歐盟發布新版「向第三國傳輸個人資料標準契約條款」

美國聯邦貿易委員會（Federal Trade Commission，FTC）根據《健康違規通知規則》（Health Breach Notification Rule，HBNR），於2023年2月1日和3月2日分別對GoodRx Holdings Inc.公司和BetterHelp, Inc.公司提出擬議命令（Proposed order）。擬議命令指經由行政機關調查案件後提出的改善建議，且經聯邦法院批准後對被調查公司生效。這兩件案例是FTC於2021年後擴大《健康違規通知規則》適用範圍從傳統的健康產業及於網路行業後的首次執法。GoodRx Holdings Inc.公司提供藥物資訊平台與折扣訊息；而BetterHelp, Inc.公司提供遠距醫療服務。兩者在2017到2020年間均向他們的消費者聲明，將妥善保護所蒐集之個資，然而卻轉手將取得個資揭露給Facebook、Snapchat和Google等第三方公司，用來進行目標式廣告的投放。 FTC對GoodRx的擬議命令要求其停止向第三方揭露使用者的個人資料，並處以支付150萬美元的罰鍰。對BetterHelp, Inc.的命令除要求其停止共享使用者的個人資料外，更要求BetterHelp, Inc.向網站的使用者進行退款，退款總額上限高達780萬美元。FTC在擬議命令中建議：涉及敏感性健康資料的事業負責人，除了需要重新檢視目前持有資料的隱私和安全性外，最好能建立一套完整的資料管理流程。流程包括對當事人充分說明蒐集利用目的、取得當事人完整的知情同意、制定完整的個人資料管理及保存銷毀程序、限制員工對資料的存取權限等等。最後也最重要的是要「信守承諾」，這兩個案例中的業者都是違反了自己當初對使用者的承諾，最終才導致被處罰的結果。

日本文化廳發布《人工智慧著作權檢核清單和指引》 資訊工業策進會科技法律研究所 2024年08月21日 日本文化廳為降低生成式人工智慧所產生的著作權風險，保護和行使著作權人權利，於2024年7月31日以文化廳3月發布的《人工智慧與著作權的思考》、內閣府5月發布的《人工智慧時代知識產權研究小組中期報告》，以及總務省和經濟產業省4月份發布的《人工智慧事業指引（1.0版）》的資料為基礎，制訂發布《人工智慧著作權檢核清單和指引》[1]。 壹、事件摘要 日本文化廳的《人工智慧著作權檢核清單和指引》主要分成兩部分，第一部分是「人工智慧開發、提供和使用清單」，依循總務省和經濟產業省4月份發布的《人工智慧事業指引（1.0版）》的區分方式，分為「AI開發者」、「AI提供者」、「AI（業務）使用者（事業利用人）」和「業務外利用者（一般利用人）」四個利害關係人，依不同的身份分別說明如何降低人工智慧開發前後的資料處理和學習等智慧財產權侵權風險的措施，以及提供和使用人工智慧系統和服務時，安全、適當地使用人工智慧的技術訣竅。 第二部分則是針對著作權人及依著作權法享有權利的其他權利人（例如表演人）的權益保護，從權利人的思考角度，建議正確理解生成式AI可能會出現什麼樣的（著作權）法律上利用行為[2]。其次，說明近似侵權的判斷要件、要件的證明、防止與賠償等可主張的法律上請求、可向誰主張侵權、權利主張的限制；於事先或發現後可採取的防止人工智慧侵權學習的可能措施；最後對侵權因應建議權利人可發出著作權侵權警告、進行訴訟、調解等糾紛解決，並提供可用的法律諮詢窗口資訊。 貳、重點說明 日本文化廳於此指引中，針對不同的角色提出生成式AI與著作權之間的關係，除更具體的對「AI開發者」、「AI提供者」、「AI（事業與一般利用人）」，提醒其應注意的侵權風險樣態、可能的合法使用範圍，並提供如何降低風險的對策。同時，從權利人角度提供如何保護權益的指引，並提供可用的法律諮詢窗口資訊。