電玩角色身上之「刺青」著作權歸屬議題

　　日本經濟產業省於2020年3月31日會同內閣官房、厚生勞動省（下稱厚勞省）以及總務省等中央主管機關，發布「請求提供有助防止新型冠狀病毒傳染病疫情擴大之統計資料（新型コロナウイルス感染症の感染拡大防止に資する統計データ等の提供の要請）」公告（下稱本公告），請求經營平台及行動通訊等服務的業者，提供有助於形成防疫措施的相關統計資料，如平台或電信服務使用者的移動軌跡或服務使用紀錄。本公告之目的，係使政府取得相關資料，掌握各地區的人員流動、群聚感染徵兆及其風險，對外提供精確資訊，進而早期發現疫情，並即時擬定保持社交距離、防堵群聚感染蔓延等措施，以防止新型冠狀病毒傳染病的疫情擴大。 　　此處的請求（要請）因無法律明文授權，故對受請求之業者無拘束力。同時，上述向業者請求提供的資料，排除個資法令所定義的個人資料之統計資訊。本公告並指出，經請求取得的資料，亦僅供職司防止新型冠狀病毒傳染病疫情擴大的權責單位，在遏止新型冠狀病毒傳染病疫情之目的範圍內使用。一旦相關任務結束，將會儘速刪除上述資料。未來於必要時，亦可能另行請求業者提供涉及個資的資料，此時則會遵照個人資料保護法、以及同法訂定的例外規定，向各業者提出具適法性之請求。 　　依據本公告意旨，厚勞省同日即與LINE達成合作協議，其後於4月13日，又與日本YAHOO達成相同協議。同時，LINE亦約定會配合厚勞省釋出的防疫措施與資訊，向LINE使用者主動發送防疫資訊、提醒應定期量測體溫、提供返國人士與接觸者之諮詢窗口等訊息。

美國涉密聯邦政府員工之機密資訊維護-保密協議（Non-disclosure Agreement, NDA）之使用 科技法律研究所 2013年12月06日 壹、事件摘要 　　前美國海軍海豹部隊（SEAL）隊員Matt Bisonnette以化名Mark Owen出版 No Easy Day一書，內容主要描述狙殺Osama Bin Laden的規劃與執行，並蟬聯最佳暢銷書籍。美國國防部對Matt Bisonnette提出洩露國家機密之訴訟，及違反保密協議的規定。以下簡介美國對於聯邦政府官員的機密維護規範及措施，包括保密協議之使用、違反保密協議時對於該聯邦政府員工的追訴以及對於未經授權被揭露之機密資訊的防護；更進一步，聚焦探討美國以「保密協議」規範聯邦政府員工的方式，提供我國參考。 貳、重點說明 一、總統行政命令與機密資訊維護 　　傳統上，美國對於機密資訊由軍事單位依照軍事規定處理，不過，自從羅斯福總統於1940年發布第8381號行政命令，改變了這個機制。總統第8381號行政命令，授權政府官員保護軍事與海軍基地；爾後，歷任總統便以發布行政命令的方式，建置聯邦政府的機密分級標準，以及各項為維護國家安全的各項法令規定與措施。不過，羅斯福總統係以經特定法規授權為由而發佈總統行政命令，羅斯福以後的總統則是基於一般法律與憲法授權[1]，為維護國家安全之憲法上的責任而發佈總統行政命令；於此，國會則不停的以其他立法的方式，設法平衡總統行政權與國會立法權間權利[2]。 　　有關總統行政命令之效力，如其規範的主題相同時，新的行政命令效力將會取代前案行政命令。目前美國政府有關機密係根據歐巴馬總統於2009年所發佈總統第13526號行政命令，主題為「國家安全機密資訊（Classified National Security Information）」，其內容及效力取代前行政命令，修改美國聯邦法規第32章2001篇涉及國家安全之機密資訊（32 C.F.R. 2001 Classified National Security Information）[3]，以及勾勒機密資訊分級、解密、機密資訊的處理等議題的框架。 二、涉及國家安全機密資訊之安全維護措施 　　依據總統第12958號行政命令，機關必須採取管控措施保護機密資訊，包括使用（Access）機密資訊的一般限制、分布機密資訊的控制，與使用機密資訊的特別計畫。第12958號行政命令Sec.4.2（a）規定使用機密資訊的一般限制[4]：聯邦政府員工使用機密資訊前，必需符合下列三大前提要件，包括通過「人員安全檢查（Personnel Security Investigation）」、簽署「保密協議」，與執行職務所「必要知悉（Need-to-know）」，才得以使用機密資訊[5]。 　　第一項前提要件為「人員安全檢查」，其安全檢查目的在於確定使用機密資訊人員的可信賴度（Trustworthiness），在相關部門或機構完成安全調查確認該人員的可信賴度之後，將授予通過安全檢查的資格，進而進入第二步驟「SF312保密協議」的簽署[6]。 　　第二項前提要件為簽署「保密協議」，係由美國總統指令所要求，並於總統行政命令所重申[7]凡涉及使用機密資訊之聯邦政府員工（Employee of the Federal Government）、承包商（Contractor）、授權人或受讓人（Licensees or Grantees）等，於使用機密資訊前，必須完成「保密協議」的簽署，否則不得使用。該「保密協議」在法律上為拘束簽署員工（前述通過安全檢查之人員）與美國政府間的契約（Contract）[8]，簽署員工承諾，非經授權不得向未經授權之人揭露機密資訊[9]。 　　「保密協議」的主要目的在於「告知（Informed）」簽署員工： 1.因信任該員工而提供其使用機密資訊； 2.簽署員工保護機密資訊不得未經授權揭露的責任；與 3.未能遵循協議條款後果。 　　第三項要件係說明政府聯邦員工得使用機密資訊的範圍，以該員工執行職務所「必要知悉（Need-to-know）」為限。 三、保密協議 　　「保密協議」（Classified Information Non-disclosure Agreement，一般簡稱為NDA）為機密資訊安全維護措施之一，美國政府藉由該契約協議的內容條款，確立信任關係、責任的範圍，以及未遵循契約條款的後果，並得以此協議防止簽署人未經授權揭露機密資訊，或簽署人有違反情事，對其提起民事或行政訴訟[10]。 　　通過安全查核者（Security Clearance），將被授與特權（Privilege），此權限不是與生俱來的權利（Right）。當獲得使用機密資訊的特權時，使用人必須背負相對的責任。簽署人一旦簽署與美國政府之間具法律拘束力的「保密協議」，即表示同意遵守保護機密資訊的程序，並於違反協議條款時，受到相對的處罰[11]。 　　美國利用「保密協議」約束員工對於機密資訊的保護，要求員工於發佈資訊之前，必須將內容提交機構進行審查。著名的案子為Snepp v. United States，最高法院對於「中央情報局（Central Intelligence Agency, CIA）」的前情報員，強制執行所簽署的保密協議，因前員工未遵守與中央情報局間的協議條款，亦即於出版書籍之前，先行提交出版內容給中央情報局審查的約定，中央情報局進而對該書籍的利潤施以法定信託（Constructive Trust），即使中央情報局最終的判斷內容未含機密資訊[12]，也不影響該決定的效力。 （一）「保密協議」的法源基礎 　　在數個與國家安全機密資訊相關的總統行政命令中，現行「保密協議」所依據法源為總統第12958號行政命令 。第12958號行政命令規定，由「資訊安全監督局」（Information Security Oversight Office, ISOO）負責監督行政部門與政府機關對於「涉及國家安全之機密資訊」的創建或處理事宜[13]。 　　資訊安全監督局局長為遂行涉及國家安全機密資訊之維護，於1983年頒佈「國家安全決策第84號指令」（National Security Decision Directive No. 84, NSDD 84）[14]規範進行國家安全機密資訊之維護。雖然「保密協議」曾經被挑戰，但卻一直受到聯邦法院（包括最高法院）的支持，為具有法律拘束力和合憲性的文件[15]。 　　「國家安全決策第84號指令」規定，凡通過安全檢查之人員[16]，必須完成簽署制式保密協議，並待生效後，才得以使用機密資訊。換句話說，相關人員必須以有效的保密協議為條件，才得以使用機密資訊。 　　「保密協議」應經過「國家安全委員會（National Security Council）」批准，與「司法部（Department of Justice）」的審查，而為法院可執行，而且機關不得接受經簽署員工單方修改用語的「保密協議」[17]。 　　目前「保密協議」版本稱為312制式表格（Standard Form 312），以下簡稱「SF312保密協議」[18]。 （二）「SF312保密協議」關於（Classified Information）的定義[19] 　　「SF312保密協議」的「機密」係指標示或未經標示的機密資訊，包括非書面的口述機密資訊，以及雖未歸屬於機密資訊但符合第12958號總統行政命令Sec. 1.2或1.4 (e)的規定[20]，符合機密資訊的標準，或依據其他總統行政命令或法規是否為機密的確認期間（Pending）先行提供機密資訊保護的資訊；但並不包含在將來可能會被歸屬於機密，但目前尚未進入機密分級過程中的資訊[21]。 　　歐巴馬政府有關國家機密資訊之第13526號行政命令[22]，於機密資訊安全維護部分之內容，仍與第12958號總統行政命令相同[23]。得使用機密資訊之人員僅限向相關主管機關首長展現其使用的資格，並簽署保密協議者，且限於其職務所必要知悉的範圍內，使用機密資訊。 （三）違反「SF312保密協議」的責任[24] 　　若「SF312保密協議」的簽署員工「知悉或應合理知悉（Knows or Reasonably Should Know）」，該資訊為已標示或未經標示的機密資訊，抑或符合機密資訊的標準但仍處於確認過程的資訊，而其行為將導致或於合理情形下可能導致未經授權揭露機密資訊，則可能需負未經授權揭露機密資訊的法律責任。因此，如於揭露資訊的當時，無根據可認定該資訊為機密資訊或可能成為機密資訊時，該簽署員工不會因為揭露該資訊，而需負未經授權揭露機密資訊的責任[25]。 　　另外，直至正式解密（Officially Declassified），機密資訊不因已被揭露於公共來源（Public Source），例如大眾媒體，而解密。不過，如僅於公共來源以抽象的方式引述該筆機密資訊，並非屬於再度未經授權揭露機密資訊[26]。 　　「SF312保密協議」簽署員工於資訊傳遞前，或確認公共來源資訊的正確性時，需先行向有權機關確認該資訊已被解密；若該員工未進一步履行確認資訊機密性，而逕進行資訊傳遞或確認資訊正確性時，該行為將成屬於未經授權揭露機密資訊[27]。 （四）「SF312保密協議」的有效期間 　　「SF312保密協議」載明，保密協議對於簽署員工的拘束力，從被授權使用機密資訊之時點開始，該員工終身均負保密義務[28]。 　　該條款明白表示，國家安全敏感性相關的機密資訊，與任一特定個人安全檢查資格的有效期間，並不相關。易言之，未經授權揭露機密資訊對美國所造成的傷害，並不取決揭露人的身分而有不同[29]。 　　是以，實務上，機關多以違反「保密協議」為訴因，對退職或離職之員工，進行民事或行政訴訟。 　　「SF312保密協議」所規範的保密義務，適用於所有機密資訊，然而，若某特定資訊已經解密，則按照「SF312保密協議」的規定，該簽署員工則不具持續保密的義務。此外，該「SF312保密協議」的簽署員工，還得發動強制性審查的請求，尋求解除特定的資訊的密等，包括該簽署員工具有使用權限的機密資訊[30]。 （五）違反「SF312保密協議」美國政府可採取的行動 　　聯邦政府員工如有明知、故意或因過失而未經授權揭露機密資訊，或任何合理預期可能導致未經授權揭露機密資訊之情事，機關首長或資深官員必須即刻通知資訊安全監督局，並採取「適當和及時的校正行動」[31]。 　　基於「SF312保密協議」，對於未經授權揭露機密資訊事件，美國政府可能至美國聯邦法院提起民事與行政訴訟。 　　民事訴訟可能分為禁制令（Injunction）、民事金錢損害賠償，與所得利益的追討。 1.禁制令 　　請求聯邦法院申請發佈禁制令，以禁止公布與以其他方式揭露該機密資訊。例如 United States v. Marchetti案，聯邦法院發佈禁制令，防止前中央情報局情報員以出版書籍的方式揭露機密資訊[32]；或是國務院以撤銷護照的方式，管制人員出境（儘管該人員出國的目的為暴露秘密情報員的身分，擾亂情報工作，而非協助他國政府）[33]。 2.金錢損害賠償 　　向該員工請求美國政府因未經授權揭露機密資訊所造成損失之金錢的損害賠償。 3.所得利益之追討 　　償還美國政府因未經授權揭露機密資訊所得之相對代價，或其他金錢或財產上的所得[34]。 　　如「SF312保密協議」簽署員工違反協議，則美國政府可對其進行行政裁處與處罰，包括譴責（Reprimand）、暫時吊銷（Suspension）聯邦政府員工資格、降級（Demotion），或甚至撤職（Removal），並可能被取消通過安全檢查的資格[35]。 　　雖然，聯邦政府員工於違反「SF312保密協議」時，美國政府得以違反契約（SF312保密協議）為訴因，向簽署員工提起民事或行政訴訟；不過，如果該員工的行為亦已違反其他刑事規定，政府也可能同時對該洩密員工提起刑事訴訟[36]。但是，法制上並不存在總括性（Blanket Prohibition）規定，處罰所有未經授權揭露涉及國家機密資訊的處罰[37]。 　　例如，機關得依據18 U.S.C. §798揭露機密資訊（Disclosure of Classified Information）提起刑事訴訟，美國政府必須設法證明符合該條文的構成要件的故意，與該當法條所規定揭露機密資訊要件之狀況。