日本IPA/SEC公佈「IoT高信賴化機能編」指導手冊

  日本獨立行政法人情報處理推進機構(IPA/SEC)於2016年3月公佈「聯繫世界之開發指引」,並於2017年5月8日推出「IoT高信賴化機能編」指導手冊,具體描述上開指引中有關技術面之部份,並羅列開發IoT機器、系統時所需之安全元件與機能。該手冊分為兩大部份,第一部份為開發安全的IoT機器和關聯系統所應具備之安全元件與機能,除定義何謂「IoT高信賴化機能」外,亦從維修、運用角度出發,整理開發者在設計階段須考慮之系統元件,並依照開始、預防、檢查、回復、結束等五大項目進行分類。第二部份則列出五個在IoT領域進行系統連接之案例,如車輛和住宅IoT系統的連接、住家內IoT機器之連接、產業用機器人與電力管理系統之連接等,並介紹案例中可能產生的風險,以及對應該風險之機能。IPA/SEC希望上開指引能夠作為日後國際間制定IoT國際標準的參考資料。

本文為「經濟部產業技術司科技專案成果」

※ 日本IPA/SEC公佈「IoT高信賴化機能編」指導手冊, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=7870&no=64&tp=1 (最後瀏覽日:2026/07/09)
引註此篇文章
你可能還會想看
韓國以「生成式人工智慧著作權指引」提醒著作權侵權風險

