美國國防部5G戰略

英國發布著作權與人工智慧報告書與影響評估 資訊工業策進會科技法律研究所 2026年04月09日 英國政府於2026年3月18日依據《資料使用與存取法》（Data (Use and Access) Act 2025，下稱DUAA）第135條及第136條之法定義務，發布《著作權與人工智慧報告書》（Report on Copyright and Artificial Intelligence，下稱「報告書」）[1]及《著作權與人工智慧影響評估》（Copyright and AI Impact Assessment，下稱「影響評估」）[2]兩份官方文件。前揭文件係英國政府對人工智慧（Artificial Intelligence，下稱AI）使用著作權作品所進行之全面性政策評估，並對英國在AI著作權的修法路徑造成實質影響，使政府原先屬意的修法路徑被迫暫停推進。 壹、事件摘要 英國政府自2024年12月17日起展開「著作權與人工智慧」公開意見徵詢，徵詢期間至2025年2月25日止，共計收到11,520份回應。回應者涵蓋著作權人、創作者、AI模型開發者、學術研究機構、文化遺產機構及法律專業人士等，惟各自占比並未揭露。基於DUAA第135條及第136條之法定義務，英國政府須於法案通過後九個月內完成相關報告，遂於2026年3月18日同步公布「報告書」及「影響評估」。 報告書之主軸在於評估四大政策選項：選項0（維持現狀）、選項1（強化著作權保護）、選項2（廣泛資料探勘例外）、選項3（資料探勘例外附加選擇退出機制）。徵詢結果顯示，英國政府原傾向推動之「選項3」（附選擇退出之廣泛例外），在逾萬份回應中僅獲約3%之支持率，致使政府不得不重新審視其政策立場。 貳、重點說明 一、《資料使用與存取法》之立法脈絡 AI訓練資料可能涵蓋大量受著作權保護作品，如何權衡創作者權益與AI創新的效益，是目前各國所面臨的核心挑戰。此部分涉及各國著作權法規是否允許AI在未經授權的情況下利用著作權保護之作品，各國對此採取不同立場，相關法制爭議至今仍未有定論。英國係於《著作權、設計及專利法》（Copyright, Designs and Patents Act 1988，下稱CDPA）第29A條[3]設有文字及資料探勘（Text and Data Mining，下稱TDM）例外，意即資料使用者得於特定條件下，對其可合法取用之著作進行自動化分析而不構成侵權。惟其適用範圍僅限於「非商業研究目的」，使得AI業者在商業訓練場景中難以援引此一例外。 為解決前述挑戰，英國提出四種政策方向並徵詢公眾意見，其結果可見於「報告書」及「影響評估」。以下針對此四種政策選項進行說明。 二、四大政策選項之比較分析 （一）選項0：維持現狀 選項0係維持英國現行著作權法架構，AI業者原則上須就使用著作權作品取得授權，僅得於CDPA第29A條非商業研究之例外範圍內進行TDM。影響評估指出，現行制度對著作權人之保護在理論上尚稱完備，然受限於AI訓練資料來源缺乏透明度，著作權人實際上難以知悉其作品是否遭擅自使用，舉證更屬不易，致使授權機制形同虛設。此外，若境外AI業者以海外訓練之模型輸入英國市場，英國著作權人之權益亦難以獲得有效保障。 （二）選項1：強化著作權保護 選項1主張進一步強化著作權保護，要求所有AI訓練使用之材料均須取得授權，包括境外AI模型輸入英國市場時，亦須證明已依英國著作權法取得合法授權。就創意產業而言，此選項能更有力保障著作權人之財產權，並使其得從AI訓練中獲得合理報酬；然對AI業者而言，合規成本之提高將增加訓練門檻，可能壓抑英國本土AI產業之競爭力。影響評估亦指出，此選項下AI服務成本或轉嫁至終端用戶，影響政府及企業之AI採用率。選項1獲得了最高的支持度，有81%回應者贊同此一制度。 （三）選項2：廣泛TDM例外 選項2主張設立廣泛TDM例外，使AI業者無論商業或非商業目的均可對合法取得之資料進行探勘與訓練，無需逐一取得著作權人授權。此一制度係參考日本著作權法第30條之4。該條文指出，只要目的非在「享受著作物所呈現之思想或感情」原則上均可免授權使用，意即資料分析、資料蒐集與AI訓練等基於「情報解析」行為皆屬TDM例外範疇。 選項2雖有助於降低AI業者法遵成本並提升英國AI研發之國際競爭力，然創意產業普遍擔憂，廣泛例外將使生成式AI大量學習創作者作品，卻無需給付任何報酬，且可能產出直接競爭於原著作人之內容，嚴重侵蝕其市場利益。此選項僅有極少數回應者支持，如OpenAI、Anthropic等大型AI公司。 （四）選項3：TDM例外附加選擇退出機制 選項3原先為英國政府屬意推動的政策選項，亦與歐盟《數位單一市場著作權指令》（DSM Directive）第4條[4]之商業TDM例外架構相近，其核心設計係為原則上允許AI業者對合法取得之資料進行TDM，但著作權人得透過技術手段（如robots.txt）明確保留其權利（即選擇退出機制）。 然而，此選項在公開意見徵詢中僅獲約3%之支持率，其主要爭議在於：對創作者而言，選擇退出機制實質上將著作權保護之責任轉嫁至個人，中小型的創作者往往缺乏必要之技術能力或資源執行退出操作；並非所有爬蟲程式均遵從robots.txt協議；跨境訓練亦難有效管制。此外，在欠缺揭露義務的前提下，創作者仍無從知悉其作品是否遭侵權使用。 三、訓練資料透明度要求 報告書顯示，逾90%之意見回應者認為AI開發者應揭露訓練資料來源，惟各方對於揭露顆粒度（granularity）之要求存在明顯分歧：著作權人傾向主張細緻揭露至個別作品層次；AI業者則認為高層次概括揭露即已足夠。 就國際立法例而言，歐盟《AI法》（AI Act）第53條[5]第1項第4款已要求AI模型提供者製作並公開訓練內容摘要；美國加州亦已制定《生成式AI訓練資料透明度法》（Generative Artificial Intelligence: Training Data Transparency Act）。[6]英國雖無相關法定揭露義務，但在報告書中表示將持續監測其他國家透明度規範之實施效果，並與業界合作制定訓練資料揭露之最佳實務，以期為著作權人提供更有效之權利主張基礎。 參、事件評析 公眾諮詢的結果顯示，尋求著作權保護與AI創新發展的平衡點極具挑戰性。由於引起及大的社會反彈，英國政府被迫放棄「TDM例外附加選擇退出機制」之規劃，然而未來是否會徹底走向「強化著作權保護」仍未可知。然而，在本次諮詢中，有90%之回應者支持AI訓練資料透明度要求；歐盟AI法、美國加州生成式AI透明度法均課予AI業者一定程度的訓練資料揭露義務。從此觀之，縱使著作權人與AI業者之間存有諸多重大分歧，但透明度要求是目前雙方的共識基礎。 我國現行法制下AI訓練所遭遇到的爭議與英國類似，著作權人與AI業者的利益衝突如何化解亦為我國當前AI發展的課題。故英國經驗揭示，政策推行或法令修正宜建立多元利害關係人持續對話機制；此外，在法令、技術標準尚未成熟之情況下，業界最佳實務指引或可作為過渡性替代方案。 [1] GOV.UK, Report on Copyright and Artificial Intelligence (2026), https://assets.publishing.service.gov.uk/media/69ba692226909a14239612e4/CP2602959_-_Report_on_Copyright_and_Artificial_Intelligence_web.pdf (last visited. Apr. 9, 2026). [2] GOV.UK, Copyright and AI Impact Assessment (2026), https://assets.publishing.service.gov.uk/media/69ba68f7c06ba9576435abb0/CP2602959_-_AI_and_Copyright_Impact_Assessment_Web.pdf (last visited. Apr. 9, 2026). [3] Copyright, Designs and Patents Act 1988, legislative.gov.uk, https://www.legislation.gov.uk/ukpga/1988/48/section/29A (last visited Apr. 9, 2026). [4] Directive (EU) 2019/790, art. 4, 2019 O.J. (L 130) 92, 114. [5] Regulation 2024/1689, art. 53, 2024 O.J. (L 1689) 1, 84. [6] Bill Text - AB-2013 Generative artificial intelligence: training data transparency, California Legislative Information, https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=202320240AB2013 (last visited Apr. 9, 2026).

