歐盟資料保護工作小組修正通過個人資料侵害通報指引

歐盟資料保護工作小組修正通過「個人資料侵害通報指引」

資訊工業策進會科技法律研究所
法律研究員 李哲明
2018年3月31日

壹、事件摘要

  因應歐盟「通用資料保護規則」(The General Data Protection Regulation,或有譯為一般資料保護規則,下簡稱GDPR)執法即將上路,針對個人資料侵害之通報義務,歐盟資料保護工作小組(Article 29 Data Protection Working Party, WP29)特於本(2018)年2月6日修正通過「個人資料侵害通報指引」(Guidelines on Personal data breach notification under Regulation 2016/679),其中就GDPR所規範個資侵害之定義、對監管機關之通報、與個資當事人之溝通、風險及高風險評估、當責與紀錄保存及其他法律文件所規定之通報義務等,均設有詳盡說明與事例。

貳、重點說明

一、何謂個資侵害?個資侵害區分為哪些種類?

  依據GDPR第4條(12)之定義,個資侵害係指:「個人資料因安全性之侵害所導致意外或非法之毀損、喪失、修改、未經授權之揭露、存取、個資傳輸、儲存或其他處理。」舉例來說,個人資料之喪失包括含有控制者(controller)顧客資料庫的備份設備之遺失或遭竊取。另一例子則為整份個資的唯一檔案遭勒索軟體加密,或經控制者加密,但其金鑰已滅失。依據資訊安全三原則,個資侵害之種類區分為:

  1. 機密性侵害(Confidentiality breach):未經授權、意外揭露或獲取個人資料。
  2. 完整性侵害(Integrity breach):未經授權或意外竄改個人資料。
  3. 可用性侵害(Availability breach):在意外或未經授權之情況下,遺失個人資料存取權限或資料遭銷燬。

二、何時應為通知?

  按GDPR第33條(1)之規定,當個資侵害發生時,在如果可行之情況下,控制者應即時(不得無故拖延)於知悉侵害時起72小時內,依第55條之規定,將個資侵害情事通報監管機關。但個資侵害不會對自然人之權利和自由造成風險者,不在此限。倘未能於72小時內通報監管機關者,應敘明遲延之事由。

三、控制者「知悉」時點之判斷標準為何?

  歐盟資料保護工作小組認為,當控制者對發生導致個人資料侵害的安全事件達「合理確信的程度」(reasonable degree of certainty)時,即應視為其已知悉。以具體事例而言,下列情況均屬所謂「知悉」:

  1. 在未加密個人資料的情況下遺失USB密鑰(USB Key),通常無法確定是否有未經授權者將獲致存取資料權限。即使控制者可能無法確定是否發生機密性侵害情事,惟仍應為通知,因發生可用性侵害之情事,且已達合理確信的程度。

  故應以控制者意識到該密鑰遺失時起為其「知悉」時點。

  1. 第三人通知控制者其意外地收到控制者的客戶個人資料,並提供該揭露係未經授權之證據。當侵害保密性之明確證據提交控制者時,即為其「知悉」時點。如:誤寄之電子郵件,經非原定收件人通知寄件者之情形。
  2. 當控制者檢測到其網路恐遭入侵,並針對其系統進行檢測以確認個人資料是否遭洩漏,嗣後復經證實情況屬實,此際即屬「知悉」。
  3. 網路犯罪者在駭入系統後,聯繫控制者以索要贖金。在這種情況下,控制者經檢測系統並確認受攻擊後,亦屬「知悉」。

  值得注意的是,在經個人、媒體組織、其他來源或控制者自我檢測後,控制者或將進行短暫調查,以確定是否發生侵害之事實。於此調查期間內所發現之最新侵害情況,控制者將不會被視為「知悉」。然而,控制者應儘速展開初步調查,以形成是否發生侵害事故之合理確信,隨後可另進行更詳盡之調查。

四、共同(聯合)控制者之義務及其責任分配原則

  GDPR第26條針對共同控制者及其如何確定各自之法遵義務,設有相關規定,包括決定由哪一方負責遵循第33條(對主管機關通報)與第34條(對當事人通知)之義務。歐盟資料保護工作小組建議透過共同控制者間之契約協議,約明哪一方係居主要地位者,或須負責盡到個資侵害時,GDPR所定之通知義務,並載於契約條款中。

五、通報監管機關與提供資訊義務

  當控制者通報監管機關個資侵害情事時,至少應包括下列事項

(GDPR第33條(3)參照):

