先行之傾向，形塑具有包容彈性之環境，鼓勵人工智慧機器人產業之投入，並依此作為後續法規調適之基礎。 　　鑒於人工智慧機器人所涉領域之多元，誠然有必要以宏觀角度全盤檢視與調適相應之規範及措施。故而，韓國2019年底提出富含權益保障與經濟逐利精神之「人工智慧國家戰略」，並鏈結不同部會共司建立彈性包容人工智慧機器人產業之環境。 參、事件評析 　　綜觀上述，韓國面對人工智慧及機器人，對內，以剛性立法手段，先行鋪設智慧機器人產業發展之基礎，包含界定智慧機器人範圍、賦予行政機關訂定倫理規範等一定義務、設置行政支持法源依據、以分類系統規劃作為數據統計基礎進行決策等，以拉抬、激勵企業投入研發，促成經濟層面活動之擴散與發酵；對外，以軟性規範宣示韓國政府發展智慧機器人產業態度、吸引國際間產學研能量挹注，並同步促成內部社會法體制之調整，不難看出韓國政府的企圖與決心，且整體上已約略有鼓勵、促進逐漸轉變為管理層面意味。 　　在我國方面，亦已意識到人工智慧風險管理之重要性，立法委員並在2019年5月倡議《人工智慧發展基本法草案》希望以制定基本法之方式，從研究、開發乃至整合等，厚植我國人工智慧實力，並嘗試建立人工智慧開發準則與倫理原則。韓國前述有關人工智慧之規範作法，或許可茲我國借鏡，就促進人工智慧技術經濟層面效益之面向，可由政府擬定具實質效力之法規範推動之；就現尚難明確定位之倫理準則及風險控管，採用軟性規範方式，先行以具包容性之政策、指引等作法試行，以待日後技術臻至成熟穩定，再行考量轉化為立法管理之必要。 [1] Crawford, K. et al. The AI Now Report: The Social and Economic Implications of Artificial Intelligence Technologies in the Near-Term, AI Now, 2016, https://ainowinstitute.org/AI_Now_2016_Report.pdf （last visited May. 22, 2019） [2] Cassie Kozyrkov, What is AI bias?, https://towardsdatascience.com/what-is-ai-bias-6606a3bcb814 （last visited May. 22, 2019） [3] BBC, The real risks of Artificial Intelligence, http://www.bbc.com/future/story/20161110-the-real-risks-of-artificial-intelligence（last visited May. 22, 2019）. [4] 김성원 선임,지능정보사회의 도래와 법·윤리적 과제- 인공지능기술의 발달을 중심으로 -, National Industry Promotion Agency（2017/11/15）, p10. [5] 總理會議係韓國特有的系統，主要由總統、總理以及15位至30位不等之國務院成員共同組成，成員包含各部會之首長。主要職能是做為國家決策的機構，並協調政策或行政事務。詳細資料可參見：http://theme.archives.go.kr/next/cabinet/viewIntro.do。 [6] 〈정부, AI 국가전략 발표…”AI 반도체 세계 1위 목표”〉，Bloter，2019/12/17，http://www.bloter.net/archives/364678 （最後瀏覽日：2020/2/1）。 [7] 〈인공지능（AI） 국가전략 발표〉，과학기술정보통신부，2019/12/17，https://www.msit.go.kr/web/msipContents/contentsView.do?cateId=_policycom2&artId=2405727 （最後瀏覽日：2020/2/1）。 [8]〈인공지능 국가전략〉，관계부처 합동，2019/12，頁36-38。

二次創作影片是否侵害著作權以谷阿莫二次創作影片為例 資策會科技法律研究所 法律研究員　陳依婷 104年12月29日 　　2015年Google公布台灣Youtube的各類熱門項目中，「這群人」、「谷阿莫」、「蔡阿嘎」等影音創作者的影片特別受到歡迎[1]，這些熱門Youtube創作者都是利用他人著作素材進行二次創作，由於二次創作人利用的素材是他人的著作，二次創作人如果沒有獲得素材著作權利人同意而逕自進行修改，有可能面臨到著作侵權的問題。而Google著作權法律總監 Fred von Lohmann說明，YouTube平台其中有許多影片是利用現有的音樂、短片來改編，創造出來的改編影片甚至比原始影片還要更多的社會價值，透過 YouTube 提供保障，避免扼殺工作者的創意發展空間，與創造出「更棒的社群」[2]。 　　