澳洲個人資料洩漏計畫將於二月施行

歐盟提出通用型人工智慧模型的著作權管理合規措施建議 資訊工業策進會科技法律研究所 2025年07月23日 為推動以人為本且值得信賴之人工智慧（Artificial Intelligence, AI）應用，同時確保高度保護健康、安全及歐盟《基本權利憲章》所載之基本權利，包括民主、法治及環境保護，防止AI在歐盟境內造成有害影響，並依據歐盟《人工智慧法》（AI Act, AIA）第1條第1項支持創新。歐盟人工智慧辦公室(The European AI Office) 於2025年7月10日提出《人工智慧法案》關於通用型人工智慧的準則(The General-Purpose AI Code of Practice)[1]，以下簡稱「GPAI實踐準則」。 該準則由辦公室擬定計劃邀集通用型人工智慧(以下簡稱GPAI)模型提供商、下游提供商、公協會、權利人、專家學者、民間團體組成工作小組，進行討論與草擬。目的在協助GPAI模型的提供者符合AIA要求其應訂定模型技術文件，提供給下游提供者，並應制定著作權政策、發布訓練內容摘要的規定。預計將自 2025 年 8 月 2 日起適用。 壹、事件摘要 歐盟GPAI實踐準則包括透明度、著作權與安全維護(Transparency, Copyright, and Safety and Security)三大章節。為證明符合AIA第53條及第55條所規定義的指導文件（guiding document），並確保GPAI提供者（providers）遵守其在《人工智慧法》下之義務，於該準則於著作權章節提供適用AIA第53條第1項(c)款規定[2]的措施建議。 該準則強調採取相關措施可以證明符合前揭定之義務，但符合歐盟著作權及相關權利法規，並不以遵守該準則為要件，而且也不會影響歐盟著作權及相關權利法規的適用與執行，其權利最終歸屬法院。而著作權人依法保留的權利，以及針對文字與資料探勘（Text and Data Mining, TDM）的例外或限制 (EU 2019/790號指令第4條第1項)，仍應在合法條件下適用。 考量到一些GPAI提供者是新創企業，規模有別於一般企業，故該準則亦強調其所要求採取的是相稱措施（proportionate measures），應與提供者之規模相稱且合乎比例（commensurate and proportionate），並充分考量中小企業（SMEs），包括新創公司（startups）之利益。 貳、重點說明 該準則建議GPAI提供者，採取訂定著作權政策、合法重製、尊重權利保留、積極防止侵權、提供問責管道等五大著作權管理措施。 一、訂定、維持並實施著作權政策 為證明已符合AIA第53條第1項(c)款所負之義務，GPAI提供者針對其投放於歐盟市場之通用人工智慧模型，應制定政策以遵守歐盟著作權及相關權利法規。該準則建議提供者應將著作權章節所列措施納入於政策中，公開發布並維持最新狀態其著作權政策摘要，且在組織內部指派負責實施和監督。 二、獲取合法可存取之受著作權保護內容 GPAI提供者進行 EU 2019/790號指令第2條第2項之文字與資料探勘及訓練其通用人工智慧模型進行網際網路內容的重製並擷取時，例如使用網路爬蟲（web-crawlers）或授權他人使用網路爬蟲代其抓取（scrape）或以其他方式編譯資料，應防止或限制對作品及其他受保護標的物之未經授權行為，特別是應尊重訂閱模式（subscription models）或付費牆（paywalls）所施加之任何技術性拒絕或限制存取。而且在進行網路爬取時，應排除歐盟認定為持續且重複大規模商業侵犯著作權及相關權利之網站。 三、識別並遵守權利人的權利保留 GPAI提供者文字與資料探勘及訓練其通用人工智慧模型，其網路爬蟲應識別並遵守EU 2019/790號指第4條第3項的機器可讀（machine-readable）權利保留[3]，讀取並遵循機器人排除協議（Robot Exclusion Protocol, robots.txt）。 該協議包括任何經網際網路工程任務組(Internet Engineering Task Force，IETF)證明技術上可行且可由AI提供者和內容提供者（包括權利人）實施之版本，或經國際或歐洲標準化組織採納透過基於資產（asset-based）或基於位置（location-based）之詮釋資料（metadata）等其他方式的機器可讀協議。亦包括通常係透過在歐盟層級經由權利人、AI提供者及其他相關利害關係人參與討論所達成共識的識別方案。 GPAI提供者亦應透過公開該等資訊並提供受影響權利人可在該等資訊更新時自動獲得通知的適當措施，使受影響之權利人能夠取得相關資訊，包括所用的網路爬蟲、所採識別並遵守權利保留之措施。 四、降低著作權侵權輸出之風險 為降低整合GPAI模型的下游人工智慧系統（downstream AI system），生成可能侵害著作權或相關權利的作品或其他標的物GPAI提供者應實施適當且合乎比例之技術保障措施，防止其模型生成以侵權方式重製受歐盟著作權及相關權利法規保護之訓練內容。