歐盟對於「被遺忘權」公布指導方針與實施準則
歐盟資料保護主管機關(European Union Data Protection Authorities, EU DPAs,以下簡稱DPAs)所組成的第二十九條資料保護工作小組(The Article 29 Working Party,以下簡稱WP29) ,於2014年11月26日宣布將適用5月13日Google西班牙案(C-131/12)判決結果之指導方針(guideline)。該項宣示確立了被遺忘權效力所及之範圍,以及各國DPAs受理資料主體(data subject)所提出訴訟之標準。
WP29表示,一如該判決所示,將連結於搜尋結果清單中移除,必須以全球網域為範圍,才能使資料主體權利受到完整、有效之保護,並且所依據歐盟資料保護指令95/46/EC才不至於受到規避。因此,儘管搜尋引擎營運者如Google認為,該項指令效力僅限制於歐洲,以及全球網域中低於5%歐洲網路使用戶,所以他們只需要將具爭議的連結,從歐盟網域的用戶搜尋結果中移除即可。但WP29則強調,倘若判決僅以歐盟網域為限制範圍,對於欲為歐盟公民隱私保護的立意來說,可能將無法全面保護。鑑此,歐洲隱私監管機構(Europe’s privacy regulators)亦於2014年11月26日表示,搜尋引擎營運者如Google公司,將連結於搜尋結果清單中移除,必須以全球網域為範圍,而非只是僅以歐盟境內網域為資料主體得要求實行被遺忘權(right to be forgotten)的範圍,以符合歐洲法院判決的要求結果。
自該判決所確立之資料保護權利主張,以資料主體發現某一搜尋係以其姓名為基礎,而搜尋結果的清單顯示通往含有該個人資訊網頁之連結,則資料主體得直接與搜尋引擎營運者聯絡(approach);次之,若搜尋引擎營運者不允其要求,資料主體則得轉向各國DPAs,在特定情形下,要求將該連結從搜尋結果清單之移除 。係該判決以歐盟資料保護指令95/46/EC為法規依據,經由釐清相關爭點、樹立指導方針及準則(criteria),謹分別列出如下:
(一)搜尋結果是否連結至個人資訊,並且包含資料主體之姓名、筆名或暱稱;
(二)是否資料主體在公領域居有重要角色或具公眾形象,以及是否公眾應具有取得前述資料之法益;
(三)是否資料主體為少數例子,(意即顯見DPAs可能要求移除該搜尋結果)
(四)是否資料具正確性;
(五)是否資料具關聯性且不過份,並(a)連結至資料主體之工作生活;(b)搜尋結果(the search result)連結至據稱對訴訟者為憎恨、評論、毀謗、汙辱或具侵犯性資訊;(c)資料清楚反映為個人意見,或顯然受過驗證為事實。
(六)是否根據資料保護指令第8條,該資料具敏感性如個人健康狀況、性向或宗教信仰;
(七)是否該資料已經過時,或是對於資料處理目的來說,其存在已為冗贅;
(八)是否該資料處理已足生對資料主體之偏見,並且對其隱私已具有不對等的負面影響;
(九)是否搜尋結果與資料連結,已造成資料主體暴露於危險威脅,例如竊取身分或受到跟蹤;
(十)是否資料主體(a)自願使公眾知悉其資訊內容,或(b)可合理據知其所資訊內容將使公眾所知悉,或(c)意圖使公眾知悉其資訊內容;
(十一)原有資訊是否以新聞目的為出版,而該項標準不得單獨為拒絕請求移除之基礎;
(十二)資訊之出版者是否具有法律依據或義務,使該個人資料得公諸於世;
(十三)是否該資料涉及刑事犯罪,而應由DPAs以公權力使犯罪者資訊公諸於世,原則上DPAs可能考慮對犯罪發生年代相對久遠、犯行較輕者,為搜尋結果之移除;而較不可能對近期發生、犯行嚴重者,為搜尋結果之移除。
以上13項準則皆立基於大眾取得資料權之法益為衡量,供各國依個案判斷是否受理資料主體所提出訴訟,以俾利未來各國DPAs處理相關爭訟之遵循依據。
本文為「經濟部產業技術司科技專案成果」
印第安那州首席檢察官Greg Zoeller對Wellpoint保險公司提起訴訟標的金額30萬美元之損害賠償訴訟,主張該公司因遲延向首席檢察署及超過32,000萬因個人資料外洩影響所及之客戶通報個資外洩事件,而違反印第安那州通報法〈Indiana notification laws〉中通報及揭露規定〈Chapter 3. Disclosure and Notification Requirements及Chapter 3. Disclosure and Notification Requirements〉,依法各得請求15萬美元罰金,此為印第安那州提起之首件違反通報義務之訴訟。 