高智發明（Intellectual Ventures）揭開其專利寶庫

英國國會於2023年7月上旬通過《電子貿易文件法》（Electronic Trade Documents Act 2023, ETDA），經國王於7月20日正式批准，該法於2023年9月20日正式生效，未來英國的電子貿易文件將與紙本貿易文件具有相同效力。 一直以來，英國僅承認紙本貿易文件的法律上效力，因此英國企業在進行國際貿易的各環節上，必須處理上百頁的紙本文件，造成英國企業及其交易對象必須花費相當高的時間和金錢成本，不僅效率低且造成環境破壞，同時紙本文件也較難驗證其真實性。在數位轉型趨勢下，此類陳舊的法律早已不合時宜，因此美國、新加坡、德國等國家也正在進行類似立法，而英國是七大工業國組織（Group of Seven, G7）中第一個完成立法的國家。 該法正式施行後，可大幅降低英國企業的成本，提升國貿及融資的效率；根據英國政府估計，未來十年，該法將可為英國經濟創造11.4億英鎊的淨效益（net benefit），同時每年可減少10%以上的碳排放量，有助於落實ESG。更重要的是，相對於紙本，貿易文件的數位化，可提升安全性和透明性。 根據該法第2條第2項規定，電子貿易文件必須是由「可信賴系統」（reliable system）所產生，所謂「可信賴系統」必須具備以下特徵： 1.能清楚識別文件，與其他副本加以區分； 2.能防止文件遭到未經授權的修改； 3.確保任何時點僅有一人能對該文件行使控制權； 4.允許能夠對該文件行使控制之人，能向他人「證明」其控制權； 5.確保電子貿易文件移轉後，使前手立即喪失控制權。 此外，第2條第5項列出在判斷一個系統是否可信賴時，可考量的7點因素，其中第5點指出可考量該系統是否經獨立機構定期稽核（包含稽核頻率和範圍），以及第6點為該系統是否經監管機關進行任何可信賴性的評估。 雖然該法基於技術中立（technological neutrality），並未明定何種技術符合「可信賴系統」的要求。然而，起草該法的法律委員會（Law Commission of England and Wales, LCEW）於2022年3月的草案報告中花了相當大的篇幅說明「分散式帳本」（Distributed Ledger Technology, DLT）的技術，並認為DLT在透明性、安全性、不可竄改等面向有較好的表現，因此指出這是「目前」產生可信賴電子貿易文件的重要技術之一。英國政府表示，承認電子貿易文件的法律效力後，國際貿易各環節的參與者可以透過如DLT等技術，更有效地追踪相關紀錄，進而提高國際貿易的安全性和合規性。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

歐盟提出通用型人工智慧模型的著作權管理合規措施建議 資訊工業策進會科技法律研究所 2025年07月23日 為推動以人為本且值得信賴之人工智慧（Artificial Intelligence, AI）應用，同時確保高度保護健康、安全及歐盟《基本權利憲章》所載之基本權利，包括民主、法治及環境保護，防止AI在歐盟境內造成有害影響，並依據歐盟《人工智慧法》（AI Act, AIA）第1條第1項支持創新。歐盟人工智慧辦公室(The European AI Office) 於2025年7月10日提出《人工智慧法案》關於通用型人工智慧的準則(The General-Purpose AI Code of Practice)[1]，以下簡稱「GPAI實踐準則」。 該準則由辦公室擬定計劃邀集通用型人工智慧(以下簡稱GPAI)模型提供商、下游提供商、公協會、權利人、專家學者、民間團體組成工作小組，進行討論與草擬。目的在協助GPAI模型的提供者符合AIA要求其應訂定模型技術文件，提供給下游提供者，並應制定著作權政策、發布訓練內容摘要的規定。預計將自 2025 年 8 月 2 日起適用。 壹、事件摘要 歐盟GPAI實踐準則包括透明度、著作權與安全維護(Transparency, Copyright, and Safety and Security)三大章節。為證明符合AIA第53條及第55條所規定義的指導文件（guiding document），並確保GPAI提供者（providers）遵守其在《人工智慧法》下之義務，於該準則於著作權章節提供適用AIA第53條第1項(c)款規定[2]的措施建議。 