  1. 敘述個人資料侵害之性質,包括但不限於所涉之相關個資當事人、個資紀錄及其類別、數量。
  2. 傳達資料保護長(DPO)或其他聯絡人之姓名與聯絡方式,俾利獲得進一步資訊。
  3. 說明個資侵害可能之後果。
  4. 描述控制者為解決個資侵害業已採取或擬採行之措施,在適當情況下,酌情採取措施以減輕可能產生之不利影響。

  以上乃GDPR要求通報監管機關之最基本事項,在必要時,控制者仍應盡力提供其他細節。舉例而言,控制者如認為其處理者係個資侵害事件之根因(root cause),此時通報並指明對象即可警示委託同一處理者之其他控制者。

六、分階段通知

  鑒於個資事故之性質不一,控制者通常需進一步調查始能確定全部相關事實,GDPR第33條(4)爰設有得分階段通知(notification in phases)之規定。凡於通報時,無法同時提供之資訊,得分階段提供之。但不得有不必要之遲延。同理,在首次通報後之後續調查中,如發現該事件業已受到控制且並未實際發生個資侵害情事,控制者可向監管機關為更新。

七、免通報事由

  依據GDPR第33(1)條規定,個資侵害不會對自然人之權利和自由造成風險者,毋庸向監管機關通報。如:該遭洩露之個人資料業經公開使用,故並未對個人資料當事人構成可能的風險。

  必須強調的是,在某些情形下,未為通報亦可能代表既有安全維護措施之缺乏或不足。此時監管機關將可能同時針對未為通報(監管機關)或通知(當事人),以及安全維護措施之缺乏或不足,以違反第33條或(及)34條與第32條等獨立義務規定為由,而依第83條4(a)之規定,併予裁罰。

參、事件評析

一、我國企業於歐盟設有分支機構或據點者,宜指派專人負責法遵事宜

  揆諸GDPR前揭規定,當個資侵害發生時,控制者應即時且不得無故拖延於知悉時起72小時內,將個資侵害情事通報監管機關。未能履踐義務者,將面臨最高達該企業前一會計年度全球營業額之2%或1千萬歐元,取其較高者之裁罰。我國無論金融業、航運業、航空運輸業、電子製造業及進出口貿易業者等,均或有於歐盟成員國境內或歐洲經濟區(European Economic Area)當地設立子公司或營業據點。因此,在GDPR法遵衝擊的倒數時刻,指派具瞭解GDPR規定、當地個資隱私法遵規範、擅長與隱私執法機構溝通及充要語言能力者專責法遵業務實刻不容緩。蓋此舉可避免我國企業母公司鞭長莫及,未能及時處置而致罹法典之憾。

二、全面檢視個資業務流程,完備個資盤點與風險評鑑作業,掌握企業法遵現況

  企業應全面檢視業務流程,先自重要核心業務中析出個資作業流,搭配全面個資盤點,並利用盤點結果進行風險評鑑,再針對其結果就不同等級之風險採行相對應之管控措施。此外,於全業務流程中,亦宜採行最小化蒐集原則,避免蒐集過多不必要之個人資料,尤其是GDPR所定義之敏感個資(如:種族、民族血統、政治觀點、宗教信仰、哲學信仰、工會會員資格等個人資料,及遺傳資料的處理,用於識別特定自然人之生物識別資料、健康資料、性生活、性取向等)或犯罪前科資料,俾降低個人資料蒐集、處理、利用、檔案保存及銷燬之全生命週期流程中的風險。此舉亦契合我國個人資料保護法第5條所揭櫫之原則。

三、立法要求一定規模以上之企業須通過個資隱私法遵第三方認(驗)證,並建置認證資訊公開平台

  鑒於國際法遵衝擊以及隱私保護要求之標準線日漸提升,我國企業除自主導入、建置並維運相關個資保護與管理制度以資因應,更有賴政府透過法令(如:修正個人資料保護法)強制要求一定規模以上之企業通過第三方專業驗證,俾消弭風險於日常準備之中。蓋我國具一定規模以上企業,無論其係屬何種業別,一旦違反國際法遵要求,遭致鉅額裁罰,其影響結果將不僅止於單一企業,更將嚴重衝擊該產業乃至於國家整體經貿發展。職是,採法律強制要求企業定期接受獨立、公正及專業第三方認(驗)證,咸有其實益性與必要性。