重點說明如下： 一、不符合「非享受目的」的非法AI訓練 日本著作權法第30條之4規定適用於以收集人工智慧學習資料等為目的而進行的著作權作品的複製，無需獲得權利人的授權，但是，該指引特別明確指出「為了輸出AI學習資料中包含的既有作品的內容，而進行額外學習；為讓AI產出學習資料庫中所包含的既有作品的創作表現；對特定創作者的少量著作權作品進行額外個別學習」，這三個情況係同時存有「享受」著作目的，不適用無須授權的規定[3]。 二、不能「不當損害著作權人利益」 從已經採取的措施和過去的銷售紀錄可以推斷，資料庫著作權作品計劃有償作為人工智慧學習的資料集。在這種情況下，未經授權以人工智慧學習為目的進行複製時，屬於「不當損害著作權人利益」的要求，將不適用（日本）著作權法第30條之4規定[4]。在明知某個網站發布盜版或其他侵害著作權的情況下收集學習資料，則使用該學習資料開發的人工智慧也會造成著作權侵權，人工智慧開發者也可能被追究著作權責任[5]。不應使用以原樣輸出作為學習資料的著作權作品的學習方法，如果該已訓練模型處於高概率生成與學習資料中的著作物相似的生成結果的狀態等情況下，則該已訓練模型可能被評價為「學習資料中著作物的複製物」， 對銷毀該模型的請求即有可能會被同意[6]。 三、使用生成式AI即可能被認定為可能有接觸被侵害著作[7] 權利人不一定必須證明「生成所用生成AI的學習資料中包含權利人的作品。如有下述AI使用者認識到權利人的作品的情況之一，權利人亦可透過主張和證明符合「依賴性（依拠性）」要件，例如：AI使用者將現有的著作物本身輸入生成AI、輸入了現有著作物的題名（標題）或其他特定的固有名詞、AI生成物與現有著作物高度類似等。 四、開發與提供者也可能是侵權責任主體[8] 該指引指出，除利用人外，開發或提供者亦有負侵權責任的可能，特別是－－人工智慧頻繁產生侵權結果，或已意識到人工智慧很有可能產生侵權結果，但沒有採取措施阻止。於其應負侵權責任時，可能被請求從訓練資料集中刪除現有的著作權作品，甚至是刪除造成侵權的人工智慧學習創建的訓練模型。即便人工智慧學習創建的訓練模型一般並非訓練資料的重製物，不過如果訓練後的模型處於產生與作為訓練資料的著作權作品相似的產品的機率很高的狀態，該指引認為可能會被同意[9]。 參、事件評析 人工智慧（AI）科技迎來契機，其生成內容隨著科技發展日新月異，時常可以看見民眾在網路上分享AI技術生成的圖像和影音。是否能將AI生成的圖案用在馬克杯或衣服販售，或是將Chat GPT內容當作補習班教材，均成為日常生活中的訓練AI的資料與運用AI的產出疑義。 各國固然就存有人類的「創造性貢獻」是人工智慧生成結果是否受著作權法保護、可受著作權保護的條件，單純機械性的AI自動生成，基本上欠缺「人的創造性」，非著作權保護對象，已有明確的共識。如何以明確的法令規範降低AI開發過程的侵權風險或處理成本？賦予AI訓練合法使用既有著作，應有的界限？衡平(賦予)既有著作的著作權人權益？AI服務提供者應負那些共通義務？是否合理課予AI服務提供者應負之侵權損害責任？AI使用者之侵權責任是否須推定符合「接觸」要件？等等諸此進一步的疑義，則仍在各國討論、形成共識中。 而從日本文化廳的《人工智慧著作權檢核清單和指引》，我們可以清楚的看出，在樹立成為AI大國的國家發展政策下，其著作權法雖已賦予AI訓練資料合法的重製，但在指引是明列已屬「享受」目的訓練行為、不合理損害著作權利用的情況、明示開發服務者應負的揭露義務與可能承擔侵權責任，彰顯其對權利人權益平衡保護的努力。值得於我國將來推動落實AI基本法草案中維護著作權人權益原則時，做為完善相關法令機制的重要參考。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw） [1] 文化庁著作権課，「AI著作権チェックリスト＆ガイダンス」，令和6年7月31日，https://www.bunka.go.jp/seisaku/bunkashingikai/chosakuken/seisaku/r06_02/pdf/94089701_05.pdf，最後閱覽日：2024/08/20。 [2] 詳見前註，頁31。 [3] 詳見前註，頁7。 [4] 詳見前註，頁8。 [5] 詳見前註，頁9。 [6] 詳見前註，頁9。 [7] 詳見前註，頁35。 [8] 詳見前註，頁36。 [9] 詳見前註，頁42。