由此可知，目前影音平台的創意內容，以利用他人著作進行二次創作為大宗，同時也帶來更多人收看的效果，Youtube為了要讓這些二次創作得以存續在影音平台上，針對合理使用他人著作而進行二次創作的創作者，以協助支付智慧財產權相關訴訟費用的方式[3]，避免二次創作者因為原著作人要求下架的通知，就移除影音平台上二次創作的影片。 　　二次創作者利用他人著作進行創作應取得他人同意，若未取得他人同意，有可能有侵害他人著作權之可能，除非主張利用他人著作是屬於合理使用範圍，若利用他人著作的行為屬於合理使用，則原著作之著作權利人就無法主張著作侵權，意即二次創作者並不侵害著作權利。 壹、著作權合理使用之規定 　　著作權合理使用係限縮原著作人主張著作權利的範疇，所以必須在一定的條件下才能主張適用，也就是說利用人並非再任何情況下都可以主張著作權合理使用，必須符合一定的條件規定。著作的利用是否符合著作權法的合理使用，除了需要符合著作權法第44條至第63條[4]規定或其他合理使用之情形，應該審酌一切情狀並依據第65條[5]規定作為判斷的基準。又第65條屬於獨立之合理使用概括條款[6]，意即可單獨就第65條之規定進行合理使用的判斷。著作權法第65條規定判斷合理使用的基準包含1.利用之目的及性質，包括係為商業目的或非營利教育目的。2.著作之性質。3.所利用之質量及其在整個著作所占之比例。4.利用結果對著作潛在市場與現在價值之影響。 貳、著作權合理使用之判斷要件 　　著作權合理使用以著作權法第65條第2項作為判斷基準，著作權法第65條第2項共有四款要件，而四款必須綜合判斷，也就是說著作利用並非符合其中一款要件就屬於合理使用，也非符合四款要件才屬於合理使用，並須綜合四款要件作整體性利用情形的評估，而該四款要件說明如下： 一、利用之目的及性質，包括係為商業目的或非營利教育目的： 　　審酌著作利用目的與性質主要是要確認著作的利用是否有助於社會公共利益或國家文化發展，一般人通常誤解法條規定中敘述的商業目的或非營利教育目的，以為本項的判斷基準就是以是否有營利作為區分，也就是誤以為只要非營利的利用行為就一定符合本項要件，然最高法院判決指明，本款要件並非區分商業及非營利(或教育目的)，著作的利用雖然是非營利但是對於社會公共利益或國家文化發展並無助益仍不符合本款要件，反之，著作的利用雖然是以營利為目的，但是有助於社會公共利益或國家文化發展，則亦屬於本款要件[7]。 二、著作之性質。 　　著作之性質所指為被利用的著作的類型種類，由於著作類型眾多，在不同類型著作的創作目的與著作性質差異甚大，也會影響著作內容，合理使用的判斷自然會因為著作性質的不同而有不同的審酌標準。 三、所利用之質量及其在整個著作所占之比例。 　　本款係指利用他人的著作的質與量占利用人的著作的比例，也就是說要分兩部分綜合評估，一是利用他人著作的範圍是否是他人著作最精華之處或數量很多，二是看被利用著作占利用人著作內容的比例。意即雖然使用他人著作的全部或是最精華之處，仍要就利用人著作內容來看他人著作占整體內容的比例進行判斷，如果占利用人著作的比例很低，仍有可能符合本款的要件[8]。 四、利用結果對著作潛在市場與現在價值之影響。 　　本款係指利用結果對於被利用著作的權利人是否有市場價值上的影響，考量利用後原著作經濟市場是否因此產生「市場替代」之效果，而使得原著作的商業利益受到影響，若對原著作商業利益影響越大，則可主張合理使用之空間越小[9]。 参、谷阿莫二次創作是否符合著作權合理使用之範圍？ 　　從今年快速竄起的晉升熱門 YouTube 創作者「谷阿莫」，以 X 分鐘看完電影的系列創作來看，谷阿莫用簡潔的方式搭配影片畫面說明劇情，讓人可以快速了解一部影片，同時谷阿莫也利用諧趣的方式將影片感想穿插在說故事的內容中，也因為清楚易懂又有令人會心一笑的說故事方式，讓谷阿莫的youtube訂閱人數達到了73萬[10]。 　　谷阿莫是利用他人著作進行二次創作，是否屬於合理使用他人著作而進行創作，其著作侵權之判斷仍需以法院個案判定為依準，但本文期先以目前的法律規定來進行初步評析，以提供二次創作者之參考。 　　谷阿莫二次創作影片大多以電影為主，搭配上自己簡化劇情的旁白與字幕說明，完成大約10分鐘內的故事情節與畫面。由於谷阿莫使用的是電影影片，若未經影片著作權利人同意或授權，谷阿莫進行影片的下載、剪輯配音與配上字幕、上傳網路的行為，則會有可能侵害影片著作權利人的重製權、改作權與公開傳輸權[11]。 　　谷阿莫使用他人電影影片是否屬於合理使用，以下就著作權法第65條第2項各款要件進行評析： 一、利用之目的及性質，包括係為商業目的或非營利教育目的： 　　從youtube影音平台中谷阿莫的說明來看[12]，主要是分享並說一個他喜歡的故事，從說明文字來看並無涉及賺錢營利之商業目的，而實際上是否有收益或營利，例如參與youtube影音平台進行廣告分潤而收益[13]，從網路中的公開資料中無法得知。