瑞典Attunda地方法院關於Hyperlink之侵害著作權判決-

日本個人資料保護法啟動修法--放寬AI開發的本人同意要件 資訊工業策進會科技法律研究所 2026年06月18日 日本政府於2026年4月7日經閣議決定，提出由個人資料保護委員會（個人情報保護委員会，下稱PPC）研擬之《個人資料之保護等相關法律部分修正法律案》（個人情報の保護に関する法律等の一部を改正する法律案，下稱修正草案），並送請第221回特別國會審議；眾議院本會議已於同年5月26日表決通過，目前由參議院續審，預計於本會期內完成立法[1]。 壹、背景摘要 日本個資法於2020年修正時，於附則第10條明定政府應於施行後每三年檢視國際動向、資通訊技術進展及個人資料新型應用之發展，必要時採取必要措施[2]。PPC據此自令和5年（2023年）起展開檢討，歷經團體意見聽取、中間整理意見徵集，並於今年1月9日公布「三年一度檢討之制度改正方針」，4月7日內閣會議決定提出「個人資料保護法等之一部修正法律案」[3]。 此修正案之提出，主要源自於日本人工智慧基本計畫~以「可信賴AI」實現「日本再起」（令和7年12/23閣議決定）所提出的政策--就可整理為統計編製等之AI開發等所涉之本人同意方式、規範遵循之實效性確保等加以檢討，力求及早將「個人資料保護法」修正案提交國會[4]。 貳、重點說明 本次修正案之主要修正分為「適正(即正當)資料利用之推進」、「因應風險之妥適規範」、「不適正利用等之防止」及「法遵實效性確保之規範」四大面向。依據PPC前述「關於《個人資料之保護等相關法律部分修正法律案》(個人情報保護法等の一部を改正する法律案について)」之說明，有關放寬AI個資取得部分之重點如下： 一、就統計編製鬆綁第三人提供與要配慮個人資料取得之同意 依日本現行個資法規定，要配慮個人資料（信仰、病歷、犯罪歷等可能導致歧視之資訊）之取得（§20Ⅱ）、個人資料之第三人提供（§27Ⅰ）等，除符合例外規定外，原則需本人同意。為因應「多事業者共享資料、橫向解析以編製統計」之需求升高，且產出是統計、無法回頭對應到某個特定個人，對當事人權益的侵害風險較低，因此修正草案（§30之2、§31之3）於統計資訊等編製（含可整理為統計編製之AI開發等）的條件下，允許將個人資料提供第三人、取得已公開要配慮個人資料，得免本人同意；行政機關等保有之個資亦同。但為擔保資料僅用於統計編製，必須公告取得者、提供者與接收者之姓名名稱、擬進行之統計編製內容等一定事項；提供者與接收者須以書面約定僅以統計編製為目的；取得者及接收者禁止此目的外利用及再提供予第三人[5]。 二、不違反本人意思、明顯不害本人權利利益者免除同意 現行日本個資法就個人資料提供第三人（§27Ⅰ），原則需取得同意。此次修正草案規定：個人資料提供第三人（含§18Ⅲ目的外利用、§20Ⅱ要配慮個資取得；上開免同意例外分別定於修正草案第18條第3項第7款、第20條第2項第7款、第27條第1項第8款），於依取得狀況觀之，可認不違反本人意思因而明顯不害本人權利利益之情形，免本人同意。例如：訂房網站A依訂房利用契約，將訂房者姓名等提供予飯店B，或匯款來源金融機構C受託對D付款，將匯款人資訊提供予匯款目的金融機構D[6]。此外，就為保護生命、身體、財產，或為增進公眾衛生、推進兒童健全成長而處理個人資料之情形，於現行「難以取得本人同意時」之外，增列「有相當理由而未取得本人同意時」亦得免同意（第18條第2項第2款、第3款，第20條第2項第2款、第3款，第27條第1項第2款、第3款）。另草案並將「學術研究機關等」之學術研究例外，擴及以提供醫療為目的之機關或團體（如醫院，第16條第9項），俾醫學與生命科學研究得據以進行[7]。 參、事件評析 日本此次修正草案最具產業意義者，係將「可整理為統計編製等」之AI開發所需情況，明文納入免同意之第三人提供與要配慮個人資料取得範圍，直接回應AI開發對大量訓練資料之需求。有關已公開或既有個人資料得否用於AI訓練的合法依據，觀察近年國際動向明顯有朝向提供同意以外之合法路徑，並搭配保障措施例如當事人退出權的趨勢。 韓國個人資料保護委員會（PIPC）於2024年7月發布之指引，明確確認公開之個人資料得據以用於AI訓練，惟須符合正當利益存在、處理必要性、且該利益「明顯優越於」當事人權利之要件，並落實查證資料來源、產出過濾等技術措施，以及保障當事人權利行使之機制[8]。