歐盟個資保護委員會對英國個資傳輸適足性認定之意見
英國自2020年1月31日正式脫離歐盟後,即成為歐盟跨境傳輸的「第三國」。能否持續和歐盟國家進行個資傳輸,就須視歐盟對英國跨境資料保護方式和《一般資料保護規範》(General Data Protection Regulation,GDPR)有無認定雙方具有本質上相同的保護程度,又稱為「適足性」(adequacy)的認定。目前,歐盟給予英國跨境傳輸過渡期到2021年7月,在此之後若希望持續不受限制的交流,就須經歐盟執委會(European Commission, EC)通過適足性認定後才得以進行。
2021年2月19日,歐盟執委會提出草案,認為英國的個資保護標準與歐盟的「GDPR」、「執法機關資料保護指令」(Law Enforcement Directive,LED)有適足性之適用。又在4月14日,歐盟個資保護委員會(European Data Protection Board, EDPB)針對歐盟執委會於2月19日所做的認定草案提出兩項意見:
一、肯認英國現行國內資料保護的核心架構中有關個資保護、處理及控制者的要件及處理方式和GDPR的保護程度並駕其驅。另,肯定英國「2018年資料保護法」(Data Protection Act 2018)中有關GDPR及LED的適用及對「英國資訊委員辦公室」(Information Commissioner’s Office, ICO)所賦予的權利及義務。
但同時,EDPB也向歐盟執委會提出以下幾點注意事項:
- 英國政府若發展獨立的個資保護政策,將可能與歐盟的保護架構分歧,造成個資保護程度降低。
- 「2018年資料保護法」中的「移民豁免」政策,讓資料控制者在處理移民相關資料時有廣泛的例外,得免於遵循GDPR之義務。
- 從英國將歐盟成員的資料傳給「第三國」時,該「第三國」本身需要具有基本上等同於GDPR的資料保護程度,才得允許傳輸。
- 針對英國政府出於國家安全目的,將個人資料傳輸到英國境內,而有義務免除或特殊情狀時,歐盟執委會應進一步了解或審核。
二、 認為英國法律框架中的核心要件實質上與LED的基礎原則具有高度一致性。因此建議歐盟執委會引入四年的日落條款(four-year sunset clause)方式,並密切觀察英國資料保護的發展,在必要時得以要求修改或終止LED適足性的決定。
針對以上問題,歐盟執委會希望能在6月底前廣納各國意見並做出決定。屆時,若通過適足性認定,其效期將延續4年,之後再進行適足性評估。並可能在英國開始制定相關的適足性及資料保護架構時,歐盟執委會得將其納入定期審查的項目中,以確保歐盟的個資跨境傳輸進入英國後,仍受適當的保護。
- European Data Protection Board issues opinions on European Commission’s draft UK adequacy decisions
- Statement 04/2021 on international agreements including transfers
- Opinion 15/2021 regarding the European Commission Draft Implementing Decision pursuant to Directive (EU) 2016/680 on the adequate protection of personal data in the United Kingdom
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
楊孟綺
副法律研究員 編譯整理
European Data Protection Board issues opinions on European Commission’s draft UK adequacy decisions, https://www.lexology.com/library/detail.aspx?g=951c8f89-5f58-45a3-ad8d-2d1776c24d89 (last visited:May. 2, 2021)
EBPD, Statement 04/2021 on international agreements including transfers, https://edpb.europa.eu/our-work-tools/our-documents/other-guidance/statement-042021-international-agreements-including_en (last visited:May. 2, 2021)
