德國聯邦政府提出《資訊科技安全法2.0》草案

  德國聯邦政府(Bundesregierung)於2020年12月16日通過「提升資訊科技系統安全性的第二版法律(Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme)」草案,又稱「資訊科技安全法2.0(IT-Sicherheitsgesetz 2.0)」,該草案概述如下:

(1)加強德國聯邦資訊安全局(Bundesamt für Sicherheit in der Informationstechnik, BSI)權限:

BSI可對聯邦行政事務行使控制與審查權、檢測資訊系統和公共電信網路相連的安全弱點、發展分析惡意軟體和攻擊的系統與程序,並擴張其對聯邦通訊技術紀錄資料的儲存期間至12個月。

(2)加強消費者保護:

導入IT安全標籤(IT-Sicherheitskennzeichen),製造商應於該標籤中置入產品安全性聲明與由BSI提供之IT安全性資訊;此外BSI有權要求電信服務業者和產品製造商提供其儲存資料與相關必要資訊。

(3)加強企業作為義務:

關鍵基礎設施提供者有報告及使用攻擊檢測系統檢測安全威脅的義務,該報告義務在草案中將擴張適用於具特定公共利益之公司,如與國防和保密資訊IT產業相關、具經濟上重要性的公司,以及受重大事故條例(Störfallverordnung, StöV)所規範者。

(4)加強國家保護功能:

國家應建立認證機制,並課予關鍵基礎設施的供應者通過該認證的義務,即供應者需確保其設施內的零件不具不適當的技術特性,尤其可能被間諜活動或恐怖主義用以破壞關鍵基礎設施的安全與功能之重要零件。

  該草案目前於德國聯邦議院(Deutscher Bundestag)進行審查。

本文為「經濟部產業技術司科技專案成果」

相關連結
你可能會想參加
※ 德國聯邦政府提出《資訊科技安全法2.0》草案, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8603&no=0&tp=5 (最後瀏覽日:2026/07/04)
引註此篇文章
你可能還會想看
什麼是瑞士「創業實驗室」(Venture Lab) ?

  科技與創新委員會(Commission of Technology & Innovation,以下簡稱CTI)係瑞士重要之創新推進機構,成立於1943年,2011年新修正之研究與創新促進法實施後,CTI正式從經濟部聯邦職業教育及科技局(Federal Office for Professional Education and Technology, OEPT)獨立出來,成為一個具決策權的獨立機關,直接隸屬於聯邦經濟事務部(Federal Department of Economic Affairs, FDEA)。   CTI為擴大高科技創業並創造研發成果商品化之效益推動創業家計畫。該計畫主要係由CTI出資成立的「創業實驗室」(Venture Lab)來執行。創業實驗室針對大學生及創業家推出了一系列創業推廣及訓練課程,從單日的工作坊、五日之創業實務密集課程到在大學開設的創業學期課程,每一個訓練課程都有專家評審,針對創新構想及商業模式給予參與課程者具有建設性的建議。 資料來源:Venture Lab網站 圖 Venturelab 創業課程

歐盟執委會公布《關於標示與標籤AI生成內容之實踐守則》第二版草案,簡化第一版以促進AI生成內容之透明度

歐盟執委會於2026年3月5日公布《關於標示與標籤AI生成內容之實踐守則》(Code of Practice on Marking and Labelling of AI-generated content)第二版草案,主要分為兩大部分,針對不同對象設定規範: 一、AI提供者(Provider)的標示義務 要求AI輸出內容須以「可被機器辨識」的方式標示,包含: (1)應滿足四大要件:標示應滿足有效性、互操作性、穩健性與可靠性四要件,若無法透過單一技術完成標示,則應採取多重標示的方式為之。 (2)偵測機制:建立部署者與終端用戶偵測標示的機制。 (3)技術提升:訂定規範確保標示技術達標,並鼓勵合作開發。 (4)法遵:產品於市場推出後,AI提供者應於實際環境下對標示結果持續進行測試,並適時更新測試方法,以確保產品符合法遵要求。 (5)培訓:並對工作人員進行教育訓練。 二、AI部署者(Deployer)的標籤義務 部署者應將其透過AI生成內容中加以標籤,此義務聚焦使用深偽內容(Deepfake)於涉及公共利益之內容: (1)標籤要求:標籤須包含「AI」字樣、維持特定比例並放置於清楚位置,鼓勵使用歐盟統一標籤。 (2)藝術創意類作品仍應適時揭露:藝術創作倘若包含深偽內容,部署者仍應於適當處完成標籤,揭露其作品中包含深偽內容(對應《歐盟人工智慧法》(Artificial Intelligence Act, AI Act)第50條第4項後段)。 (3)審查與問責:針對已公開作品,應記錄相關人工審查之作業;未公開作品則應說明何人具備編輯控制權,以利後續問責。 相較於第一版,歐盟執委會已將此版本內容大幅刪減,以提升規範落實之彈性。