該刑事的舉證責任，比起違反保密協議的舉證責任重了許多；不過，相對的，如政府可舉證證明，其處罰也會比違反保密協議重了許多，不是只有因洩密行為而獲得的利益被沒收，法院還得處以監禁（Incarceration）與罰金（Fines）[38]。 參、事件評析 　　美國規範認定，使用機密資訊的權限為被授與的特權，而不是與生俱來的權利。美國聯邦政府利用與員工之間的雇用關係，透過保密協議（契約關係）的方式，規範該政府員工對於機密資訊的維護，載明雙方的關係、政府員工的保密責任，以及違反保密協議的後果，並強調該保密協議的效力，一直持續至該員工的終身，這意味著，政府員工於不具安全檢查的資格之後，或甚至是退離職之後，仍受保密協議的拘束。 　　除了對於員工本身的權利義務與罰則加以規範之外，美國政府亦特別著重於資訊的快速擴散性與保持機密性的需求，對於未經授權而揭露的機密資訊，利用違反保密協議（違約）（Breach of Contract）為手段，儘量減少機密資訊擴散的程度。例如，美國政府對政府員工提起告訴時，以舉證責任來看，證明違反保密協議民事的舉證責任，比需要證明行為人違反刑法規定的刑事舉證責任為輕。再者，透過禁制令的方式，凍結並維持資訊的「現有狀態（Status Quo）」，並且還得於提起民事訴訟的同時，提起刑事。 [1]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 1,www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013). [2]同上註。例如1966年「資訊自由法 (Freedom of Information Act, FOIA) 」， 1995年「情報授權法 (Intelligence Authorization Act)」、2000年「公共利益解密法 (Public Interest Declassification Act)」，與2012年「減少過度加密法 (Reducing Over-Classification Act)」。 [3]美國聯邦法規第32章2001篇, 32 C.F.R.2001,http://www.law.cornell.edu/cfr/text/32/2001 (last accessed May 11, 2013). [4]White House, Executive Order 12958 Classified National Security Information (1995), http://www.fas.org/sgp/clinton/eo12958.html (last accessed May 11, 2013). (a) A person may have access to classified information provided that: (1) a favorable determination of eligibility for access has been made by an agency head or the agency head's designee; (2) the person has signed an approved nondisclosure agreement; and (3) the person has a need-to-know the information. [5]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2001), P.1, http://www.fas.org/sgp/isoo/sf312.html (last accessed May 11, 2013). [6]同上註。 [7]White House, Executive Order 12958 Classified National Security Information (1995), http://www.fas.org/sgp/clinton/eo12958.html (last accessed May 11, 2013). [8]NARA/ISOO, Implementing Rule of the “Classified Information Nondisclosure Agreement” Subpart B-Prescribed Forms §2003.20(a) (n.d.), P.55,http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013). “SF 312, SF 189, and SF 189-A are nondisclosure agreements between the United States and an individual. The prior execution of at least one of these agreements, as appropriate, by an individual is necessary before the United States Government may grant that individual access to classified information…”. [9]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2011), http://www.fas.org/sgp/isoo/sf312.html (last accessed May 11, 2013). [10]同上註。 [11]Western Region Security Office, Protecting Classified Information, http://www.wrc.noaa.gov/wrso/security_guide/intro-4.htm (last accessed May 11, 2013). [12]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 11,www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013). [13]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 11, www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013). See Snepp v. United States, 444 U.S. 507 (1980), noting the remedy in Snepp was enforced despite the agency’s stipulation that the book did not contain any