德國聯邦資訊技術，電信和新媒體協會針對AI及自動決策技術利用提出建議指南

2025年9月Mendones v. Cushman and Wakefield, Inc.案（下稱Mendones案），面對生成式AI與深偽（deepfakes）對數位證據真實性的威脅，美國法院特別提到針對後設資料（metadata）的審查。 基於Mendones案原告提交9項涉嫌使用生成式AI的數位證據，其中證詞影片6A與6C影片具備「人物缺乏臉部表情、嘴型與聲音不相符，整體表現像機器人一樣」且「影片內容循環撥放」等AI深偽影片之典型特徵，法院懷疑原告舉證的數位證據為AI深偽影片。 因此，法院要求原告須提出該影片的後設資料，包含文件格式、創建/修改日期、文件類型、拍攝影片的快門速度等客觀資訊。 法院表示，原告提交的後設資料不可信，因為包含許多通常不會出現在後設資料的資訊（非典型的資訊），例如：著作權聲明。且法院進一步指出，許多非典型的資訊被放在不相關的欄位，例如：Google地圖的URL網址、電話號碼、GPS座標及地址等被放在「音樂類型」（musical genre）欄位內。因此法院懷疑，前述「非典型之後設資料」是被有存取文件與編輯權限的人添加的「後設資料」。 原告則主張，其透過iOS 12.5.5版本作業系統的Apple iPhone 6 Plus手機拍攝影片6A。法院指出，直到iOS 18版本作業系統，iPhone才推出可用於生成深偽影片的新功能「Apple Intelligence」相關技術，且該版本需要使用iPhone 15 Pro或更新的手機機型，因此法院發現技術上的矛盾。 法院認為，本案生成式AI影片已超越提交虛假引文（Fictitious Citations，即過往案例曾出現過律師提出AI虛構的判例之情況）的範疇。在訴訟中使用深偽證據，嚴重影響了法院的審理與公眾對司法的信任，並增加法院評估該證據是否為深偽之成本。因此，法院採取嚴厲的永久駁回訴訟（dismissed with prejudice），以表示對企圖以深偽資料為證據的行為持「零容忍」態度。 Mendones案展現法院審理AI深偽數位證據的細節，如「審視後設資料之內容準確、完整」為法院確認數位證據真實性的重要手段。 面對AI時代下數位證據的挑戰，我國司法院、法務部、臺灣高等檢察署、內政部警政署及法務部調查局共同推動之「司法聯盟鏈共同驗證平台」，以「b-JADE證明標章」結合區塊鏈技術。「b-JADE證明標章」確保鏈下管理數位資料原檔的機制，以及鏈上的「存證資料」包含「與數位原檔資料最終版本連結的『必要後設資料』」、雜湊值及時戳，如能妥適運用司法聯盟鏈進行證據「驗真」程序，將有助於強化數位信任。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

　　瑞典最高法院（Högsta domstolen）於2016/04/04 針對維基基金會（Wikimedia Sverige）與瑞典照片藝術著作權團體(Bildkonst Upphovsrätt i Sverige-BUS)之訴訟案，認定維基基金會無權經由網路提供公共藝術品資料庫（Swedish WikiMedia Art Map）予公眾使用。 　　本案由瑞典視覺藝術著作權團體於2016/06在瑞典斯德哥爾摩地方法院向維基基金會以侵犯藝術家（konstnärer）對其作品在線上之公眾提供權而提起訴訟。此案爭點在維基未得藝術家之同意前，維基是否可免費提供公共藝術品資料庫供大眾接近使用。因本件訴訟涉及瑞典著作權法24條第1項公共藝術品之轉載重製（24 § Konstverk får avbildas）。瑞典斯德哥爾摩地方法院依民事訴訟法第56章第13條向瑞典最高法院針對此爭議提出判決前置問題（beslut av tingsrätten om hänskjutande enligt 56 kap. 13 § rättegångsbalken）。 　　瑞典最高法院認為觀光客固然可以對置於公共場所之雕塑品等公共藝術品為攝影，但資料庫是否可無限制使用這些照片則是另一問題。公共藝術品照片資料庫被推定有一定某種程度之商業價值，且不論其是否具商業目的，最高法院認定藝術家有權利去主張此價值。 　　維基基金會認為此判決弱化表現自由中之基本元素之視覺自由（the freedom of panorama）。需強調的是，此決定只是針對公共藝術品資料庫之運用，並不影響私人上傳公共藝術品照片至社群媒體之權利。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