然谷阿莫利用他人著作是否對於公共利益或國家文化發展有所助益，從只是分享一個他喜歡的故事而用到他人的影片來探討，若是讓大眾能夠瞭解影片要傳達的教育內容以及提供摘要歸納的學習方式，必須從谷阿莫二次創作影片的旁白內容來進行個案認定，目前從諸多的谷阿莫二次創作的影片觀之，較多屬於詼諧有趣的內容但每部影片都提供了歸納摘要故事劇情表現方式，而其是否具有教育性質有助於調和公共利益仍有灰色地帶，難直接被認定對於促進公共利益與國家文化發展是有所助益。 二、著作之性質。 　　谷阿莫利用電影影片進行二次創作，利用的電影影片是視聽著作，該電影影片之創作目的在於提供人們娛樂欣賞，與以報導為目的攝影著作相較起來[14]，具有較高的商業價值，合理使用的審酌標準自應較高。 三、所利用之質量及其在整個著作所占之比例。 　　雖然所利用之質量及其在整個著作所占之比例，仍要據以個案內容進行判斷被利用的著作的量與質，但從谷阿莫二次創作的理念，以簡化摘要重點的方式來訴說故事來評估，由於精簡的說故事手法通常都會以劇情重點來表示，呈現電影劇情最高潮最精華的片段是可預期的，但是並不會使用到整部電影影片，所以使用被利用著作之質是可預期，但是可能使用被利用著作的量較不會太多。再來，所利用的質量占二次創作內容的比例來看，谷阿莫的二次創作影片除了旁白配音，都是使用電影影片，所利用的視聽著作在二次創作的著作內容比例是高的，雖然並非使用到原視聽著作的所有內容，但原視聽著作的內容占二次創作的視聽著作內容比例是高的。 四、利用結果對著作潛在市場與現在價值之影響。 　　谷阿莫的二次創作影片是否有影響原著作的現在價值與潛在市場，從谷阿莫二次創作影片是否具有市場替代的效果、影響原著作的商業利益的角度思考，從網友們對於谷阿莫的影片的回應如「可以省下電影票的錢」、「被谷阿莫一說就沒有想看的慾望啦」[15]，從文字上來看是有可能致使大家看了谷阿莫二次創作的影片就不會想要花錢進電影院看原著作電影，進而使原著作的商業利益受損，但進一步探究網友不想花錢進電影院看原著電影(現在價值)或是付費購買原著電影下檔後的影碟(潛在市場)，有可能因為原著作電影的劇情內容本身無法提高網友付費意願，加上谷阿莫二次創作的影片，使網友更加確認不想看原著作電影的想法，而針對本有意願付費觀賞原著作電影的網友，反而有可能因為谷阿莫的二次創作呈現出原著作電影的劇情內容，進而強化了網友付費欣賞原著影片的想法達到了廣告效果並促進原著作電影的商業利益。因此，難謂谷阿莫的二次創作有造成市場替代之效果。 　　谷阿莫二次創作是否造成著作潛在市場與現在價值的影響，亦不能只以網友的回覆為準，仍需要有具體價值影響的證據或是著作潛在市場影響的證明等才能作為判斷的依據。 　　綜上所述，目前就網路上公開的資料來看，谷阿莫二次創作的目的較難直接認定有調和公共利益或促進國家文化發展，而所利用的著作性質為視聽著作有較高的商業價值，而利用的著作較容易使用到視聽著作精華的畫面，且谷阿莫的二次創作影片畫面全部都是使用原著作的影片畫面，占谷阿莫二次創作視聽著作的比例甚高，利用的結果若照網友的回應「省了電影票的錢」，尚須進一步確認是否有市場替代效果而影響原著作現在價值或是潛在市場，就著作權法第65條第2項的規定各款要件進行審視，谷阿莫利用他人著作被認定為合理使用的可能性難謂過高，故亦有被認定著作權侵權之風險。 　　從谷阿莫二次創作影片探討是否屬於合理使用的範圍，雖然其判斷仍需由法院個案判定，但創作人在進行二次創作時能從著作權法合理使用的要件來先行評估，從利用他人著作的目的、他人著作的性質、使用他人著作質量占二次創作著作內容的比例以及是否會影響他人著作的價值與潛在市場，在二次創作的內容上可考量原著作人的商業利益，或進一步取得同意而進行二次創作，則可以降低著作侵權的風險。 [1]譚偉晟，<柯P、谷阿莫皆入榜！ YouTube 2015 年台灣熱門排行公布?>，自由時報，2015/12/09，http://3c.ltn.com.tw/news/21907(最後瀏覽日2015/12/29)。 [2]劉季清，<影片沒侵權卻被檢舉？別擔心，YouTube 出錢幫你打官司！>，自由時報，2015/11/23，http://3c.ltn.com.tw/news/21592 (最後瀏覽日2015/12/29)。 [3]顧濟韋，<合理使用卻被下架？ Youtube幫你出錢打官司>，數位時代，2015/11/20，http://www.bnext.com.tw/article/view/id/38019 (最後瀏覽日2015/12/29)。 [4]著作權法第44條　中央或地方機關，因立法或行政目的所需，認有必要將他人著作列為內部參考資料時，在合理範圍內，得重製他人之著作。但依該著作之種類、用途及其重製物之數量、方法，有害於著作財產權人之利益者，不在此限。 第 45 條　專為司法程序使用之必要，在合理範圍內，得重製他人之著作。前條但書規定，於前項情形準用之。 第 46 條　依法設立之各級學校及其擔任教學之人，為學校授課需要，在合理範圍內，得重製他人已公開發表之著作。第四十四條但書規定，於前項情形準用之。 