美國CVAA義務豁免之案例介紹與分析

　　美國食品和藥物管理局（FDA）於2018年9月6日發布關於「制定醫療器械在上市前核准（PMA）、低風險創新器材(De Novo)分類和人道用途器材免除（HDE）的利益-風險決策之不確定性考量指引草案。」 　　為滿足FDA促進公共健康的使命，醫療器械上市前核准(PMA)通常涉及較高的不確定性，因此本指引是適當的解決利益風險的判定以支持FDA的決策。包含考量患病群願意接受醫療器械帶來的益處及風險之更多不確定性，特別是沒有可接受的替代治療方案時。 　　根據指引草案，FDA依據具體情況，判定其利益-風險的適當程度之不確定性，包括： (1) 醫療器械可能帶來好處程度。 (2) 醫療器械存在的風險程度。 (3) 關於替代治療或診斷的利益-風險之不確定程度。 (4) 如果可能，需瞭解患者對醫療器械可能帶來的益處和風險之不確定性觀點。 (5) 公共衛生需求的程度。 (6) 依據臨床證據可支持上市前之可行性。 (7) 能夠減少或解決醫療器械的上市後利益-風險留下之不確定性。 (8) 上市後緩解措施的有效性。 (9) 建立決策類型。(如上市前核准（PMA）和人道用途器材免除（HDE）的核准標準不同。) (10) 對於早期患者訪問醫療器械的可能帶來的益處。 　　本指引草案中，FDA基於考量有關醫療器械臨床/非臨床訊息之利益風險，需與FDA的規範、監管機關和要求要有一致性。

日本政府怎樣對公部門管制DeepSeek？ 資訊工業策進會科技法律研究所 2025年07月07日 2025年2月3日，日本個人情報保護委員會（Personal Information Protection Commission，簡稱PPC）發布新聞稿指出[1]，DeepSeek所蒐集的資料，將會儲存在中國的伺服器裡，且為中國《國家情報法》的適用對象[2]。這可能將導致個人資料遭到中國政府調用或未經授權的存取。作為中國開發的生成式AI，DeepSeek雖以優異的文本能力迅速崛起，卻也引發資安疑慮。 身處地緣政治敏感區的日本對此高度警覺，成為率先提出警告的國家之一。台灣與日本面臨相似風險，因此日本的應對措施值得借鏡。本文將從PPC新聞稿出發，探討日本如何規範公部門使用DeepSeek。 壹、事件摘要 DeepSeek作為中國快速崛起之生成式AI服務，其使用範圍已快速在全球蔓延。然而，日本PPC發現該公司所公布之隱私政策，內容說明其所蒐集之資料將存儲於中國伺服器內，並依據中國《國家情報法》之適用範圍可能遭到中國政府調用或未經授權之存取。 日本PPC因而於2025年2月3日發布新聞稿，隨後日本數位廳於2月6日發函給各中央省廳，強調在尚未完成風險評估與資安審查之前，政府機關不應以任何形式將敏感資訊輸入DeepSeek，並建議所有業務使用應先諮詢內閣資安中心（内閣サイバーセキュリティセンター，NISC）與數位廳（デジタル庁）意見，才能判定可否導入該類工具[3]。數位大臣平將明亦在記者會中強調：「即使不是處理非機密資料，各機關也應充分考量風險，判斷是否可以使用。」（要機密情報を扱わない場合も、各省庁等でリスクを十分踏まえ、利用の可否を判断する）[4]。 本次事件成為日本對於生成式AI工具採取行政限制措施的首次案例，也引發公私部門對資料主權與跨境平台風險的新一輪討論。 貳、重點說明 一、日本對於人工智慧的治理模式 日本在人工智慧治理方面採取的是所謂的「軟法」（soft law）策略，也就是不依賴單一、強制性的法律來規範，而是以彈性、分散的方式，根據AI的實際應用場景與潛在風險，由相關機關分別負責，或透過部門之間協作因應。因此，針對DeepSeek的管理行動也不是由某一個政府部門單獨推動，而是透過跨部會協作完成的綜合性管控，例如： （一）PPC的警示性通知：PPC公開說明DeepSeek儲存架構與中國法規交錯風險，提醒政府機關與公務人員謹慎使用，避免洩漏資料。 （二）數位廳的行政指引：2025年2月6日，日本數位廳針對生成式AI的業務應用發布通知，明列三項原則：禁止涉密資料輸入、限制使用未明確審查之外部生成工具、導入前應諮詢資安機構。 （三）政策溝通與政治聲明：平將明大臣在記者會上多次強調DeepSeek雖未明列於法條中禁用，但其高風險屬性應視同「潛在危害工具」，需列入高敏感度審查項目。 二、日本的漸進式預防原則 對於DeepSeek的管制措施並未升高至法律層級，日本政府亦沒有一概禁止DeepSeek的使用，而是交由各機關獨自判斷[5]。這反映出了日本在AI治理上的「漸進式預防原則」：先以行政指引建構紅線，再視實際風險與民間回饋考慮是否立法禁用。