歐盟提出通用型人工智慧模型的著作權管理合規措施建議

歐盟提出通用型人工智慧模型的著作權管理合規措施建議 資訊工業策進會科技法律研究所 2025年07月23日 為推動以人為本且值得信賴之人工智慧(Artificial Intelligence, AI)應用,同時確保高度保護健康、安全及歐盟《基本權利憲章》所載之基本權利,包括民主、法治及環境保護,防止AI在歐盟境內造成有害影響,並依據歐盟《人工智慧法》(AI Act, AIA)第1條第1項支持創新。歐盟人工智慧辦公室(The European AI Office) 於2025年7月10日提出《人工智慧法案》關於通用型人工智慧的準則(The General-Purpose AI Code of Practice)[1],以下簡稱「GPAI實踐準則」。 該準則由辦公室擬定計劃邀集通用型人工智慧(以下簡稱GPAI)模型提供商、下游提供商、公協會、權利人、專家學者、民間團體組成工作小組,進行討論與草擬。目的在協助GPAI模型的提供者符合AIA要求其應訂定模型技術文件,提供給下游提供者,並應制定著作權政策、發布訓練內容摘要的規定。預計將自 2025 年 8 月 2 日起適用。 壹、事件摘要 歐盟GPAI實踐準則包括透明度、著作權與安全維護(Transparency, Copyright, and Safety and Security)三大章節。為證明符合AIA第53條及第55條所規定義的指導文件(guiding document),並確保GPAI提供者(providers)遵守其在《人工智慧法》下之義務,於該準則於著作權章節提供適用AIA第53條第1項(c)款規定[2]的措施建議。 該準則強調採取相關措施可以證明符合前揭定之義務,但符合歐盟著作權及相關權利法規,並不以遵守該準則為要件,而且也不會影響歐盟著作權及相關權利法規的適用與執行,其權利最終歸屬法院。而著作權人依法保留的權利,以及針對文字與資料探勘(Text and Data Mining, TDM)的例外或限制 (EU 2019/790號指令第4條第1項),仍應在合法條件下適用。 考量到一些GPAI提供者是新創企業,規模有別於一般企業,故該準則亦強調其所要求採取的是相稱措施(proportionate measures),應與提供者之規模相稱且合乎比例(commensurate and proportionate),並充分考量中小企業(SMEs),包括新創公司(startups)之利益。 貳、重點說明 該準則建議GPAI提供者,採取訂定著作權政策、合法重製、尊重權利保留、積極防止侵權、提供問責管道等五大著作權管理措施。 一、訂定、維持並實施著作權政策 為證明已符合AIA第53條第1項(c)款所負之義務,GPAI提供者針對其投放於歐盟市場之通用人工智慧模型,應制定政策以遵守歐盟著作權及相關權利法規。該準則建議提供者應將著作權章節所列措施納入於政策中,公開發布並維持最新狀態其著作權政策摘要,且在組織內部指派負責實施和監督。 二、獲取合法可存取之受著作權保護內容 GPAI提供者進行 EU 2019/790號指令第2條第2項之文字與資料探勘及訓練其通用人工智慧模型進行網際網路內容的重製並擷取時,例如使用網路爬蟲(web-crawlers)或授權他人使用網路爬蟲代其抓取(scrape)或以其他方式編譯資料,應防止或限制對作品及其他受保護標的物之未經授權行為,特別是應尊重訂閱模式(subscription models)或付費牆(paywalls)所施加之任何技術性拒絕或限制存取。而且在進行網路爬取時,應排除歐盟認定為持續且重複大規模商業侵犯著作權及相關權利之網站。 三、識別並遵守權利人的權利保留 GPAI提供者文字與資料探勘及訓練其通用人工智慧模型,其網路爬蟲應識別並遵守EU 2019/790號指第4條第3項的機器可讀(machine-readable)權利保留[3],讀取並遵循機器人排除協議(Robot Exclusion Protocol, robots.txt)。 該協議包括任何經網際網路工程任務組(Internet Engineering Task Force,IETF)證明技術上可行且可由AI提供者和內容提供者(包括權利人)實施之版本,或經國際或歐洲標準化組織採納透過基於資產(asset-based)或基於位置(location-based)之詮釋資料(metadata)等其他方式的機器可讀協議。亦包括通常係透過在歐盟層級經由權利人、AI提供者及其他相關利害關係人參與討論所達成共識的識別方案。 GPAI提供者亦應透過公開該等資訊並提供受影響權利人可在該等資訊更新時自動獲得通知的適當措施,使受影響之權利人能夠取得相關資訊,包括所用的網路爬蟲、所採識別並遵守權利保留之措施。 四、降低著作權侵權輸出之風險 為降低整合GPAI模型的下游人工智慧系統(downstream AI system),生成可能侵害著作權或相關權利的作品或其他標的物GPAI提供者應實施適當且合乎比例之技術保障措施,防止其模型生成以侵權方式重製受歐盟著作權及相關權利法規保護之訓練內容。