第 47 條　為編製依法令應經教育行政機關審定之教科用書，或教育行政機關編製教科用書者，在合理範圍內，得重製、改作或編輯他人已公開發表之著作。前項規定，於編製附隨於該教科用書且專供教學之人教學用之輔助用品，準用之。但以由該教科用書編製者編製為限。依法設立之各級學校或教育機構，為教育目的之必要，在合理範圍內，得公開播送他人已公開發表之著作。前三項情形，利用人應將利用情形通知著作財產權人並支付使用報酬。使用報酬率，由主管機關定之。 第 48 條　供公眾使用之圖書館、博物館、歷史館、科學館、藝術館或其他文教機構，於下列情形之一，得就其收藏之著作重製之︰一、應閱覽人供個人研究之要求，重製已公開發表著作之一部分，或期刊或已公開發表之研討會論文集之單篇著作，每人以一份為限。二、基於保存資料之必要者。三、就絕版或難以購得之著作，應同性質機構之要求者。 第 48-1 條　中央或地方機關、依法設立之教育機構或供公眾使用之圖書館，得重製下列已公開發表之著作所附之摘要︰一、依學位授予法撰寫之碩士、博士論文，著作人已取得學位者。二、刊載於期刊中之學術論文。三、已公開發表之研討會論文集或研究報告。 第 49 條　以廣播、攝影、錄影、新聞紙、網路或其他方法為時事報導者，在報導之必要範圍內，得利用其報導過程中所接觸之著作。 第 50 條　以中央或地方機關或公法人之名義公開發表之著作，在合理範圍內，得重製、公開播送或公開傳輸。 第 51 條　供個人或家庭為非營利之目的，在合理範圍內，得利用圖書館及非供公眾使用之機器重製已公開發表之著作。 第 52 條　為報導、評論、教學、研究或其他正當目的之必要，在合理範圍內，得引用已公開發表之著作。 第 53 條　中央或地方政府機關、非營利機構或團體、依法立案之各級學校，為專供視覺障礙者、學習障礙者、聽覺障礙者或其他感知著作有困難之障礙者使用之目的，得以翻譯、點字、錄音、數位轉換、口述影像、附加手語或其他方式利用已公開發表之著作。前項所定障礙者或其代理人為供該障礙者個人非營利使用，準用前項規定。依前二項規定製作之著作重製物，得於前二項所定障礙者、中央或地方政府機關、非營利機構或團體、依法立案之各級學校間散布或公開傳輸。 第 54 條　中央或地方機關、依法設立之各級學校或教育機構辦理之各種考試，得重製已公開發表之著作，供為試題之用。但已公開發表之著作如為試題者，不適用之。 第 55 條　非以營利為目的，未對觀眾或聽眾直接或間接收取任何費用，且未對表演人支付報酬者，得於活動中公開口述、公開播送、公開上映或公開演出他人已公開發表之著作。 第 56 條　廣播或電視，為公開播送之目的，得以自己之設備錄音或錄影該著作。但以其公開播送業經著作財產權人之授權或合於本法規定者為限。前項錄製物除經著作權專責機關核准保存於指定之處所外，應於錄音或錄影後六個月內銷燬之。 第 56-1 條　為加強收視效能，得以依法令設立之社區共同天線同時轉播依法設立無線電視臺播送之著作，不得變更其形式或內容。 第 57 條　美術著作或攝影著作原件或合法重製物之所有人或經其同意之人，得公開展示該著作原件或合法重製物。前項公開展示之人，為向參觀人解說著作，得於說明書內重製該著作。 第 58 條　於街道、公園、建築物之外壁或其他向公眾開放之戶外場所長期展示之美術著作或建築著作，除下列情形外，得以任何方法利用之︰一、以建築方式重製建築物。二、以雕塑方式重製雕塑物。三、為於本條規定之場所長期展示目的所為之重製。四、專門以販賣美術著作重製物為目的所為之重製。 第 59 條　合法電腦程式著作重製物之所有人得因配合其所使用機器之需要，修改其程式，或因備用存檔之需要重製其程式。但限於該所有人自行使用。前項所有人因滅失以外之事由，喪失原重製物之所有權，除經著作財產權人同意外，應將其修改或重製之程式銷燬之。 第 59-1 條　在中華民國管轄區域內取得著作原件或其合法重製物所有權之人，得以移轉所有權之方式散布之。 第 60 條　著作原件或其合法著作重製物之所有人，得出租該原件或重製物。但錄音及電腦程式著作，不適用之。附含於貨物、機或設備之電腦程式著作重製物，隨同貨物、機器或設備合法出租且非該項出租之主要標的物者，不適用前項但書之規定。 第 61 條　揭載於新聞紙、雜誌或網路上有關政治、經濟或社會上時事問題之論述，得由其他新聞紙、雜誌轉載或由廣播或電視公開播送，或於網路上公開傳輸。但經註明不許轉載、公開播送或公開傳輸者，不在此限。 第 62 條　政治或宗教上之公開演說、裁判程序及中央或地方機關之公開陳述，任何人得利用之。但專就特定人之演說或陳述，編輯成編輯著作者，應經著作財產權人之同意。 第 63 條　依第四十四條、第四十五條、第四十八條第一款、第四十八條之一至第五十條、第五十二條至第五十五條、第六十一條及第六十二條規定得利用他人著作者，得翻譯該著作。依第四十六條及第五十一條規定得利用他人著作者，得改作該著作。依第四十六條至第五十條、第五十二條至第五十四條、第五十七條第二項、第五十八條、第六十一條及第六十二條規定利用他人著作者，得散布該著作。 [5]著作權法第65條著作之合理使用，不構成著作財產權之侵害。著作之利用是否合於第四十四條至第六十三條所定之合理範圍或其他合理使用之情形，應審酌一切情狀，尤應注意下列事項，以為判斷之基準：一、利用之目的及性質，包括係為商業目的或非營利教育目的。二、著作之性質。三、所利用之質量及其在整個著作所占之比例。四、利用結果對著作潛在市場與現在價值之影響。著作權人團體與利用人團體就著作之合理使用範圍達成協議者，得為前項判斷之參考。前項協議過程中，得諮詢著作權專責機關之意見。 [6]智慧財產法院102年度民著上字第1號民事判決。第65條第1 項、第2 項亦有明文。本條規定乃獨立之合理使用概括條款，法院得單獨審酌第65條第2項之判斷標準而認定構成合理使用，並明文例示4 項判斷標準，並可考量非第65條第2 項所例示之判斷標準。 [7]最高法院94年度臺上字第7127號刑事判決認為：「著作權法第65條第2 項第1 款所 謂『利用之目的及性質，包括係為商業目的或非營利教育目的』，應以著作權法第一條所規定之立法精神解析其使用目的，而非單純二分為商業及非營利（或教育目的），以符合著作權之立法宗旨。申言之，如果使用者之使用目的及性質係有助於調和社會公共利益或國家文化發展，則即使其使用目的非屬於教育目的，亦應予以正面之評價；反之，若其使用目的及性質，對於社會公益或國家文化發展毫無助益，即使使用者並未以之作為營利之手段，亦因該重製行為並未有利於其他更重要之利益，以致於必須犧牲著作財產權人之利益去容許該重製行為，而應給予負面之評價。」 [8]智慧財產法院102年度民著上字第1號民事判決。被上訴人蘋果日報臺灣分公司係將系爭照片刊登在其所發行之99年8 月25日蘋果日報A9「政治」版左下方，固係利用整張系爭照片，惟系爭照片在系爭報紙A9版所佔篇幅之比例低，較諸該文字報導所佔版面為小。 [9] 智慧財產法院103年度民著上更(一)字第2號民事判決， [10] 谷阿莫youtube創作頻道，https://www.youtube.com/user/AMOGOOD，(最後瀏覽日2015/12/29)。 [11]著作財產權有重製權、改作權、編輯權、出租權、散布權、公開播送權、公開傳輸權、公開口述權、公開上映權、公開演出權、公開展示權。 [12]谷阿莫youtube創作頻道，https://www.youtube.com/user/AMOGOOD，我是谷阿莫，very good的阿莫，科科，來這邊只是聽我說一個我喜歡的故事，我不­評論原始故事背後的含意或導演拍攝的用意，因為那些東西每個人都­有不同的看法，有空還是要自己去看原創故事喔，謝謝。 [13]陳怡如，<透過YouTube影片賺錢！台灣超過3萬名創作者加入廣告分潤計畫>，數位時代，2013/03/23，http://www.bnext.com.tw/article/view/id/27051 (最後瀏覽日2015/12/29)。 [14]智慧財產法院102年度民著上字第1號民事判決，被使用的照片性質上而言，乃屬攝影著作，系爭攝影著作之目的在於輔助公眾對該新聞事件之理解，而非在於該照片本身有何獨特之處，顯然並無特殊商業價值，是以，就系爭照片著作性質而言，應屬與新聞事件高度相關之攝影著作，脫離新聞事件，縱使該照片具有原創性，其價值亦不高。 [15]Now娛樂，<影／谷阿莫5分鐘看《侏羅紀》　網友反吐槽>，Nownews，2015/07/13，http://www.nownews.com/n/2015/07/13/1746862(最後瀏覽日2015/12/29)。

　　東京地方檢察廳於2022年10月21日以違反《不正競爭防止法》等為理由，起訴被告「かっぱ寿司」之營運公司「カッパ・クリエイト」公司(下稱Kappa壽司)及其前社長田辺公己(下稱田辺)等。因本案牽涉上市企業的前社長，故引起日本社會極大關注，東京地方法院已於2022年12月22日召開首次審理庭。 　　本案被告田辺在1998年加入「はま寿司(下稱Hama壽司)」之母公司，並於2014年到2017年間擔任Hama壽司董事；嗣後在2020年11月時，轉職至Kappa壽司。雖然田辺在離職時已簽署保密協議，但在離職前後數月間，持續透過不正當方式，取得Hama壽司之食材成本及其供應商等資訊，同時更指示仍任職於Kappa壽司之部屬製作Kappa壽司與Hama壽司之成本對照表，並以郵件方式提供被告，被告再於Kappa壽司內部使用。 　　雖然Kappa壽司嗣後發表公開聲明，強調並無跡象顯示該公司曾依據相關成本對照表，進行開發新產品或更換批發商等措施，但田辺在審理庭上，已承認指控，而且在被捕時，曾坦言行為動機為希望提高業績。 　　對於本案，有日本輿論指出海外因應人員轉職較頻繁，對於機密資訊之管理，通常訂有較嚴格的規定，惟日本目前欠缺相關觀念；亦有論者認為因為必須符合營業秘密之法定要件，始受《不正競爭防止法》之保護，故強調機密管理對於保護商業秘密及針對機密外洩之法律救濟的重要性。從本案觀之，任何產業類型的企業都可能會有屬於營業秘密的資訊，為維護企業的商業競爭力，避免因營業秘密外洩影響公司營運，企業應建立及持續推動內部機密資訊管理制度，並因應社會與管理環境變化等，精進管理模式。同時應定期進行教育訓練，提高人員的機密保護意識，強化營業秘密外洩事件發生時的舉證，以有效的主張權利。 　　本文同步刊登於TIPS網站（https://www.tips.org.tw）

