歐盟網路和資訊系統安全局(ENISA)

  歐盟網路與資訊安全局(ENISA)成立於2004年,目的在於確保歐盟內部網路與資訊安全保持在最高水準,同時也為執行2016年8月生效之歐盟網路和資訊系統安全指令(NIS- Directive),提高歐洲的網路安全準備,以防止並抵禦網路安全事件措施。計有84名工作人員,共同運作位於希臘的兩個辦公室:Heraklion (2005年成立之總部)辦公室;與雅典辦公室(2013年成立),以提高該機構的運作效率。

  ENISA在NIS指令的執行中扮演重要的角色,任務包括支援歐盟機構、會員國國與產業界,快速對網路威脅與資訊安全問題做出反應。它也被要求在執行任務中協助各國間成立的合作小組。此外,更透過指令要求ENISA協助成員國與執委會,提供他的專業意見和建議。

  ENISA戰略有五個面向:
    •提供關鍵網路設施和資訊安全問題之資訊和專業知識。
    •制定和執行歐盟網路政策。
    •建立歐盟間跨國支援能力。
    •培育網路與資訊安全社群的網路演習、協調與支援。
    •促進各國間的合作關係。

  由於ENISA在建立之後網路發展情勢有顯著的演變,其任務和目標應該因應新發展做出調整,故歐盟執委會也在2017年1月開始重新審視其設立之法律依據以應對新情勢發展。

本文為「經濟部產業技術司科技專案成果」

相關連結
你可能會想參加
※ 歐盟網路和資訊系統安全局(ENISA), 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=7739&no=67&tp=5 (最後瀏覽日:2026/07/09)
引註此篇文章
你可能還會想看
歐盟執委會發布人工智慧創新政策套案

歐盟執委會(European Commission)於2024年1月24日發布AI創新政策套案(AI innovation package),將提供全面性的激勵措施,協助AI新創公司、中小企業與歐盟AI技術之發展。AI創新政策套案預計將修訂〈歐盟高效運算聯合承諾〉(the European High Performance Computing Joint Undertaking),以創建AI工廠(AI factories);成立AI辦公室(AI Office);並建立歐盟AI新創與創新交流(EU AI startup and innovation communication),重點分述如下: (1)AI工廠:歐盟執委會在將2027年前透過〈歐盟高效運算聯合承諾〉投資80億歐元,在歐盟境內建設全新的超級電腦,或升級現有高效運算設備,實現高速機器學習(fast machine learning)與訓練大型通用AI模型(large general-purpose AI models),使AI新創公司有機會使用超級電腦與大型通用AI模型來開發各種AI應用。並且,AI工廠將坐落於大型資料存儲中心(large-scale data storage facility)周圍,讓AI模型於訓練時可取得大量可靠的資料。其次,AI工廠將藉由開放超級電腦來吸引大量人才,包含學生、研究員、科學家與新創業者,以培養歐盟高階AI人才,供未來歐盟持續發展可信任的AI(Trustworthy AI)。 (2)AI辦公室:該辦公室將設置於歐盟執委會內,用於確認與協調歐盟成員國AI政策的一致性。此外,該辦公室未來亦將用於監督即將通過之歐盟《AI法案》(AI Act)的執行成效。 (3)歐盟AI新創與創新交流:歐盟執委會將透過〈展望歐洲〉(Horizon Europe)與〈數位歐洲計畫〉(Digital Europe Programme),在2027年前投入40億歐元的公部門與私人投資,俾利歐盟開發生成式AI(Generative AI)模型。該政策套案亦將加速歐盟共同資料空間(Common European Data Spaces)之發展,使歐洲企業得取得可靠且具價值性之資料來訓練AI模型。最後,執委會將啟動歐盟〈生成式AI倡議〉(GenAI4EU initiative),將AI工廠所訓練之生成式AI應用於工業用與服務型機器人、醫療保健、生物科技與化學、材料與電池、製造與工程、車輛移動、氣候變遷與環境保護、網路安全、太空、農業等實際領域,刺激產業創新發展,改善人類生活。

