歐盟提出「一般資料保護規章」(草案)並審議，以因應未來聯網環境趨勢

　　韓國於今年1月份爆發史上規模最大的個資外洩案，國民銀行執行長李健浩、國民銀行信用卡公司執行長沈在吾、樂天信用卡公司執行長朴相勳與農協銀行信用卡公司執行長孫京植等人，亦因此請辭以示負責。 　　為防止將來金融機構再次發生個人資料外洩等事件，韓國金融服務委員會（Financial Services Commission, FSC）與相關部會於3月份發佈一連串要求，以下為其基本原則 1. 金融機構將被要求在處理客戶的個人資料時的每一個階段，包括蒐集、保存、使用和銷毀客戶資料時，都必須擔負起更多的責任。 2. 確保金融消費者可主張關於其個人資料之相關權利，包括金融消費者可決定金融機構於何時如何使用其個人資料。 3. 提升金融機構對於其客戶之個人資料保護責任，包括提升首席資訊安全官（Chief Information Security Officer, CISO）獨立性與責任、加重金融機構於資訊安全違規時相關罰則。 4. 政府將採取更多措施以確保金融機構的網路安全。 5. 金融機構必須建立緊急應變機制，以確保面對未來可能的資料外洩事故時，可迅速有效的應對。 　　韓國政府於於3月底已對不需修改法律之部分開始執行，而涉及《使用和保護信用資料法》和《電子金融交易法》部分亦待議會修法。

　　美國財政部外國資產控制辦公室（The US Department of the Treasury’s Office of Foreign Assets Control, OFAC）於2021年9月21日更新並發布了與勒索軟體支付相關之制裁風險諮詢公告（Updated Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments）。透過強調惡意網絡活動與支付贖金可能遭受相關制裁之風險，期待企業可以採取相關之主動措施以減輕風險，此類相關之主動措施即緩減風險之因素（mitigating factors）。 　　該諮詢認為對惡意勒索軟體支付贖金等同於變相鼓勵此種惡意行為，故若企業對勒索軟體支付，或代替受害企業支付贖金，未來則有受到制裁之潛在風險，OFAC將依據無過失責任（strict liability），發動民事處罰（Civil Penalty制度），例如處以民事罰款（Civil Money Penalty）。 　　OFAC鼓勵企業與金融機構包括涉及金錢存放與贖金支付之機構，應實施合規之風險管理計畫以減少被制裁之風險，例如維護資料的離線備份、制定勒索事件因應計畫、進行網路安全培訓、定期更新防毒軟體，以及啟用身分驗證協議等；並且積極鼓勵受勒索病毒攻擊之受害者應積極聯繫相關政府機構，例如美國國土安全部網路安全暨基礎安全局、聯邦調查局當地辦公室。

.Pindent{text-indent: 2em;} .Noindent{margin-left: 22px;} .NoPindent{text-indent: 2em; margin-left: 38px;} .No2indent{margin-left: 54px;} .No2Pindent{text-indent: 2em; margin-left: 54px} .No3indent{margin-left: 4em;} .No3Pindent{text-indent: 2em; margin-left: 4em} 對AI下達複雜、反復修改指令不算創作行為? —美國著作權局發布AI著作權報告第2部分：可受著作權保護性 資訊工業策進會科技法律研究所 2025年02月10日 由於生成式AI是根據使用者輸入的提示或稱指令（prompts），依機率分布推算生成出最有可能出現的結果，因此有人戲稱AI在每次生成時都是在隨機進行「擲骰子」，即便相同的提示也可能會得到有差異的輸出結果。為應對AI回應的不確定性和多樣性，如何下達提示，有效使用AI，為必須學習的課題。因此，有人說訓練不了人工智慧？我們可以訓練自己，但用心思考精準有效指令，費心對AI生成結果進行反復修改，就能取得著作權保護嗎?美國著作權局提出的看法，或許與大家的期待不同。 壹、事件摘要 美國著作權局今（2025）年1月發布AI著作權報告的「第2部分：可受著作權保護性（Part 2: Copyrightability）」[1]。為幫助評估AI著作領域的立法或監管措施是否必要，該局於2023年8月即發布「著作權與人工智慧議題徵詢通知（Copyright Office Issues Notice of Inquiry on Copyright and Artificial Intelligence）」，對外尋求對包括涉及使用受著作權保護的作品來訓練AI模型的問題、適當的透明度與揭露程度受著作權保護的作品的使用以及AI生成內容的法律定位等問題的意見[2]。