解析雲端運算有關認驗證機制與資安標準發展 科技法律研究所 2013年12月04日 壹、前言 　　2013上半年度報載「新北市成為全球首個雲端安全認證之政府機構」[1]，新北市政府獲得國際組織雲端安全聯盟( Cloud Security Alliance, CSA )評定為全球第一個通過「雲端安全開放式認證架構」之政府機構，獲頒「2013雲端安全耀星獎」（2013 Cloud Security STAR Award），該獎項一向是頒發給在雲端運用與安全上具有重要貢獻及示範作用之國際企業，今年度除了頒發給旗下擁有年營業額高達1200億台幣「淘寶網」的阿里巴巴集團外，首度將獎項頒發給政府組織。究竟何謂雲端認證，其背景、精神與機制運作為何？本文以雲端運算相關資訊安全標準的推動為主題，並介紹幾個具有指標性的驗證機制，以使讀者能瞭解雲端運算環境中的資安議題及相關機制的運作。 　　資訊安全向來是雲端運算服務中最重要的議題之一，各國推展雲端運算產業之際，會以提出指引或指導原則方式作為參考基準，讓產業有相關的資訊安全依循標準。另一方面，相關的產業團體也會進行促成資訊安全標準形成的活動，直至資訊安全相關作法或基準的討論成熟之後，則可能研提至國際組織討論制定相關標準。 貳、雲端運算資訊安全之控制依循 　　雲端運算的資訊安全風險，可從政策與組織、技術與法律層面來觀察[2]，涉及層面相當廣泛，包括雲端使用者實質控制能力的弱化、雲端服務資訊格式與平台未互通所導致的閉鎖效應（Lock-in）、以及雲端服務提供者內部控管不善…等，都是可能發生的實質資安問題 。 　　在雲端運算產業甫推動之初，各先進國以提出指引的方式，作為產業輔導的基礎，並強化使用者對雲端運算的基本認知，並以「分析雲端運算特色及特有風險」及「尋求適於雲端運算的資訊安全標準」為重心。 一、ENISA「資訊安全確保架構」[3] 　　歐盟網路與資訊安全機關（European Network and Information Security Agency, ENISA）於2009年提出「資訊安全確保架構」，以ISO 27001/2與BS25999標準、及最佳實務運作原則為參考基準，參考之依據主要是與雲端運算服務提供者及受委託第三方（Third party outsourcers）有關之控制項。其後也會再參考其他的標準如SP800-53，試圖提出更完善的資訊安全確保架構。 　　值得注意的是，其對於雲端服務提供者與使用者之間的法律上的責任分配（Division of Liability）有詳細說明：在資訊內容合法性部分，尤其是在資訊內容有無取得合法授權，應由載入或輸入資訊的使用者全權負責；而雲端服務提供者得依法律規定主張責任免除。而當法律課與保護特定資訊的義務時，例如個人資料保護相關規範，基本上應由使用者與服務提供者分別對其可得控制部分，進行適當的謹慎性調查（Due Diligence, DD）[4]。 　　雲端環境中服務提供者與使用者雙方得以實質掌握的資訊層，則決定了各自應負責的範圍與界限。 　　在IaaS（Infrastructure as a Service）模式中，就雲端環境中服務提供者與使用者雙方應負責之項目，服務提供者無從知悉在使用者虛擬實體（Virtual Instance）中運作的應用程式（Application）。應用程式、平台及在服務提供者基礎架構上的虛擬伺服器，概由使用者所完全主控，因此使用者必須負責保護所佈署的應用程式之安全性。實務上的情形則多由服務提供者協助或指導關於資訊安全保護的方式與步驟[5]。 　　在PaaS（Platform as a Service）模式中，通常由雲端服務提供者負責平台軟體層（Platform Software Stack）的資訊安全，相對而言，便使得使用者難以知悉其所採行的資訊安全措施。 　　在SaaS（Software as a Service）模式中，雲端服務提供者所能掌控的資訊層已包含至提供予使用者所使用的應用程式（Entire Suite of Application），因此該等應用程式之資訊安全通常由服務提供者所負責。此時，使用者應瞭解服務提供者提供哪些管理控制功能、存取權限，且該存取權限控制有無客製化的選項。 二、CSA「雲端資訊安全控制架構」[6] 　　CSA於2010年提出「雲端資訊安全控制架構」（Cloud Controls Matrix, CCM），目的在於指導服務提供者關於資訊安全的基礎原則、同時讓使用者可以有評估服務提供者整體資訊安全風險的依循。