何謂芬蘭「SHOKs」?
2006年芬蘭研究創新委員會在其創新政策倡議中指出,為結合產學研就重大發展領域進行長期合作,加速該國公私合作投入創新過程 Public-Private Partnerships (PPP),故以非營利性有限公司型態成立科學技術創新策略中心(Strategic Centres for Science, Technology and Innovation, SHOKs)。
SHOKs的計畫經費主要由芬蘭技術處(Tekes)提供補助,惟政府補助比例上限:最高上限75%,必要時Tekes可減少補助以符合上述比例。2008年到2014年用於補助研究計畫金額總和為5.45億歐元。
SHOKs科研計畫成果智財權歸屬及運用規定概述如下:
一、既有智慧財產權歸屬及運用:
1.參與者共同執行研究計畫不影響其既有智慧財產權之歸屬。
2.參與者之既有智慧財產權,若屬其他共同參與者執行計畫有必要者,應依無償或FRAND原則對其他共同執行研究計畫之參與者進行授權。
3.與執行計畫目的無關之既有智慧財產權使用,應另行協商授權事宜。
二、計畫成果智慧財產權歸屬:
1.歸屬於產出成果之一方,但如成果是多方參與者共同產出,原則上共有,但可另約定僅歸屬一方。
2.非SHOKs股東對研發成果產出有重大貢獻者,該研發成果亦可歸屬於該非SHOKs股東。
三、計畫成果智慧財產權之運用:
1.參與者為研究機構者,應向欲運用其研發成果之企業參與者進行移轉或授權時,收取相當於市場價格的補償金。
2.研究計畫參與者得無償取得相同及全球範圍之成果使用權,但除研究機構外不得再授權。
本文為「經濟部產業技術司科技專案成果」
劉憶成
法律研究員 編譯整理
德國聯邦及各邦獨立資料保護監督機關(unabhängige Datenschutzaufsichtsbehörden)共同於2019年4月3日,召開第97屆資料保護會議通過哈姆巴爾宣言(Hambacher Erklärung,以下簡稱「Hambacher宣言」)。該宣言指出人工智慧雖然為人類帶來福祉,但同時對法律秩序內自由及民主體制造成巨大的威脅,特別是人工智慧系統可以透過自主學習不斷蒐集、處理與利用大量個人資料,並且透過自動化的演算系統,干預個人的權利與自由。 諸如人工智慧系統被運用於判讀應徵者履歷,其篩選結果給予女性較不利的評價時,則暴露出人工智慧處理大量資料時所產生的性別歧視,且該歧視結果無法藉由修正資料予以去除,否則將無法呈現原始資料之真實性。由於保護人民基本權利屬於國家之重要任務,國家有義務使人工智慧的發展與應用,符合民主法治國之制度框架。Hambacher宣言認為透過人工智慧系統運用個人資料時,應符合歐盟一般資料保護規則(The General Data Protection Regulation,以下簡稱GDPR)第5條個人資料蒐集、處理與利用之原則,並基於該原則針對人工智慧提出以下七點個資保護之要求: (1)人工智慧不應使個人成為客體:依據德國基本法第1條第1項人性尊嚴之保障,資料主體得不受自動化利用後所做成,具有法律效果或類似重大不利影響之決策拘束。 (2)人工智慧應符合目的限制原則:透過人工智慧系統蒐集、處理與利用個人資料時,即使後續擴張利用亦應與原始目的具有一致性。 (3)人工智慧運用處理須透明、易於理解及具有可解釋性:人工智慧在蒐集、處理與利用個人資料時,其過程應保持透明且決策結果易於理解及可解釋,以利於追溯及識別決策流程與結果。 (4)人工智慧應避免產生歧視結果:人工智慧應避免蒐集資料不足或錯誤資料等原因,而產生具有歧視性之決策結果,控管者或處理者使用人工智慧前,應評估對人的權利或自由之風險並控管之。 (5)應遵循資料最少蒐集原則:人工智慧系統通常會蒐集大量資料,蒐集或處理個人資料應於必要範圍內為之,且不得逾越特定目的之必要範圍,並應檢查個人資料是否完全匿名化。 (6)人工智慧須設置問責機關進行監督:依據GDPR第12條、第32條及第35條規定,人工智慧系統內的控管者或處理者應識別風險、溝通責任及採取必要防範措施,以確保蒐集、處理與利用個人資料之安全性。 (7)人工智慧應採取適當技術與組織上的措施管理之:為了符合GDPR第24條及第25條規定,聯邦資料保護監督機關應確認,控管者或處理者採用適當的現有技術及組織措施予以保障個人資料。 綜上所述,Hambacher宣言內容旨在要求,人工智慧在蒐集、處理及利用個人資料時,除遵守歐盟一般資料保護規則之規範外,亦應遵守上述提出之七點原則,以避免其運用結果干預資料主體之基本權利。