EBPD, Opinion 15/2021 regarding the European Commission Draft Implementing Decision pursuant to Directive (EU) 2016/680 on the adequate protection of personal data in the United Kingdom, https://edpb.europa.eu/our-work-tools/our-documents/other-guidance/opinion-152021-regarding-european-commission-draft_en( last visited:May. 2, 2021)
歐洲區塊鏈夥伴關係(European Blockchain Partnership, EBP)的成員於2023年6月正式向歐盟執委會(European Commission, EC)申請成立區塊鏈的「歐洲數位基礎設施聯盟」(European Digital Infrastructure Consortium, EDIC),若審核通過,未來歐盟將有一個正式的機構負責推動區塊鏈的發展與應用。 歐盟執委會於2023年1月發布了「2030年數位十年政策計畫」(Digital Decade Policy Programme 2030, DDPP),為促進歐盟數位轉型的大規模部署及能力建構,達到DDPP所設定的具體目標,執委會提出跨(多)國專案(Multi-Country Projects, MCPs)的概念,期待整合歐盟、各成員國、私部門的資源,以實現單一成員國無法獨立部署的數位化基礎設施。 執委會參考2009年開始陸續成立的「歐洲研究基礎設施聯盟」(European Research Infrastructure Consortium, ERIC),提出了「歐洲數位基礎設施聯盟」(EDIC)的規劃。EDIC並非由歐盟的資助計畫支持,而是由成員國申請(至少要包含3個成員國)成立以執行MCPs,EDIC具有法人格,並有獨立的財務來源;此外,EDIC成立後開放私部門參加。 2023年3月執委會發布的「數位歐洲2023~2024年工作計畫」(Digital Europe Work Programme 2023-2024)中,即將「區塊鏈」列為MCPs的重要發展項目之一。2023年6月15日於瑞典舉辦的歐盟數位大會(Digital Assembly 2023)上,執委會表示EBP及歐洲區塊鏈服務基礎設施(European Blockchain Services Infrastructure, EBSI)的相關成員國已遞交EDIC的申請。 斯洛維尼亞共和國(Republic of Slovenia)的區塊鏈小組負責人Nena Dokuzov是成立聯盟的主要推動者之一,其受訪時表示,EBSI從2018年以來,主要是由執委會以專案方式支持,未來聯盟成立以後,將能集結更充足的資源,強化歐洲區塊鏈的治理和穩定性,進一步地擴大推動歐洲區塊鏈的公共應用服務。我國「司法聯盟鏈」於2022年成立,為我國第一個跨部會、大規模的區塊鏈應用案例,並制定了跨組織協作標準規範(簡稱b-JADE),未來可持續觀測歐盟區塊鏈聯盟的發展,作為我國的參照。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
韓國以「生成式人工智慧著作權指引」提醒著作權侵權風險韓國以「生成式人工智慧著作權指引」提醒著作權侵權風險 資訊工業策進會科技法律研究所 2024年05月15日 創作內容的流通利用是發揮文化經濟力的核心關鍵,但大數據和機器學習技術的快速發展,人工智慧(以下簡稱AI)已成功應用於許多內容生成,大幅推進圖像、影音、文本的識別、處理、分析、甚至生成等創作成本,但從實現生成式AI而建立基礎模型開始,到AI產出物的生成,均存在可能侵權或被侵權的風險。如何衡平考慮著作權人和使用者立場,促進人工智慧技術發展和相關產業發展,同時努力營造尊重人類創作活動的著作權生態系統,已成為各國必須思考因應重要課題。 