;同時，在使用政策、條款與條件或其他類似文件中禁止模型用於著作權侵權目的。對於以自由及開源授權（free and open source licenses）發布之GPAI模型，應在隨附文件中請使用者注意禁止模型用於著作權侵權用途。無論是將模型整合至其自身的人工智慧系統，或係依據契約關係提供給他人。 五、提供聯繫受理管道 GPAI提供者應提供與受影響權利人進行連繫的管道與資訊，讓受影響之權利人及其代理人（包括集體管理組織（collective management organizations））以電子方式進行投訴。同時，勤勉、非任意地並在合理時間內處理投訴，除非投訴明顯無根據，或已對同一權利人提出之相同投訴作出回應。 參、事件評析 美國先前於2025年6月23日曾由加州北區聯邦地方法院（United States District Court for the Northern District of California），威廉·阿爾斯法官（Judge William Alsup）針對Andrea Bartz、Charles Graeber、Kirk Wallace Johnson這三位美國作家，對Anthropic公司訓練大型語言模型（Large Language Model, LLM）時使用受其等著作權保護書籍一案，作出AI訓練行為可主張合理使用的簡易裁決(summary judgment)[4]。但法官仍然指出提供AI訓練的合理使用（Fair Use）不代表資料來源的適法性（Legality of Source）獲得合法認定，並不支持盜版一本本來可以在書店購買的書籍對於創建大型語言模型 (LLM) 是合理必要 (reasonably necessary) 的。 這次歐盟的準則更明確指出，GPAI提供者進行文字與資料探勘及訓練其通用人工智慧模型，以網路爬蟲（web-crawlers）進行網際網路內容的擷取，應尊重訂閱模式（subscription models）或付費牆（paywalls）所採取的技術性拒絕或限制存取。而且在進行網路內容爬取時，應排除歐盟認定為持續且重複大規模商業侵犯著作權及相關權利之網站，即訓練資料的取得必須是合法。而且必須積極使用可識別並遵守機器人排除協議（Robot Exclusion Protocol, robots.txt）的技術，更應透過公開該等資訊、提供受影響權利人可在該等資訊更新時自動獲得通知的適當措施，使受影響之權利人能夠及時知悉所用網路爬蟲、所採尊重權利保留之措施。 雖然前揭美國法院案件正在進行審理，但顯然與歐盟的GPAI實踐準則及美國著作權局的合理使用立場[5]一樣，均不認同迴避權利保護施、自盜版網站取得的資料之情況。我國日前發生七法與法源公司之間的著作權訴訟，七法以網路爬蟲爬取法源公司於使用條款限制存取的資料，並非技術創新撞上不合時宜的舊有法律框架，而是創新應用仍應在合理保護權利的前提下進行。 歐盟GPAI實踐準則所揭示的政策制訂、尊重權利保留、積極防止侵權、提供有效且給予合理回應的問責管道等AIA合規要求，已提示GPAI的開發、服務提供，應如何透過公開、揭露措施來配套降低科技創新應用過程對既有權利的影響，也指引其應建立的內部管理與外部溝通重點。對於開發、運用GPAI對外提供服務的企業而言，在爭執訓練資料應有合法空間的同時，或許應該思考是否應先採取歐盟GPAI實踐準則所建議的措施，以尊重既有權利的態度，積極降低權利人的疑慮，始有助於形成互利的合法利用空間。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw） [1]The European AI Office, The General-Purpose AI Code of Practice, https://digital-strategy.ec.europa.eu/en/policies/contents-code-gpai。(最後閱覽日：2025/07/21) [2]該條款要求將通用人工智慧模型投放於歐盟市場（Union market）之提供者，必須制定政策以遵守歐盟著作權及相關權利法規，特別是透過最先進之技術，識別並遵守權利人依據《第2019/790號指令》（Directive (EU) 2019/790）第4條第3項所表達之權利保留。 [3]指不接受其著作被用於文字與資料探勘目的之利用。 [4]Bartz et al. v. Anthropic PBC, No. 3:24-cv-05417-WHA, Doc. 231, (N.D. Cal. June 23, 2025)，https://cdn.arstechnica.net/wp-content/uploads/2025/06/Bartz-v-Anthropic-Order-on-Fair-Use-6-23-25.pdf。(最後閱覽日：2025/06/25) [5]劉家儀，美國著作權局發布AI著作權報告第三部分：生成式AI訓練－AI訓練是否構成合理使用？https://stli.iii.org.tw/article-detail.aspx?no=0&tp=1&d=9352。