法國出版商起訴GOOGLE侵權法國3大出版商5月11日宣稱將起訴Google,因Google未獲出版社允許,掃瞄了成千的書籍上傳到其網路圖書館。法國3大出版社為Gallimard、Flammarion和Albin Michel,在巴黎法院要求98億歐元(美金114億元)的損害賠償。 出版商宣稱Google未經同意而用數位掃描將近1萬本書籍內容於網站上,使大眾可以在線上獲得。出版商的法律團隊代表表示每掃描一本出版社書籍就要付1000歐元損害賠償。 對此,Google回應,他們堅信書籍掃描計畫是合法的,並且說明,我們非常驚訝收到此種指控,我們確信Google Book計畫符合法國法律和國際著作權法。 Google對出版商表示:「Google肩負著繼續與出版商一同工作,並且幫助出版商發展數位服務和讓出版的著作得以讓法國與海外的網路使用者接觸。」 另一位法國的出版商La Martiniere,在2009年用同樣的爭議成功的起訴了Google,在美國法院也推翻了Google掃描美國出版書籍內容的經營模式。
世界經濟論壇發布《人工智慧公平性和包容性藍圖》白皮書世界經濟論壇(World Economic Forum, WEF)於2022年6月29日發布《人工智慧公平性和包容性藍圖》白皮書(A Blueprint for Equity and Inclusion in Artificial Intelligence),說明在AI開發生命週期和治理生態系統中,應該如何改善公平性和強化包容性。根據全球未來人類AI理事會(Global Future Council on Artificial Intelligence for Humanity)指出,目前AI生命週期應分為兩個部分,一是管理AI使用,二是設計、開發、部署AI以滿足利益相關者需求。 包容性AI不僅是考量技術發展中之公平性與包容性,而是需整體考量並建立包容的AI生態系統,包括(1)包容性AI基礎設施(例如運算能力、資料儲存、網路),鼓勵更多技術或非技術的人員有能力參與到AI相關工作中;(2)建立AI素養、教育及意識,例如從小開始開啟AI相關課程,讓孩子從小即可以從父母的工作、家庭、學校,甚至玩具中學習AI系統對資料和隱私的影響並進行思考,盡可能讓使其互動的人都了解AI之基礎知識,並能夠認識其可能帶來的風險與機會;(3)公平的工作環境,未來各行各業需要越來越多多元化人才,企業需拓寬與AI相關之職位,例如讓非傳統背景人員接受交叉培訓、公私協力建立夥伴關係、提高員工職場歸屬感。 在設計包容性方面,必須考慮不同利益相關者之需求,並從設計者、開發者、監督機關等不同角度觀察。本報告將包容性AI開發及治理整個生命週期分為6個不同階段,期望在生命週期中的每個階段皆考量公平性與包容性: 1.了解問題並確定AI解決方案:釐清為何需要部署AI,並設定希望改善的目標變量(target variable),並透過制定包容性社會參與框架或行為準則,盡可能實現包容性社會參與(特別是代表性不足或受保護的族群)。 2.包容性模型設計:設計時需考慮社會和受影響的利益相關者,並多方考量各種設計決策及運用在不同情況時之公平性、健全性、全面性、可解釋性、準確性及透明度等。 3.包容性資料蒐集:透過設計健全的治理及隱私,確定更具包容性的資料蒐集路徑,以確保所建立之模型能適用到整體社會。 4.公平和包容的模型開發及測試:除多元化開發團隊及資料代表性,組織也應引進不同利益相關者進行迭代開發與測試,並招募測試組進行測試與部署,以確保測試人群能夠代表整體人類。且模型可能隨著時間發展而有變化,需以多元化指標評估與調整。 5.公平地部署受信任的AI系統,並監控社會影響:部署AI系統後仍應持續監控,並持續評估可能出現新的利益相關者或使用者,以降低因環境變化而可能產生的危害。 6.不斷循環發展的生命週期:不應以傳統重複循環過程看待AI生命週期,而是以流動、展開及演變的態度,隨時評估及調整,以因應新的挑戰及需求,透過定期紀錄及審查,隨時重塑包容性AI生態系統。 綜上,本報告以包容性AI生態系統及生命週期概念,期望透過基礎設施、教育與培訓、公平的工作環境等,以因應未來無所不在的AI社會與生活,建立公司、政府、教育機構可以遵循的方向。