此「雲端資訊安全控制架構」，係依循CSA另一份指引「雲端運算關鍵領域指引第二版」[7]中的十三個領域（Domain）而來，著重於雲端運算架構本身、雲端環境中之治理、雲端環境中之操作。另外CCM亦將其控制項與其他與特定產業相關的資訊安全要求加以對照，例如COBIT與PCI DSS等資訊安全標準[8]。在雲端運算之國際標準尚未正式出爐之前，CSA提出的CCM，十分完整而具備豐富的參考價值。 　　舉例而言，資訊治理（Data Governance）控制目標中，就資訊之委託關係（Stewardship），即要求應由雲端服務提供者來確認其委託的責任與形式。在回復力（Resiliency）控制目標中，要求服務提供者與使用者雙方皆應備置管理計畫（Management Program），應有與業務繼續性與災害復原相關的政策、方法與流程，以將損害發生所造成的危害控制在可接受的範圍內，且回復力管理計畫亦應使相關的組織知悉，以使能在事故發生時即時因應。 三、日本經產省「運用雲端服務之資訊安全管理指導原則」[9] 　　日本經濟產業省於2011年提出「運用雲端服務之資訊安全管理指導原則」，此指導原則之目的是期待藉由資訊安全管理以及資訊安全監督，來強化服務提供者與使用者間的信賴關係。本指導原則的適用範圍，主要是針對機關、組織內部核心資訊資產而委託由外部雲端服務提供者進行處理或管理之情形，其資訊安全的管理議題；其指導原則之依據是以JISQ27002（日本的國家標準）作為基礎，再就雲端運算的特性設想出最理想的資訊環境、責任配置等。 　　舉例而言，在JISQ27002中關於資訊備份（Backup）之規定，為資訊以及軟體（Software）應遵循ㄧ定的備份方針，並能定期取得與進行演練；意即備份之目的在於讓重要的資料與軟體，能在災害或設備故障發生之後確實復原，因此應有適當可資備份之設施，並應考量將備份措施與程度的明確化、備份範圍與頻率能符合組織對於業務繼續性的需求、且對於儲存備份資料之儲存媒體亦應有妥善的管理措施、並應定期實施演練以確認復原程序之有效與效率。對照於雲端運算環境，使用者應主動確認雲端環境中所處理之資訊、軟體或軟體設定其備份的必要性；而雲端服務提供者亦應提供使用者關於備份方法的相關訊息[10]。 参、針對雲端運算之認證與登錄機制 一、CSA雲端安全知識認證 　　CSA所推出的「雲端安全知識認證」（Certificate of Cloud Security Knowledge, CCSK），是全球第一張雲端安全知識認證，用以表示通過測驗的人員對於雲端運算具備特定領域的知識，並不代表該人員通過專業資格驗證（Accreditation）；此認證不能用來代替其他與資訊安全稽核或治理領域的相關認證[11]。CSA與歐盟ENISA合作進行此認證機制的發展，因此認證主要的測試內容是依據CSA的「CSA雲端運算關鍵領域指引2.1版（英文版）」與ENISA「雲端運算優勢、風險與資訊安全建議」這兩份文件。此兩份文件採用較為概略的觀念指導方式，供讀者得以認知如何評估雲端運算可能產生的資訊安全風險，並採取可能的因應措施。 二、CSA雲端安全登錄機制 　　由CSA所推出的「雲端安全登錄」機制（CSA Security, Trust & Assurance Registry, STAR），設置一開放網站平台，採取鼓勵雲端服務提供者自主自願登錄的方式，就其提供雲端服務之資訊安全措施進行自我評估（Self Assessment），並宣示已遵循CSA的最佳實務（Best Practices）；登錄的雲端服務提供者可透過下述兩種方式提出報告，以表示其遵循狀態。 　　(一)認知評價計畫（Consensus Assessments Initiative）[12]：此計畫以產業實務可接受的方式模擬使用者可能之提問，再由服務提供者針對這些模擬提問來回答（提問內容在IaaS、PaaS與SaaS服務模式中有所不同），藉此，由服務提供者完整揭示使用者所關心的資訊安全議題。 　　(二)雲端資訊安全控制架構（CCM）：由服務提供者依循CCM的資訊安全控制項目及其指導，實踐相關的政策、措施或程序，再揭示其遵循報告。 　　資安事故的確實可能使政府機關蒙受莫大損失，美國南卡羅萊納州稅務局（South Carolina Department of Revenue）2012年發生駭客攻擊事件，州政府花費約2000萬美元收拾殘局，其中1200萬美元用來作為市民身份被竊後的信用活動監控，其他則用來發送被害通知、資安強化措施、及建立數位鑑識團隊、資安顧問。 　　另一方面，使用者也可以到此平台審閱服務提供者的資訊安全措施，促進使用者實施謹慎性調查（Due Diligence）的便利性並累積較好的採購經驗。 三、日本-安全・信頼性資訊開示認定制度 　　由日本一般財團法人多媒體振興協會（一般財団法人マルチメディア振興センター）所建置的資訊公開驗證制度[13]（安全・信頼性に係る情報開示認定制度），提出一套有關服務提供者從事雲端服務應公開之資訊的標準，要求有意申請驗證的業者需依標準揭示特定項目資訊，並由認證機關審查其揭示資訊真偽與否，若審查結果通過，將發予「證書」與「驗證標章」。 　　