壹、事件摘要 韓國文化體育觀光部的著作權委員會於2024-01-16發布「生成式人工智慧著作權指引(생성형 AI저작권안내서)」[1],這份指引的目的是希望對涉及生成式人工智慧(Generative AI)產出過程中的各方(AI業者、著作權人、AI使用者)提供有關著作權的注意事項。因為韓國文化與著作權主管機關認為,雖然隨著人工智慧技術的迅速發展,在各個領域的應用為經濟和社會利益產生許多助益,但也出現了一個無法預測的環境,影響到著作權產業和創作活動的各個方面;有人將生成式AI用作創作工具,同時也有人擔心生成式AI可能帶來的經濟損失和就業威脅等問題。因此,韓國著作權委員會成立了由學界、法界和技術界專家以及利害關係人組成的「AI-著作權制度改善工作小組」,於2023年2月成立,以審查生成式AI引發的著作權問題並尋找應對方法,並根據該工作小組的討論而編寫提出該指引[2]。 貳、重點說明 該指引從實現生成式AI而建立基礎模型開始,到AI產出物的生成,聚焦於可能引發法律爭議的數據學習和AI產出物生成部分,從現行著作權法的角度說明AI業者、著作權人和AI使用者需要了解的內容。同時為幫助理解,亦納入介紹目前提供的生成式AI案例以及相關的國內外立法趨勢。但該指引特別說明其發布並非為提供其國會正在討論的著作權法修訂方向,而是為了在未來通過進一步的討論、研究和意見徵求過程等,制定出合理的解決方案,並透過制定衡平考慮著作權人和使用者立場的著作權法律制度,促進人工智慧技術發展和相關產業發展,同時努力營造尊重人類創作活動的著作權生態系統[3]。 該指引架構主要分為五大主題[4],同時提供問答集與附錄參考資料。五大主題分別為: 一、生成式AI技術與著作權(생성형 AI 기술과 저작권)[5]:從著作權角度看生成式AI技術,說明生成式AI技術的意義和應用案例。 二、對AI經營者的指導(AI 사업자에 대한 안내사항)[6]:包括生成式AI的學習階段的風險、AI產出物的生成階段的風險、建議採取防範措施以區別AI產出物與人類創作物。例如人工智慧業務經營者在提供相關服務時,確保不會產生與現有作品相同或相似的人工智慧輸出;該指引並建議參酌韓國2023 年 5 月提出的《內容產業振興法》修正提案(法案編號2122180)[7]規定,於人工智慧產出內容中應標示係採用人工智慧技術製作[8]。 三、對著作權所有人的指導(저작권자에 대한 안내사항)[9]:在AI學習階段應考慮的事項、防止AI產出物侵犯著作權的建議。該指引特別建議如果著作權人不希望其作品用於人工智慧學習,可以透過適當方式表達反對,以防止作品被用於人工智慧學習;即使著作權人後來得知自己的作品被用於人工智慧學習,亦可適當地採取技術手段來防止,以避免放任使用產生默許的問題。包括使用例如“Glaze”、“Photo Guard”等此類新的防止技術。 四、對AI使用者的指導(AI 이용자에 대한 안내사항)[10]:提醒注意生成式AI使用可能涉及的著作權侵犯情況,並說明在研究、教育、創作等領域的倫理和政策考慮。例如,提醒使用者將現有作品原樣輸入提示視窗或輸入誘導創作相同或相似作品的文字,從而創建與現有作品相同或相似的人工智慧輸出,然後將其發佈到平台上的方法,將存有侵權風險。即使是用人工智慧學習歌手聲音而重新創作或產生現有歌手的歌曲,也會涉及重製或輸入侵權資料的疑慮。同時,對學術研究或投稿,該指引特別建議在論文等中引用生成人工智慧撰寫的文章之前檢查其來源,並標註特定段落是以什麼人工智慧工具與指令所生成。 五、AI產出的著作權登記(AI 산출물과 저작권 등록)[11]:與AI產出物相關的著作權爭議、AI產出物是否可以登記著作權、有關AI產出物著作權登記的國內外案例、登記時應注意的事項等。該指引強調對於不能被視為在任何表達行為中做出人類創造性貢獻的人工智慧輸出,不可能進行著作權註冊。但在人類以創意方式進行修改、增加等“額外附加工作”(추가 작업)的情況下,該額外工作的部分才會被認定為具有著作權屬性,可以進行著作權登記。但是,著作權註冊的效果僅限於附加的部分(추가 작업한 부분)[12]。 另該指引在問答集中主要釋疑相關疑義,例如:為什麼AI的學習會涉及著作權問題?如果無法確定AI學習所使用的作品的權利人,AI業者如何獲得合法使用權?個別提示用於製作AI產出物也受著作權保護嗎?AI產出物是否無法受到著作權法保護?等等韓國文化與著作權主管機關認為常見或已出現爭議的案例,並依其現行法令或見解趨勢,提供主管機關的看法或解答。 此外,為協助其讀者更深入了解人工智慧的原理、爭議與國際發展趨勢,該指引並精要的整理出下述主題,包括:使用人工神經網絡進行學習的過程、生成式AI相關訴訟和著作權爭議、國內外AI相關應對情況、國內廣播公司和新聞機構有關AI學習資料取得的政策條款等補充明,做為該手冊的附錄資料。