你可能會想參加
※ 歐盟資料保護工作小組修正通過個人資料侵害通報指引, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8028&no=64&tp=1 (最後瀏覽日:2026/07/10)
引註此篇文章
你可能還會想看
日本公告修正電業法(電気事業法),將放寬電力工作物定義,並新增電力事業類型

  日本於2020年(令和2年)6月12日公告修正「電業法」(電気事業法,以下簡稱新電業法),並預計於2022年(令和4年)4月1日正式施行。本次修正有以下兩個重點:(1)調整電力工作物之定義;(2)新增電力事業之種類,以符合國際技術及市場之變遷。   日本新電業法調整了電力工作物之定義,將儲能設備納入了電力工作物之定義中,日本新電業法下所謂電力工作物係指:「為了發電、儲能、變電、輸電、配電或其他以電力使用為目的而設置之機械、器具、水壩、水道、蓄水池、電路、電線或其他工作物(但船舶、車輛或航空器等,則依其他法令定之)。」此外,日本新電業法也於電力事業之種類下,新增了「特定電力批發業」(特定卸供給業)此一新型電力事業。依日本新電業法對於「特定電力批發業」之定義,所謂「特定電力批發業」,係指:「自其他發電及儲能設備設置者(但不包含發電業者)處聚合其發出或放出之電力而再向售電業、一般輸配電業、輸電業、特定輸電業供應電力者。」又依日本經濟產業省規劃,「特定電力批發業」得自行設置儲能設備,自產消合一之用電戶(prosumer)之儲能設備或發電設備(包含但不限於再生能源)購入電力,並轉而再至電力交易市場向其他售電業者販售電力;但「特定電力批發業」不得直接從發電業者或其他售電業購買電力,也不得直接售電予用電戶,故特定電力批發制度實際上是旨在賦予聚合商(アグリゲーター)參與市場之地位。

歐盟對於不可申請專利的基本生物學方法做出新解釋

  大多數國家是認為動植物為法定不得授予專利之標的,歐盟以往因為歐洲專利公約實施細則(Implementing Regulations to the Convention on the Grant of European Patents,下簡稱實施細則)跟擴大上訴委員會(the Enlarged Board of Appeal,簡稱EBA)決定不一致而造成爭議,EBA於2020年5月做出的新決定,對於動植物是否為可授予專利之標的做出一致性解釋。   在歐洲專利公約(European Patent Convention,簡稱EPC)第53條第2款規定用以生產動植物的基本生物學方法不可授予專利,並於2017年生效的實施細則第28條第2項將其進一步擴張解釋成,僅運用基本生物學方法所產生的動植物不可授予專利,這與EBA在2015年所做出的決定(G 2/12、G 2/13)並不一致,在2015年的決定中提到,運用基本生物學方法來界定動植物的請求項仍可以被接受,因此實施細則第28條第2項與2015年的決定產生衝突。   於2019年,技術上訴委員會(Technical Board of Appeal)在案例T 1063/18中發現了這個問題,並提到EBA討論,EBA表示,考慮到法條涵義可能因時間產生變化,需要對EPC第53條第2款進行動態解釋(dynamic interpretation),實施細則第28條第2項與EPC第53條第2款並未矛盾,而是進一步擴展為,僅通過基本生物學過程,或是由基本生物學方法界定動植物之情況,皆屬於不可授予專利之情況,而推翻之前的決定。而為維持法律安定性,本決定(G 3/19)對於2017/07/01前生效或申請的案件並不具效力。 「本文同步刊登於TIPS網站(https://www.tips.org.tw )」

日本經產省為了促進智慧家庭(smart home)計畫,以促進資料共享與利用。

  經產省為了在智慧家庭領域創造新事業,整備相關資料活用環境,蒐集共有及分析從多種多樣機器及服務所實際產出之資料,於2017年8月開始實施實證實驗。在實施前,為了使參加實證之民間公司間,得為資訊合作而完備相關規則及保安對策,於5月24日召開「智慧家庭資料活用環境整備推進事業」檢討會。因物聯網(IoT)的擴大得以蒐集龐大資料,以及現在人工智慧(AI)解析能力提高下,期待在各種領域提高生產效率及創造新的事業模式。特別是在智慧家庭領域,其在「新產業構造願景的中間整理」(2016年4月27日、產業構造審議會新產業構造部會)中,為有力重要領域。因此,以IoT技術等使家庭內機器網路化,活用此一資料,除了使既存事業模式發生變革或創造新事業模式外,也期待可以透過把握製品之使用資訊,而提高產品回收(recall)率,並促進資源回收以及家庭部門節能化等相關社會課題解決上。為此,本事業係以對於家庭內機器網路化及透過此而創造新事業為目標,整備事業環境與社會課題及各主題新事業服務創造相連結,因應每個人的生活模式而使得生活空間客製化成為可能,實現智慧家庭之社會目標。