前述法令於2009年7月生效,新法規定個人資料擁有者〈database owners〉負有「通報義務」,其於個資外洩事件發生後,必須在「合理期間」〈within a reasonable period of time〉內,對「潛在受影響之個人」〈both the individuals potentially affected by a data breach〉,以及檢察署通報,惟經調查,該公司未於合理時間內通報前述應通報之對象。 經查該公司於今〈2010〉年2、3月間即發現客戶個資外洩,卻6月18日始通知客戶,檢察署展開調查後認定其遲延通報無正當理由,故代表印地安那州向其提起民事賠償。 前述所指外洩之個人資料包括:提出投保申請者之個人資料內容,諸如「社會安全碼」〈social security number〉、「財務資訊」〈financial information〉、「健康記錄」〈health records〉,因該保險公司網頁之照管者〈siteminder〉未能實行安全防護,使盜竊身分之人〈identity thief〉得以改變統一資源定址器〈URL〉而窺見申請者的個人資訊。 除印第安那州客戶外,該保險公司因客戶個資外洩亦使其他州投保申請者資訊曝露,包括:美國加州、科羅拉多、康乃迪克、肯特基、密蘇里、內華達、新罕布夏、俄亥俄及威思康辛等九個州,約有47萬個客戶可能因此受影響。
事前的事故應變計畫得降低資料外洩成本根據Ponemon Institute的調查,2011年至2012年中,英國企業資料侵害事故平均成本增加了15%。賽門鐵克指出,若企業備有正式的事故應變計畫,每項資料侵害事故的平均成本會降低至13英磅左右。除此之外,雇用外部顧問來協助應變,資料侵害事故的平均成本也會節省4英磅。 依據新的資料保護法律架構,歐盟委員會日前已開始擬訂新的資料侵害事故通知制度。同時,根據不同委員會的需求,未來將針對特定產業,制定新的網路與資訊安全管理規範。 專家評估未來責任保險將成為確保資訊安全的新潮流。企業藉由事先擬定事故應變計劃來降低資料侵害的風險,同時也進行風險轉移的處置措施。各項事故應變計劃之中,保險制度是企業目前較感興趣的措施之一。保險制度除了可用於風險轉移之外,企業還可以從中取得資料侵害事故的專家網絡。這些專家包含事故鑑定專家、公共關係專家、風險管理專家,信用監測提供者或是資料侵害事故的事務處理公司,例如:協助發送事故通知的公司。保險業建置的專家網絡,未來將可以幫助要保人,以最快最省成本的方式處理相關事故。
美國和歐盟合作推動統一優良臨床試驗規範美國聯邦食品藥物管理局(U.S. Food and Drug Administration)和歐洲醫藥局(European Medicines Agency)在2009年7月31日共同公佈了一項名為優良臨床試驗行動(Good Clinical Practices Initiative)的合作計畫,期能藉由該計畫,使得不論是在美國或歐盟,所有臨床試驗之執行,都有遵守相同且適當的規範。 在醫藥品上市申請的實務中,因為大部份的醫藥品都會企圖向廣大的歐美市場扣關,同樣的臨床試驗通常也會分別提交到兩地的醫藥品上市許可申請程序中。故若兩地主管機關可以合作訂出統一的優良臨床試驗規範,則可避免因重複審查所造成的資源浪費,申請者也可以因為統一的規範而加速其在兩地審查的程序,且在跨國資訊交流整合下,也可為臨床試驗研究的參與者提供更好的安全基礎。 此次美國聯邦食品藥物管理局,和歐洲醫藥局合作之優良臨床試驗行動的幾個主要目標如下: 一、定期交換有關優良臨床試驗之實務操作資訊:交換的資訊包括(1)彼此的優良臨床試驗(Good Clinical Practices, GCP)查核計畫,以了解有那些臨床試驗或地點是對方會去查核的,就不需要重覆查核;(2)彼此受理的上市申請案件中,有關GCP的如科學上的建議或上市申請的結果等;以及(3)彼此執行GCP查核之結果。二、共同執行優良臨床試驗審查:藉此了解對方之GCP查核程序,並進而信賴彼此之程序,也藉由共同執行時之交流,提昇彼此查核之技巧,及精進查核之程序。 三、合作增進優良臨床試驗規範:藉由對彼此GCP相關法規、指導原則、和政策等的交流及了解,找出現有規範中可予以改進之處,以增進臨床試驗研究的品質。 自2009年9月1日起,此項合作行動將首先開始一個為期18個月的先期行動,在此先期行動結束後,兩主管機關將會共同發布一份包含其整體行動計畫,及雙方就各自既有法規或程序應予以調整部分。
