日本總務省公布AI運用原則草案

　　開放科學的基本理念，泛指在數位時代的背景下，各類型實驗測量機器獲得大量數據，以及網路行為累積的人類活動記錄，使各領域的研究活動趨向側重資料處理，結合分析工具後，以可閱讀的形式呈現並發表。 　　開放科學概念應用於行政與制度建立上，主要有兩個面向，其一為政府資助產出科學期刊論文等研究成果的開放取用（open access），意圖解決期刊雜誌訂閱費用過高，導致研究成果流通困難的問題，屬於早期開放科學關注的重點；其二則係使用官方研究資金進行研發時，於研究過程中取得的實驗、觀測及調查之研究資料開放運用，為近期政策與制度性倡議所聚焦，目的為使科學界、產業界以及一般社會大眾得以廣為接收並利用該些研究結果，令政府資金運用的一切成果均能充分回饋給國民與社會，期望藉由研究資料的公開，進一步深化該領域的研究進程、推展跨域研究或企業的產品與服務開發、以及創新活動。 　　舉例而言，日本內閣府於2018年提出的「統合創新戰略（統合イノベーション戦略）」第二章內，建構了國內開放科學下研究資料管理開放政策之基礎框架，關注伺服器空間內的研究資料保存與管理，與外國研究資料連動以建構巨量知識泉源，讓所有人得以廣泛活用該些研究資料，促成與加速跨領域與跨國境的新創。

美國各州逐步研議透過立法豁免企業資安事件賠償責任 資訊工業策進會科技法律研究所 2024年06月10日 為鼓勵企業採用資安標準與框架，美國已有幾州開始透過立法限縮企業資安事件賠償責任，企業若能舉證證明已符合法令或遵循業界認可之資安框架和標準，則於資安攻擊事件所致損害賠償訴訟中，將無需承擔賠償責任。 壹、事件摘要 為避免有心人士於未取得經授權下近用網路和敏感資料，企業往往投入大量資源打造資安防護架構，惟在現今網路威脅複雜多變的環境下，仍可能受到惡意資安攻擊，導致資料外洩事件發生，導致企業進一步面臨訴訟求償風險，其中多數指控為未實施適當的資安措施。為此美國佛羅里達州和西維吉尼亞州研議透過立法限縮企業之資安事件賠償責任，以鼓勵企業採用資安標準、框架與資安相關法令。 貳、重點說明 繼美國俄亥俄州[1]、猶他州[2]和康乃狄克州[3]相繼頒布法令，讓已實施適當安全維護措施之企業，豁免資安攻擊所致資料外洩之損害賠償責任，佛羅里達州和西維吉尼亞州近期亦提出相似法案，以下介紹兩州法案之重點： 一、佛羅里達州 美國佛羅里達州於2023年11月公布《資安事件責任法案》 （H.B 473: Cybersecurity Incident Liability）[4]，法案納入「安全港條款」（Safe Harbor），當企業遭受資安攻擊致生個資外洩事件，如可證明已遵循產業認可的資安標準或框架，實施適當的資安措施與風險控管機制，則可免於賠償責任，以鼓勵企業採納資安標準或框架。 為適用安全港條款，企業須遵循佛羅里達州資訊保護法（The Florida Information Protection Act），針對資料外洩事件，通知個人、監管機關和消費者，並建立與法案內所列當前產業認可的資安標準、框架，或是特定法令規範之內容具一致性的資安計畫（Cybersecurity Programs）： （一）當前產業認可的資安標準、框架 1. 國家標準暨技術研究院（National Institute of Standards and Technology, NIST）改善關鍵基礎設施資安框架（Framework for Improving Critical Infrastructure Cybersecurity）。 2. NIST SP 800-171－保護非聯邦系統和企業中的受控非機密資訊。 3. NIST SP 800-53 和 SP 800-53A－ 資訊系統和企業的安全和隱私控制/ 評估資訊系統和企業中的安全和隱私控制。 4. 聯邦政府風險與授權管理計畫（Federal Risk and Authorization Management Program, FedRAMP）安全評估框架。 5. 資安中心（ The Center for Internet Security, CIS）關鍵安全控制。[5] 6. ISO/IEC 27000系列標準。 7. 健康資訊信任聯盟（The Health Information Trust Alliance, HITRUST）通用安全框架（Common Security Framework）[6]。 8. 服務企業控制措施類型二（Service Organization Control Type 2, SOC 2）框架。 9. 安全控制措施框架（Secure Controls Framework）。 10. 其他類似的產業標準或框架。 （二）特定法令規範 企業（entity）如受以下法令規範，亦得適用安全港條款，如法令有修訂，企業應在發布修訂後的一年內更新其資安計畫： 1. 健康保險可攜與責任法（The Health Insurance Portability and Accountability Act, HIPAA）之安全要求。 2. 金融服務現代化法（The Gramm-Leach-Bliley Act）第五章。 3. 2014 年聯邦資訊安全現代化法（The Federal Information Security Modernization Act of 2014）。 4. 健康資訊科技促進經濟和臨床健康法（The Health Information Technology for Economic and Clinical Health Act, HITECH）之安全要求。 5. 刑事司法資訊服務系統 （The Criminal Justice Information Services, CJIS）安全政策。 6. 州或聯邦法律規定的其他類似要求。 該法案雖於2024年3月5日經佛羅里達州參議院三讀通過，但於2024年6月26日遭州長否決[7]，其表示法案對於企業的保障範圍過於廣泛，如企業採取基礎的資安措施與風險控管機制，便得主張適用安全港條款，將可能導致消費者於發生個資外洩事件時，無法受到足夠的保障。州政府鼓勵利害關係人與該州網路安全諮詢委員會（Florida Cybersecurity Advisory Council）合作，探求法案的替代方案，以保護消費者資料。 二、西維吉尼亞州 美國西維吉尼亞州於2024年1月29日提出眾議院第5338號法案[8]，修訂西維吉尼亞法典（Code of West Virginia），增訂第8H章資安計畫安全港條款（Safe Harbor for Cybersecurity Programs），如企業符合業界認可的資安標準、框架或依特定法令建立與實施資安計畫，包含個人資訊和機敏資料的管理、技術和企業保障措施，將能夠於侵權訴訟中，主張適用避風港條款。 法令內明列評估企業所建立的資安計畫規模和範圍是否適當之要素，包含： 1. 企業的規模和複雜性； 2. 企業的活動性質和範圍； 3. 受保護資訊的敏感性； 4. 使用資安防護工具之成本和可用性； 5. 