韓國以「生成式人工智慧著作權指引」提醒著作權侵權風險 資訊工業策進會科技法律研究所 2024年05月15日 創作內容的流通利用是發揮文化經濟力的核心關鍵,但大數據和機器學習技術的快速發展,人工智慧(以下簡稱AI)已成功應用於許多內容生成,大幅推進圖像、影音、文本的識別、處理、分析、甚至生成等創作成本,但從實現生成式AI而建立基礎模型開始,到AI產出物的生成,均存在可能侵權或被侵權的風險。如何衡平考慮著作權人和使用者立場,促進人工智慧技術發展和相關產業發展,同時努力營造尊重人類創作活動的著作權生態系統,已成為各國必須思考因應重要課題。 壹、事件摘要 韓國文化體育觀光部的著作權委員會於2024-01-16發布「生成式人工智慧著作權指引(생성형 AI저작권안내서)」[1],這份指引的目的是希望對涉及生成式人工智慧(Generative AI)產出過程中的各方(AI業者、著作權人、AI使用者)提供有關著作權的注意事項。因為韓國文化與著作權主管機關認為,雖然隨著人工智慧技術的迅速發展,在各個領域的應用為經濟和社會利益產生許多助益,但也出現了一個無法預測的環境,影響到著作權產業和創作活動的各個方面;有人將生成式AI用作創作工具,同時也有人擔心生成式AI可能帶來的經濟損失和就業威脅等問題。因此,韓國著作權委員會成立了由學界、法界和技術界專家以及利害關係人組成的「AI-著作權制度改善工作小組」,於2023年2月成立,以審查生成式AI引發的著作權問題並尋找應對方法,並根據該工作小組的討論而編寫提出該指引[2]。 貳、重點說明 該指引從實現生成式AI而建立基礎模型開始,到AI產出物的生成,聚焦於可能引發法律爭議的數據學習和AI產出物生成部分,從現行著作權法的角度說明AI業者、著作權人和AI使用者需要了解的內容。同時為幫助理解,亦納入介紹目前提供的生成式AI案例以及相關的國內外立法趨勢。但該指引特別說明其發布並非為提供其國會正在討論的著作權法修訂方向,而是為了在未來通過進一步的討論、研究和意見徵求過程等,制定出合理的解決方案,並透過制定衡平考慮著作權人和使用者立場的著作權法律制度,促進人工智慧技術發展和相關產業發展,同時努力營造尊重人類創作活動的著作權生態系統[3]。 該指引架構主要分為五大主題[4],同時提供問答集與附錄參考資料。五大主題分別為: 一、生成式AI技術與著作權(생성형 AI 기술과 저작권)[5]:從著作權角度看生成式AI技術,說明生成式AI技術的意義和應用案例。 二、對AI經營者的指導(AI 사업자에 대한 안내사항)[6]:包括生成式AI的學習階段的風險、AI產出物的生成階段的風險、建議採取防範措施以區別AI產出物與人類創作物。例如人工智慧業務經營者在提供相關服務時,確保不會產生與現有作品相同或相似的人工智慧輸出;該指引並建議參酌韓國2023 年 5 月提出的《內容產業振興法》修正提案(法案編號2122180)[7]規定,於人工智慧產出內容中應標示係採用人工智慧技術製作[8]。 三、對著作權所有人的指導(저작권자에 대한 안내사항)[9]:在AI學習階段應考慮的事項、防止AI產出物侵犯著作權的建議。該指引特別建議如果著作權人不希望其作品用於人工智慧學習,可以透過適當方式表達反對,以防止作品被用於人工智慧學習;即使著作權人後來得知自己的作品被用於人工智慧學習,亦可適當地採取技術手段來防止,以避免放任使用產生默許的問題。包括使用例如“Glaze”、“Photo Guard”等此類新的防止技術。 四、對AI使用者的指導(AI 이용자에 대한 안내사항)[10]:提醒注意生成式AI使用可能涉及的著作權侵犯情況,並說明在研究、教育、創作等領域的倫理和政策考慮。例如,提醒使用者將現有作品原樣輸入提示視窗或輸入誘導創作相同或相似作品的文字,從而創建與現有作品相同或相似的人工智慧輸出,然後將其發佈到平台上的方法,將存有侵權風險。即使是用人工智慧學習歌手聲音而重新創作或產生現有歌手的歌曲,也會涉及重製或輸入侵權資料的疑慮。