classified information. [14]White House, Executive Order 12958 Classified National Security Information (1995), http://www.fas.org/sgp/clinton/eo12958.html (last accessed May 11, 2013). ISOO, National Security Decision Directive No. 84(n.d.), https://www.fas.org/irp/offdocs/nsdd/nsdd-84.pdf (last accessed May 11, 2013). [15]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2001), P.65, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013). 保密協議曾有SF189與SF189-A版本，與現行SF312版，不論那一版本的保密協議，均經過司法部專家依據當時或現有法律進行審閱，並確認保密協議的的合憲性和可執行性。最近有關SF189的訴訟，仍維持保密協議基本的合憲性和合法性。 [16]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2001), P.66-67, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013). 除憲法上被「視為」符合「可信任性（Trustworthiness）」的下列人員外，其他的人員必須符合三項前提要件（包括簽署保密協議），才得以使用機密資訊。「視為」具「可信任性」的人員包括：總統、副總統、國會議員、最高法院法官，與其他由總統提名並經參議院同意的聯邦法院法官，不需以簽署與持已生效的保密契約為條件，即可使用機密資訊。然而，國會議員仍然是以執行職務（立法功能）所「必要（Need-to-know）」的範圍內為限，例如，該國會議員為負責監督秘密情報部門計畫的委員會，該國會議員與該機關首長，仍必須簽署保密協議或其他類似文件後，才得以使非行政機關人員使用機密資訊。 [17]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2001), P.71, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013). [18]NARA/ISOO, Standard Form 312, http://www.archives.gov/isoo/security-forms/sf312.pdf (last accessed May 11, 2013). [19]NARA/ISOO, Implementing Rule of the “Classified Information Nondisclosure Agreement” Subpart B-Prescribed Forms §2003.20(h)(1)&(2) (n.d.), P.56-57, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013). [20]White House, Executive Order 12958 Classified National Security Information (1995), http://www.fas.org/sgp/clinton/eo12958.html (last accessed May 11, 2013). Sec. 1.2. Classification Standards. (a) Information may be originally classified under the terms of this order only if all of the following conditions are met: (1) an original classification authority is classifying the information; (2) the information is owned by, produced by or for, or is under the control of the United States Government; (3) the information falls within one or more of the categories of information listed in section 1.5 of this order; and (4) the original classification authority determines that the unauthorized disclosure of the information reasonably could be expected to result in damage to the national security and the original classification authority is able to identify or describe the damage. Sec. 1.4. Classification Authority. (e) Exceptional cases. When an employee, contractor, licensee, certificate holder, or grantee of an agency that does not have original classification authority originates information believed by that person to require classification, the information shall be protected in a manner consistent with this order and its implementing directives. The information shall be transmitted promptly as provided under this order or its implementing directives to the agency that has appropriate subject matter interest and classification authority with respect to this information. That