　　自2001年以來，美國長期無法解決2305-2360MHz頻段上，相鄰之衛星數位音訊廣播服務（Satellite Digital Audio Radio Service, SDARS）業者與無線通訊服務（Wireless Communications Service,WCS）業者雙方相互干擾之疑慮。此一爭議在2012年10月17日美國聯邦通訊委員會（FCC）發布FCC 12-130再審查命令（Order on Reconsideration FCC 12-130，下稱12-130命令）後獲得解決。 　　使用頻段位於2305-2320MHz與2345-2360MHz之無線通訊服務(WCS)與位於2320-2345MHz頻段的衛星數位音訊廣播服務(SDARS)由於個別之訊號傳輸技術差異大，並且長久以來無法在干擾處理的議題上達成共識，而抑制了無線通訊服務(WCS)於該頻譜上之發展。為實現WCS業者得於該頻段發展行動寬頻業務之承諾，並確保美國大眾能繼續享有高品質的衛星廣播服務，FCC本次針對2010年所頒布之命令(FCC10-82)進行再次修訂與檢討 ，以確立位於2.3GHz頻帶WCS所屬之頻段得發展新興寬頻服務，並促進SDARS地面中繼起器(terrestrial repeaters)之佈署及運作更加彈性化。 　　12-130命令之頒布，可視為WCS頻帶發展的重要里程碑。該命令除了確保相鄰頻帶之衛星廣播服務(satellite radio)、航空行動遙測技術(aeronautical mobile telemetry)以及位於美國加州所佈署之深空網路(deep space network)地面站其訊號不受干擾以外，FCC更透過制訂各項參數與管理規則，一方面降低WCS營運時對於SDARS接收者可能產生的潛在干擾，另一方面則幫助位於2.3GHz的WCS業者有能力提供固定或行動寬頻服務，以促進WCS業者與SDARS業者和諧共存。 　　對於FCC最後決定採用修改管制規範方式釋出該頻段以發展行動寬頻服務之舉，FCC主席Genachowski表示，除有助於鞏固美國身為全球發展LTE技術領導者之地位外，更認為命令中的管制障礙排除模式可幫助未來其他頻段的清理或移頻，增加頻譜使用彈性，並有助於達成國家寬頻計畫(National Broadband Plan’s)所設定之「2015年釋出300MHz總頻寬」、「2020年釋出500MHz總頻寬」目標。

美國奧克拉荷馬州修正《個資事故通報法》，擴充個資定義範圍並強化通報機制 資訊工業策進會科技法律研究所 2025年07月22日 現行我國關於非公務機關就個資事故進行通報之規定，散落於各中央目的事業主管機關制定之各業別個人資料檔案安全維護管理辦法或相關辦法中，且前揭各辦法對於通報之標準不盡相同。各國主管機關紛紛強化個資治理法制，而美國奧克拉荷馬州修正關於個人資料定義、適當防護措施及個資事故通報機制等事項，以建立更完善之規範。 壹、事件摘要 美國奧克拉荷馬州議會業於2025年5月20日通過第626號法案（Senate Bill 626）[1]，修正《個資事故通報法》（Security Breach Notification Act）[2]，其目的係為補充現行治理規範之不足，修正重點涵蓋：擴充法定用詞之定義，針對「個人資料」（Personal Information）與「適當防護措施」（Reasonable Safeguards）等條文予以補充與增列；強化個資事故（Breach of the security of a system）之通報機制與設立豁免條款，並釐清與其他法規間之適用關係；以及修訂違法情事之民事裁罰。