此機制始於2008年，主要針對ASP與SaaS業者，至2012年8月已擴大實施至IaaS業者、PaaS業者與資料中心業者。 肆、雲端運算資訊安全國際標準之形成 　　現國際標準化組織（International Organization for Standardization, ISO）目前正研擬有關雲端運算領域的資訊安全標準。ISO/IEC 27017（草案）[14]係針對雲端運算之資訊安全要素的指導規範，而ISO/IEC 27018（草案）[15]則特別針對雲端運算的隱私議題，尤其是個人資料保護；兩者皆根基於ISO/IEC 27002的標準之上，再依據雲端運算的特色加入相應的控制目標（Control Objectives）。 [1]http://www.ntpc.gov.tw/web/News?command=showDetail&postId=277657 (最後瀏覽日:2013/11/20) [2]European Network and Information Security Agency [ENISA], Cloud Computing: Benefits, Risks and Recommendations for Information Security 53-59 (2009). [3]ENISA, Cloud Computing-Information Assurance Framework (2009), available at http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-information-assurance-framework . [4]ENISA, Cloud Computing-Information Assurance Framework 7-8 (2009). [5]ENISA, Cloud Computing-Information Assurance Framework 10 (2009). [6]CSA, Cloud Controls Matrix (2011), https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013). [7]CSA, CSA Guidance For Critical Areas of Focus in Cloud Computing v2 (2009), available at https://cloudsecurityalliance.org/research/security-guidance/#_v2. (last visited Nov. 20, 2013). [8]https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013). [9]日本経済産業省，クラウドサービスの利用のための情報セキュリティマネジメントガイドライン（2011），http://www.meti.go.jp/press/2011/04/20110401001/20110401001.html，（最後瀏覽日：2013/11/20）。 [10]日本経済産業省，〈クラウドサービスの利用のための情報セキュリティマネジメントガイドライン〉，頁36（2011）年。 [11]https://cloudsecurityalliance.org/education/ccsk/faq/（最後瀏覽日：2013/11/20）。 [12]https://cloudsecurityalliance.org/research/cai/ （最後瀏覽日：2013/11/20）。 [13]http://www.fmmc.or.jp/asp-nintei/index.html （最後瀏覽日：2013/11/20）。 [14]Information technology - Security techniques- Security in cloud computing (DRAFT), http://www.iso27001security.com/html/27017.html (last visited Nov. 20, 2013). [15]ISO/IEC 27018- Information technology -Security techniques -Code of practice for data protection, controls for public cloud computing services (DRAFT), http://www.iso27001security.com/html/27018.html (last visited Nov. 20, 2013).