日本經濟產業省於2024年8月23日發布《IoT產品資安符合性評鑑制度建構方針》（IoT製品に対するセキュリティ適合性評価制度構築方針），以順應國際IoT產品資安政策趨勢，因應日益嚴重的資安威脅。 本制度為自願性認證制度，由情報處理推進機構（情報処理推進機構，簡稱IPA）擔任認證機構進行監督。以IoT產品為適用對象，制定共通因應資安威脅之最低標準，再依不同產品特性需求，制定不同符合性評鑑等級，依評鑑結果進行認證，授予認證標章。不同評鑑等級差異如下： 1.等級一：為共通因應資安威脅之最低標準，可由供應商進行自我評鑑，並以評鑑結果檢查清單申請認證標章，IPA僅會針對檢查清單進行形式確認。 2.等級二：係考量產品特性後，以等級一為基礎，制定應加強之標準，與等級一相同係由供應商評鑑，自我聲明符合標準，IPA僅會針對檢查清單進行形式確認。 3.等級三：係以政府機關或關鍵基礎設施業者為主要適用對象，須經過獨立第三方機構評鑑，並以IPA為認證機構進行認證，確保產品值得信賴。 本制度可協助採購者及使用者依資安需求，選用合適的IoT產品，亦有助於日本與國際IoT產品資安符合性評鑑制度進行協作，達成相互承認，減輕IoT產品供應商輸出海外之負擔。

　　自從2004年聯合國發布之「Who Cares Wins」文件首次提及ESG原則，近年來國際企業不斷倡導ESG原則，即企業針對環境（Environmental）、社會（Social）、公司治理（Governance）三大面向之要求。歐盟從一開始倡導呼籲企業遵守ESG原則的階段逐漸發展為將ESG原則融入具有法律效力之規範。目前歐盟針對ESG原則擁有兩大基石，也就是2019年11月頒布的「歐盟永續財務揭露規則」（Sustainable Finance Disclosure Regulation）以及2020年6月頒布的「永續經濟活動分類規則」（Taxonomy Regulation）。 　　「永續經濟活動分類規則」係起源於歐盟委員會於2018年3月發布之「歐盟關於金融永續發展行動計畫」。直到2020年6月，歐洲議會與歐盟理事會終於共同公布「永續經濟活動分類規則」，該法規的目的為：為歐盟建立一個統一通用的法律框架，以分類經濟活動是否具有環境永續性。該法規規定所有金融商品都必須根據該分類規則進行分類。對於宣佈具有環境永續性之商品，皆必須揭露如何適用分類規則以及符合該分類規則；而針對不符合環境永續性之其他商品（包括那些具有ESG目標但不具備環境永續性的商品）將必須提出聲明該金融商品未符合歐盟的永續經濟活動分類規則。 　　而針對金融商品是否具備環境永續性，需視其是否對於下列事項作出重大貢獻。例如：減緩氣候變化；適應氣候變化；水和海洋資源的持續利用和保護；發展可循環性經濟；污染防治；生物多樣性和生態系統的保護和恢復。 　　「永續經濟活動分類規則」雖然於2020年6月公布，並於同年7月12日生效，但其中許多重要規定仍尚未明文，須待後續授權之施行細則規範。重要時程如下： 2020年12月31日通過就氣候相關目標的科技篩選標準之施行細則。 預計於2021年12月31日通過就所有其他環境相關目標的科技篩選標準之施行細則。 預計於2022年1月1日達成氣候相關之目標。 預計於2023年1月1日達成所有其他環境相關之目標。 　　隨著歐盟「歐盟永續財務揭露規則」以及「永續經濟活動分類規則」的發展，逐漸將ESG原則融入法規中，可以明顯看出國際間對於ESG原則愈發要求。我國金管會亦跟隨國際潮流，於2020年8月公布之「綠色金融行動方案2.0」提及永續金融之概念，是以，我國企業亦應著重企業自身針對ESG原則之要求，以與國際趨勢接軌。