企業可運用的資源。 （一）當前產業認可的資安標準、框架 除與佛羅里達州法案所列舉業界認可的資安標準之前六項相同，另增加： 1 NIST SP 800-76-2個人身分驗證生物辨識規範（Biometric Specifications for Personal Identity Verification）[9]。 2. 資安成熟度模型認證（The Cybersecurity Maturity Model Certification, CMMC）至少達到第2級，並經外部驗證（external certification）。 （二）特定法令規範 除與佛羅里達州法案所列舉特定法令之前四項相同，另增加：由聯邦環境保護局（Environmental Protection Agency, EPA）、資安暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA）或北美可靠性公司（North American Reliability Corporation）[10]所採用任何適用於關鍵基礎設施保護的規則、法規或指南。 惟目前法案已於2024年3月27日被西維吉尼亞州長否決[11]，其表示透過安全港條款鼓勵企業實踐資安框架雖立意良好，但也可能遭濫用而帶來不當影響，例如TikTok等大型國際企業，如在違背公民意願情況下共享個人資料時，將免於訴訟，恐有損其公民權益，未來州政府將與利害關係人持續進行協商。 參、事件評析 佛羅里達州和西維吉尼亞州近期同步公布有關限制企業於資安事件之責任相關法案，內容亦為相似，西維吉尼亞州之法案目前已遭否決，主要係擔心該豁免條款遭到不當濫用；佛羅里達州之法案亦因對於企業保障過廣與無法保障消費者個資安全考量，而遭州長否決。 法案中明列受產業普遍認可的資安標準、框架與政府所頒布特定法令，有助企業明確遵循與採納，建立與實施資安計畫，惟如何舉證所建立之資安計畫或實施之資安措施，與法案所列之資安標準、框架，或是特定法令規範，具有實質上的一致性，仍不明確，將可能阻礙企業於訴訟上行使抗辯與主張責任豁免權。未來美國如何權衡產業穩健發展與民眾個資保障，仍有待持續觀察。 [1] Chapter 1354 - Ohio Revised Code, Ohio Laws, https://codes.ohio.gov/ohio-revised-code/chapter-1354 (last visited May 24, 2024). [2]Part 7 Cybersecurity Affirmative Defense Act, Utah StateLegislative, https://le.utah.gov/xcode/Title78B/Chapter4/78B-4-P7.html (last visited May 24, 2024). [3]Frederick Scholl, Connecticut’s New Breach Notification and Data Security Laws: Carrots and Sticks, Quinnipiac University, July,1,2021,https://www.qu.edu/quinnipiac-today/connecticuts-new-breach-notification-and-data-security-laws-2021-07-01/ (last visited May 24, 2024). [4]CSHB 473-Cybersecurity Incident Liability, The Florida Senate,https://www.flsenate.gov/Session/Bill/2024/473 (last visited Jun. 28, 2024). [5]資安中心（ The Center for Internet Security, CIS）為美國非營利組織，負責推動CIS Controls，針對實際發生的資安攻擊行為提供防禦建議，作為企業保護 IT 系統和資料時可參考之最佳實務作法。資料來源：About us, Center for Internet Security, https://www.cisecurity.org/about-us (last visited Jun. 6, 2024). [6]What is HITRUST?, Schneider Downs,https://schneiderdowns.com/cybersecurity/what-is-hitrust/ (last visited May 24, 2024). [7]Governor of Florida, Vote letter for House Bill 473(2024), https://www.flgov.com/wp-content/uploads/2024/06/Veto-Letter_HB-473.pdf (last visited Jun. 28, 2024). [8]2024 REGULAR SESSION ENROLLED Committee Substitute for House Bill 5338, WEST VIRGINIA LEGISLATURE,https://www.wvlegislature.gov/Bill_Status/bills_text.cfm?billdoc=hb5338%20sub%20enr.htm&yr=2024&sesstype=RS&i=5338 (last visited May 24, 2024). [9]NIST SP 800-76-2 Biometric Specifications for Personal Identity Verification, National Institute of Standards and Technology, https://csrc.nist.gov/pubs/sp/800/76/2/final (last visited May 24, 2024). [10]北美電力可靠性公司（North American Electric Reliability Corporation, NERC），為一家非營利機構，致力推動關鍵基礎設施保護相關標準，以強化北美大規模電力系統（亦即電網）的可靠性和安全性，資料來源：https://www.nerc.com/Pages/default.aspx (last visited May 24, 2024). [11]Governor of West Virginia, Enrolled Committee Substitute for House Bill 5338(2024),https://www.wvlegislature.gov/Bill_Text_HTML/2024_SESSIONS/RS/veto_messages/HB5338.pdf (last visited May 24, 2024).