這樣的作法既保留彈性，又讓官僚系統有所依循，避免「先開放、後收緊」所帶來的信任危機。 三、日本跟循國際趨勢 隨著生成式AI技術迅速普及，其影響已不再侷限於產業應用與商業創新，而是逐漸牽動國家資安、個資保護以及國際政治秩序。特別是生成式AI在資料存取、模型訓練來源及跨境資料流通上的高度不透明，使其成為國家安全與數位主權的新興挑戰。在這樣的背景下，各國對生成式AI工具的風險管理，也從原先聚焦於產業自律與技術規範，提升至涉及國安與外交戰略層面。 日本所採取的標準與國際趨勢相仿。例如韓國行政安全部與教育部也在同時宣布限制DeepSeek使用，歐盟、美國、澳洲等國亦有不同程度的封鎖、審查或政策勸導。日本雖然和美國皆採取「軟法」（soft law）的治理策略，然而，相較於美國以技術封鎖為主，日本因其地緣政治的考量，對於中國的生成式AI採取明確防範的態度，這一點與韓國近期禁止政府機構與學校使用中國AI工具、澳洲政府全面禁止政府設備安裝特定中國應用程式類似。 參、事件評析 這次日本政府對於DeepSeek的應對措施，反映出科技治理中的「資料主權問題」（data sovereignty）：即一個國家是否有能力控制、保存與使用其管轄範圍內所生產的資料。尤其在跨境資料傳輸的背景下，一個國家是否能保障其資料不被外國企業或政府擅自使用、存取或監控，是資料主權的核心問題。 生成式AI不同於傳統AI，其運作依賴大規模訓練資料與即時伺服器連接，因此資料在輸入的瞬間可能已被收錄、轉存甚至交付第三方。日本因而對生成式AI建立「安全門檻」，要求跨境工具若未經審核，即不得進入政府資料處理流程。這樣的應對策略預示了未來國際數位政治的發展趨勢：生成式AI不只是科技商品，它已成為跨國治理與地緣競爭的核心工具。 中國通過的《國家情報法》賦予政府調閱私人企業資料的權力，使得中國境內所開發的生成式AI，儼然成為一種資訊戰略利器。若中國政府藉由DeepSeek滲透他國公部門，這將對國家安全構成潛在威脅。在此背景下，日本對公部門使用DeepSeek的管制，可被解讀為一種「數位防衛行為」，象徵著日本在數位主權議題上的前哨部署。 值得注意的是，日本在處理DeepSeek事件時，採取了「不立法限制、但公開警示」的方式來應對科技風險。此舉既避免激烈封鎖引發爭議，又對於資料的運用設下邊界。由於法令規範之制定曠日費時，為避免立法前可能產生之風險，日本先以軟性之限制與推廣手段以防止危害擴大。 台灣雖與日本同處地緣政治的敏感地帶，資料主權議題對社會影響深遠，為使我國可在尚未有立法規範之狀態下，參考日本所採之行政命令內控與公開說明外宣雙向並行之策略，對台灣或許是一種可行的借鏡模式。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw） [1]個人情報保護委員会，DeepSeekに関する情報提供，https://www.ppc.go.jp/news/careful_information/250203_alert_deepseek/ （最後瀏覽日：2025/05/06）。 [2]《中华人民共和国国家情报法》第7条第1项：「任何组织和公民都应当依法支持、协助和配合国家情报工作，保守所知悉的国家情报工作秘密。」 [3]デジタル社会推進会議幹事会事務局，DeepSeek等の生成AIの業務利用に関する注意喚起（事務連絡），https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/d2a5bbd2-ae8f-450c-adaa-33979181d26a/e7bfeba7/20250206_councils_social-promotion-executive_outline_01.pdf （最後瀏覽日：2025/05/06）。 [4]デジタル庁，平大臣記者会見（令和7年2月7日），https://www.digital.go.jp/speech/minister-250207-01 （最後瀏覽日：2025/05/06）。 [5]Plus Web3 media，日本政府、ディープシークを一律禁止せず　「各機関が可否を判断する」，https://plus-web3.com/media/500ds/?utm_source=chatgpt.com （最後瀏覽日：2025/05/06）。