agency shall decide within 30 days whether to classify this information. If it is not clear which agency has classification responsibility for this information, it shall be sent to the Director of the Information Security Oversight Office. The Director shall determine the agency having primary subject matter interest and forward the information, with appropriate recommendations, to that agency for a classification determination. [21]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2001), P.70, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013). [22]White House, Executive Order 13526 Classified National Security Information (2009), http://www.whitehouse.gov/the-press-office/executive-order-classified-national-security-information (last accessed May 11, 2013). [23]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 5, www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013). [24]NARA/ISOO, Implementing Rule of the “Classified Information Nondisclosure Agreement” Subpart B-Prescribed Forms §2003.20(h)(3) (n.d.), P.57, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013). [25]同上註。 [26]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2001), P.73, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013). [27]同上註。 [28]同上註。The terms of the SF 312 specifically state that all obligations imposed on the signer “apply during the time [the signer is] granted access to classified information, and at all times thereafter.” [29]同上註。 [30]同上註。 [31]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 5, www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013). [32]同上註，at 11, www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013). See United States v. Marchetti, 466 F.2d 1309 (4th Cir. 1972). [33]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 11, www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013). See Haig v. Agee, 453 U.S. 280 (1981). [34]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2011), http://www.fas.org/sgp/isoo/sf312.html (last accessed May 11, 2013). [35]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2011), http://www.fas.org/sgp/isoo/sf312.html (last accessed May 11, 2013) & Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 10-11, www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013). 失去通過安全檢查的資格可能導致失去政府員工的工作機會；另外，除可能被追討金錢的損害賠償外，該名員工如果亦違反「間諜法（Espionage Act）」與「原子能法（Atomic Energy Act）」的相關條款，還有可能喪失退休金（Retirement Pay）或年金（Annuities）。 [36]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2001), P.74, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013). [37]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 10, www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013). [38]Caitlin Tweed, SEAL Team Six Member’s Next Battle Could be in Court (2012), NATIONAL SECURITY LAW BRIEF, http://nationalsecuritylawbrief.com/2012/09/12/seal-team-six-members-next-battle-could-be-in-court/ (last accessed May 11, 2013).