澳洲雪梨聯邦法院於本月 24 日對分散式 P2P 業者 Kazaa 發出命令，要求 Kazaa 營運商 Sharman Networks 必須在 10 日內（ 12 月 5 日之前），在其提供下載的軟體中加入關鍵字過濾技術（ keyword filter system ），否則應立即停止營運。市場人士普遍認為 Kazaa 暫時停止營運的可能性相當地高。 　　源起於去年底澳洲當地唱片業者控告 Kazaa 一案，今年 9 月 5 日澳洲聯邦法院認定 Kazaa 營運商 Sharman Networks 構成著作權侵害，除判決唱片業者勝訴外，法院並判定 Kazaa 必須在 2 個月內修改其軟體程式，加入相關過濾技術，以避免使用者傳輸違法音樂檔案；另一方面，判決賦予唱片業界得提交 3000 個關鍵字名單 ( 包括了曲目及歌手姓名 ) 要求 Kazaa 加以過濾的權利，該名單並得每兩週加以更新。 　　直至本月 24 日， Kazaa 仍表示其無法控制高達 100 萬使用者的個人行為，拒絕修改其提供下載的 P2P 軟體，導致聯邦法院不得不下達最後通牒。 Kazaa 營運商 Sharman Networks 雖已提起上訴，但在現時關鍵字過濾技術實施不易之下，澳洲 Kazaa 恐將步上已於本月 7 日關閉的 Grokster 後塵。

加拿大政府於2023年10月23日至12月4日針對「生成式人工智慧對著作權的影響」（consultation on the implications of generative artificial intelligence for copyright）進行公眾諮詢，以期了解生成式人工智慧對於加拿大著作權市場之變化，進而修訂《著作權法》（Copyright Act），本次諮詢文件中討論重點整理如下： 1.文字和資料探勘（Text and Data Mining, TDM）：是否需要因應TDM修改加拿大原本的著作權法，包含著作權法中合理使用行為（29條）和暫時性重製行為（30.71條）等得不構成侵害之例外條款。學者、AI使用者以及AI技術團體大多持肯定見解，認為TDM行為中使用的著作時不需要權利人的著作權授權；然創意產業則多持否定見解，認為不應該為TDM創設例外，否則將會使得TDM所使用之作品原著作人無法主張權利以獲得授權金。 2.人工智慧生成作品之著作人身分及著作權歸屬：因利用生成式人工智慧所創作或輔助創作之文字、圖像和音樂有作者身分不明確之虞，因此加拿大政府希望可以對此加以澄清，並討論是否需要修改原本的著作權法案中相關規定。針對作者身分不明確之爭議，加拿大政府提出了三種可能的規範模式： (1)闡明著作權保護只適用於自然人創作的作品； (2)將人工智慧生成作品之作者歸屬於在創作作品時運用技能和判斷力的自然人，凡自然人可以在人工智慧技術輔助下創作的作品中貢獻足夠的技能和判斷力，即可被視為該作品的作者； (3)為人工智慧生成的作品創設一套新的權利。 3.人工智慧之侵權責任：人工智慧係透過大量的資料庫來生成一項作品，過程中可能出現侵害他人著作權之情形，而加拿大現行的著作權法框架下很難認定侵權行為之責任歸屬。加拿大現行的著作權法要求被侵權人（著作人）必須證明侵權人明知其重製行為侵犯他人著作權，且就該他人著作加以重製，但一般人難以瞭解人工智慧系統開發及訓練過程，因此難證明人工智慧系統研發與利用過程中的業者、工程師或其他相關人等是否有侵權行為。因此加拿大政府希望利害關係人就此議題提供更多意見，以協助將來修法、提高市場透明度。 生成式人工智慧雖然提供了便利的創作方式並帶來巨大經濟利益，卻也可能侵害他人著作權，因此平衡著作人之權利並兼顧經濟發展是加拿大政府及國際社會課正積極解決的議題。