美國聯邦商務部修訂出口管制規則,對可用於惡意網路活動之項目出口、再出口與移轉進行管制

  美國聯邦商務部(Department of Commerce, DOC)下之工業及安全局(Bureau of Industry and Security, BIS)於2021年10月20日公布一暫行最終規則(interim final rule),對出口管制規則(Export Administration Regulation, EAR)進行修訂,其於商品管制清單(Commerce Control List)中增訂「可用於監視、間諜活動或其他破壞、拒絕、降低網路及其設備性能之工具」相關之出口管制分類編碼(Export Control Classification Number, ECCN)項目及說明文字,並增訂「授權網路安全出口(Authorized Cybersecurity Exports, ACE)」的例外許可規定(15 CFR §740.22),該暫行最終規則將於2022年1月19日生效。   被列入商品管制清單內的項目,原則上即不允許出口(或再出口、於國內移轉,以下同),惟透過ACE之例外許可,使前述項目可出口至大多數國家,僅在下列「再例外」情況需申請出口許可: 出口地為反恐目的地:出口目的地為15 CFR §740補充文件一所列類別E:1和E:2之國家時,須申請出口許可。 出口對象為國家類別D之政府終端使用者(Government end user):政府終端使用者係指能提供政府功能或服務之國家、區域或地方之部門、機關或實體,當政府終端使用者歸屬於國家類別D時,須申請出口許可。惟若類別D之國家同時被歸類於類別A:6(如賽普勒斯、以色列及台灣),在特定情況下,如為弱點揭露、犯罪調查等目的,出口予該國之電腦安全事件回應小組;為犯罪調查、訴訟等目的,出口可展現資訊系統上與使用者相關、對系統造成危害或其他影響活動之數位製品(digital artifacts)予警察或司法機關;或出口數位製品予前述政府,而該數位製品涉及由美國公司之子公司、金融服務者、民間健康和醫療機構等優惠待遇網路安全終端使用者(favorable treatment cybersecurity end user)擁有或操作資訊系統相關之網路安全事件時,不適用ACE之再例外規定,而不須申請出口許可。 終端使用者為國家類別D:1、D:5之非政府單位:結合上述第二點之說明,不論出口至國家類別D:1、D:5之政府或非政府單位,皆受ACE之「再例外」拘束,而須申請出口許可。僅當出口特定之ECCN網路安全項目予優惠待遇網路安全終端使用者、基於弱點揭露或網路事件回應之目的出口予非政府單位,或對非政府單位的視同出口(deemed export)行為,方不適用再例外規定,而不須申請出口許可。 終端使用者限制:已知或可得而知該物品將在未獲授權之情況下,被用於影響資訊系統或資訊之機密性、完整性或可用性時,須申請出口許可。

聯合國人權高級專員辦公室發布《數位時代隱私權》調查報告

  聯合國人權高級專員辦公室(Office of the United Nations High Commissioner for Human Rights, OHCHR)於2021年9月15日發布《數位時代隱私權》(The Right to Privacy in The Digital Age)調查報告,分析各種人工智慧技術,例如側寫(profiling)、自動化決策及機器學習,將如何影響人民之隱私或其他權利,包括健康權、教育權、行動自由、言論自由或集會結社自由等,並提出對國家與企業應如何因應之具體建議。 一、針對國家與企業使用人工智慧之共同建議:在整個人工智慧系統生命週期中,包括設計、開發、部署、銷售、取得(obtain)或運營,應定期進行全面的人權影響評估(comprehensive human rights impact assessments),提高系統使用透明度與可解釋性,並應充分通知公眾與受影響之個人其正在使用人工智慧進行決策。 二、針對國家使用人工智慧之建議:應確保所有人工智慧的使用符合人權,明確禁止並停止販售不符合國際人權法運作之人工智慧應用程序。在證明使用該人工智慧系統能遵守隱私及資料保護標準,且不存在重大準確性問題及產生歧視影響之前,應暫停在公共場所使用遠端生物識別技術。並盡速立法及建立監管框架,以充分預防和減輕使用人工智慧可能造成不利人權的影響,以及確保在侵犯人權時能夠有相關之補救措施。 三、針對企業使用人工智慧之建議:應盡力履行維護人權之責任,建議實施商業與人權指導原則(Guiding Principles on Business and Human Rights),並打擊(combat)人工智慧系統開發、銷售或運營相關的歧視,進行系統評估與監測,以及設計有效的申訴機制。