該準則強調採取相關措施可以證明符合前揭定之義務，但符合歐盟著作權及相關權利法規，並不以遵守該準則為要件，而且也不會影響歐盟著作權及相關權利法規的適用與執行，其權利最終歸屬法院。而著作權人依法保留的權利，以及針對文字與資料探勘（Text and Data Mining, TDM）的例外或限制 (EU 2019/790號指令第4條第1項)，仍應在合法條件下適用。 考量到一些GPAI提供者是新創企業，規模有別於一般企業，故該準則亦強調其所要求採取的是相稱措施（proportionate measures），應與提供者之規模相稱且合乎比例（commensurate and proportionate），並充分考量中小企業（SMEs），包括新創公司（startups）之利益。 貳、重點說明 該準則建議GPAI提供者，採取訂定著作權政策、合法重製、尊重權利保留、積極防止侵權、提供問責管道等五大著作權管理措施。 一、訂定、維持並實施著作權政策 為證明已符合AIA第53條第1項(c)款所負之義務，GPAI提供者針對其投放於歐盟市場之通用人工智慧模型，應制定政策以遵守歐盟著作權及相關權利法規。該準則建議提供者應將著作權章節所列措施納入於政策中，公開發布並維持最新狀態其著作權政策摘要，且在組織內部指派負責實施和監督。 二、獲取合法可存取之受著作權保護內容 GPAI提供者進行 EU 2019/790號指令第2條第2項之文字與資料探勘及訓練其通用人工智慧模型進行網際網路內容的重製並擷取時，例如使用網路爬蟲（web-crawlers）或授權他人使用網路爬蟲代其抓取（scrape）或以其他方式編譯資料，應防止或限制對作品及其他受保護標的物之未經授權行為，特別是應尊重訂閱模式（subscription models）或付費牆（paywalls）所施加之任何技術性拒絕或限制存取。而且在進行網路爬取時，應排除歐盟認定為持續且重複大規模商業侵犯著作權及相關權利之網站。 三、識別並遵守權利人的權利保留 GPAI提供者文字與資料探勘及訓練其通用人工智慧模型，其網路爬蟲應識別並遵守EU 2019/790號指第4條第3項的機器可讀（machine-readable）權利保留[3]，讀取並遵循機器人排除協議（Robot Exclusion Protocol, robots.txt）。 該協議包括任何經網際網路工程任務組(Internet Engineering Task Force，IETF)證明技術上可行且可由AI提供者和內容提供者（包括權利人）實施之版本，或經國際或歐洲標準化組織採納透過基於資產（asset-based）或基於位置（location-based）之詮釋資料（metadata）等其他方式的機器可讀協議。亦包括通常係透過在歐盟層級經由權利人、AI提供者及其他相關利害關係人參與討論所達成共識的識別方案。 GPAI提供者亦應透過公開該等資訊並提供受影響權利人可在該等資訊更新時自動獲得通知的適當措施，使受影響之權利人能夠取得相關資訊，包括所用的網路爬蟲、所採識別並遵守權利保留之措施。 四、降低著作權侵權輸出之風險 為降低整合GPAI模型的下游人工智慧系統（downstream AI system），生成可能侵害著作權或相關權利的作品或其他標的物GPAI提供者應實施適當且合乎比例之技術保障措施，防止其模型生成以侵權方式重製受歐盟著作權及相關權利法規保護之訓練內容。;同時，在使用政策、條款與條件或其他類似文件中禁止模型用於著作權侵權目的。對於以自由及開源授權（free and open source licenses）發布之GPAI模型，應在隨附文件中請使用者注意禁止模型用於著作權侵權用途。無論是將模型整合至其自身的人工智慧系統，或係依據契約關係提供給他人。 五、提供聯繫受理管道 GPAI提供者應提供與受影響權利人進行連繫的管道與資訊，讓受影響之權利人及其代理人（包括集體管理組織（collective management organizations））以電子方式進行投訴。同時，勤勉、非任意地並在合理時間內處理投訴，除非投訴明顯無根據，或已對同一權利人提出之相同投訴作出回應。 參、事件評析 美國先前於2025年6月23日曾由加州北區聯邦地方法院（United States District Court for the Northern District of California），威廉·阿爾斯法官（Judge William Alsup）針對Andrea Bartz、Charles Graeber、Kirk Wallace Johnson這三位美國作家，對Anthropic公司訓練大型語言模型（Large Language Model, LLM）時使用受其等著作權保護書籍一案，作出AI訓練行為可主張合理使用的簡易裁決(summary judgment)[4]。