　　2021年7月13日，美國俄亥俄州（下稱俄州）副州長Jon Husted宣布推出《俄州個人隱私法》（Ohio Personal Privacy Act, OPPA，下稱本法），這是美國近期最新州級別的個人隱私保護法草案，並提出企業可資遵循隱私標準俾該州消費者隱私之保護。 　　首先，本法草案除賦予該州消費者知悉權、近用權、刪除權外，更賦予資料銷售退出權（right to opt out sales）及不受歧視權（right to discrimination）。並於俄州境內規範三種企業：（一）年營收逾2,500萬美元；（二）單一年度內經手10萬名以上消費者個資；（三）年營收半數源自於個人資料銷售且經手2.5萬名以上消費者個資。 　　惟所稱企業，排除如：州立機關或機構、受管制之金融機構及其附屬單位、實體或關係組織、高等教育機構等；至所稱消費者個資，則排除如：法規保護之個資（如健康資訊及紀錄、病患辨識資訊、人類受試者之個資及相關資訊、病患安全工作成果、個人信用等）、依法（如駕照法、家事法、醫療法及本法等）所得個資或依法授權得使用於公衛之資訊等。 　　特別的是，如企業違反本法，消費者並無獨立訴訟權，其執法權專屬州總檢察長。因此，如本法日後通過並施行，無論對俄州企業抑或消費者權益之影響，均有待觀察。

通用人工智慧的透明揭露標準--歐盟通用人工智慧模型實踐準則「透明度 (Transparency)」章 資訊工業策進會科技法律研究所 2025年08月06日 歐盟人工智慧辦公室(The European AI Office，以下簡稱AIO) 於2025年7月10日提出《人工智慧法案》（AI Act, 以下簡稱AIA法案）關於通用型人工智慧實作的準則[1] (Code of Practice for General-Purpose AI Models，以下簡稱「GPAI實踐準則」)，並於其中「透明度 (Transparency)」章節[2]，針對歐盟AIA法案第53條第1項(a)、(b)款要求GPAI模型的提供者必須準備並提供給下游的系統整合者 (integrator) 或部署者 (deployer) 足夠的資訊的義務，提出模型文件(Model Documentation)標準與格式，協助GPAI模型提供者制定並更新。 壹、事件摘要 歐盟為確保GPAI模型提供者遵循其AI法案下的義務，並使AIO能夠評估選擇依賴本守則以展現其AI法案義務合規性的通用人工智慧模型提供者之合規情況，提出GPAI實踐準則。當GPAI模型提供者有意將其模型整合至其AI系統的提供者（以下稱「下游提供者」）及應向AIO提供相關資訊，其應依透明度章節要求措施(詳下述)提出符合內容、項目要求的模型文件，並予公開揭露且確保已記錄資訊的品質、安全性及完整性 (integrity)。 由於GPAI模型提供者在AI價值鏈 (AI value chain) 中具有特殊角色和責任，其所提供的模型可能構成一系列下游AI系統的基礎，這些系統通常由需要充分了解模型及其能力的下游提供者提供，以便將此類模型整合至其產品中並履行其AIA法案下的義務。而相關資訊的提供目的，同時也在於讓AIO及國家主管機關履行其AI法案職責，特別是高風險AI的評估。 AIO指出完整填寫與定期更新模型文件，是履行AIA法案第53條義務的關鍵步驟。GPAI模型提供者應建立適當的內部程序，確保資訊的準確性、時效性及安全性。模型文件所含資訊的相關變更，包括同一模型的更新版本，同時保留模型文件的先前版本，期間至模型投放市場後10年結束。 貳、重點說明 一、制定並更新模型文件(措施1.1) 透明度 (Transparency)章節提供模型文件的標準表格，做為GPAI實踐準則透明度章節的核心工具，協助GPAI模型提供者有系統性的整理並提供AIA法案所要求的各項資訊。表格設計考量了不同利害關係人的資訊需求，確保在保護商業機密的同時，滿足監管透明度的要求。 前揭記錄資訊依其應提供對象不同，各欄位已有標示區分該欄資訊係用於AI辦公室 (AIO)、國家主管機關 (NCAs) 或下游提供者 (DPs)者。適用於下游提供者的資訊，GPAI模型提供者應主動提供(公開揭露)，其他則於被請求時始須提供(予AIO或NCAs)。 除基本的文件最後更新日期與版本資訊外，應提供的資訊分為八大項，內容應包括： (一)、一般資訊General information 1.模型提供者法律名稱(Legal name) 2.模型名稱(Model name)：模型的唯一識別碼（例如 Llama 3.1-405B），包括模型集合的識別碼（如適用），以及模型文件涵蓋之相關模型公開版本的名稱清單。 3.模型真實性(Model authenticity)：提供明確的資訊例如安全雜湊或URL端點，來幫助使用者確認這個模型的來源 (Provenance)、是否真實性未被更動 (Authenticity)。 4.首次發布日(Release date)與首次投放歐盟市場的日期(Union market release date)。 5.模型依賴(Model dependencies)：若模型是對一個或多個先前投放市場的GPAI模型進行修改或微調的結果，須列出該等模型的名稱（及相關版本，如有多個版本投放市場）。 (二)、模型屬性(Model properties) 1.Model architecture 模型架構：模型架構的一般描述，例如轉換器架構 (transformer architecture)。 