同時,對學術研究或投稿,該指引特別建議在論文等中引用生成人工智慧撰寫的文章之前檢查其來源,並標註特定段落是以什麼人工智慧工具與指令所生成。 五、AI產出的著作權登記(AI 산출물과 저작권 등록)[11]:與AI產出物相關的著作權爭議、AI產出物是否可以登記著作權、有關AI產出物著作權登記的國內外案例、登記時應注意的事項等。該指引強調對於不能被視為在任何表達行為中做出人類創造性貢獻的人工智慧輸出,不可能進行著作權註冊。但在人類以創意方式進行修改、增加等“額外附加工作”(추가 작업)的情況下,該額外工作的部分才會被認定為具有著作權屬性,可以進行著作權登記。但是,著作權註冊的效果僅限於附加的部分(추가 작업한 부분)[12]。 另該指引在問答集中主要釋疑相關疑義,例如:為什麼AI的學習會涉及著作權問題?如果無法確定AI學習所使用的作品的權利人,AI業者如何獲得合法使用權?個別提示用於製作AI產出物也受著作權保護嗎?AI產出物是否無法受到著作權法保護?等等韓國文化與著作權主管機關認為常見或已出現爭議的案例,並依其現行法令或見解趨勢,提供主管機關的看法或解答。 此外,為協助其讀者更深入了解人工智慧的原理、爭議與國際發展趨勢,該指引並精要的整理出下述主題,包括:使用人工神經網絡進行學習的過程、生成式AI相關訴訟和著作權爭議、國內外AI相關應對情況、國內廣播公司和新聞機構有關AI學習資料取得的政策條款等補充明,做為該手冊的附錄資料。特別是其所整理之政策條款,顯示韓國新聞媒體已著手因應被用於AI訓練、學習與內容產生的風險。 參、事件評析 綜觀韓國文化體育觀光部的著作權委員會發布「生成式人工智慧著作權指引」可以看出,韓國認為生成式人工智慧在文創領域的議題,目前較為迫切需要處理的是創作人的著作權於AI訓練時被侵權,與創作時運用AI的侵害他人權利的風險,以及AI生成內容的識別與可保護範圍的界定,但促進人工智慧技術發展和相關產業發展,均為韓國關切議題;AI在未來如何衡平考慮著作權人和使用者立場尚待研析建立共識並透過國會立法修正著作權法律制度。 因此,該手冊除提供AI的技術背景說明外,並強調該指引並非修法政策的官方說明,同時以如何降低風險與維護權益的角度,提醒生成式人工智慧(Generative AI)產出過程中的AI經營者、著作權人、AI使用者,提供有關著作權的注意事項與例如防制技術運用、標註AI生成等預防措施。同時為再進一步幫助理解,除風險說明外並以問答方式強化重點提示,並舉相關媒體的AI訓練資料提供政策實例供參考,內容本身精要但附錄細節說明詳盡,但對於未必了解著作權法令的文創領域從業人員而言,內容簡明且建議措施直接具體,值得我國主管機關訂定相關指引之參考。 [1]「生成型人工智慧著作權指引(생성형 AI저작권안내서)」,檔案下載https://www.copyright.or.kr/information-materials/publication/research-report/view.do?brdctsno=52591#(最後瀏覽日:2024/05/25)。 [2]詳前註指引之前言,頁6~7。 [3]同前註。 [4]其中尚有第六主題說明未來的法令整備規劃,此部分較屬政策措施方向,較非指引重點,故本文此處未予列入說明重點。 [5]同前註指引,頁7。 [6]同前註指引,頁15。 [7]去年5月,國會文化體育觀光委員會委員長李相憲提出了《內容產業振興法》的部分修正案,其中包括對人工智慧製作的內容強制貼上人工智慧標籤。該修正案目前正在國民議會審議中。https://www.4th.kr/news/articleView.html?idxno=2056520,(最後瀏覽日:2024/05/25)。 [8]同前註1指引,頁21。 [9]同前註1指引,頁23。 [10] 同前註1指引,頁29。 [11]同前註1指引,頁39。 [12]同前註1指引,頁41。