在分析AI引發的著作權法與政策問題的意見徵詢結果後，美國著作權局於2024年7月31日，以數位複製物（digital replicas）主題，發布「著作權與人工智慧分析人工智慧引發的著作權法和政策議題」（Copyright and Artificial Intelligence analyzes copyright law and policy issues raised by artificial intelligence）報告的第1部分[3]，並隨後於今（2025）年1月發布報告的「第2部分：可受著作權保護性（Part 2: Copyrightability）」[4]。 此報告指出現有的法律原則可根據個案判斷是否具有足夠的人為貢獻，有足夠的彈性足以解決關於AI生成內容是否具有著作權的問題，並不需要修法；當人工智慧被用作工具，且人類能夠決定作品的表達元素時，對AI生成結果的創意選擇、協調或安排，以及對生成結果的創意修改，都可獲得著作權保護；但目前使用者即使給予AI詳細的提示，也無法控制AI如何生成內容，不足以使其成為「作者」；著作保護仍須以人為創意投入，既有法令已足以激勵AI發展，沒有理由為AI生成的內容提供額外的著作權或特殊權利保護。 貳、重點說明 一、AI系統的輸出存在不可控制性[5] 當前生成式AI系統的輸出可能包括未指定的內容，在有數十億個參數的模型構建的複雜AI系統下，特定提示或其他輸入對於AI生成內容的影響存在不確定性，即使是專家研究人員在理解或預測特定模型行為的能力方面也受到限制。不僅AI生成的內容會因請求而異，而且即使具有相同的提示也是難以預測的，即使有AI系統例如Midjourney允許使用者控制生成一致的結果，在重複相同的提示時收到幾乎相同的圖像，然而即使如此也無法保證完美的一致性。 二、有辛勤努力、指示建議不等於有創造性貢獻 （一）無法僅因時間和努力而獲得著作權保護，它需要原創性 （originality），無論原創性有多麼低微 美國的著作權保護限於人類的創作（human authorship） 沒有任何法院承認非人類創造（non-human creation）的著作權。當然在使用AI的大多數情況下，人類將參與創作過程（creation process），並且在他們的貢獻符合創作資格的範圍時，能使其作品具有著作權。美國上訴法院（Supreme Court）明確表示，需要的是原創性 （originality），而不僅僅是時間和努力。在「Feist Publications, Inc. v. Rural Telephone Service Co.」案中，法院否定僅憑「血汗」（sweat of the brow）就足以獲得著作權保護的主張，但法院也認為絕大多數作品都很容易達到標準，因為所需的創造力水平極低；即使是很小的量、無論多麼粗糙、卑微或顯而易見都無妨（no matter how crude, humble or obvious’ it might be.）[6]。 （二）使用機器作為工具並不會否定著作權保護，如果作品已包含足夠的人類創作表達元素（human-authored expressive elements） 對於AI工具的使用是否影響著作權保護，美國著作權局提及在「Burrow-Giles Lithographic Co. v. Sarony」案中，法院將「作者」定義為「任何事物起源的人、創始人、製造者、完成科學或文學作品的人。（he to whom anything owes its origin; originator; maker; one who completes a work of science or literature.）」。法院確定了即使是使用照相機，攝影師也有許多創造性貢獻，包括將主題置於相機前，選擇和安排服裝、窗簾與其他各種配件、安排主題以呈現優雅的輪廓，以及喚起其所需的表情[7]。因此能否受保護的重點不在於有無使用工具，而是創造性投入的有無。 （三）「作者」必須是實際創作作品，即將想法轉化為有形呈現的表達的人，不包括只是提供詳細的建議和指示或做無實質改變轉換的人 美國著作權局在報告中指出，上訴法院在「Community for Creative Non-Violence v. Reid, "CCNV"」案中，認為：繪製設計草圖和以有形的表達媒介實現創意，使藝術家成為作者。該案的哥倫比亞特區巡迴法院明確表示，委託雕塑並提供詳細的建議與指示是不夠的，因為此類貢獻構成不受保護的想法，其不能因此成為雕塑的共同作者。