此外，本次修法亦明定，若機構或個人已採取適當防護措施，得作為民事訴訟中之抗辯理由。本法將自2026年1月1日起正式生效，並適用於自該日起所發現、判定或通報之個資事故，相關單位應即早進行法遵準備，以確保制度落實。 貳、修法重點 本次修法主要包含三大核心面向，簡要說明如下： 一、擴充法定用詞之定義 （一）個人資料 於現行法規對個人資料之定義下，再增加新資料類別： 1.與驗證碼、存取碼或密碼結合使用時，可用以登入特定個人金融帳戶之專屬電子識別碼（Electronic Identifier）或路由代碼（Routing Code）； 2.用以辨識特定自然人之獨特生物特徵資料，例如指紋、視網膜或虹膜影像，或其他具體實體或數位形式之生物辨識資料。 （二）適當防護措施 適當防護措施係指，為確保個人資料安全而考量組織或機構之規模、產業別、以及保有之個資類別與數量所制定之政策及作業實務。此概念包括但不限於：進行風險評估、建立技術面及實體面之多層次保護機制、對人員實施教育訓練，及建立個資事故應變計畫等。 二、強化事故通報機制與設立豁免條款 本法要求於發現系統個資事故並已通知受影響之當事人後，應於60日內向州檢察總長（Attorney General）提交書面通報，載明涉及之個人資料類別、事故性質、受影響人數、預估之財務損失、所採行之適當防護措施等必要內容。惟若事故影響人數低於500名州民，或事故發生於徵信機構且影響人數未達1,000人，則可免除向檢察總長通報之義務。 此外，本法明確規範，若特定機構已依據其他法律，如《奧克拉荷馬州醫療資安保護法》（Oklahoma Hospital Cybersecurity Protection Act of 2023）或聯邦《健康保險可攜及責任法》（Health Insurance Portability and Accountability Act of 1996）等履行相關通報義務，則視為已符合本法之要求。 三、民事裁罰 本法明定，民事罰鍰之裁量將審酌事故規模、事故發生後組織之因應作為及是否履行事故通報義務等因素而定，以確保裁量之比例原則。裁量情形說明如下： 1.若機構已採行適當防護措施且依法進行事故通報者，得免除民事責任； 2.若未採取適當防護措施，惟仍依規定完成事故通報者，則須負擔實際損害賠償責任並處以最高75,000美元罰鍰； 3.未落實適當防護措施與事故通報法定義務者，最高處以150,000美元罰鍰。 參、事件評析 本次修法可見奧克拉荷馬州就數位時代資安威脅所採行之積極因應作為，其修正重點包含：擴充個人資料之定義並明定適當防護措施之內容，俾利降低企業法遵成本及法律適用之不確定性；強化事故通報機制並設置合理豁免條款，以確保資訊透明度；於罰則規範中明定民事罰鍰之裁量，應審酌事故規模及是否履行事故通報義務等因素，以符合比例原則。 有鑑於本法修正後所課予之法定義務，建議企業應採行下列因應措施：(1)全面盤點所保有之個人資料，尤應注意新增納管之電子識別碼及生物特徵等資料；(2)檢視並強化現有防護機制，確保符合適當防護措施之要求；(3)建立標準化通報應變程序；(4)強化教育訓練。此外，企業宜定期檢視法規動態，以確保持續符合法規要求。 [1] Bill Information for SB 626, OKLAHOMA STATE LEGISLATURE, http://www.oklegislature.gov/BillInfo.aspx?Bill=sb626&Session=2500 (last visited June 1, 2025). [2] BILL NO. 626, OKLAHOMA STATE LEGISLATURE, https://www.oklegislature.gov/cf_pdf/2025-26%20ENR/SB/SB626%20ENR.PDF (last visited June 2, 2025).