華碩因路由器資安漏洞遭起訴一案與美國聯邦貿易委員會達成和解
美國聯邦貿易委員會(Federal Trade Commission, FTC)於2014年間以路由器(Router)與雲端服務的安全漏洞,導生消費者面臨資安與隱私風險之虞,而依據《聯邦貿易委員會法》第5條(Federal Trade Commission Act, 15 U.S.C. § 45(a))委員會防止不公平競爭違法手段(unfair methods of competition unlawful ; prevention by Commission)之規定,即華碩涉嫌行使不公平或詐欺的手段致影響商業活動之公平競爭為由,對我國知名全球科技公司華碩電腦股份有限公司(ASUSTeK Computer, Inc.)進行起訴 。
本案歷經FTC近二年的調查程序後,華碩公司於2016年2月23日同意FTC的和解條件,即華碩公司應針對部分存在資安疑慮的產品依計畫進行改善,並且於未來20年期間內須接受FTC的獨立稽核(independent audits)。 FTC於該案的起訴報告中指出,華碩於銷售其所生產的路由器產品時,曾對消費者強調該產品具許多資安保障措施,具有得以防止使用者不受駭客攻擊等效果;然而,該產品實際上卻具有嚴重的軟體設計漏洞,使駭客得以在使用者未知的情況下,利用華碩路由器的網頁控制面板(web-based control panel)之設計漏洞,任意改變路由器的安全設定;更有專家發現駭客於入侵華碩製造之路由器產品後,得以強佔使用者的網路頻寬。
此外,華碩允許使用者沿用路由器產品的預設帳號密碼,再加上華碩所提供的AiCloud與AiDisk雲端服務功能,讓使用者得以隨身硬碟建立其私有的雲端儲存空間,使得駭客得藉由上述華碩路由器的設計漏洞直接竊取使用者於隨身硬碟內所儲存的資料。FTC並於起訴聲明中指出,駭客利用華碩路由器產品與相關服務的漏洞,於2014年間成功入侵超過12,900多位產品使用者的雲端儲存空間。除此之外,使華碩更加備受譴責的是,當該漏洞被發現之後,其並未主動向產品的使用者強調產品存在該資安問題,更未告知使用者應下載更正該設計漏洞的軟體更新,因此FTC始決定對華碩進行起訴。
黃宇良
法律研究員 編譯整理
FEDERAL TRADE COMMISSION ACT, 15 U.S.C. § 45(a).
Federal Trade Commission, ASUS Settles FTC Charges That Insecure Home Routers and “Cloud” Services Put Consumers’ Privacy At Risk, Feb. 23, 2016, https://www.ftc.gov/news-events/press-releases/2016/02/asus-settles-ftc-charges-insecure-home-routers-cloud-services-put (last visited Feb. 25, 2016).
IN THE MATTER OF ASUSTek Computer, Inc., 142 F.T.C. 3156 (2016), https://www.ftc.gov/system/files/documents/cases/160222asusagree.pdf (last visited Feb. 25, 2016).