美國聯邦法官裁決AI「訓練」行為可主張合理使用美國聯邦法官裁決AI「訓練」行為可主張合理使用 資訊工業策進會科技法律研究所 2025年07月07日 確立我國資料創新利用的法制基礎,建構資料開放、共享和再利用的各項機制,滿足民間及政府取得高品質、可信任且易於利用資料的需求,以資料提升我國數位發展的價值,並強化民眾權利的保障,我國於2025年6月16日預告「促進資料創新利用發展條例」,擬推動資料基礎建設,促進更多資料的釋出。 AI發展領先國際的美國,近日首次有聯邦法院對AI訓練資料表達肯定合理使用看法,引發各界關注[1]。我國已開始著力於AI發展所需的資料流通與有效利用,該判決將有助於啟示我國個人資料、著作資料合法使用之法制因應研析。 壹、事件摘要 2025年6月23日美國加州北區聯邦地方法院(United States District Court for the Northern District of California),威廉·阿爾斯法官(Judge William Alsup)針對Andrea Bartz、Charles Graeber、Kirk Wallace Johnson這三位美國作家,對Anthropic公司訓練大型語言模型(Large Language Model, LLM)時使用受其等著作權保護書籍一案,作出指標性的簡易裁決(summary judgment)[2]。 此案被告掃描所購買的實體書籍,以及從盜版網站複製取得的受著作權保護的書籍,儲存在其數位化、可搜尋的檔案中,用來訓練其正在開發的各種大型語言模型。原告主張被當開發Claude AI模型,未經授權使用大量書籍作為訓練資料的行為,為「大規模未經授權利用」。法院則以四要素分析架構,支持合理使用抗辯(Fair Use Defense),強調AI訓練屬於技術發展過程中不可或缺的資料利用,AI公司於模型訓練階段使用著作權書籍,屬於「合理使用」(Fair Use),且具「高度轉化性」(Highly Transformative),包括將購買的實體圖書數位化,但不包括使用盜版,也不及於建立一個永久性的、通用目的的「圖書館(library)」(指訓練資料集)。 貳、重點說明 依美國著作權法第107條(17 U.S.C. § 107)規定,合理使用需綜合考量四要素,法官於本案中認為: 一、使用的目的與性質—形成能力具高度轉化性 AI模型訓練的本質在於學習語言結構、語意邏輯,而非單純複製或重現原著作。AI訓練過程將大量內容作為輸入,經由演算法解析、抽象化、向量化,最終形成轉個彎創造出不同的東西 (turn a hard corner and create something different) 的能力,屬於一種「學習」與「再創造」過程。AI訓練的目的並非為了重現原著作內容,而是為了讓模型具備生成新內容的能力。這種「轉化性」(transformative use)極高,與單純複製或替代原著作的行為有明顯區隔[3]。 另外訓練過程對資料做格式變更本身並未增加新的副本,簡化儲存並實現可搜尋性 (eased storage and enabled searchability),非為侵犯著作權人合法權益目的而進行,亦具有轉化性 (transformative)。原告就所購買的紙本圖書,有權按其認為合適的方式「處置 (dispose)」,將這些副本保存在其資料集中,用於所有一般用途[4]。 二、受保護作品的性質--高度創作性非關鍵因素 法院認同原告所主張的書籍是具有高度創意(creative)的作品理應享有較強的保護。但法院亦認為合理使用的四個要素,須為整體衡量,儘管作品本身具有較高的創意性,但由於使用行為的高度轉化性以及未向公眾直接重製原作表達,整體而言,法院認定用於訓練 LLM 的行為構成合理使用[5]。 三、使用的數量與實質性--巨大數量係轉化所必要 法院認為AI模型訓練需大量內容資料,甚至必須「全書」輸入,看似「大量使用」,但這正是AI技術本質所需。AI訓練是將內容進行抽象化、數據化處理,最終在生成新內容時,並不會原封不動重現原作。所以,雖然訓練過程涉及全部作品,但AI模型的輸出並不會重現原作的具體表達,這與單純複製、重製作品的行為有本質區別[6]。 四、對潛在市場或價值的影響 本案法院明確指出,人工智慧模型(特別是原告的Claude服務)的輸出內容,通常為全新生成內容,並非原作的精確重現或實質模仿冒,而且Claude服務在大型語言模型(LLM)與用戶之間加入額外功能,以確保沒有侵權輸出提供予用戶。因此,此類生成內容不構成對原作的替代,不會削弱原作的銷售市場,也不會造成市場混淆,而且著作權法保護的是原創而非保護作者免於競爭[7]。 不過即便法院支持被告的合理使用主張,肯定AI訓練與著作權法「鼓勵創作、促進知識流通」的立法目的相符。但仍然指出提供AI訓練的合理使用(Fair Use)不代表資料來源的適法性(Legality of Source)獲得合法認定。沒有任何判決支持或要求,盜版一本本來可以在書店購買的書籍對於撰寫書評、研究書中的事實或創建大型語言模型 (LLM) 是合理必要 (reasonably necessary) 的。