韓國提出生成式AI訓練合理使用判斷原則指引:指明不構成合理使用之情形

韓國提出生成式AI訓練合理使用判斷原則指引:指明不構成合理使用之情形與事例 資訊工業策進會科技法律研究所 2026年07月01日 韓國文化體育觀光部(Ministry of Culture, Sports and Tourism,下稱MCST)與韓國著作權委員會(Korea Copyright Commission,下稱KCC)於2026年2月26日共同發布《生成式AI模型訓練之合理使用適用原則指引》(Guide on Applicability of the Fair Use Doctrine to Training of Generative AI Models,下稱本指引),以韓國著作權法第35條之5合理使用一般條款為基礎,就受著作權保護著作於生成式AI訓練過程遭利用之情形,提出四項判斷要素之適用原則、有利與不利認定之對照及具體事例。 壹、事件摘要 韓國於指引前言指出世界各國將AI技術視為未來核心成長引擎,力求在全球AI領導地位上取得競爭優勢。部分國家呼籲採取政策支持措施,盡可能廣泛允許訓練資料之使用並鼓勵AI發展,惟受憲法保障之著作權與AI驅動之技術創新,係不應以犧牲一方成全另一方之價值。韓國當前最關鍵之政策課題,在於找出一種平衡途徑:既尊重著作權人之正當權利、獎勵創作,同時避免對AI創新造成不當限制,促進共同成長與發展。而且AI發展之創新與著作權之保護並非本質衝突之價值。當二者作為互補原則相互調和時,得共同推動整體社會更廣泛之文化與經濟進步[1]。 貳、重點說明 該指引認為生成式AI訓練各階段之資料蒐集、前處理、模型訓練與評估最佳化,均可能構成著作權法上之重製,在韓國著作權法未設文本與資料探勘專門例外之現況下,AI訓練之利用是否合法,主要回歸第35條之5合理使用之四要素綜合判斷。指引除說明各國案例與法令外,就四項判斷要素逐一整理其定義與要件,同時提出「有利」與「不利」於合理使用之情形,並列舉可能成立與不太可能成立合理使用之事例,藉此將原本高度個案化之合理使用判斷予以類型化。本文重點針對其已表態認為較不利或(不)認同主張合理使用之情況、事例,摘要說明如下: 一、合理使用四要素可能無法構成的情況 (一)利用之目的與性質[2] 1、無轉化利用致目的與性質近似:若利用之目的與性質與原著作相同;未創造新價值或新用途、未顯著貢獻公共利益,且損害既有市場或權利人經濟利益。 2、有直接或間接商業獲益:開發者向使用者直接收取服務對價,或藉廣告與宣傳取得間接經濟利益;非營利研究組織於營利企業贊助下、為該企業商業目的訓練模型。 3、未實施侵權防制技術:若未採取措施以拒絕生成特定受著作權保護著作之重製或模仿之提示,從根本上阻擋重製或模仿特定著作所含表達之請求之AI系統。 4、過度就特定著作進行訓練:將提高生成式AI輸出與原著作共享相似目的或性質之可能性,較可能與著作之「通常利用」相衝突並損害著作權人經濟利益。 5、訓練目的與商業利用有關係:生成式AI系統縱為商業目的開發或訓練,並不當然排除合理使用之認定,縱存在商業目的,若該技術創造新價值並服務公共利益,其利用仍可能獲有利評價。而且,非商業與商業目的可能交織,例如,由大學與企業共同進行之產學合作研究,於初始研究階段可能屬非商業,惟若生成式AI模型用於提供商業服務,則可能有不利認定。反之,縱為營利企業,若其訓練AI模型以生成與其商業活動無關之輸出,亦可能被認定為進行非商業訓練。 6、取得方式違反著作權人意願:著作權人曾採取措施限制網路爬取或擷取,未經許可蒐集受接取限制之著作(如須登入或付費牆後之著作)或規避技術保護措施; 縱著作於技術上可接取,未經著作權人許可將其用於生成式AI訓練,違反適用之條款與條件之方式自網站蒐集著作,或以不被允許之方式接取著作,可能被視為逾越授權範圍。縱著作看似經轉化性利用,若該利用涉及非法重製或不當接取,此等情狀仍可能不利於因素一之有利認定。 (二)著作之類型與目的[3] 就第二要素著作之類型與目的,該指引認下列情形不利於合理使用之認定: 1、資料屬於供享受之文學或藝術著作:使用主要為享受著作本身而創作之文學或藝術著作,或創作性高而個性表達強之著作。因其創作表達係其核心價值,訓練於此等表達之生成式AI模型很可能生成相同或近似之表達特徵。 2、屬未公開或僅於受限或付費接取下提供之著作(如訂閱服務或付費資料庫):因對權利人經濟利益之影響風險較高,其利用性質與周遭社會期待不同。惟著作可公開取得並不因此即支持可合理使用之認定,可能因robots.txt限制之存在、以及預期利用之範圍與規模等面向,受不同權衡。 (三)所使用部分之質量與重要性 就第三要素,指引認下列情形不利於合理使用之認定[4]: 1、非必要下使用整份著作之量:使用整份著作訓練模型,本身不利於本要素;惟整份利用若基於技術上不可避免且必要之理由,得綜合其他要素另為評價。 2、直接重製核心表達之質:於利用過程中直接重製著作核心表達要素、輸出與原著作實質相同或可替代,且逾越利用目的所合理必要之範圍。 (四)對現在或潛在市場或價值之影響 就第四要素,指引認為下列情形不利於合理使用之認定[5]: 1、造成銷售損失或其他經濟損害:生成式AI訓練所生輸出不可能、或僅極低可能替代原著作之經濟價值或市場需求、或損害其市場價值縱屬商業利用,只要該利用不直接影響原著作市場之需求,亦可能有利於因素四。 2、AI輸出直接或實質重製原著作之核心表達:替代原著作或侵蝕其潛在市場需求之輸出,很可能不利於使用者。 3、損害授權機會、替代或削弱市場:使用著作於生成式AI訓練之授權市場,於部分領域已存在,或視著作類型、訓練方法與模型特性而合理可期於未來出現或發展;AI開發者未經許可蒐集並使用著作進行訓練、再於商業服務中利用訓練後模型,可能妨礙或損害著作權人就類似利用於未來授權以獲利之合理可預見機會。 4、反覆且大規模之未經授權訓練:可能導致未經授權利用,若任其普遍化,可能擾亂通常授權實務與市場規範、削弱受著作權保護著作之市場價值,並實質消滅著作權人獲取收益之能力。 二、合理使用認定可能與不可能事例 本指引於案例部分,直接列舉數則經四要素綜合判斷後(不太)可能成立合理使用之情形[6],分述如下: (一)可能有利於認定的事例 1、開發者使用可公開取得之線上貼文及合法購買之書籍訓練AI,且著作之利用非意在重製或替代特定貼文或書籍之表達,而係為實現通用型對話與生成能力。此外,開發者曾努力實施技術措施,以拒絕生成與訓練所用著作相同或實質近似輸出之提示。 2、模型係使用主要為傳達事實與資訊之短語或一般非專業表達(如社群媒體貼文或評論)訓練,且輸出呈現相對低度之創作性。 3、開發者別無選擇,須輸入數億筆資料,考量實現通用型語言理解與生成能力之目標,所使用受著作權保護著作之數量與範圍可認為合理。 4、訓練後模型之輸出或基於輸出之服務,未實質替代原著作之觀看、使用或銷售。此外,創作性相對較低之著作,如社群媒體或個人部落格上分享之貼文、留言、評論、照片或影片,或為非商業目的創作之平凡著作(尤其難以辨識或尋得著作權人者),亦用以訓練AI。 5、政府資助研究機構,依《公共資料之提供與利用促進法》所定公共資料,訓練其自然語言處理(natural language processing, NLP)模型,作為其社會不平等研究之一部分。 6、大學研究團隊蒐集以開放取用(open access)發表之論文,開發AI科技摘要模型,隨後並以開源(或開放權重)方式釋出該模型。 7、AI開發者使用可自由取得之科學與工程相關論文全文,建立可自動分析資料並支援研究之模型。 8、AI開發者使用其公司合法下載或以CD購買之戲劇影集或電影等視聽著作訓練模型,以開發分析犯罪者移動模式等犯罪預防應用。 (二)可能不利認定的事例 1、開發者訓練AI模型或提供服務,生成與特定貼文或書籍之句子、結構或表達相同或實質近似之輸出,或模型吸收原著作語言表達之精髓,即字詞於句子、段落或整份文件層次如何被選擇與排列。 