2020年6月、9月及11月,印度電子及資訊科技部(Ministry of Electronics and Information Technology, MeitY)分別發布三項公告,內容為封鎖數款具資安風險之應用程式,並直接列出名單,總數一共高達220款。三項公告分別如下: 政府封鎖59款有害印度主權之完整性、防禦力、國家安全及公共利益的手機應用程式(Government Bans 59 mobile apps which are prejudicial to sovereignty and integrity of India, defence of India, security of state and public order)。 政府封鎖118款有害印度主權之完整性、防禦力、國家安全和公共利益的手機應用程式(Government Blocks 118 Mobile Apps Which are Prejudicial to Sovereignty and Integrity of India, Defence of India, Security of State and Public Order)。 政府禁止國內使用者使用43款手機應用程式(Government of India blocks 43 mobile apps from accessing by users in India)。 三項公告皆指出依照資訊技術法(Information Technology Act 2000)第69A條之規定,中央政府為保護印度主權之完整性、國家安全、公共利益而有必要,得透過命令封鎖、監視或解密由特定電腦資源(computer resource)產生、傳送、儲存或管理的資料。依照同法第2條第1項第k款,電腦資源係指電腦設備、電腦網路、軟體或應用程式。 電子及資訊科技部進一步表示,經民眾檢舉後調查發現,在手機Android及iOS系統之應用程式商店中,有許多應用程式未經使用者授權就存取其重要資料,並傳輸到印度境外的伺服器,不僅對印度人民隱私造成威脅,更損害印度國家安全與公共利益。有鑑於此,電子及資訊科技部決定封鎖此類具資安風險之應用程式,將名單中所列應用程式自應用程式商店中下架,名單中包括TikTok、WeChat、淘寶、支付寶、微博等應用程式。由於名單中大多數皆屬中國企業開發之應用程式,外界普遍認為是今年6月中印軍隊於邊界西段加勒萬河谷(Galwan Valley)發生衝突,因此印度透過封鎖中國資通訊服務之手段以牽制對方,預計此舉將導致兩國關係更加緊張。
馬來西亞與印尼反駁對棕櫚油生產破壞環境之指控馬來西亞農產業與產品部長(the Minister of Plantation Industries and Commodities)與印尼農業部長(the Minister of Agriculture)在今(2007)年5月25日共同表示,將採取行動來反制歐洲境內對其所生產棕櫚油有破壞生態環境之虞的論述。在全球暖化的議題發燒且歐盟設定再生能源使用目標的政策導引下,以棕櫚油為原料製造生質柴油的市場需求預期會大幅增加,這兩個全球最大棕櫚油產國於是認為許多對其棕櫚油生產不符永續發展要求的「不實」指控會影響其國內相關產業之發展。兩國政府與產業代表將以舉辦座談會、拜會歐洲各國官員與非政府組織的方式來提供「正確」資訊,同時兩國亦設定提升兩國棕櫚油年產量至1200萬公噸的目標。 然而世界自然基金會德國分會(WWF Germany)所發表的報告指出,棕櫚油之需求增加恐會導致棕櫚油產國的熱帶雨林遭砍伐來作為棕櫚樹的耕地。地球之友(Friends of the Earth)表示,目前已有90%的紅毛猩猩棲息地被破壞,此趨勢繼續下去野生紅毛猩猩將在12年內滅絕;綠色和平組織(Greenpeace)則指出印尼在2000至2005年間以全球最快的速率在砍伐森林,每小時有相當300個足球場面積的林地被破壞。此外,棕櫚油永續生產圓桌會議(the Roundtable on Sustainable Palm Oil,RSPO)亦開始研議棕櫚油生產的最低生態標準,希望能確保其生產符合永續發展之要求。
歐盟發布頻譜政策公眾諮詢書於今年 5 月中旬,歐盟無線頻譜政策小組 ( Radio Spectrum Policy Group ,以下簡稱 RSPG ) 對於是否允許使用用以提供廣播電視服務之頻段,提供多媒體服務 (multimedia services) 一事,表示意見並徵詢共眾意見,而所稱的多媒體服務係指於行動通信環境中,提供結合傳統廣播 ( 一對多 ) 以及通訊 ( 點對點 ) 的服務。於此次的公眾意見諮詢書中, RSPG 表示此次意見諮詢的目的旨在促進多媒體服務的提供,但亦指出多媒體服務的發展不應扭曲頻譜的整體使用規劃以及市場競爭。除此之外,亦不應與歐盟各會員國境內以促進文化及媒體多元化之媒介內容規範相左。而就如何導入多媒體服務一事, RSPG 考量核發新執照,或是重新檢視現有的執照制度,以允許業者得使用頻譜提供多媒體服務。此次的公眾意見諮詢將於 6 月 14 日 結束,其發展有待未來更進一步的觀察。