韓國提出生成式AI訓練合理使用判斷原則指引:指明不構成合理使用之情形

韓國提出生成式AI訓練合理使用判斷原則指引:指明不構成合理使用之情形與事例 資訊工業策進會科技法律研究所 2026年07月01日 韓國文化體育觀光部(Ministry of Culture, Sports and Tourism,下稱MCST)與韓國著作權委員會(Korea Copyright Commission,下稱KCC)於2026年2月26日共同發布《生成式AI模型訓練之合理使用適用原則指引》(Guide on Applicability of the Fair Use Doctrine to Training of Generative AI Models,下稱本指引),以韓國著作權法第35條之5合理使用一般條款為基礎,就受著作權保護著作於生成式AI訓練過程遭利用之情形,提出四項判斷要素之適用原則、有利與不利認定之對照及具體事例。 壹、事件摘要 韓國於指引前言指出世界各國將AI技術視為未來核心成長引擎,力求在全球AI領導地位上取得競爭優勢。部分國家呼籲採取政策支持措施,盡可能廣泛允許訓練資料之使用並鼓勵AI發展,惟受憲法保障之著作權與AI驅動之技術創新,係不應以犧牲一方成全另一方之價值。韓國當前最關鍵之政策課題,在於找出一種平衡途徑:既尊重著作權人之正當權利、獎勵創作,同時避免對AI創新造成不當限制,促進共同成長與發展。而且AI發展之創新與著作權之保護並非本質衝突之價值。當二者作為互補原則相互調和時,得共同推動整體社會更廣泛之文化與經濟進步[1]。 貳、重點說明 該指引認為生成式AI訓練各階段之資料蒐集、前處理、模型訓練與評估最佳化,均可能構成著作權法上之重製,在韓國著作權法未設文本與資料探勘專門例外之現況下,AI訓練之利用是否合法,主要回歸第35條之5合理使用之四要素綜合判斷。指引除說明各國案例與法令外,就四項判斷要素逐一整理其定義與要件,同時提出「有利」與「不利」於合理使用之情形,並列舉可能成立與不太可能成立合理使用之事例,藉此將原本高度個案化之合理使用判斷予以類型化。本文重點針對其已表態認為較不利或(不)認同主張合理使用之情況、事例,摘要說明如下: 一、合理使用四要素可能無法構成的情況 (一)利用之目的與性質[2] 1、無轉化利用致目的與性質近似:若利用之目的與性質與原著作相同;未創造新價值或新用途、未顯著貢獻公共利益,且損害既有市場或權利人經濟利益。 2、有直接或間接商業獲益:開發者向使用者直接收取服務對價,或藉廣告與宣傳取得間接經濟利益;非營利研究組織於營利企業贊助下、為該企業商業目的訓練模型。 3、未實施侵權防制技術:若未採取措施以拒絕生成特定受著作權保護著作之重製或模仿之提示,從根本上阻擋重製或模仿特定著作所含表達之請求之AI系統。 4、過度就特定著作進行訓練:將提高生成式AI輸出與原著作共享相似目的或性質之可能性,較可能與著作之「通常利用」相衝突並損害著作權人經濟利益。 5、訓練目的與商業利用有關係:生成式AI系統縱為商業目的開發或訓練,並不當然排除合理使用之認定,縱存在商業目的,若該技術創造新價值並服務公共利益,其利用仍可能獲有利評價。而且,非商業與商業目的可能交織,例如,由大學與企業共同進行之產學合作研究,於初始研究階段可能屬非商業,惟若生成式AI模型用於提供商業服務,則可能有不利認定。反之,縱為營利企業,若其訓練AI模型以生成與其商業活動無關之輸出,亦可能被認定為進行非商業訓練。 6、取得方式違反著作權人意願:著作權人曾採取措施限制網路爬取或擷取,未經許可蒐集受接取限制之著作(如須登入或付費牆後之著作)或規避技術保護措施; 縱著作於技術上可接取,未經著作權人許可將其用於生成式AI訓練,違反適用之條款與條件之方式自網站蒐集著作,或以不被允許之方式接取著作,可能被視為逾越授權範圍。縱著作看似經轉化性利用,若該利用涉及非法重製或不當接取,此等情狀仍可能不利於因素一之有利認定。 (二)著作之類型與目的[3] 就第二要素著作之類型與目的,該指引認下列情形不利於合理使用之認定: 1、資料屬於供享受之文學或藝術著作:使用主要為享受著作本身而創作之文學或藝術著作,或創作性高而個性表達強之著作。因其創作表達係其核心價值,訓練於此等表達之生成式AI模型很可能生成相同或近似之表達特徵。 2、屬未公開或僅於受限或付費接取下提供之著作(如訂閱服務或付費資料庫):因對權利人經濟利益之影響風險較高,其利用性質與周遭社會期待不同。惟著作可公開取得並不因此即支持可合理使用之認定,可能因robots.txt限制之存在、以及預期利用之範圍與規模等面向,受不同權衡。 (三)所使用部分之質量與重要性 就第三要素,指引認下列情形不利於合理使用之認定[4]: 1、非必要下使用整份著作之量:使用整份著作訓練模型,本身不利於本要素;惟整份利用若基於技術上不可避免且必要之理由,得綜合其他要素另為評價。 2、直接重製核心表達之質:於利用過程中直接重製著作核心表達要素、輸出與原著作實質相同或可替代,且逾越利用目的所合理必要之範圍。 (四)對現在或潛在市場或價值之影響 就第四要素,指引認為下列情形不利於合理使用之認定[5]: 1、造成銷售損失或其他經濟損害:生成式AI訓練所生輸出不可能、或僅極低可能替代原著作之經濟價值或市場需求、或損害其市場價值縱屬商業利用,只要該利用不直接影響原著作市場之需求,亦可能有利於因素四。 2、AI輸出直接或實質重製原著作之核心表達:替代原著作或侵蝕其潛在市場需求之輸出,很可能不利於使用者。 3、損害授權機會、替代或削弱市場:使用著作於生成式AI訓練之授權市場,於部分領域已存在,或視著作類型、訓練方法與模型特性而合理可期於未來出現或發展;AI開發者未經許可蒐集並使用著作進行訓練、再於商業服務中利用訓練後模型,可能妨礙或損害著作權人就類似利用於未來授權以獲利之合理可預見機會。 4、反覆且大規模之未經授權訓練:可能導致未經授權利用,若任其普遍化,可能擾亂通常授權實務與市場規範、削弱受著作權保護著作之市場價值,並實質消滅著作權人獲取收益之能力。 二、合理使用認定可能與不可能事例 本指引於案例部分,直接列舉數則經四要素綜合判斷後(不太)可能成立合理使用之情形[6],分述如下: (一)可能有利於認定的事例 1、開發者使用可公開取得之線上貼文及合法購買之書籍訓練AI,且著作之利用非意在重製或替代特定貼文或書籍之表達,而係為實現通用型對話與生成能力。此外,開發者曾努力實施技術措施,以拒絕生成與訓練所用著作相同或實質近似輸出之提示。 2、模型係使用主要為傳達事實與資訊之短語或一般非專業表達(如社群媒體貼文或評論)訓練,且輸出呈現相對低度之創作性。 3、開發者別無選擇,須輸入數億筆資料,考量實現通用型語言理解與生成能力之目標,所使用受著作權保護著作之數量與範圍可認為合理。 4、訓練後模型之輸出或基於輸出之服務,未實質替代原著作之觀看、使用或銷售。此外,創作性相對較低之著作,如社群媒體或個人部落格上分享之貼文、留言、評論、照片或影片,或為非商業目的創作之平凡著作(尤其難以辨識或尋得著作權人者),亦用以訓練AI。 5、政府資助研究機構,依《公共資料之提供與利用促進法》所定公共資料,訓練其自然語言處理(natural language processing, NLP)模型,作為其社會不平等研究之一部分。 6、大學研究團隊蒐集以開放取用(open access)發表之論文,開發AI科技摘要模型,隨後並以開源(或開放權重)方式釋出該模型。 7、AI開發者使用可自由取得之科學與工程相關論文全文,建立可自動分析資料並支援研究之模型。 8、AI開發者使用其公司合法下載或以CD購買之戲劇影集或電影等視聽著作訓練模型,以開發分析犯罪者移動模式等犯罪預防應用。 (二)可能不利認定的事例 1、開發者訓練AI模型或提供服務,生成與特定貼文或書籍之句子、結構或表達相同或實質近似之輸出,或模型吸收原著作語言表達之精髓,即字詞於句子、段落或整份文件層次如何被選擇與排列。 