歐盟資料保護委員會（EDPB）於2024年12月17日通過第28/2024號意見，確認一般資料保護規則（GDPR）第6條第1項第f款之「正當利益」得作為AI模型開發與部署階段之合法依據，惟須逐案通過「正當利益之認定—處理必要性—與當事人基本權利之權衡」之保障措施[9]。 我國個資法並未如GDPR、韓國PIPA設有概括之「正當利益」合法事由，係規定一般個人資料之蒐集或處理個人資料可取自一般可得來源之依據，除非當事人對該資料之禁止處理或利用顯有更值得保護之重大利益[10]。但已取得的個人資料已無從識別特定當事人，可基於公共利益為統計或學術研究目的利用的，亦限於公務機關或學術研究機構[11]。而且取自一般可得來源的事由亦不適用於特種個資為學術研究目的所為蒐集處理，限於醫療、衛生或犯罪預防，範圍亦較一般個資為窄[12]。 相較韓、歐、日相繼就AI訓練的個人資料取得，提供明文之合法路徑並配套退出等保障機制，我國現行路徑要件若能進一步參考納入概括的正當利益或明文目的做有限豁免，並配套日本規範透明化、當事人退出與權利行使之配套，應有助於填補現行規範不足之缺口。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://keid.nat.gov.tw/tips/） [1]〈悪質業者に「課徴金」　個人情報保護法改正案、衆院通過〉，時事通信，2026年5月26日，https://www.jiji.com/jc/article?k=2026052600074&g=pol（最後瀏覽日：2026年6月11日）。 [2]個人情報保護委員会事務局，《個人情報保護法等の一部を改正する法律案について》（令和8年4月），頁1，https://www.ppc.go.jp/files/pdf/260407_kisyahaifusiryou.pdf（最後瀏覽日：2026年6月11日）。 [3]個人情報保護委員会事務局，前揭註2，頁1（「これまでの検討経緯」）。 [4]個人情報保護委員会事務局，前揭註2，頁2-4。（最後瀏覽日：2026年6月11日）。 [5]同前註，頁6。 [6]同前註，頁7。 [7]修正後第16條第9項明定「學術研究機關等」含以提供醫療為目的之機關或團體（如醫院）；其學術研究目的之目的外利用（修正後第18條第3項）、受保護個人資料取得（修正後第20條第2項）及第三人提供（修正後第27條第1項）之學術研究例外亦隨之適用；個人情報保護委員会事務局，前揭註2，頁9。 [8]대한민국 개인정보보호위원회（韓國個人資料保護委員會，PIPC），《인공지능(AI) 개발·서비스를 위한 공개된 개인정보 처리 안내서》（人工智慧〔AI〕開發・服務之公開個人資訊處理指引），2024年7月17日公開，明示個人資料保護法第15條第1項第6號「正當利益（정당한 이익）」為AI學習、服務蒐集利用公開個資之實質適法依據，https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=10362（最後瀏覽日：2026年6月11日）。 [9]European Data Protection Board, Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models，https://www.edpb.europa.eu/system/files/2024-12/edpb_opinion_202428_ai-models_en.pdf（最後瀏覽日：2026年6月11日）。 [10]個人資料保護法第19條第1項第7款；個人資料保護法施行細則第19條規定，：「本法第19條第1項第7款所稱一般可得之來源，指透過大眾傳播、網際網路、新聞、雜誌、政府公報及其他一般人可得知悉或接觸而取得個人資料之管道」。 [11] 我國人資料保護法第 20 條第 1 項第 5 款。 [12] 我國人資料保護法第 6 條第 1 項第 4 款。