南韓個資保護委員會（Personal Information Protection Commission, PIPC）於2024年7月18日發布《人工智慧（AI）開發與服務處理公開個人資料指引》（인공지능(AI) 개발·서비스를 위한 공개된 개인정보 처리 안내서）（以下簡稱指引）。該指引針對AI開發與服務處理的公開個人資料（下稱個資）制定了新的處理標準，以確保這些資料在法律上合規，且在使用過程中有效保護用戶隱私。 在AI開發及服務的過程中，會使用大量從網路上收集的公開資料，這些公開資料可能包含地址、唯一識別資訊（unique identifiable information, UII）、信用卡號等個資。這些公開的個資是指任意人可藉由網路抓取技術自公開來源合法存取的個資，內容不限於個資主體自行公開的資料，還包括法律規定公開的個資、出版物和廣播媒體中包含的個資等。由於公開資料眾多，在現實中很難在處理這些公開個資以進行AI訓練之前，取得每個個資主體的單獨同意及授權，同時，南韓對於處理這些公開個資的現行法律基礎並不明確。 為解決上述問題，PIPC制定了該指引，確認了蒐集及利用公開個資的法律基礎，並為AI開發者和服務提供者提供適用的安全措施，進而最小化隱私問題及消除法律不確定性。此外，在指引的制定過程中，PIPC更參考歐盟、美國和其他主要國家的做法，期以建立在全球趨勢下可國際互通的標準。 指引的核心內容主要可分為三大部分，第一部分：應用正當利益概念；第二部分：建議的安全措施及保障個資主體權利的方法；及第三部分：促進開發AI產品或服務的企業，在開發及使用AI技術時，注意可信任性。 針對第一部分，指引中指出，只有在符合個人資料保護法（Personal Information Protection Act, PIPA）的目的（第1條）、原則（第3條）及個資主體權利（第4條）規定範圍內，並滿足正當利益條款（第15條）的合法基礎下，才允許蒐集和使用公開個資，並且需滿足以下三個要求：1.目的正當性：確保資料處理者有正當的理由處理個資，例如開發AI模型以支持醫療診斷或進行信用評級等。2.資料處理的必要性：確保所蒐集和利用的公開資料是必要且適當的。3.相關利益評估：確保資料處理者的正當利益明顯超越個資主體的權利，並採取措施保障個資主體的權利不被侵犯。 而第二部分則可區分為技術防護措施、管理和組織防護措施及尊重個資主體權利規定，其中，技術防護措施包括：檢查訓練資料來源、預防個資洩露（例如刪除或去識別化）、安全存儲及管理個資等；管理和組織防護措施包括：制定蒐集和使用訓練資料的標準，進行隱私衝擊影響評估（PIA），運營AI隱私紅隊等；尊重個資主體權利規定包括：將公開資料蒐集情形及主要來源納入隱私政策，保障個資主體的權利。 最後，在第三部分中，指引建議AI企業組建專門的AI隱私團隊，並培養隱私長（Chief Privacy Officers, CPOs）來評估指引中的要求。此外，指引亦呼籲企業定期監控技術重大變化及資料外洩風險，並制定及實施補救措施。 該指引後續將根據PIPA法規修訂、AI技術發展及國際規範動向持續更新，並透過事前適當性審查制、監管沙盒等途徑與AI企業持續溝通，並密切關注技術進步及市場情況，進而推動PIPA的現代化。