歐洲個人資料保護委員會發布數位服務法與一般資料保護規則相互影響指引「歐洲資料保護委員會」(European Data Protection Board, EDPB)於2025年9月12日發布《數位服務法》(Digital Services Act, DSA)與《一般資料保護規則》(General Data Protection Regulation, GDPR)交互影響指引(Guidelines 3/2025 on the interplay between the DSA and the GDPR)。這份指引闡明中介服務提供者(intermediary service providers)於履行DSA義務時,應如何解釋與適用GDPR。 DSA與GDPR如何交互影響? 處理個人資料的中介服務提供者,依據處理個資的目的和方式或僅代表他人處理個資,會被歸屬於GDPR框架下的控制者或處理者。此時,DSA與GDPR產生法規適用的交互重疊,服務提供者需同時符合DSA與GDPR的要求。具體而言,DSA與GDPR產生交互影響的關鍵領域為以下: 1.非法內容檢測(Illegal content detection):DSA第7條鼓勵中介服務提供者主動進行自發性調查,或採取其他旨在偵測、識別及移除非法內容或使其無法存取的措施。指引提醒,中介服務提供者為此採取的自發性行動仍須遵守GDPR要求的處理合法性,而此時最可能援引的合法性依據為GDPR第6條第1項第f款「合法利益」(legitimate interests)。 2.通知與申訴等程序:DSA所規定設通報與處置機制及內部申訴系統,於運作過程中如涉及個資之蒐集與處理,應符GDPR之規範。服務提供者僅得蒐集履行該義務所必須之個人資料,並應確保通報機制不以通報人識別為強制要件。若為確認非法內容之性質或依法須揭露通報人身分者,應事前告知通報人。同時,DSA第20條與第23條所規範之申訴及帳號停權程序,均不得損及資料主體所享有之權利與救濟可能。 3.禁止誤導性設計模式(Deceptive design patterns):DSA第25條第1項規範,線上平台服務提供者不得以欺騙或操縱其服務接收者之方式,或以其他實質扭曲或損害其服務接收者作出自由且知情決定之能力之方式,設計、組織或營運其線上介面,但DSA第25條第2項則宣示,線上平台提供者之欺瞞性設計行為若已受GDPR規範時,不在第25條第1項之禁止範圍內。指引指出,於判斷該行為是否屬 GDPR 適用範圍時,應評估其是否涉及個人資料之處理,及該設計對資料主體行為之影響是否與資料處理相關。指引並以具體案例補充,區分屬於及不屬於 GDPR 適用之欺瞞性設計模式,以利實務適用。 4.廣告透明度要求:DSA第26條為線上平台提供者制定有關廣告透明度的規範,並禁止基於GDPR第9條之特別類別資料投放廣告,導引出平台必須揭露分析之參數要求,且平台服務提供者應提供處理個資的法律依據。 5.推薦系統:線上平台提供者得於其推薦系統(recommender systems)中使用使用者之個人資料,以個人化顯示內容之順序或顯著程度。然而,推薦系統涉及對個人資料之推論及組合,其準確性與透明度均引發指引的關切,同時亦伴隨大規模及/或敏感性個人資料處理所帶來之潛在風險。指引提醒,不能排除推薦系統透過向使用者呈現特定內容之行為,構成GDPR第22條第1項的「自動化決策」(automated decision-making),提供者於提供不同推薦選項時,應平等呈現各項選擇,不得以設計或行為誘導使用者選擇基於剖析之系統。使用者選擇非剖析選項期間,提供者不得繼續蒐集或處理個人資料以進行剖析。 6.未成年人保護:指引指出,為了符合DSA第28條第1項及第2項所要求於線上平台服務中實施適當且相稱的措施,確保未成年人享有高度的隱私、安全與保障,相關的資料處理得以GDPR第6條第1項第c款「履行法定義務」作為合法依據。 7.系統性風險管理:DSA第34與35條要求超大型在線平台和在線搜索引擎的提供商管理其服務的系統性風險,包括非法內容的傳播以及隱私和個人數據保護等基本權利的風險。而指引進一步提醒,GDPR第25條所設計及預設之資料保護,可能有助於解決這些服務中發現的系統性風險,並且如果確定系統性風險,根據GDPR,應執行資料保護影響評估。 EDPB與其他監管機關的後續? EDPB的新聞稿進一步指出,EDPB正在持續與其監管關機關合作,以釐清跨法規監理體系並確保個資保護保障之一致性。後續進一步的跨法域的指引,包含《數位市場法》(Digital Markets Act, DMA)、《人工智慧法》(Artificial Intelligence Act, AIA)與GDPR的相互影響指引,正在持續制定中,值得後續持續留意。