　　自 92 年歐盟公告「廢電機及電子設備指令」（ WEEE ）及「電機及電子設備使用某些危害物質限制指令」（ RoHS ）以來，國際大廠紛紛制訂各種綠色採購標準以要求供應鏈體系符合無毒性、可回收及省能源的目標。回顧 94 年台灣電機電子產品輸歐出口值為新台幣 2,334.27 億元，影響廠商家數為 31189 家，因此這兩項指令執行之後，對台灣產業的衝擊影響甚鉅。 　　為協助國內中小企業因應歐盟 RoHS 指令之執行，經濟部中小企業處自 93 年起即已開始進行相關輔導工作，解決中小企業在面對綠色採購要求所遭遇之問題，如：法規環境、客戶要求、管理制度、人力資源等，藉由綠色供應鏈輔導，提升中小企業對綠色產品的認知，塑造優質而有效率的綠色供應鏈環境，以強化中小企業綠色競爭力。 　　隨著歐盟指令的推行已逐漸從資訊產品等 3C 大廠擴散到小型家電、玩具運動器材及電動工具等中小型企業規模，因此經濟部中小企業處將持續辦理輔導中小企業進入綠色材料與供應鏈體系，以及清查限用物質診斷、成立網路顧問團提供諮詢、綠色材料及供應鏈人才培訓、建立綠色供應鏈稽核訓練系統、示範觀摩及成果擴散等工作。 　　綠色產品趨勢已是不可擋的潮流，隨著今年 7 月 1 日 RoHS 指令的執行，及後續 EuP 、 REACH 、 … 等一連串綠色指令法規要求，對我國企業是一波波嚴酷的挑戰，需要政府投入更多的資源，繼續協助企業符合客戶綠色採購要求，將環保貿易障礙轉換成企業發展的新契機，開發拓展綠色產品的商機，以提升我國企業之綠色競爭力。

　　區塊鏈技術具有去中心化、透明性、開放性、自治性、訊息不可篡改、匿名性等六大特徵，可加密記錄該系統上所有使用者之行為資訊，並使該資訊不易篡改。其最初被運用在虛擬貨幣比特幣（Bitcoin）的建構，發展至今應用已拓展至諸多領域，包括對智慧財產權的保護。美國的blockai網站即是將區塊鏈技術運用於智財保護的實例之一，美國過去由國會圖書館負責著作權之管理之作法，在程序上曠日費時且效率不彰，故blockai於2015年創立於美國舊金山，旨在提供著作人更簡單有效的選擇。其作法係由著作人於blockai註冊帳號後進行作品之註冊並取得一相應之著作權證書，並由blockai以區塊鏈技術建立公眾資料庫，透過區塊鏈不可篡改、透明開放等技術特徵來證明作品確由著作人創作，利於後續舉證維權。現階段blockai開立之證書雖未被授與法律上地位，但依區塊鏈的技術特徵，可望成為法庭攻防上著作人有力之科學證據。 　　揆諸我國相關法律，我國非採著作登記制，著作人為維護自身權利需先證明系爭著作為自己所創作，惟訴訟實務上著作人多半舉證不易。若參考美國作法導入區塊鏈技術落實著作權保障，或可作為科技整合法律之新標竿。 「本文同步刊登於TIPS網站（https://www.tips.org.tw）」

　　近期軟體產品(特別是演算法)的智慧財產權保護受到各界廣泛注意，2022年12月美國實務界律師特別撰文對此提出相關智財權保護建議。軟體產品通常涉及演算法，指由人工智慧(AI)和分析組成，用於解決特定問題的一組規則。專利通常被企業預設為保護技術產品的最佳形式。 　　然而在2014年，美國最高法院在Alice Corp. v. CLS Bank International一案中可以發現將軟體申請專利保護可能存在風險，如：（一）軟體可能被認為是抽象概念(abstract ideas)，非專利適格標的，而無法受專利法保護；（二）通常不易主張專利權，或可能在訴訟過程中因舉證責任造成機密資訊揭露等風險。因此該文作者認為難以受專利法保護之演算法、用於基於機器學習或訓練模型的資訊和資料集等軟體資料，亦可考慮透過營業秘密來保護，並提出以下營業秘密管理的建議： 1.員工教育訓練：建議企業可在僱傭的各階段(僱傭時、每年、終止時)採行相關措施、訓練，以減少營業秘密的竊用，及防止未來員工抗辯不知道該資訊是營業秘密。 2.機密標示：建議企業透過此階段審視組織對於機密文件之界定，再透過機密標示配合存取權限設定，協助企業控管與防止機密外流。 3.執行：瞭解需要受管理的營業秘密是什麼以及其為何重要。 4.監控和衡量員工參與度：建議企業採取相關監測機制檢視員工活動，及早發現離職動向與管控營業秘密資訊。 5.避免資訊揭露：建議企業應確保在向消費者或客戶行銷的過程中不洩露營業秘密，或至少採取相關保護措施，如簽訂保密契約。 6.確保資料安全：建議企業可建置網路安全策略、設置密碼、存取限制、外部設備使用下載或儲存限制等管控措施。 　　綜上所述，對於從事軟體開發的企業，除以專利保護產出成果外，還可從技術本質、後續是否容易主張、是否適合公開等面向，評估搭配營業秘密保護成果。並在選擇以營業秘密保護成果時，採行相關的管理措施避免營業秘密外洩而造成企業損失，包括：劃定需管理的營業秘密、制定員工教育訓練與相關管制措施，如機密標示、權限控管，並可搭配預警機制以便能夠即早發現異常。 　　本文同步刊登於TIPS網站（https://www.tips.org.tw）