特別是其所整理之政策條款,顯示韓國新聞媒體已著手因應被用於AI訓練、學習與內容產生的風險。 參、事件評析 綜觀韓國文化體育觀光部的著作權委員會發布「生成式人工智慧著作權指引」可以看出,韓國認為生成式人工智慧在文創領域的議題,目前較為迫切需要處理的是創作人的著作權於AI訓練時被侵權,與創作時運用AI的侵害他人權利的風險,以及AI生成內容的識別與可保護範圍的界定,但促進人工智慧技術發展和相關產業發展,均為韓國關切議題;AI在未來如何衡平考慮著作權人和使用者立場尚待研析建立共識並透過國會立法修正著作權法律制度。 因此,該手冊除提供AI的技術背景說明外,並強調該指引並非修法政策的官方說明,同時以如何降低風險與維護權益的角度,提醒生成式人工智慧(Generative AI)產出過程中的AI經營者、著作權人、AI使用者,提供有關著作權的注意事項與例如防制技術運用、標註AI生成等預防措施。同時為再進一步幫助理解,除風險說明外並以問答方式強化重點提示,並舉相關媒體的AI訓練資料提供政策實例供參考,內容本身精要但附錄細節說明詳盡,但對於未必了解著作權法令的文創領域從業人員而言,內容簡明且建議措施直接具體,值得我國主管機關訂定相關指引之參考。 [1]「生成型人工智慧著作權指引(생성형 AI저작권안내서)」,檔案下載https://www.copyright.or.kr/information-materials/publication/research-report/view.do?brdctsno=52591#(最後瀏覽日:2024/05/25)。 [2]詳前註指引之前言,頁6~7。 [3]同前註。 [4]其中尚有第六主題說明未來的法令整備規劃,此部分較屬政策措施方向,較非指引重點,故本文此處未予列入說明重點。 [5]同前註指引,頁7。 [6]同前註指引,頁15。 [7]去年5月,國會文化體育觀光委員會委員長李相憲提出了《內容產業振興法》的部分修正案,其中包括對人工智慧製作的內容強制貼上人工智慧標籤。該修正案目前正在國民議會審議中。https://www.4th.kr/news/articleView.html?idxno=2056520,(最後瀏覽日:2024/05/25)。 [8]同前註1指引,頁21。 [9]同前註1指引,頁23。 [10] 同前註1指引,頁29。 [11]同前註1指引,頁39。 [12]同前註1指引,頁41。
執法部門無搜索令要求提供手機位置記錄並未違憲美國聯邦第六巡迴上訴法院於2016年4月13日就U.S. v. Timothy Ivory Carpenter & Timothy Michael Sanders案作出判決,裁定執法機關在未取得搜索令的情況下要求出示或取得手機位置記錄,並不違反憲法增修條文第4條。美國憲法增修條文第4條規定:「人人具有保障人身、住所、文件及財物的安全,不受無理之搜索和拘捕的權利;此項權利,不得侵犯;除非有可成立的理由,加上宣誓或誓願保證,並具體指明必須搜索的地點,必須拘捕的人,或必須扣押的物品,否則一概不得頒發搜索令。」 本案事實係聯邦調查局取得兩名涉及多起搶劫案之嫌疑人的手機位置,而根據手機位置之相關資料顯示,於相關搶案發生之時間前後,該二名嫌疑人均位於事發地半英哩至兩英哩的範圍內,故該二名嫌疑人隨後被控多項罪名。在肯認與個人通訊相關之隱私法益的重要性的同時,聯邦第六巡迴上訴法院認為,「縱使個人通訊之內容落於私領域,但是為了將該些通訊內容自A地至B地所必須之資訊,則非屬私領域之範疇。」聯邦第六巡迴上訴法院拒絕將憲法增修條文第4條的保護延伸至像是個人通訊或IP位址等之後設資料(metadata),其原因在於,蒐集此等資訊或記錄並不會揭露通訊的內容,因此本案之嫌疑人就聯邦調查局所取得之資訊並無隱私權之期待。法院認定,此等行為不同於自智慧型手機取得資訊,因為後者「通常而言儲存了大量有關於特定使用人之資訊。」 2015年11月9日,美國聯邦最高法院拒絕審理Davis v. United States案,該案係爭執搜索令於執法部門要求近用手機位置資料時之必要性。加州州長Jerry Brown於2015年10月亦簽署加州電子通訊法(California Electronic Communications Act, CECA),該法禁止任何州政府的執法機關或其他調查單位,在未出示搜索令的情況下,要求個人或公司提供具敏感性之後設資料。