　　日本內閣於2021年2月5日通過產業競爭力強化法修正案（下稱本法），並於同年6月經國會通過。本次修正目的，為因應COVID-19所帶來影響與「新日常」（新たな日常，意指日本與各國因應COVID-19疫情影響，調整並重新建構生活、工作等基本社會活動方式的框架，追求安心、安全生活的同時擴大經濟活動），推動企業的長期化改革。對此，本法修正視為後COVID-19時代首要目標者，具體包含綠色社會（グリーン社会）、數位化（デジタル化）、以新日常為前提進行產業轉型等。 基此，此次本法的修正重點如下： （1）邁向綠色社會：企業提出與實現「碳中和」（カーボンニュートラル）相關之計畫，經主管機關認可後，該企業導入具零碳排（脱炭素化）效果產品之生產設備或生產程序、或對之進行投資，最多可免除10%的稅額，或得在提列折舊費用時，最高額外計提導入價格50%的特別折舊（特別償却）費用；企業為減少碳排放而向金融機構融資，如其能達成所設定的計畫期中目標，最多可獲0.2%的利息補助。 （2）因應數位化：企業如提出全公司的數位化商業模型改革計畫，並經主管機關認可，該企業針對應用雲端技術所進行投資，最多可免除5%稅額、或額外提列30%之特別折舊費用。 （3）企業改制以適應新日常：企業如提出應對新日常之事業再建構計畫，獲主管機關認定符合其事業類型之數位化指針（由主管機關擬定頒布）的要求，該企業於2020年與2021年度的經營赤字，直至轉為獲益之前（最長為5年），其應課稅所得的免除額最高提升為100%。 （4）允許上市公司舉行純虛擬（バーチャルオンリー）形式的股東會：創設公司法（会社法）以外之特別法規定，允許上市公司得例外以線上、無法明確定義召開地點的形式，舉行股東大會。 （5）支援新創事業：創設民間對於大型新創事業融資的債務保證制度，同時放寬國內證券投資基金對海外新創事業投資的50%上限規定。 （6）企業再生（事業再生）措施彈性化：因應COVID-19疫情對業界造成的打擊，原企業再生須透過訴外紛爭解決機制進行者，該個案得在5分之3的債權人同意減免金融債權額時，轉由法定之簡易再生程序辦理，加速企業提出的再生計畫獲得認可。 （7）將監理沙盒（規制のサンドボックス）轉型為常態型制度：監理沙盒制度之原主管法規，為生產性提升特別措施法（生産性向上特別措置法）。該制度要旨為企業得向主管機關提出計畫申請，針對個別議題或領域進行法規豁免之創新實驗；企業執行上述計畫所獲得之報告或資料，應提供予主管機關，作為檢討修訂相關法規之參考。該法因明定自施行日起三年內廢止之落日條款，預定於2021年6月廢止。因之，本次產業競爭力強化法修正時，配合納入監理沙盒制度的相關條文，而實質將其改為永久性實施之制度。

歐盟REACH規則之登錄義務與化學品創新商業模式 資訊工業策進會科技法律研究所 2019年12月 　　依據「聯合國化學品管理策略方針 」（UN Strategic Approach to International Chemical Management SAICM）要求在化學品的製造、使用及管理上，應盡可能地減少對環境及人體健康的負面衝擊，並以聯合國2030年永續發展目標為基礎，持續推動化學品管理，減少有毒物化學物質與危險材料的釋出，將全球的回收與安全再使用率提高，使化學品健全管理成為實現永續發展的必要條件，透過開發創新的化學品商業模式與經濟活動，來促進綠色化學及永續發展之目標前進。 壹、歐盟REACH規則與登錄義務之要求 一、歐盟REACH規則之立法目的及意旨 　　歐盟於2006年以「化學品登錄、評價、許可及限制規則」（Registration, Evaluation, Authorization and Restriction of Chemicals, REACH）[1]，作為歐盟境內統一性化學物質管理法制。依據REACH規則第1條規定「本規章之目的為確保人類健康及環境之高度保障（high level of protection），包括促進對於因化學物質（substance）產生之危險之替代評估方法，維護物質於歐洲內部市場之自由流通，及同時提高競爭力和創新。」其目的除管制歐盟境內之化學物質，來保護人類健康與環境安全，達到永續發展之目的外，亦期望透過歐盟境內一致性的協調性規範，使化學物質的流通能夠順暢，以促進經濟的發展。 二、歐盟REACH規則之登錄義務要求 　　為掌握歐盟境內化學物質之風險管理與因應措施，REACH規則第5條以下要求製造者或輸入者須完成化學物質本身或混合物或成品中化學物質之登錄後，始得製造或輸入。登錄制度之建立有助於獲取更多化學物質的資訊，並使相關產業之供應鏈及公眾獲知更多相關物質資訊。