而第三巡迴上訴法院在「Andrien v. Southern Ocean County Chamber of Commerce」案中， 認為原告「明確指示了副本的準備工作的具體細節」，因此「編譯只需要簡單的轉錄即可實現最終的有形形式」。因為印刷商「沒有實質改變原告的原始表達（original expression）」，法院裁定原告是「作者」[8]。 因此，該局認為儘管人工智慧生成內容不能被視為使用者與人工智慧系統的共同作品（joint work），但對於是否貢獻足夠的表達以被視為作者，提供有用的類比—僅僅向作者（AI）描述委託作品應該做什麼或看起來像什麼的人，並不是著作權法意義上的共同作者。 三、AI的創作輔助使用 美國著作權局同意，使用人工智慧作為輔助創作作品的工具與使用人工智慧作為人類創造力的替代品之間存在重要區別。雖然增強人類表達的輔助使用不會限制著作權保護，但認為需要進一步分析下列三種使用方式的差異： （1）指示人工智慧系統產生輸出的提示（prompts）； （2）可以在人工智慧生成內容中感知到的表達性輸入（expressive inputs） （3）對人工智慧生成內容進行修改或安排（modifications or arrangements）。 （一）指示人工智慧系統產生輸出的提示（prompts） 由於欠缺對生成結果的控制能力，使用者即使輸入複雜的提示指令亦無法讓其成為「作者」[9]。提示本質上是傳達不受保護的思想，雖然高度詳細的提示可以包含使用者所需的表達元素，但目前的AI技術無法僅靠提示即能給予使用者足夠的人工控制，所以AI 系統的使用者無法成為生成內容的「作者」。雖然在輸入提示可以被視為類似於向受委託創作的藝術家提供指導，但在人與人之間的合作，委託者能夠監督、指導與理解受委託的人類藝術家的貢獻，但這情況目前不存在於人與AI的合作。或許將來可允許使用者對AI的生成內容取得完全的控制權，讓AI的貢獻變成固定或機械化（rote or mechanical）。 由於提示與結果輸出之間的差距，以及相同的提示可以生成多個不同生成內容的事實，進一步表明使用者缺乏對將他們想法轉換為固定表達的控制。而反覆修改提示不會改變、也無法為取得著作權提供足夠的依據，因為著作權保護的是作者身份，而不是辛勤工作。而且美國著作權局認為輸入修改後的提示與輸入單個提示在作用上似乎沒有實質性區別，對過程的控制程度都沒有改變。 不過，有些評論意見舉自然攝影作品做類比，認為即使攝影家無法控制野生動物何時進入畫面，這些作品也可能有資格獲得著作權保護。但美國著作權局認為，這與AI生成不同—攝影家的創作過程並沒有結束於他對作品的想法，其在照相機中控制角度、位置、速度和曝光的選擇，且可能進行作品的後製調修。該局指出「從（AI系統）提供的選項（生成結果）中進行選擇」不能被視為受著作權保護的作者身份， 因為「單一輸出的選擇本身並不是一種創造性的行為」。但該局也表示有時提示可以充分控制AI生成內容中的表達元素，如果AI技術進一步為使用者提供表達元素的更多控制，則結論可能會不同。 （二）富有表現力的輸入（Expressive Inputs）[10]與純粹指令不同 目前AI 系統接受以文本、圖像、音訊、視頻或這些內容形式的輸入，而可以將輸入保留成生成內容的一部分，例如修改或翻譯受著作權保護的作品。這類型的輸入，雖然亦可視為不同形式的提示，但與僅僅是傳達預期結果的提示不同。它所給的不僅是一個概念，更重要的是它限制了AI生成內容的「自主性」。因此可能提供了「更具說服力的人工干預」，而不是簡單的「將提示應用於未知的起點」。美國著作權局認為一個人輸入自己受著作權保護的作品，如果該作品在生成的內容中是可察覺的（perceptible），那麼他至少是該部分生成內容的「作者」。此類 AI 生成輸出的著作權將涵蓋可察覺的人類表達，包括可能涵蓋到作者對作品素材（material）的選擇、協調和安排。 （三）修改或安排（Arranging）AI生成的內容仍可受保護[11] 美國著作權局於報告中指出，使用 AI 生成內容通常是一個初始或中間步驟，如同其AI 註冊指引的說明—「人類可以以足夠創造性的方式選擇或安排 AI 生成的內容，以使最終作品整體構成一個作者的原創作品（the resulting work as a whole constitutes an original work of authorship）」。人類可以藉由修改AI生成的內容，使其達到符合著作權保護標準的程度，如果人類作者以創造性的方式選擇、協調和安排 AI 生成的內容，應該能夠主張著作權。