2.Design specifications of the model 模型設計規格：模型主要設計規格的一般描述，包括理由及所作假設。 3.輸出/入的模式與其最大值(maximum size)：說明係文字、影像、音訊或視訊模式與其最大的輸出/入的大小。 4.模型總參數量(model size)與其範圍(Parameter range)：提供模模型參數總數，記錄至少兩個有效數字，例如 7.3*10^10 參數，並勾選參數(大小)所在範圍的選項，例如：☐>1T。 (三)、發佈途徑與授權方式(Methods of distribution and licenses) 1.發佈途徑Distribution channels：列舉在歐盟市場上使用模型的採用法，包括API、軟體套裝或開源倉庫。 2.授權條款License：附上授權條款鏈結或在要求時提供副本；說明授權類型如: 開放授權、限制性授權、專有授權；列出尚有提供哪些相關資源(如訓練資料、程式碼)與其存取方式、使用授權。 (四)、模型的使用(Use) 1.可接受的使用政策Acceptable Use Policy：附上可接受使用政策連結或副本或註明無政策。 2.預期用途或限制用途Intended uses：例如生產力提升、翻譯、創意內容生成、資料分析、資料視覺化、程式設計協助、排程、客戶支援、各種自然語言任務等或限制及/或禁止的用途。 3.可整合AI系統之類型Type and nature of AI systems：例如可能包括自主系統、對話助理、決策支援系統、創意AI系統、預測系統、網路安全、監控或人機協作。 4.模型整合技術方式Technical means for integration：例如使用說明、基礎設施、工具）的一般描述。 5.所需軟硬體資源Required hardware與software：使用模型所需任何軟硬體（包括版本）的描述，若不適用則填入「NA」。 (五)、訓練過程(Training process) 1.訓練過程設計規格(Design specifications of the training process)：訓練過程所涉主要步驟或階段的一般描述，包括訓練方法論及技術、主要設計選擇、所作假設及模型設計最佳化目標，以及不同參數的相關性（如適用）。例如：「模型在人類偏好資料集上進行10個輪次的後訓練，以使模型與人類價值觀一致，並使其在回應使用者提示時更有用」。 2.設計決策理由(Decision rationale)：如何及為何在模型訓練中做出關鍵設計選擇的描述。 (六)、用於訓練、測試及驗證的資料資訊(Information on the data used for training, testing, and validation) 1.資料類型樣態Data type/modality：勾選樣態包括文字、影像、音訊、視訊或說明有其他模態。 2.資料來源Data provenance：勾選來源包括網路爬蟲、從第三方取得的私人非公開資料集、使用者資料、公開資料集、透過其他方式收集的資料、非公開合成(Synthetic )資料等。 3.資料取得與選取方式(How data was obtained)：取得及選擇訓練、測試及驗證資料使用方法的描述，包括用於註釋資料的方法及資源，以及用於生成合成資料的模型及方法。從第三方取得的資料，如果權利取得方式未在訓練資料公開摘要中披露，應描述該方式。 4.資料點數量Number of data points：說明訓練、測試及驗證資料的大小（資料點數量），連同資料點單位的定義（例如代幣或文件、影像、視訊小時或幀）。 5.資料範疇與特性(Scope and characteristics)：指訓練、測試及驗證資料範圍及主要特徵的一般描述，如領域（例如醫療保健、科學、法律等）、地理（例如全球、限於特定區域等）、語言、模式涵蓋範圍。 6.資料清理處理方法(Data curation methodologies)：指將獲取的資料轉換為模型訓練、測試及驗證資料所涉及的資料處理一般描述，如清理（例如過濾不相關內容如廣告）、資料擴增。 7.不當資料檢測措施(Measures for unsuitability)：在資料獲取或處理中實施的任何方法描述（如有），以偵測考慮模型預期用途的不適當資料源，包括但不限於非法內容、兒童性虐待材料 (CSAM)、非同意親密影像 (NCII)，以及導致非法處理的個人資料。 8.可識別偏誤檢測措施(Measures to detect identifiable biases)：描述所採取的偵測與矯正訓練資料存在偏誤的方法。 (七)、訓練期間的計算資源(Computational resources (during training)) 1.訓練時間(Training time)：所測量期間及其時間的描述。 2.訓練使用的計算量(Amount of computation used for training)：說明訓練使用的測量或估計計算量，以運算表示並記錄至其數量級（例如 10^24 浮點運算）。 3.測量方法論(Measurement methodology)：描述用於測量或估計訓練使用計算量的方法。 (八)、訓練及推論的能源消耗(Energy consumption (during training and inference)) 1.