2、訓練所用著作具高度文學或藝術創作性,且表達具強烈個性。 3、鑑於AI模型之架構,著作之利用範圍非結構上不可避免,亦非實現通用型語言理解與生成能力目標所合理必要。 4、AI訓練或相關服務之提供,導致受著作權保護著作銷售下降、對著作權人造成經濟損害、剝奪著作權人授權機會,足以構成市場替代或市場稀釋之顯著風險。此外,就AI訓練以合理條件授權之框架(如專為AI訓練目的之獨立授權制度)及集體管理制度已然存在,取得授權相對容易。 5、新聞文章全文訓練之摘要服務:未經新聞出版商許可,爬取並就新聞文章全文訓練模型,經營自動提供文章摘要之商業服務。本指引認其目的與原新聞文章近似而不具轉化性、著作係未經授權蒐集、使用全文,且摘要可能使讀者無須造訪原文即取得資訊,侵蝕出版商之訂閱與廣告收益。 6、合法購買教科書訓練並銷售教材:以合法購買之數位教科書訓練AI,生成教科書或習作簿並銷售。本指引認縱原書係合法購買,利用目的仍不具轉化性、所用著作具學術與教育價值、使用全文,且輸出可能替代或削弱出版商之教材市場。 7、未授權付費圖庫影像訓練並販售:未經許可爬取付費圖庫網站之高解析度付費影像訓練模型,並販售生成影像。本指引認其未經許可蒐集、目的不具轉化性、使用全份著作,且輸出可能替代圖庫或授權市場;又付費影像平台多設浮水印、API控管、robots.txt等技術措施以防未經授權蒐集,故此類利用不太可能成立合理使用。 8、歌手歌曲訓練經營付費AI翻唱:自音樂平台購入某歌手之數千首歌曲訓練模型,經營付費AI翻唱歌曲生成業務。 參、事件評析 如同韓國指引所揭示,其立場認為須找出平衡途徑,既尊重著作權人之正當權利、獎勵創作,同時避免對AI創新造成不當限制,促進共同成長與發展,以求二者作為互補原則相互調和,使整體社會文化與經濟進步,故雖其承認AI訓練確實涉及重製權,但亦認為如手段與來源合法,且其結果必須有轉化性、未影響既有經濟利益,則仍有主張合理使用的可能。此指引所呈現的態度,公益目的、公開取得及合法購買之書籍、為實現通用型對話與生成能力、實施技術措施、不產生替代效果,實亦呼應目前國際上就AI著作合理使用的多數看法。 就我國而言,我國著作權法第65條之合理使用四款判斷基準,與韓國第35條之5同屬四要素綜合判斷之立法例,且我國現行法同樣未設TDM專門例外,相關修法方向尚未聞擬進行研議。韓國其於TDM例外立法屢議未決之際,以其現行合理使用一般條款(第35條之5)為基礎、輔以行政指引因應AI訓練,以要素分析、不利類型化、具名事例的模式,引導、傳達主管機關立場的操作合理使用之作法,對我國主管機關研擬相關解釋或指引之參考價值較高。 韓國指引之價值,不在其結論具拘束力,因其明示固為主管機關之立場呈現,但其也特別揭示指引非權威解釋,所列案例與例示僅供說明與解釋之用。然而在其將原本高度個案化、難以事前預測之合理使用判斷,整理為可操作之不利類型與事例,為權利人與AI開發者提供風險預判之座標。以指引降低判斷不確定性之方式,亦呼應我國人工智慧基本法立法後,政府在相關作用法的整備上,以指引先行因應、再視實務累積決定是否立法之階段性的治理選擇,足供我國參酌。 本文著作權屬財團法人資訊工業策進會科技法律研究所所有,如需引用或轉載,請註明出處。 本文同步刊登於TIPS網站(https://keid.nat.gov.tw/tips/) [1] 韓國文化體育觀光部、韓國著作權委員會,《生成式AI模型訓練之合理使用適用原則指引》(Guide on Applicability of the Fair Use Doctrine to Training of Generative AI Models),頁8(2026)。 [2] 同前註,頁32-37。 [3]同前註,頁37~39。 [4] 同前註,頁39~41。 [5] 同前註,頁41~45。 [6] 同前註,頁50~頁62。

TOP