例如：Midjourney 提供「Vary Region and Remix Prompting」，允許使用者使用提示來指定生成圖像的區域。美國著作權局認為此類可以讓使用者控制各個創意元素的選擇與放置的修改，是否達到最低原創性標準雖將取決於具體個案情況。但其認為就生成的內容位置可控制的案例，與純粹提示（prompts alone）情況不同，生成的內容應該受著作權保護。 參、事件評析 在美國著作權局公布其該報告之後，有網路媒體[12]以「美國著作權局定調：光靠提示詞的純AI生成圖片無法享有著作權保護，無論你下多複雜的提示詞都沒有」的標題，詮釋該報告的主旨。確實美國著作權局於該報告中，特別指出下達複雜與反復的提示，並不會影響著作權保護的取得與否的判斷。但關鍵點不在於提示本身，而是對AI生成結果的「可控制」（或可說是AI對生成結果的自主）程度。 對於AI生成結果的著作權保護，經濟部智慧財產局曾以電子郵件1070420號函指出：「著作必須係以自然人或法人為權利義務主體的情形下，其所為的創作始有可能受到著作權的保護。據了解，AI（人工智慧）是指由人類製造出來的機器所表現出來的智慧成果，由於AI並非自然人或法人，其創作完成之智慧成果，非屬著作權法保護的著作，原則上無法享有著作權。但若其實驗成果係由自然人或法人具有創作的參與，機器人分析僅是『單純機械式的被操作』，則該成果之表達的著作權由該自然人或法人享有。」，但何謂「單純機械式的被操作」?以複雜與反復的提示再擇取AI符合所需的AI修改結果，是否屬之?在目前AI工具朝向「自動化」發展的趨勢下，使用者下達提示後，多只須被動的對單一的生成結果，決定是否接受或重新下達指令，使用者只是以指令提出需求，實際的「創作行為」主體其實是AI而非人類。因此，美國著作權局於此報告中更進一步的說明使用者即使有複雜與反復的提示且有意的選擇特定結果，並不能就認定為「對結果有控制權」的創作。必須其結果可為使用者主導、控制，而非被動決定是否接受。 相對而言，在創作的保護實務上，美國著作權局告訴我們的是，人類仍然可以藉由在使用過程提高對AI生成結果的控制程度，以及生成內容的後製，使結果符合著作權保護標準。AI使用者應該盡量使用有提供具體修改控制功能的AI工具，只要有人為的事後修改，或使用過程中能具體主導AI生成的結果，我們仍然可以透過複雜與反復的提示AI，取得受著作權保護的生成結果。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw） [1]U.S. Copyright Office Copyright and Artificial Intelligence, Part 2: Copyrightability, https://www.copyright.gov/ai/Copyright-and-Artificial-Intelligence-Part-2-Copyrightability-Report.pdf [2]US Copyright Office, Copyright Office Issues Notice of Inquiry on Copyright and Artificial Intelligence, https://www.copyright.gov/newsnet/2023/1017.html (last visited Feb. 10, 2025). [3]US Copyright Office, Copyright Office Releases Part 1 of Artificial Intelligence Report, Recommends Federal Digital Replica Law, https://www.copyright.gov/newsnet/2024/1048.html (last visited Feb. 10, 2025). [4]U.S. Copyright Office Copyright and Artificial Intelligence, supra note 1. [5]詳前註1，頁5~7。 [6]詳註1，頁8。 [7]詳註1，頁9。 [8]詳註1，頁9。 [9]詳註1，頁18~21。 [10]詳註1，頁22~24。 [11]詳註1，頁24~27。 [12]電腦王，美國著作權局定調：光靠提示詞的純AI生成圖片無法享有著作權保護，無論你下多複雜的提示詞都沒有，https://www.techbang.com/posts/121184-the-us-copyright-office-has-set-the-tone-that-purely（最後瀏覽日：2025/02/10）。