此類對原本可(合法)取得的圖書進行盜版的行為,即使用於轉化性使用並立即丟棄,「本質上」、「無可救藥地」(inherently、irredeemably)構成侵害[8]。 參、事件評析 一、可能影響我國未來司法判決與行政函釋 我國於現行著作權法第65條規定下,須於個案交予我國法院認定合理使用主張是否能成立。本案判決為美國首個AI訓練行為可主張合理使用的法院見解,對於我國法院未來就對AI訓練資料取得的合法使用看法,顯見將會產生關鍵性影響。而且,先前美國著作權局之報告認為AI訓練過程中,使用受著作權保護作品可能具有轉化性,但利用結果(訓練出生成式AI)亦有可能影響市場競爭,對合理使用之認定較為嚴格,而此裁定並未採取相同的見解。 二、搜取網路供AI訓練資料的合理使用看法仍有疑慮 依據本會科法所創智中心對於美國著作權法制的觀察,目前美國各地法院中有多件相關案件正在進行審理,而且美國著作權局的合理使用立場較偏向有利於著作權利人[9]。相同的是,均不認同自盜版網站取得的資料可以主張合理使用。然而AI訓練所需資料,除來自於既有資料庫,亦多來自網路搜取,如其亦不在可主張範圍,那麼AI訓練的另一重要資料來源可能會受影響,後續仍須持續觀察其他案件判決結果。 三、有效率的資料授權利用機制仍是關鍵 前揭美國著作權局報告認為授權制度能同時促進產業發展並保護著作權,產業界正透過自願性授權解決作品訓練之方法,雖該制度於AI訓練上亦尚未為一完善制度。該裁決也指出,可合理使用資料於訓練AI,並不代表盜版取得訓練資料可以主張合理使用。這對於AI開發而言,仍是須要面對的議題。我國若要發展主權AI, 推動分散串接資料庫、建立權利人誘因機制,簡化資料查找與授權流程,讓AI訓練資料取得更具效率與合法性,才能根本打造台灣主權AI發展的永續基礎。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw) [1]相關新聞、評論資訊,可參見:Bloomberg Law, "Anthropic’s AI Book-Training Deemed Fair Use by US Judge", https://news.bloomberglaw.com/ip-law/ai-training-is-fair-use-judge-rules-in-anthropic-copyright-suit-38;Anthropic wins a major fair use victory for AI — but it’s still in trouble for stealing books, https://www.theverge.com/news/692015/anthropic-wins-a-major-fair-use-victory-for-ai-but-its-still-in-trouble-for-stealing-books;Anthropic Scores a Landmark AI Copyright Win—but Will Face Trial Over Piracy Claims, https://www.wired.com/story/anthropic-ai-copyright-fair-use-piracy-ruling/;Anthropic Wins Fair Use Ruling In Authors' AI Copyright Suit, https://www.thehindu.com/sci-tech/technology/anthropic-wins-key-ruling-on-ai-in-authors-copyright-lawsuit/article69734375.ece., (最後閱覽日:2025/06/25) [2]Bartz et al. v. Anthropic PBC, No. 3:24-cv-05417-WHA, Doc. 231, (N.D. Cal. June 23, 2025),https://cdn.arstechnica.net/wp-content/uploads/2025/06/Bartz-v-Anthropic-Order-on-Fair-Use-6-23-25.pdf。(最後閱覽日:2025/06/25) [3]Id. at 12-14. [4]Id. at 14-18. [5]Id. at 30-31. [6]Id. at 25-26. [7]Id. at 28. [8]Id. at 18-19. [9]劉家儀,美國著作權局發布AI著作權報告第三部分:生成式AI訓練-AI訓練是否構成合理使用?https://stli.iii.org.tw/article-detail.aspx?no=0&tp=1&d=9352。