;同時,在使用政策、條款與條件或其他類似文件中禁止模型用於著作權侵權目的。對於以自由及開源授權(free and open source licenses)發布之GPAI模型,應在隨附文件中請使用者注意禁止模型用於著作權侵權用途。無論是將模型整合至其自身的人工智慧系統,或係依據契約關係提供給他人。 五、提供聯繫受理管道 GPAI提供者應提供與受影響權利人進行連繫的管道與資訊,讓受影響之權利人及其代理人(包括集體管理組織(collective management organizations))以電子方式進行投訴。同時,勤勉、非任意地並在合理時間內處理投訴,除非投訴明顯無根據,或已對同一權利人提出之相同投訴作出回應。 參、事件評析 美國先前於2025年6月23日曾由加州北區聯邦地方法院(United States District Court for the Northern District of California),威廉·阿爾斯法官(Judge William Alsup)針對Andrea Bartz、Charles Graeber、Kirk Wallace Johnson這三位美國作家,對Anthropic公司訓練大型語言模型(Large Language Model, LLM)時使用受其等著作權保護書籍一案,作出AI訓練行為可主張合理使用的簡易裁決(summary judgment)[4]。但法官仍然指出提供AI訓練的合理使用(Fair Use)不代表資料來源的適法性(Legality of Source)獲得合法認定,並不支持盜版一本本來可以在書店購買的書籍對於創建大型語言模型 (LLM) 是合理必要 (reasonably necessary) 的。 這次歐盟的準則更明確指出,GPAI提供者進行文字與資料探勘及訓練其通用人工智慧模型,以網路爬蟲(web-crawlers)進行網際網路內容的擷取,應尊重訂閱模式(subscription models)或付費牆(paywalls)所採取的技術性拒絕或限制存取。而且在進行網路內容爬取時,應排除歐盟認定為持續且重複大規模商業侵犯著作權及相關權利之網站,即訓練資料的取得必須是合法。而且必須積極使用可識別並遵守機器人排除協議(Robot Exclusion Protocol, robots.txt)的技術,更應透過公開該等資訊、提供受影響權利人可在該等資訊更新時自動獲得通知的適當措施,使受影響之權利人能夠及時知悉所用網路爬蟲、所採尊重權利保留之措施。 雖然前揭美國法院案件正在進行審理,但顯然與歐盟的GPAI實踐準則及美國著作權局的合理使用立場[5]一樣,均不認同迴避權利保護施、自盜版網站取得的資料之情況。我國日前發生七法與法源公司之間的著作權訴訟,七法以網路爬蟲爬取法源公司於使用條款限制存取的資料,並非技術創新撞上不合時宜的舊有法律框架,而是創新應用仍應在合理保護權利的前提下進行。 歐盟GPAI實踐準則所揭示的政策制訂、尊重權利保留、積極防止侵權、提供有效且給予合理回應的問責管道等AIA合規要求,已提示GPAI的開發、服務提供,應如何透過公開、揭露措施來配套降低科技創新應用過程對既有權利的影響,也指引其應建立的內部管理與外部溝通重點。對於開發、運用GPAI對外提供服務的企業而言,在爭執訓練資料應有合法空間的同時,或許應該思考是否應先採取歐盟GPAI實踐準則所建議的措施,以尊重既有權利的態度,積極降低權利人的疑慮,始有助於形成互利的合法利用空間。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw) [1]The European AI Office, The General-Purpose AI Code of Practice, https://digital-strategy.ec.europa.eu/en/policies/contents-code-gpai。(最後閱覽日:2025/07/21) [2]該條款要求將通用人工智慧模型投放於歐盟市場(Union market)之提供者,必須制定政策以遵守歐盟著作權及相關權利法規,特別是透過最先進之技術,識別並遵守權利人依據《第2019/790號指令》(Directive (EU) 2019/790)第4條第3項所表達之權利保留。 [3]指不接受其著作被用於文字與資料探勘目的之利用。 [4]Bartz et al. v. Anthropic PBC, No. 3:24-cv-05417-WHA, Doc. 231, (N.D. Cal. June 23, 2025),https://cdn.arstechnica.net/wp-content/uploads/2025/06/Bartz-v-Anthropic-Order-on-Fair-Use-6-23-25.pdf。(最後閱覽日:2025/06/25) [5]劉家儀,美國著作權局發布AI著作權報告第三部分:生成式AI訓練-AI訓練是否構成合理使用?https://stli.iii.org.tw/article-detail.aspx?no=0&tp=1&d=9352。

