歐盟提出「一般資料保護規章」(草案)並審議,以因應未來聯網環境趨勢
為因應近來智慧聯網(IoT)、巨量資料及雲端運算發展趨勢,為強化線上隱私權利及促進歐盟數位經濟的發展,歐盟執委會於2012年1月25日對於資料保護指令提出新的規章草案:「保護個人有關個人資料處理及自由流通規章(一般資料保護規章)」(Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)),以取代並廢除(repealed)原有「個人資料保護指令」規範,並修改(amend)「隱私與電子通訊指令」,預計在2013年6月進入歐洲議會、理事會及執委會的三方協商,若順利將在2014年通過,並在2016年生效。
「一般資料保護規章」(草案)中對於聯網環境及智慧化設備運行之因應,重要規範內容有(1)追蹤(tracking)與特徵分析(profiling):訂定第20條「特徵分析措施」(Measures based on profiling)規範條文,保障每個當事人皆有主張不被採取特徵分析措施(如個人傾向、工作表現、財務狀況、位址、健康、個人喜好、可信度)而致產生法律效果或顯著影響該個人的權利(2)被遺忘及刪除權(right to be forgotten and to erasure):訂定第17條,創設新的權利「被遺忘及刪除權」,用以幫助民眾處理線上資料,當其不希望自己的資料被利用且無合法理由保留時,資料將被刪除(3)資料可攜權利(the right to data portability):訂定第18條,當資料處理是以電子化方法,且使用結構性、通用的格式時,資料當事人有權利可以取得該結構性、通用格式下的個人資料,更容易自不同服務提供者間移轉個人資料。(4)當事人的同意要件:第4條第8款明定,不論何種資料處理情況時所需的同意,增列必須是明確(explicitly)同意之要件(5)「設計階段納入隱私考量」(privacy by design)、「預設隱私設定」(privacy by default):訂定第30條,要求資料控制者及處理者應實行適當的技術性、組織性措施,並考量科技發展水準,制定特定領域及特定資料處理情況的標準及條件,並且資料保護將會從產品及服務最初發展、設計時就考量隱私問題應對「設計階段納入隱私考量」及「預設隱私設定」提出標準及條件。
歐盟此次對於「一般資料保護規章」(草案)的修法進程,以及世界各重要國家的立場及反應態度,均值得後續密切觀察研析。
本文為「經濟部產業技術司科技專案成果」
- Commission proposes a comprehensive reform of the data protection rules
- Commission proposes a comprehensive reform of the data protection rules, EUROPA.EU
- Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data
李科逸
副主任 編譯整理
Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), COM(2012) 11 final (Jan. 25, 2012),http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:52012PC0011:en:NOT (last visited, Oct. 10, 2013)
Commission proposes a comprehensive reform of the data protection rules, EUROPA.EU, http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm (last visited, Oct. 10, 2013)
Commission proposes a comprehensive reform of the data protection ruleshttp://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm (last visited, Oct. 10, 2013)
新加坡個人資料保護法(Personal Data Protection Act 2012, PDPA)的基本原則之一在於可歸責性(Accountability)之建立,原因在於個資保護的責任歸屬,是組織對個資的持有與控制所為的承諾與責任表示。因此,PDPA第11、12條之法遵責任,組織必須對所持有或控制的個資負責,並且需制定並實施資料保護政策、溝通並告知員工相關政策、及履行PDPA義務所必須施行之流程與作法。於組織責任而言,PDPA雖有強制性義務責任,但應忖量組織內部責任歸屬的措施,而非僅將責任落於遵守法律的程度,組織必須從合於法規的方法轉為基於責任歸屬的方法來管理個人資料。 從而,該指南在政策、人員、流程等領域中透過資料生命週期的循環,確立組織責任歸屬。從落實良好的責任制始於組織領導力的概念出發,設定組織管理高層之職責與調性,繼而規劃處理個資及管理資料風險的方法。並由組織人員治理面向,確立溝通資訊與員工培訓知識與資源。除此之外,也在特定流程設置上,紀錄個人資料流動,了解如何收集、儲存、使用、揭露、歸檔或處理個人資料為流程的首要任務,繼而確認資料保護層面主要的差距與需要改進的領域。再將資料保護實踐於業務流程、系統、商品或服務。