特別是，對於後續進行化學物質之風險管理，具有重要性之影響與作用。依REACH規則第5條至第14條規定，登錄義務人（化學物質之製造者與輸入者）須提供其生產或輸入之化學物質的相關資訊及暴露情境、暴露評估及風險特性等資訊，並且針對該物質應提出適當之風險管理措施的建議。 三、歐盟REACH規則之登錄義務對於產業之影響 　　由於製造商與輸入商須提供暴露情境、暴露評價與風險評估報告之義務，該報告內容包含簡易資訊卡（the simple infocard）、細節性摘要檔案（the detailed brief profile）及完整來源數據（the full source data）之資訊。該登錄義務對於上游供應鏈業者而言，往往面臨缺乏對物質情境與風險管理之相關資訊，例如其對於勞工與消費者接觸之危害程度、化學物質之用途以及對於評價之風險應提出何安全建議等[2]。除此之外，中小企業由於資源有限性、人力及成本的考量，相較於大型企業容易在物質資訊交換論壇（Substance Information Exchange Forums, SIEF）遇到困難[3] 。 貳、創新化學品商業模式與REACH規則登錄義務之交互作用 一、以服務為導向之化學品租賃商業模式 　　國家發展與經濟成長的同時，化學工業的生產、製程與發展的過程中，為人們生活條件與經濟物質帶來許多便利性；然而，過程中所排放的廢氣、廢水與廢棄物等污染，可能為人類健康與環境安全，帶來直接、間接或隱藏性的危害。有鑑於此，聯合國工業發展組織（United Nations Industrial Development Organization, UNIDO）與奧地利政府合作，推動「以服務為導向」的化學品租賃服務（Chemikalienleasing, ChL），此一創新化學品之商業模式有助於循環經濟體系之推動，除同時確保化學品內廢棄物回收物質之風險，更有利於降低人類健康及環境安全之危害物質[4]。 二、化學品租賃有助於REACH登錄義務之履行 　　化學品租賃係供應商以「化學品的產品週期」的產品服務取代傳統「數量或容量」之實物作為契約交付方式；從客戶端而言，其得按其對於化學品之實際需求，購買相關使用化學品之提供及後續產品維護等服務[5] 。從而，由於化學品之製造或輸入商提供化學品使用之服務，即實質地掌握物質的物質資訊、使用情境與風險危害資訊，相對於傳統線性模式有較完整之風險評估與防範措施。就此而論，其符合REACH規則之建置基礎，精準地掌握物質風險、有效控管物質危害及減少客戶依據REACH規則遵守登錄要求[6]。 三、化學品租賃有助於達成綠色化學與永續發展之目標 　　當下游使用者或客戶不再以擁有化學品的所有權為主，反而係享受化學品的使用服務時，除加深產業鏈之間的資訊交流緊密度，更有效地擺脫傳統線性經濟之取得、製造、丟棄之線性經濟模式，降低原物料的成本與減少對環境之污染，成為有效推動綠色經濟轉型與提升產業競爭力之關鍵綠色轉型契機例如SAFECHEM業者將汽車金屬製品的洗劑，改用租借整套清洗機台與洗劑給使用者，除讓清潔劑（化學品）可以被循環使用，並為客戶減少93%的溶劑使用量[7]。。 參、小結與建議 　　化學工業產業作為所有產業的一切基礎，如何讓化學工業發展對環境更有好的技術研發、降低危害性質之安全替代物質，以及發展更節省成本與降低污染的商業模式，固有發揮其重要性意義與亟迫需求。環保署現無一統籌性推行創新化學品商業之單位與措施，根據「107年至109年資源回收再利用推動計畫」建議加強推動化學品級產品租賃服務，藉以延長產品之壽命[8]。關於化學品租賃之推動多由民間業者自主發起與推行。 　　由於使用後之化學品，依據廢棄物清理法第28條規定，須委託經許可清理、處理廢棄物之公民營廢棄物清除處理機構予以清理、處理，造成供應商無法回收、再利用使用後之化學品、溶劑或副產品等。現行解套措施為環保署同意改以資源物處理，經專案申請核可後，同意供應廠商收回純化、再製循環使用，以協助廠商推動化學品租賃制度。惟僅係個案性解套化學品租賃之法規障礙，對於回收使用後之化學物質之風險資訊及危害程度，並無法實質性與國內「毒性及關注化學物質管理法」做鏈結與接軌。 　　從而，國內若能透過調修相關化學物質管理法制之規範，由此通盤性打造有利於「創新化學品商業模式」之制度框架，建置符合循環經濟利用資源不斷循環、再利用為基礎，善用化學品租賃之新型商業模式與創新合作關係，將有助於協助引導化工產業之企業進行永續化學之綠色轉型，降低使用化學品所產生之空氣污染、廢水及廢棄物等，俾利於保護人類健康及環境安全之雙贏目標。 　　 [1] Regulation (EC) No 1907/2006 of the European Parliament and of the Council of 18 December 2006 concerning the Registration, Evaluation, Authorisation and Restriction of Chemicals (REACH). [2] ECHA, ECHA, Report on the Operation REACH and CLP 2016 (2016), at 10, https://echa.europa.eu/documents/10162/13634/operation_reach_clp_2016_en.pdf (last visited Dec. 1, 2019). [3] id. at 32. [4] United Nations Industrial Development Organization [UNIDO], https://www.unido.org/our-focus/safeguarding-environment/resource-efficient-and-low-carbon-industrial-production/chemical-leasing (last visited Dec. 1, 2019) [5] Bundesministerium für Umwelt, Naturschutz und nukleare Sicherheit [BMU], Chemikalienleasing als Modell zur nachhaltigen Entwicklung mit Prüfprozeduren und Qualitätskriterien anhand von Pilotprojekten in Deutschland (Mar. 1, 2010), S. 7, https://www.bmu.de/fileadmin/Daten_BMU/Pools/Forschungsdatenbank/fkz_370767407_chemikalienleasing.pdf (last visited Dec. 1, 2019) [6] United Nations Industrial Development Organization [UNIDO], GLOBAL PROMOTION AND IMPLEMENTATION OF CHEMICAL LEASING BUSINESS MODELS IN INDUSTRY (2016), at 13-14, http://www.recpnet.org/wp-content/uploads/2016/08/10-Years-Chemical-Leasing-Report.pdf (last visited Dec. 1, 2019). [7] SAFECHEM, https://safechem.com/de/metallreinigung/compleasetm.html (last visited Dec. 1, 2019) [8] 行政院環保署，推動循環經濟—廢棄物資源化，頁12，網址：https://www.ey.gov.tw/File/A7633C551685F1CC?A=C （最後瀏覽日：2020/1/8）。

　　加拿大數位隱私法（Digital Privacy Act）於2015年6月18日獲得皇室御准，該法目的係為修訂規範私部門運用個人資料的聯邦個人資料保護及電子文件法（Personal Information Protection and Electronic Documents Act, PIPEDA）。該法有多個章節於公告時便即刻施行，但仍有部分章節需待日後其他行政機關公告配套之法規後始能正式施行，例如該法的重點章節之一：「安全防護措施之違反」（Breaches of Security Safeguards）。 　　歷經約莫兩年，加拿大創新、科學及經濟發展部（Innovation, Science and Economic Development Canada）於2017年9月2日公告安全防護措施違反之規則草案（Breaches of Security Safeguards Regulations），以及規則衝擊分析聲明（Regulatory Impact Analysis Statement）。草案自公告時起開放30天供相關利益關係人發表意見，未來將和數位隱私法的「安全防護措施之違反」同時生效施行。 　　草案制定目的在於確保加拿大本國人若遇有資料外洩且具有損害風險時，可收到精確的相關資訊。私部門對本人的通知應包含使本人可理解外洩的衝擊和影響的詳細資訊。草案確保加拿大個人資料保護公署（Office of the Privacy Commissioner of Canada）之專員亦能獲得有關資料外洩的確實且對等資訊，並可監督、確認私部門遵守法規並執行。草案詳載私部門於通報個人資料保護公署時應提交的資訊，以及通知本人時應提供的資訊，且不限制私部門額外提供其他資訊。遇有資料外洩情事而故意不即時通報個人資料保護公署或通知本人者，最高將可處十萬美金罰鍰。