美國發布《新興科技優先審查架構》 加速政府機構導入AI技術

美國聯邦總務署(General Service Administration)於2024年6月27日發布《新興科技優先審查架構》(Emerging Technologies Prioritization Framework),該架構係為回應拜登總統針對AI安全所提出之第14110號行政命令,而在「聯邦政府風險與授權管理計畫」(Federal Risk and Authorization Management Program,以下簡稱FedRAMP)底下所設置之措施。 一般而言,雲端服務供應商(cloud service providers)若欲將其產品提供予政府單位使用,需依FedRAMP相關規範等候審查。《新興科技優先審查架構》則例外開放,使提供「新興科技」產品之雲端服務供應商得視情況優先審查。 現階段《新興科技優先審查架構》所定義之「新興科技」係為提供下列四種功能的生成式AI技術: 1.聊天介面(chat interface):提供對話式聊天介面的產品。允許用戶輸入提示詞(prompts),然後利用大型語言模型產出內容。 2.程式碼生成與除錯工具(code generation and debugging tools):軟體開發人員用來協助他們開發和除錯軟體的工具。 3.圖片生成(prompt-based image generators):能根據使用者輸入之文字或圖像而產生新圖像或影像的產品。 4.通用應用程式介面(general purpose API):基於API技術將前述三項功能加以整合的產品。 美國政府為挑選最具影響力的產品,要求雲端服務供應商繳交相關資料以利審查,例如公開的模型卡(model card)。模型卡應詳細說明模型的細節、用途、偏見和風險,以及資料、流程和參數等訓練細節。此外,模型卡應包含評估因素、指標和結果,包括所使用的評估基準。 《新興科技優先審查架構》第一波的申請開放至2024年8月31日,且FedRAMP將於9月30日宣布優先名單。這項措施將使生成式AI技術能夠以更快的速度被導入政府服務之中。

TOP