AI 創作是否能獲得著作權?——Thaler 訴美國著作權局案解析AI 創作是否能獲得著作權?——Thaler 訴美國著作權局案解析 資訊工業策進會科技法律研究所 2025年04月16日 美國哥倫比亞特區聯邦上訴法院於2025年3月18日裁定Stephen Thaler博士與美國著作權局的上訴案,認為AI繪圖作品無法受著作權保護,因為AI並非自然人,無法成為作品作者或進行「職務上創作」。此判決再次確認了美國對AI創作無著作權保護的立場。[1] 壹、事件摘要 此案起源於2019年,Thaler博士為AI繪圖作品「A Recent Entrance to Paradise」向著作權局申請著作權登記,但因AI非自然人創作者,著作權局於2022年駁回申請。[2]Thaler博士認為,這違反憲法對創作的保護,並主張其研發之AI系統「Creativity Machine」為作者,而其本人則透過AI的「職務上創作」享有著作權。Thaler博士不服2023年聯邦地方法院判決而提起上訴。[3] 貳、重點說明 從美國哥倫比亞特區聯邦上訴法院之判決觀之,本案爭點在於: 一、AI是否符合著作權法「作者」之定義:即AI生成作品是否滿足「原創性」與「獨立創作」標準;美國著作權法是否允許非人類創作者擁有著作權? 二、AI作品歸屬問題:Thaler博士主張AI創作之著作權應歸屬於開發者,或透過「職務上創作」使其本人取得著作權。然自然人與AI間關係;是否適用於人類創作者與雇主間法律關係;AI是否能被視為僱員? 上訴法院認同著作權局於2023年3月16日發佈之《AI生成作品著作權登記指引》,該指引強調著作權目前僅保護自然人創作。AI獨立創作或主導作品表達情況無法獲得著作權保護,即使使用者透過指令或調整輸出,亦無法改變此原則。經審查,法院認為因著作權法規定涉及生命週期、由自然人將作品視為遺產繼承,與創作意圖等概念,顯示立法者設定作者應為自然人。本案係爭作品仍由AI獨立創作,Thaler博士僅在初始階段下達指令,故不符「原創性門檻」(Threshold of Originality)之標準。[4] 職務上創作方面,該適用於人類創作者與雇主之間的法律關係,而AI並非法律上自然人,故無法簽署雇傭合約成為員工。[5]綜上,Thaler博士無法透過以上方式取得作品著作權。法院支持著作權局之裁定與意見,認為無需討論至憲法層面問題,僅就目前著作權法是否涵蓋AI自主創作作品及足夠。 參、事件評析 我國智財局已於2023年6月16日發布函釋[6],說明生成式AI模型生成內容是否為獨立之著作而受著作權法保護,視有無「人類精神創作」決定,目前與美國立場相似。美國聯邦上訴法院此次判決,確認AI無法成為著作權的作者,著作權保護僅限於人類創作者。雖然此判決不影響人類使用AI創作,但未來若要改變本案不保護AI自主生成的純機器作品的立場,或許不會從著作權法著手,而是透過立法方式創設新的法律權利來應對。美國國會與著作權局仍在持續研究AI相關法律,如2024年4月美國眾議院司法委員會舉行聽證會[7],討論AI輔助創作與發明的智慧財產權問題,會上專家認為現行法律已涵蓋大部分AI相關議題,新增著作權法規可能增加複雜性並抑制創新。資策會科法所目前持續協助國科會、國發會、文化部等政府部會,觀測研析AI著作權國際法制發展,後續將針對AI在文化藝術運用的著作權等風險與因應提供創作人指引,並因應行政院發展我國主權AI的政策,研提資料取得困境的法制面解決建議。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw) [1]Thaler v. Perlmutter, 23-5233, (D.C. Cir. 2025), https://law.justia.com/cases/federal/appellate-courts/cadc/23-5233/23-5233-2025-03-18.html (last visited Mar. 26, 2025) [2]Re: Second Request for Reconsideration for Refusal to Register A Recent Entrance to Paradise (Correspondence ID 1-3ZPC6C3; SR # 1-7100387071), U.S. Copyright Office Review Board,https://www.copyright.gov/rulings-filings/review-board/docs/a-recent-entrance-to-paradise.pdf(last visited Mar. 26, 2025) [3]US appeals court rejects copyrights for AI-generated art lacking 'human' creator, https://www.reuters.com/world/us/us-appeals-court-rejects-copyrights-ai-generated-art-lacking-human-creator-2025-03-18/?utm_source=chatgpt.com(last