簡介〈歐盟提供合格信任服務者依循標準建議〉

簡介〈歐盟提供合格信任服務者依循標準建議〉 資訊工業策進會科技法律研究所 2021年6月25日 壹、事件摘要   歐盟於2014年通過「歐盟內部市場電子交易之電子身分認證及信賴服務規章」(簡稱eIDAS規章)[1],並於2016年7月正式生效。eIDAS規章是在歐盟1999年電子簽章指令[2]的基礎上,進一步建構一個更安全、更具信賴、更易於使用電子簽章的法律框架,以促進整個歐盟跨境間的電子交易環境,進而達到歐盟數位單一市場的目標[3]。   eIDAS規章共有六章,其核心包含兩大部分[4],在第二章中規範了電子識別機制(Electronic Identification),並於第三章中建構一系列電子交易中相關信任服務(Trust Services, TS)的法律架構,包含電子簽章(Electronic signatures)、電子封條(Electronic seals)、電子時戳(Electronic time stamps)、電子註冊傳輸服務(Electronic registered delivery services)、網站認證(Website authentication)。每種信任服務,又可以區分由一般的信任服務提供者(Trust Service Provider, TSP)或由合格信任服務提供者(Qualified Trust Service Provider, QTSP)提供,要成為QTSP必須經各成員國的監督機關授予合格地位後,才能提供該類合格信任服務(Qualified Trust Service, QTS),在eIDAS規章中合格信任服務具有更高的法律效力。譬如,根據eIDAS規章第25條第2項規定,合格電子簽章(qualified electronic signature)與手寫簽章具有同等的法律效力。   歐盟網路安全局(European Union Agency for Cybersecurity, ENISA[5])於2021年3月發布一份報告,提供合格信任服務者依循標準的建議(Recommendations For QTSPs Based On Standards) [6],給想要申請成為QTSP的業者參考。 貳、重點說明   承前所述,eIDAS規章的目的是要建構一個促進跨境、跨產業的電子交易的環境,為弭平各會員國對於電子識別服務的落差,報告中指出,必須透過法律框架(Legal framework)、信賴框架(Trust framework)、標準化框架(Standardisation framework)共同達成,以提升歐盟數位單一市場中企業和消費者的信任,並促進信任服務和產品的使用。 (一)法律框架   eIDAS規章中規定了9種QTS的安全要求及其提供者的義務,包括: 1.電子簽章的合格憑證; 2.電子封條的合格憑證; 3.網站認證的合格憑證; 4.合格電子時戳服務; 5.合格電子簽章的合格驗證服務; 6.合格電子封條的合格驗證服務; 7.合格電子簽章的合格維護服務; 8.合格電子封條的合格維護服務; 9.合格電子註冊傳輸服務。 (二)信賴框架   其次,eIDAS規章透過事前(ex ante)和事後(ex post)監督的方式,來確保QTSP及其提供的QTS符合eIDAS規章中的法律要求。欲申請成為QTSP須先經過符合性評估機構(Conformity Assessment Body, CAB)的評估,由其出具評估報告後,再由各成員國的監督機關決定是否授予QTSP資格;取得QTSP資格後會受到不定期稽核,且至少每24 個月須再次自費通過CAB評估審核[7]。 (三)標準化框架   eIDAS規章中對各項TS的安全要求是採取技術中立(technology-neutral)的態度,並未限定要採用何種特定技術。換言之,TSP可以透過不同的技術達到eIDAS規章中要求的必要安全程度。事實上,歐盟希望在eIDAS規章所建構的法律框架和信賴框架中,透過產業自律,慢慢形成相關的標準共識。   歐盟從2009年開始,就由歐洲標準化委員會(European Committee for Standardization, CEN)、歐洲電信標準協會(European Telecommunications Standards Institute, ETSI)等歐盟標準化組織協助擬定和更新電子簽章的相關標準,希望可以建立一個更完整的標準化框架,以解決歐盟跨境使用電子簽章遭遇的問題,至今已經建構出一系列電子簽章和相關信任服務的標準,以滿足國際及eIDAS規章的要求,ETSI/CEN與數位簽章有關的標準包含七個面向。 1.介紹性   此類標準主要是關於各類簽章的共通定義、研究、其他關於整體性架構的介紹。 2.簽章的建立與驗證   此類標準主要是關於簽章建立及驗證的政策與安全要求、所要遵循的規則和程序、格式、保護剖繪(Protection Profiles, PP)[8]。 3.簽章建立和其他相關設備   此類標準主要是與電子簽章產生的設備,以及其他與數位簽章相關服務的設備有關。 4.加密   此類標準主要是與簽章的加密有關,譬如金鑰產生演算法(key generation algorithms)和雜湊函數(hash functions)等。 5.支持數位簽章及相關服務的TSP   此類標準主要是關於核發合格憑證的QTSP、網站認證憑證的TSP、時戳服務的TSP、提供簽章驗證服務的TSP等。 6.信任應用服務提供者   此類標準主要與應用電子簽章提供加值服務的TSP有關,如電子傳輸服務、資料檔案長期保存服務等。 7.信任服務資格提供者   此類標準主要與eIDAS規章中信任名單(trusted lists)相關的程序和格式有關[9]。   