但法官仍然指出提供AI訓練的合理使用（Fair Use）不代表資料來源的適法性（Legality of Source）獲得合法認定，並不支持盜版一本本來可以在書店購買的書籍對於創建大型語言模型 (LLM) 是合理必要 (reasonably necessary) 的。 這次歐盟的準則更明確指出，GPAI提供者進行文字與資料探勘及訓練其通用人工智慧模型，以網路爬蟲（web-crawlers）進行網際網路內容的擷取，應尊重訂閱模式（subscription models）或付費牆（paywalls）所採取的技術性拒絕或限制存取。而且在進行網路內容爬取時，應排除歐盟認定為持續且重複大規模商業侵犯著作權及相關權利之網站，即訓練資料的取得必須是合法。而且必須積極使用可識別並遵守機器人排除協議（Robot Exclusion Protocol, robots.txt）的技術，更應透過公開該等資訊、提供受影響權利人可在該等資訊更新時自動獲得通知的適當措施，使受影響之權利人能夠及時知悉所用網路爬蟲、所採尊重權利保留之措施。 雖然前揭美國法院案件正在進行審理，但顯然與歐盟的GPAI實踐準則及美國著作權局的合理使用立場[5]一樣，均不認同迴避權利保護施、自盜版網站取得的資料之情況。我國日前發生七法與法源公司之間的著作權訴訟，七法以網路爬蟲爬取法源公司於使用條款限制存取的資料，並非技術創新撞上不合時宜的舊有法律框架，而是創新應用仍應在合理保護權利的前提下進行。 歐盟GPAI實踐準則所揭示的政策制訂、尊重權利保留、積極防止侵權、提供有效且給予合理回應的問責管道等AIA合規要求，已提示GPAI的開發、服務提供，應如何透過公開、揭露措施來配套降低科技創新應用過程對既有權利的影響，也指引其應建立的內部管理與外部溝通重點。對於開發、運用GPAI對外提供服務的企業而言，在爭執訓練資料應有合法空間的同時，或許應該思考是否應先採取歐盟GPAI實踐準則所建議的措施，以尊重既有權利的態度，積極降低權利人的疑慮，始有助於形成互利的合法利用空間。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw） [1]The European AI Office, The General-Purpose AI Code of Practice, https://digital-strategy.ec.europa.eu/en/policies/contents-code-gpai。(最後閱覽日：2025/07/21) [2]該條款要求將通用人工智慧模型投放於歐盟市場（Union market）之提供者，必須制定政策以遵守歐盟著作權及相關權利法規，特別是透過最先進之技術，識別並遵守權利人依據《第2019/790號指令》（Directive (EU) 2019/790）第4條第3項所表達之權利保留。 [3]指不接受其著作被用於文字與資料探勘目的之利用。 [4]Bartz et al. v. Anthropic PBC, No. 3:24-cv-05417-WHA, Doc. 231, (N.D. Cal. June 23, 2025)，https://cdn.arstechnica.net/wp-content/uploads/2025/06/Bartz-v-Anthropic-Order-on-Fair-Use-6-23-25.pdf。(最後閱覽日：2025/06/25) [5]劉家儀，美國著作權局發布AI著作權報告第三部分：生成式AI訓練－AI訓練是否構成合理使用？https://stli.iii.org.tw/article-detail.aspx?no=0&tp=1&d=9352。