2、訓練所用著作具高度文學或藝術創作性,且表達具強烈個性。 3、鑑於AI模型之架構,著作之利用範圍非結構上不可避免,亦非實現通用型語言理解與生成能力目標所合理必要。 4、AI訓練或相關服務之提供,導致受著作權保護著作銷售下降、對著作權人造成經濟損害、剝奪著作權人授權機會,足以構成市場替代或市場稀釋之顯著風險。此外,就AI訓練以合理條件授權之框架(如專為AI訓練目的之獨立授權制度)及集體管理制度已然存在,取得授權相對容易。 5、新聞文章全文訓練之摘要服務:未經新聞出版商許可,爬取並就新聞文章全文訓練模型,經營自動提供文章摘要之商業服務。本指引認其目的與原新聞文章近似而不具轉化性、著作係未經授權蒐集、使用全文,且摘要可能使讀者無須造訪原文即取得資訊,侵蝕出版商之訂閱與廣告收益。 6、合法購買教科書訓練並銷售教材:以合法購買之數位教科書訓練AI,生成教科書或習作簿並銷售。本指引認縱原書係合法購買,利用目的仍不具轉化性、所用著作具學術與教育價值、使用全文,且輸出可能替代或削弱出版商之教材市場。 7、未授權付費圖庫影像訓練並販售:未經許可爬取付費圖庫網站之高解析度付費影像訓練模型,並販售生成影像。本指引認其未經許可蒐集、目的不具轉化性、使用全份著作,且輸出可能替代圖庫或授權市場;又付費影像平台多設浮水印、API控管、robots.txt等技術措施以防未經授權蒐集,故此類利用不太可能成立合理使用。 8、歌手歌曲訓練經營付費AI翻唱:自音樂平台購入某歌手之數千首歌曲訓練模型,經營付費AI翻唱歌曲生成業務。 參、事件評析 如同韓國指引所揭示,其立場認為須找出平衡途徑,既尊重著作權人之正當權利、獎勵創作,同時避免對AI創新造成不當限制,促進共同成長與發展,以求二者作為互補原則相互調和,使整體社會文化與經濟進步,故雖其承認AI訓練確實涉及重製權,但亦認為如手段與來源合法,且其結果必須有轉化性、未影響既有經濟利益,則仍有主張合理使用的可能。此指引所呈現的態度,公益目的、公開取得及合法購買之書籍、為實現通用型對話與生成能力、實施技術措施、不產生替代效果,實亦呼應目前國際上就AI著作合理使用的多數看法。 就我國而言,我國著作權法第65條之合理使用四款判斷基準,與韓國第35條之5同屬四要素綜合判斷之立法例,且我國現行法同樣未設TDM專門例外,相關修法方向尚未聞擬進行研議。韓國其於TDM例外立法屢議未決之際,以其現行合理使用一般條款(第35條之5)為基礎、輔以行政指引因應AI訓練,以要素分析、不利類型化、具名事例的模式,引導、傳達主管機關立場的操作合理使用之作法,對我國主管機關研擬相關解釋或指引之參考價值較高。 韓國指引之價值,不在其結論具拘束力,因其明示固為主管機關之立場呈現,但其也特別揭示指引非權威解釋,所列案例與例示僅供說明與解釋之用。然而在其將原本高度個案化、難以事前預測之合理使用判斷,整理為可操作之不利類型與事例,為權利人與AI開發者提供風險預判之座標。以指引降低判斷不確定性之方式,亦呼應我國人工智慧基本法立法後,政府在相關作用法的整備上,以指引先行因應、再視實務累積決定是否立法之階段性的治理選擇,足供我國參酌。 本文著作權屬財團法人資訊工業策進會科技法律研究所所有,如需引用或轉載,請註明出處。 本文同步刊登於TIPS網站(https://keid.nat.gov.tw/tips/) [1] 韓國文化體育觀光部、韓國著作權委員會,《生成式AI模型訓練之合理使用適用原則指引》(Guide on Applicability of the Fair Use Doctrine to Training of Generative AI Models),頁8(2026)。 [2] 同前註,頁32-37。 [3]同前註,頁37~39。 [4] 同前註,頁39~41。 [5] 同前註,頁41~45。 [6] 同前註,頁50~頁62。

TOP