訓練耗能(Amount of energy used for training)及其計量方法：說明訓練使用的測量或估計能源量，以百萬瓦時表示（例如 1.0x10^2 百萬瓦時）。若模型能源消耗未知，可基於所使用計算資源的資訊估計能源消耗。若因缺乏計算或硬體提供者的關鍵資訊而無法估計訓練使用能源量，提供者應披露所缺乏的資訊類型。 2.推論運算耗能的計算基準 (Benchmarked amount of computation used for inference1)及其方法：以浮點運算表示方式（例如 5.1x10^17 浮點運算）說明推論運算的基準計算量，並提供計算任務描述（例如生成100000個代幣Token）及用於測量或估計的硬體（例如 64個Nvidia A100）。 二、提供GPAI模型相關資訊(措施1.2) 通用人工智慧模型投放市場時，應透過其網站或若無網站則透過其他適當方式，公開揭露聯絡資訊，供AIO及下游提供者請求取得模型文件中所含的相關資訊或其他必要資訊，以其最新形式提供所請求的資訊。 於下游提供者請求時，GPAI模型提供者應向下游提供者提供最新模型文件中適用於下游提供者的資訊，在不影響智慧財產權及機密商業的前提下，對使其充分了解GPAI模型的能力及限制，並使該等下游提供者能夠遵循其AIA法案義務。資訊應在合理時間內提供，除特殊情況外不得超過收到請求後14日。且該資訊的部分內容可能也需要以摘要形式，作為GPAI模型提供者根據AIA法案第53條第1項(d)款必須公開提供的訓練內容摘要 (training content summary) 的一部分。 三、確保資訊品質、完整性及安全性(措施1.3) GPAI模型提供者應確保資訊的品質及完整性獲得控制，並保留控制證據以供證明遵循AIA法案，且防止證據被非預期的變更 (unintended alterations)。在制定、更新及控制資訊及記錄的品質與安全性時，宜遵循既定協議 (established protocols) 及技術標準 (technical standards)。 參、事件評析 一、所要求之資訊完整、格式標準清楚 歐盟AGPAI實踐準則」的「透明度 (Transparency)」提供模型文件的標準表格，做為GPAI實踐準則透明度章節的核心工具，從名稱、屬性、功能等最基本的模型資料，到所需軟硬體、使用政策、散佈管道、訓練資料來源、演算法設計，甚至運算與能源消秏等，構面完整且均有欄位說明，而且部分欄位直接提供選項供勾選，對於GPAI模型提供者提供了簡明容易的AIA法案資訊要求合規做法。 二、表格設計考量不同利害關係人的資訊需求 GPAI實踐準則透明度章節雖然主要目的是為GPAI模型提供者對由需要充分了解模型及其能力的下游提供者提供資訊，以便其在產品履行AIA法案下的義務。但相關資訊的提供目的，同時也在於讓AIO及國家主管機關履行其AI法案職責，特別是高風險AI的評估。因此，表格的資訊標示區分該欄資訊係用於AI辦公室 (AIO)、國家主管機關 (NCAs) 或下游提供者 (DPs)者，例如模型的訓練、資料清理處理方法、不當內容的檢測、測試及驗證的資料來源、訓練與運算的能秏、就多屬AIO、NCAs有要求時始須提供的資料，無須主動公開也兼顧及GPAI模型提供者的商業機密保護。 三、配套要求公開並確保資訊品質 該準則除要求GPAI模型提供者應記錄模型文件，並要求於網站等適當地，公開提供下游提供者請求的最新的資訊。而且應在不影響智慧財產權及機密商業的前提下，提供其他對使其充分了解GPAI模型的能力及限制的資訊。同時，為確保資訊的品質及完整性獲得控制，該準則亦明示不僅應落實且應保留證據，以防止資訊被非預期的變更。 四、以透明機制落實我國AI基本法草案的原則 我國日前已由國科會公告人工智慧基本草案，草案揭示「隱私保護與資料治理」、「妥善保護個人資料隱私」、「資安與安全 」、「透明與可解釋 」、「公平與不歧視」、「問責」原則。GPAI實踐準則透明度章節，已提供一個重要的啟示—透過AI風險評測機制，即可推動GPAI模型資訊的揭露，對相關資訊包括訓練資料來源、不當內容防止採取做一定程度的揭露要求。 透過相關資訊揭露的要求，即可一定程度促使AI開發提供者評估認知風險，同時採取降低訓練資料、生成結果侵權或不正確的措施。即便在各領域作用法尚未能建立落實配套要求，透過通過評測的正面效益，運用AI風險評測機制的資訊提供要求，前揭草案揭示的隱私、著作、安全、問責等原則，將可以立即可獲得一定程度的實質落實，緩解各界對於AI侵權、安全性的疑慮。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw） [1]The European AI Office, The General-Purpose AI Code of Practice, https://digital-strategy.ec.europa.eu/en/policies/contents-code-gpai 。(最後閱覽日：2025/07/30) [2]The European AI Office, Code of Practice for General-Purpose AI Models–Transparency Chapter, https://ec.europa.eu/newsroom/dae/redirection/document/118120 。(最後閱覽日：2025/07/30)