2023年5、6月經濟合作暨發展組織（Organisation for Economic Cooperation and Development, OECD）在邁向數位化計畫(Going digital Project)下陸續公布53個國家地區科學技術創新政策（science, technology and innovation policy）指標。OECD另一方面也提供許多政策工具供各政府參考，如2022年12月發布《數位化推進資料治理以促進增長和福祉》（Going Digital to Advance Data Governance for Growth and Well-being)，並出版《資料治理政策制定之數位化指南》（Going Digital Guide to Data Governance Policy Making），協助應對轉型為數位治理時的潛在益處與風險。 《數位化推進資料治理以促進增長和福祉》指出，數位工具發展使資料蒐集、處理的效能大幅增加，邊際成本快速下降，為經濟、社會注入新驅動力。OECD觀察到COVID-19疫情危機中，各國政府藉多樣的資料有效追蹤疾病並做出相應對策；然而，也出現資料治理不當案例，如有勞動中介機構不慎在資料應用時加深性別勞動的不平等。因此，資料成為治理的戰略資產同時也需詳加了解資料多樣化的特性，在資料跨領域產製、流通與利用的過程中一併考量其益處與風險。 《資料治理政策制定之數位化指南》則點出三個發現，並提供相應策略做為各國政府治理參考。第一，關切資料開放同步產生的益處與風險，建議應確立風險管理的文化並建置透明且開放的資料生態系，以增加使用者的能動性，俾利人們自覺主動利用資料。其次，治理框架應平衡生態系中利害交疊的人民、企業團體、政府各部門等，藉契約範本、行為準則等機制確保決策各環節中利害關係人的參與機會和框架的一致性。第三，資料的邊際成本雖一再降低，然而進入門檻、後續管理的負擔仍重，政府應持續激勵資料的基礎建設投資，促進市場競爭並解決後進者的阻礙。

　　英國作為歐洲金融重鎮，不論各行業均有蒐集、處理、利用歐盟會員國公民個人資料之可能，歐盟一般資料保護規則（General Data Protection Regulation，簡稱GDPR）作為歐盟資料保護之重要規則，英國企業初步應如何自我檢視組織內是否符合歐盟資料保護標準，英國資訊委員辦公室（Information Commissioner's Office, ICO）即扮演重要推手與協助角色。 　　英國ICO於2017年4月發布企業自行檢視是否符合GDPR之12步驟（Preparing for the General Data Protection Regulation（GDPR）-12 steps to take now），可供了解GDPR的輪廓與思考未來應如何因應： 認知（Awareness）：認知GDPR帶來的改變，與未來將發生的問題與風險。 盤點資料種類（Information you hold）：盤點目前持有個人資料，了解資料來源與傳輸流向，保留處理資料的紀錄。 檢視外部隱私政策（Communicating privacy information）：重新檢視當前公告外部隱私政策，並及時對GDPR的施行擬定因應計畫。 當事人權利（Individuals'rights）：檢視資料處理流程，確保已涵蓋GDPR賦予當事人如：告知權、接近權、更正權、刪除權、製給複本權、停止處理權、不受自動決策影響等相關權利。 處理客戶取得資料請求（Subject access requests）：GDPR規定不能因為客戶提出取得資料請求而向其收費；限期於1個月內回覆客戶的請求；可對明顯無理或過度的請求加以拒絕或收費；如拒絕客戶請求則限期於1個月內須向其說明理由與救濟途徑等。 處理個人資料須立於合法理由（Lawful basis for processing personal data）：可利用文書記錄與更新隱私聲明說明處理個人資料之合法理由。 當事人同意（Consent）：重新檢視初時如何查找、紀錄與管理取得個人資料的同意，思考流程是否需要做出任何改變，如無法符合GDPR規定之標準，則須重新取得當事人同意。 未成年人（Children）保護：思考是否需要制定年齡驗證措施；對於未成年人保護，考慮資料處理活動是否需取得其父母或監護人的同意。 資料外洩（Data breaches）：有關資料外洩的偵測、報告與調查，確保已制定適當處理流程。 資料保護設計與影響評估（Data Protection by Design and Data Protection Impact Assessments）：GDPR使資料保護設計與影響評估明文化。 資料保護專責人員（Data Protection Officers）：須指定資料保護專責人員，並思考該專責人員於組織中的角色與定位。 跨境傳輸（International）：如執行業務需跨越數個歐盟會員國境域，企業則須衡量資料監管機關為何。