visited Mar. 26, 2025) [4]Copyright Registration Guidance: Works Containing Material Generated by Artificial Intelligence, 88 Fed. Reg. 16,190, 16,192 (March 16, 2023), https://www.skadden.com/-/media/files/publications/2023/03/copyright-office-issues-guidance-on-ai-generated-works/formalguidance.pdf (last visited Mar. 26, 2025) [5]許慈真,美國聯邦地方法院判決Thaler v. Perlmutter : AI生成作品不受著作權保護,2023年9月20日,北美智權報,https://naipnews.naipo.com/9074 (最後點閱時間 : 2025年3月26日)。 [6]智財局函釋(2023年6月16日經授智字第11252800520號函),https://topic.tipo.gov.tw/copyright-tw/cp-407-855070-f1950-301.html (最後點閱時間 : 2025年3月26日)。 [7]HEARING BRIEF: Judiciary Subcommittee Hearing on Artificial Intelligence and Intellectual Property – IP Protection for AI-Assisted Inventions and Creative Works, April 10th, 2024, https://infojustice.org/archives/45692?utm_source=chatgpt.com (last visited Mar. 26, 2025)
美國司法部發布「防止受關注國家或個人近用美國敏感個人資料與政府相關資料」之最終規則,以因應國家安全威脅美國司法部(Department of Justice, DOJ)於2025年1月8日發布「防止受關注國家或個人近用美國敏感個人資料與政府相關資料」(Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons)之最終規則。該規則旨在避免特定國家或個人獲取大量國民敏感個人資料及政府相關資料,以降低國安威脅。 最終規則指出,去識別化敏感個人資料若經大量蒐集,仍可能被重新識別,因此原則上禁止或限制任何美國人在知情的情況下,與受關注的國家或個人進行該等資料的大量交易。其將敏感個人資料定義為社會安全碼、精確地理位置、車輛遙測資訊(vehicle telemetry information)、基因組以及個人健康、財務資料或其他足資識別個人之資料,並定義禁止及限制交易的型態。同時,最終規則除設有若干豁免交易類型外,也定有一般及特別許可交易規定,並授權司法部得核發、修改或撤銷前述許可。一般許可交易的類型將由總檢察長另行公布;特別許可則由總檢察長依個案酌情例外核准。 該規則課予交易方持續報告(reporting)、盡職調查(due diligence)、稽核(audit)、紀錄留存(recordkeeping)等義務,並針對涉及政府相關資訊或美國國民大量敏感個人資訊之商業交易,例如投資、雇傭、資料仲介(data brokerage)及供應商契約,提出資安要求,以降低受關注國家或個人獲取該類特定資訊的風險。最後,該規則定有民事罰款(37萬美金以下)、刑事處罰(100萬美金以下或20年以下徒刑),並設立申訴之救濟措施。
德國聯邦網絡管理局將於四月拍賣800 MHz等頻譜供4G使用德國聯邦網絡管理局(Bundesnetzagentur,BNetzA其職權類似目前我國之交通部)將於2010年4月12日展開針對800 MHz、1.8 GHz、2 GHz及2.6 GHz四大頻段中的部分頻譜拍賣,以供電信服務無線網路接取之用─特別是供4G技術使用;惟競標者僅有既存的四大電信營運商:Deutsche Telekom、Vodafone、KPN’s E-Plus(該公司成立一百分百控股公司獨立參與投標) 以及Telefónica O2,並無新進業者投標,明顯欠缺多樣性(diversity)。 局長Matthias Kurth表示,曾收到兩家業者有意參與競標的訊息,但其中一家營運商並未符合相關投標資格,而無法參與拍賣;另一家則已表明退出競標拍賣程序。 前揭四大頻段原屬軍方或傳統廣播電視業者所使用,屬歐盟所謂之數位紅利(digital dividend)之頻段已清空待價而沽。其中最受矚目者乃電波物理特性極佳的800 MHz頻段,特別適合於4G通訊技術之用,能在偏遠地區與都會遮蔽密度高之地區展現良好的覆蓋率及滲透率。 歐美地區皆已陸續進行廣電數位化(DSO)及數位紅利頻譜拍賣或制訂相關使用規則,以提升無線網路接取的便利性與普及性,強化國內資通訊產業競爭力。惟德國電信產業似乎與我國目前情況類似,為既有電信營運商寡占頻譜使用及相關服務市場,與美國700 MHz拍賣結果大異其趣,商業價值是否亦為德國頻譜釋出之重要考量,後續發展頗值得注意。