美國聯邦法官裁決AI「訓練」行為可主張合理使用美國聯邦法官裁決AI「訓練」行為可主張合理使用 資訊工業策進會科技法律研究所 2025年07月07日 確立我國資料創新利用的法制基礎,建構資料開放、共享和再利用的各項機制,滿足民間及政府取得高品質、可信任且易於利用資料的需求,以資料提升我國數位發展的價值,並強化民眾權利的保障,我國於2025年6月16日預告「促進資料創新利用發展條例」,擬推動資料基礎建設,促進更多資料的釋出。 AI發展領先國際的美國,近日首次有聯邦法院對AI訓練資料表達肯定合理使用看法,引發各界關注[1]。我國已開始著力於AI發展所需的資料流通與有效利用,該判決將有助於啟示我國個人資料、著作資料合法使用之法制因應研析。 壹、事件摘要 2025年6月23日美國加州北區聯邦地方法院(United States District Court for the Northern District of California),威廉·阿爾斯法官(Judge William Alsup)針對Andrea Bartz、Charles Graeber、Kirk Wallace Johnson這三位美國作家,對Anthropic公司訓練大型語言模型(Large Language Model, LLM)時使用受其等著作權保護書籍一案,作出指標性的簡易裁決(summary judgment)[2]。 此案被告掃描所購買的實體書籍,以及從盜版網站複製取得的受著作權保護的書籍,儲存在其數位化、可搜尋的檔案中,用來訓練其正在開發的各種大型語言模型。原告主張被當開發Claude AI模型,未經授權使用大量書籍作為訓練資料的行為,為「大規模未經授權利用」。法院則以四要素分析架構,支持合理使用抗辯(Fair Use Defense),強調AI訓練屬於技術發展過程中不可或缺的資料利用,AI公司於模型訓練階段使用著作權書籍,屬於「合理使用」(Fair Use),且具「高度轉化性」(Highly Transformative),包括將購買的實體圖書數位化,但不包括使用盜版,也不及於建立一個永久性的、通用目的的「圖書館(library)」(指訓練資料集)。 貳、重點說明 依美國著作權法第107條(17 U.S.C. § 107)規定,合理使用需綜合考量四要素,法官於本案中認為: 一、使用的目的與性質—形成能力具高度轉化性 AI模型訓練的本質在於學習語言結構、語意邏輯,而非單純複製或重現原著作。AI訓練過程將大量內容作為輸入,經由演算法解析、抽象化、向量化,最終形成轉個彎創造出不同的東西 (turn a hard corner and create something different) 的能力,屬於一種「學習」與「再創造」過程。AI訓練的目的並非為了重現原著作內容,而是為了讓模型具備生成新內容的能力。這種「轉化性」(transformative use)極高,與單純複製或替代原著作的行為有明顯區隔[3]。 另外訓練過程對資料做格式變更本身並未增加新的副本,簡化儲存並實現可搜尋性 (eased storage and enabled searchability),非為侵犯著作權人合法權益目的而進行,亦具有轉化性 (transformative)。原告就所購買的紙本圖書,有權按其認為合適的方式「處置 (dispose)」,將這些副本保存在其資料集中,用於所有一般用途[4]。 二、受保護作品的性質--高度創作性非關鍵因素 法院認同原告所主張的書籍是具有高度創意(creative)的作品理應享有較強的保護。但法院亦認為合理使用的四個要素,須為整體衡量,儘管作品本身具有較高的創意性,但由於使用行為的高度轉化性以及未向公眾直接重製原作表達,整體而言,法院認定用於訓練 LLM 的行為構成合理使用[5]。 三、使用的數量與實質性--巨大數量係轉化所必要 法院認為AI模型訓練需大量內容資料,甚至必須「全書」輸入,看似「大量使用」,但這正是AI技術本質所需。AI訓練是將內容進行抽象化、數據化處理,最終在生成新內容時,並不會原封不動重現原作。所以,雖然訓練過程涉及全部作品,但AI模型的輸出並不會重現原作的具體表達,這與單純複製、重製作品的行為有本質區別[6]。 四、對潛在市場或價值的影響 本案法院明確指出,人工智慧模型(特別是原告的Claude服務)的輸出內容,通常為全新生成內容,並非原作的精確重現或實質模仿冒,而且Claude服務在大型語言模型(LLM)與用戶之間加入額外功能,以確保沒有侵權輸出提供予用戶。因此,此類生成內容不構成對原作的替代,不會削弱原作的銷售市場,也不會造成市場混淆,而且著作權法保護的是原創而非保護作者免於競爭[7]。 不過即便法院支持被告的合理使用主張,肯定AI訓練與著作權法「鼓勵創作、促進知識流通」的立法目的相符。但仍然指出提供AI訓練的合理使用(Fair Use)不代表資料來源的適法性(Legality of Source)獲得合法認定。