　　由於網際網路之普及造成違法侵權著作廣泛流通，迫使著作權利人將矛頭轉向ISP業者，請求法院對網路服務業者(以下簡稱：ISP)發出阻斷網路連線禁制令，使用戶無法接近侵權著作。 　　瑞典Svea法院（Patent- och marknadsöverdomstolen）於今年2月13日就一上訴案件中向ISP發出禁制令（föreläggande），推翻斯德哥爾摩地方法院（Stockholms tingsrätt）於前年11月27日之決定。成為瑞典法院第一次針對ISP業者發出阻斷網路連線禁制令之確定判決（Domen går inte att överklaga）。該案是由華納、新力、聯合音樂、北歐電影與瑞典電影中心聯合提起，請求法院命一瑞典ISP（Bredbandsbolaget）阻斷二個涉及著作權侵害之網站連結（The Pirate Bay, Swefilmer）。 　　本案原告於一審主張，被告ISP向其使用者提供網路連接到侵害著作權網站之行為，已構成侵害行為的參與（medverkar），據此請求法院發出禁制令以禁止被告繼續參與侵害行為。一審法院未採納原告請求，認為所謂參與必須是瑞典刑法客觀上對侵權行為人有幫助行為，而ISP單純提供其顧客網路連結到侵權網站並非參與侵權行為。惟上訴審Svea法院認為所謂著作權法上之參與侵權行為認定，需考量歐盟法（Infosoc-directivet）下之解釋。而依據歐盟法院現行實務認定，在歐盟資訊社會指令下（Infosocdirektivet 2001/29/EG），即使ISP只提供網路連結到侵權網站，仍得向ISP發出禁制令，非以刑法上對侵權行為人有幫助行為為要件。因此法院認定本案已具備發出禁制令之條件而推翻一審認定。 　　然而目前法院發出禁制令之作法仍存有諸多問題。其一，禁制令是否真得能夠達成使ISP用戶不接近違法內容之目的，其有效性仍待考驗。其二，法院禁制令是否需就阻斷措施為指定，或是可委由ISP自行決定，只要ISP能達成阻斷目的即可，目前此問題仍有爭論。

2025年7月23日，川普總統簽署行政命令，加速資料中心基礎建設（data center infrastructure）之發展。適用該命令之資料中心，需新增超過100百萬瓦（MW）電力負載，並新增瓦數專用於人工智慧推論、訓練、模擬或產生合成資料。 行政命令內容主要包含以下事項： 1. 政府將為合格資料中心基礎建設提供財政支持，如貸款、貸款擔保、補助金（grants）、稅收優惠（tax incentives）或承購協議（offtake agreements）。本行政命令所稱之合格資料中心基礎建設，其本體或相關設施需符合以下條件之一： (1) 業者承諾投資超過五億美元，五億以上之具體門檻以美國商務部長認定為準。 (2) 新增超過100百萬瓦（MW）之電力負載。 (3) 有助於維護國家安全。 (4) 經美國國防部、內政部、商務部或能源部之部長指定。 2. 撤銷拜登總統發布之14141號行政命令「推進美國在人工智慧基礎建設領域的領導地位」。該命令原要求在聯邦土地建設人工智慧資料中心者須提供關於多元與氣候議題之說明。 3. 指示政府機關簡化合格資料中心基礎建設的環境審查和許可。 (1) 相關政府機關應向環境品質委員會（Council on Environmental Quality）確定依《國家環境政策法》（National Environmental Policy Act），可以加速合格資料中心基礎建設建置的環境審查豁免措施。 (2) 環境品質委員會應考量資料中心基礎建設對環境產生之影響，制定新的環境審查豁免措施。 4. 對符合FAST-41計畫（FAST-41 program）要求之資料中心基礎建設，加速其取得建設相關許可之過程。 該計畫名稱及內涵緣起於《修復美國地面運輸法》第41章節（Title 41 of the Fixing America's Surface Transportation Act）。一般而言，參與該計畫之建設，需滿足指定投資額、受指定組織贊助、於指定地點興建，或合乎特定環境法規等要求。合乎計畫要求之建設，可與主管機關協調取得建設相關許可之時間，並由聯邦許可改善指導委員會（The Federal Permitting Improvement Steering Council）下屬團隊協助進行專案管理。 5. 環境保護局（Environmental Protection Agency）局長應依法定權限，加速確認可供合格資料中心基礎建設使用的棕地（brownfields）。 依美國環境保護局定義，棕地是指含有危險物質、污染物的土地，因開發利用困難，需進行養護、排除開發障礙，或以其他方式開發。 6. 內政部、能源部應依法確定適合用於建設資料中心的土地，適當授權合格資料中心基礎建設業者在聯邦土地上進行建造。 參酌該行政命令意指，美國政府期許減少環境政策對人工智慧資料中心及相關設施的影響，透過快速推動建設進程，確保美國經濟繁榮，以及在科學、數位經濟領域的領導地位。