其中,在ETSI/CEN關於數位簽章的標準中,主要與QTSP有關的標準如下: 1.電子簽章的合格憑證(eIDAS規章第28條)   ETSI EN 319 411-2(且要符合EN 319 401、EN 319 411-1、EN 319 412-2、EN 319 412-5)。 2.電子封條的合格憑證(eIDAS規章第38條)   ETSI EN 319 411-2(且要符合EN 319 401、EN 319 411-1、EN 319 412-3、EN 319 412-5)。 3.網站認證的合格憑證(eIDAS規章第45條)   ETSI EN 319 411-2(且要符合EN 319 401、EN 319 411-1、EN 319 412-4、EN 319 412-5)。 4.合格電子時戳(eIDAS規章第42條)   ETSI EN 319 421(且要符合EN 319 401)、EN 319 422。 5.合格電子簽章的合格驗證服務(eIDAS規章第33條)   ETSI TS 119 441(且要符合EN 319 401)、TS 119 442、EN 319 102-1、TS 119 102-2、TS 119 172-4。 6.合格電子封條的合格驗證服務(eIDAS規章第40條)   ETSI TS 119 441(且要符合EN 319 401)、TS 119 442、EN 319 102-1、TS 119 102-2、TS 119 172-4。 7.合格電子簽章的合格維護服務(eIDAS規章第34條)   ETSI EN 319 401、TS 119 511、TS 119 512。 8.合格電子封條的合格維護服務(eIDAS規章第40條)   ETSI EN 319 401、TS 119 511、TS 119 512。 9.合格電子註冊傳輸服務(eIDAS規章第44條)   ETSI EN 319 401、EN 319 521、EN 319 522、EN 319 531、EN 319 532。 參、事件評析   從歐盟ENISA的建議可以瞭解,歐盟希望透過介紹歐盟標準化組織所制定的相關電子簽章標準,來引導資通訊廠商申請成為QTSP,提供歐盟企業和使用者更安全、更值得信賴的電子簽章相關服務,以強化使用者的信心,進而促進整個歐盟電子交易的蓬勃發展。   近年來,我國企業也積極投入數位轉型,在邁向數位化的過程通常需要由外部的資通訊廠商協助。然而,由於企業對於資通訊技術不熟悉,因此在選擇資通訊廠商時,往往不知道如何判斷其專業能力,或許企業可以參考上述的介紹,以該廠商是否符合歐盟相關標準的要求,作為選擇資通訊廠商的參考依據,以確保資通訊廠商的能力具有一定水準,這樣對於企業數位轉型及進軍歐盟市場會相當有助益。    [1]Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2014.257.01.0073.01.ENG (last visited Jun. 24, 2021). [2]Directive 1999/93/EC of the European Parliament and of the Council of 13 Dec. 1999 on the a Community Framework for Electronic Signatures, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A31999L0093 (last visited Jun. 24, 2021). [3]參前註1,eIDAS前言(3). [4]中文介紹可參考李姿瑩,〈歐盟eIDAS對國內電子簽章和身分認證規範之可能借鏡〉,《科技法律透析》,第31卷第11期,25-32頁,(2019年11月)。 [5]「歐盟網路安全局」原名為「歐盟網路及資訊安全局」(European Union Agency for Network and Information Security),2019年更改為現名,但該局的英文縮寫仍維持舊稱ENISA。The European Union Agency for Cybersecurity - A new chapter for ENISA, ENISA, https://www.enisa.europa.eu/news/enisa-news/the-european-union-agency-for-cybersecurity-a-new-chapter-for-enisa (last visited Jun. 24, 2021). [6]European Union Agency for Cybersecurity [ENISA], Recommendations for Qualified Trust Service Providers based on Standards (2021), https://www.enisa.europa.eu/publications/reccomendations-for-qtsps-based-on-standards (last visited Jun. 24, 2021). [7]參前註1,eIDAS規章第20條。 [8]保護剖繪是指申請者依共同準則規章(common criteria, CC)製作之資通安全產品安全基本需求文件,可提供資通安全產品開發者開發產品之依據。〈常見問題/Q02.何謂保護剖繪?〉,國家通訊傳播委員會,https://ise.ncc.gov.tw/faq(最後瀏覽日:2021/06/24)。 [9]參前註1,eIDAS規章第22條第2項、第4項。