「歐洲資料保護委員會」（European Data Protection Board, EDPB）於2025年9月12日發布《數位服務法》（Digital Services Act, DSA）與《一般資料保護規則》（General Data Protection Regulation, GDPR）交互影響指引（Guidelines 3/2025 on the interplay between the DSA and the GDPR）。這份指引闡明中介服務提供者（intermediary service providers）於履行DSA義務時，應如何解釋與適用GDPR。 DSA與GDPR如何交互影響？ 處理個人資料的中介服務提供者，依據處理個資的目的和方式或僅代表他人處理個資，會被歸屬於GDPR框架下的控制者或處理者。此時，DSA與GDPR產生法規適用的交互重疊，服務提供者需同時符合DSA與GDPR的要求。具體而言，DSA與GDPR產生交互影響的關鍵領域為以下： 1.非法內容檢測（Illegal content detection）：DSA第7條鼓勵中介服務提供者主動進行自發性調查，或採取其他旨在偵測、識別及移除非法內容或使其無法存取的措施。指引提醒，中介服務提供者為此採取的自發性行動仍須遵守GDPR要求的處理合法性，而此時最可能援引的合法性依據為GDPR第6條第1項第f款「合法利益」（legitimate interests）。 2.通知與申訴等程序：DSA所規定設通報與處置機制及內部申訴系統，於運作過程中如涉及個資之蒐集與處理，應符GDPR之規範。服務提供者僅得蒐集履行該義務所必須之個人資料，並應確保通報機制不以通報人識別為強制要件。若為確認非法內容之性質或依法須揭露通報人身分者，應事前告知通報人。同時，DSA第20條與第23條所規範之申訴及帳號停權程序，均不得損及資料主體所享有之權利與救濟可能。 3.禁止誤導性設計模式（Deceptive design patterns）：DSA第25條第1項規範，線上平台服務提供者不得以欺騙或操縱其服務接收者之方式，或以其他實質扭曲或損害其服務接收者作出自由且知情決定之能力之方式，設計、組織或營運其線上介面，但DSA第25條第2項則宣示，線上平台提供者之欺瞞性設計行為若已受GDPR規範時，不在第25條第1項之禁止範圍內。指引指出，於判斷該行為是否屬 GDPR 適用範圍時，應評估其是否涉及個人資料之處理，及該設計對資料主體行為之影響是否與資料處理相關。指引並以具體案例補充，區分屬於及不屬於 GDPR 適用之欺瞞性設計模式，以利實務適用。 4.廣告透明度要求：DSA第26條為線上平台提供者制定有關廣告透明度的規範，並禁止基於GDPR第9條之特別類別資料投放廣告，導引出平台必須揭露分析之參數要求，且平台服務提供者應提供處理個資的法律依據。 5.推薦系統：線上平台提供者得於其推薦系統（recommender systems）中使用使用者之個人資料，以個人化顯示內容之順序或顯著程度。然而，推薦系統涉及對個人資料之推論及組合，其準確性與透明度均引發指引的關切，同時亦伴隨大規模及／或敏感性個人資料處理所帶來之潛在風險。指引提醒，不能排除推薦系統透過向使用者呈現特定內容之行為，構成GDPR第22條第1項的「自動化決策」（automated decision-making），提供者於提供不同推薦選項時，應平等呈現各項選擇，不得以設計或行為誘導使用者選擇基於剖析之系統。使用者選擇非剖析選項期間，提供者不得繼續蒐集或處理個人資料以進行剖析。 6.未成年人保護：指引指出，為了符合DSA第28條第1項及第2項所要求於線上平台服務中實施適當且相稱的措施，確保未成年人享有高度的隱私、安全與保障，相關的資料處理得以GDPR第6條第1項第c款「履行法定義務」作為合法依據。 7.系統性風險管理：DSA第34與35條要求超大型在線平台和在線搜索引擎的提供商管理其服務的系統性風險，包括非法內容的傳播以及隱私和個人數據保護等基本權利的風險。而指引進一步提醒，GDPR第25條所設計及預設之資料保護，可能有助於解決這些服務中發現的系統性風險，並且如果確定系統性風險，根據GDPR，應執行資料保護影響評估。 EDPB與其他監管機關的後續？ EDPB的新聞稿進一步指出，EDPB正在持續與其監管關機關合作，以釐清跨法規監理體系並確保個資保護保障之一致性。後續進一步的跨法域的指引，包含《數位市場法》（Digital Markets Act, DMA）、《人工智慧法》（Artificial Intelligence Act, AIA）與GDPR的相互影響指引，正在持續制定中，值得後續持續留意。