沒有任何判決支持或要求,盜版一本本來可以在書店購買的書籍對於撰寫書評、研究書中的事實或創建大型語言模型 (LLM) 是合理必要 (reasonably necessary) 的。此類對原本可(合法)取得的圖書進行盜版的行為,即使用於轉化性使用並立即丟棄,「本質上」、「無可救藥地」(inherently、irredeemably)構成侵害[8]。 參、事件評析 一、可能影響我國未來司法判決與行政函釋 我國於現行著作權法第65條規定下,須於個案交予我國法院認定合理使用主張是否能成立。本案判決為美國首個AI訓練行為可主張合理使用的法院見解,對於我國法院未來就對AI訓練資料取得的合法使用看法,顯見將會產生關鍵性影響。而且,先前美國著作權局之報告認為AI訓練過程中,使用受著作權保護作品可能具有轉化性,但利用結果(訓練出生成式AI)亦有可能影響市場競爭,對合理使用之認定較為嚴格,而此裁定並未採取相同的見解。 二、搜取網路供AI訓練資料的合理使用看法仍有疑慮 依據本會科法所創智中心對於美國著作權法制的觀察,目前美國各地法院中有多件相關案件正在進行審理,而且美國著作權局的合理使用立場較偏向有利於著作權利人[9]。相同的是,均不認同自盜版網站取得的資料可以主張合理使用。然而AI訓練所需資料,除來自於既有資料庫,亦多來自網路搜取,如其亦不在可主張範圍,那麼AI訓練的另一重要資料來源可能會受影響,後續仍須持續觀察其他案件判決結果。 三、有效率的資料授權利用機制仍是關鍵 前揭美國著作權局報告認為授權制度能同時促進產業發展並保護著作權,產業界正透過自願性授權解決作品訓練之方法,雖該制度於AI訓練上亦尚未為一完善制度。該裁決也指出,可合理使用資料於訓練AI,並不代表盜版取得訓練資料可以主張合理使用。這對於AI開發而言,仍是須要面對的議題。我國若要發展主權AI, 推動分散串接資料庫、建立權利人誘因機制,簡化資料查找與授權流程,讓AI訓練資料取得更具效率與合法性,才能根本打造台灣主權AI發展的永續基礎。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw) [1]相關新聞、評論資訊,可參見:Bloomberg Law, "Anthropic’s AI Book-Training Deemed Fair Use by US Judge", https://news.bloomberglaw.com/ip-law/ai-training-is-fair-use-judge-rules-in-anthropic-copyright-suit-38;Anthropic wins a major fair use victory for AI — but it’s still in trouble for stealing books, https://www.theverge.com/news/692015/anthropic-wins-a-major-fair-use-victory-for-ai-but-its-still-in-trouble-for-stealing-books;Anthropic Scores a Landmark AI Copyright Win—but Will Face Trial Over Piracy Claims, https://www.wired.com/story/anthropic-ai-copyright-fair-use-piracy-ruling/;Anthropic Wins Fair Use Ruling In Authors' AI Copyright Suit, https://www.thehindu.com/sci-tech/technology/anthropic-wins-key-ruling-on-ai-in-authors-copyright-lawsuit/article69734375.ece., (最後閱覽日:2025/06/25) [2]Bartz et al. v. Anthropic PBC, No. 3:24-cv-05417-WHA, Doc. 231, (N.D. Cal. June 23, 2025),https://cdn.arstechnica.net/wp-content/uploads/2025/06/Bartz-v-Anthropic-Order-on-Fair-Use-6-23-25.pdf。(最後閱覽日:2025/06/25) [3]Id. at 12-14. [4]Id. at 14-18. [5]Id. at 30-31. [6]Id. at 25-26. [7]Id. at 28. [8]Id. at 18-19. [9]劉家儀,美國著作權局發布AI著作權報告第三部分:生成式AI訓練-AI訓練是否構成合理使用?https://stli.iii.org.tw/article-detail.aspx?no=0&tp=1&d=9352。