美國總統發布行政命令,促進資料中心基礎建設之發展

2025年7月23日,川普總統簽署行政命令,加速資料中心基礎建設(data center infrastructure)之發展。適用該命令之資料中心,需新增超過100百萬瓦(MW)電力負載,並新增瓦數專用於人工智慧推論、訓練、模擬或產生合成資料。 行政命令內容主要包含以下事項: 1. 政府將為合格資料中心基礎建設提供財政支持,如貸款、貸款擔保、補助金(grants)、稅收優惠(tax incentives)或承購協議(offtake agreements)。本行政命令所稱之合格資料中心基礎建設,其本體或相關設施需符合以下條件之一: (1) 業者承諾投資超過五億美元,五億以上之具體門檻以美國商務部長認定為準。 (2) 新增超過100百萬瓦(MW)之電力負載。 (3) 有助於維護國家安全。 (4) 經美國國防部、內政部、商務部或能源部之部長指定。 2. 撤銷拜登總統發布之14141號行政命令「推進美國在人工智慧基礎建設領域的領導地位」。該命令原要求在聯邦土地建設人工智慧資料中心者須提供關於多元與氣候議題之說明。 3. 指示政府機關簡化合格資料中心基礎建設的環境審查和許可。 (1) 相關政府機關應向環境品質委員會(Council on Environmental Quality)確定依《國家環境政策法》(National Environmental Policy Act),可以加速合格資料中心基礎建設建置的環境審查豁免措施。 (2) 環境品質委員會應考量資料中心基礎建設對環境產生之影響,制定新的環境審查豁免措施。 4. 對符合FAST-41計畫(FAST-41 program)要求之資料中心基礎建設,加速其取得建設相關許可之過程。 該計畫名稱及內涵緣起於《修復美國地面運輸法》第41章節(Title 41 of the Fixing America's Surface Transportation Act)。一般而言,參與該計畫之建設,需滿足指定投資額、受指定組織贊助、於指定地點興建,或合乎特定環境法規等要求。合乎計畫要求之建設,可與主管機關協調取得建設相關許可之時間,並由聯邦許可改善指導委員會(The Federal Permitting Improvement Steering Council)下屬團隊協助進行專案管理。 5. 環境保護局(Environmental Protection Agency)局長應依法定權限,加速確認可供合格資料中心基礎建設使用的棕地(brownfields)。 依美國環境保護局定義,棕地是指含有危險物質、污染物的土地,因開發利用困難,需進行養護、排除開發障礙,或以其他方式開發。 6. 內政部、能源部應依法確定適合用於建設資料中心的土地,適當授權合格資料中心基礎建設業者在聯邦土地上進行建造。 參酌該行政命令意指,美國政府期許減少環境政策對人工智慧資料中心及相關設施的影響,透過快速推動建設進程,確保美國經濟繁榮,以及在科學、數位經濟領域的領導地位。

挪威政府提案修改著作權法,將處罰把CD音樂複製成MP3檔案之行為

  為解決日益猖狂的網路侵權行為,挪威政府已提出著作權法修正草案,針對侵害著作權及網路盜版行為處以罰金及三年以下有期徒刑之刑責。其中最主要的就是要遏止破解DVD及CD之科技保護措施以及處罰提供軟硬體進行破解之行為。不過,在修正草案下,為個人使用之目的而複製CD或DVD之行為,即便在此過程中意味有破解科技保護措施之行為存在,仍不構成違法;但是,若破解科技保護措施而將CD歌曲轉換成MP3格式則構成侵權行為。   此一修正案的提出雖獲業界一致喝采,但是亦受到學者的抨擊,認為此修正案內容定義不清,完全無法執行。由於挪威國會預計於今年三、四月審查此案,若能順利過關,最快將於今年七月正式施行,不過未來如何發展,仍存在相當變數,值得追蹤觀察。

TOP