.Pindent{text-indent: 2em;} .Noindent{margin-left: 2em;} .NoPindent{text-indent: 2em; margin-left: 2em;} .No2indent{margin-left: 3em;} .No2Pindent{text-indent: 2em; margin-left: 3em} .No3indent{margin-left: 4em;} .No3Pindent{text-indent: 2em; margin-left: 4em} 2024年11月底，澳洲政府通過了2024年網路安全法（Cyber Security Bill 2024），期許藉由制定專法，保護澳洲現在與未來的網路環境。 2024年網路安全法主要包含以下內容： 1. 制定並落實全境智慧型裝置之最低網路安全標準。過往澳洲智慧型裝置不受任何強制性網路安全標準或法規約束，該法通過後，將能有效提升消費者網路安全。 2. 研搜對抗網路勒索軟體活動之資訊。澳洲政府不鼓勵企業在遭遇勒索軟體攻擊時支付贖金，因為支付贖金不僅鼓勵網路犯罪，更不能保證資料的恢復或機密性。然目前澳洲政府並未立法禁止支付贖金之行為，僅於2024年網路安全法要求關鍵基礎設施或營業額達定一定門檻之企業，假若不幸遭受勒索軟體攻擊，並決定支付贖金，須於72小時內向主管機關通報。 該通報義務是為幫助主管機關即時掌握勒索活動資訊，快速制定應對策略，並開發有利業界執行網路防禦的工具和資源，破壞勒索軟體獲利模式。依目前規定，報告內容將包含勒索金額、支付對象、支付方法等資訊。 3. 鼓勵企業分享網路安全資訊。2024年網路安全法為鼓勵企業與政府共享網路安全事件資訊，限制國家網路安全人員存取前揭資訊之目的，如不得利用企業自願提供之網路安全事件資訊調查企業違規行為，除非符合2024網路安全法規定之例外情況。 4. 建立網路事件審查委員會（Cyber Incident Review Board）。該委員會作為獨立機構，負責對重大網路安全事件進行有無過失之事後審查，並為政府和產業提供建議，以確保各方利害關係人能夠從網路安全事件中吸取教訓。 2024年網路安全法的制訂，顯示澳洲政府為強化網路安全付出諸多努力，該國政府期許透過該法保護澳洲人免受網路安全威脅。

　　東京地方檢察廳於2022年10月21日以違反《不正競爭防止法》等為理由，起訴被告「かっぱ寿司」之營運公司「カッパ・クリエイト」公司(下稱Kappa壽司)及其前社長田辺公己(下稱田辺)等。因本案牽涉上市企業的前社長，故引起日本社會極大關注，東京地方法院已於2022年12月22日召開首次審理庭。 　　本案被告田辺在1998年加入「はま寿司(下稱Hama壽司)」之母公司，並於2014年到2017年間擔任Hama壽司董事；嗣後在2020年11月時，轉職至Kappa壽司。雖然田辺在離職時已簽署保密協議，但在離職前後數月間，持續透過不正當方式，取得Hama壽司之食材成本及其供應商等資訊，同時更指示仍任職於Kappa壽司之部屬製作Kappa壽司與Hama壽司之成本對照表，並以郵件方式提供被告，被告再於Kappa壽司內部使用。 　　雖然Kappa壽司嗣後發表公開聲明，強調並無跡象顯示該公司曾依據相關成本對照表，進行開發新產品或更換批發商等措施，但田辺在審理庭上，已承認指控，而且在被捕時，曾坦言行為動機為希望提高業績。 　　對於本案，有日本輿論指出海外因應人員轉職較頻繁，對於機密資訊之管理，通常訂有較嚴格的規定，惟日本目前欠缺相關觀念；亦有論者認為因為必須符合營業秘密之法定要件，始受《不正競爭防止法》之保護，故強調機密管理對於保護商業秘密及針對機密外洩之法律救濟的重要性。從本案觀之，任何產業類型的企業都可能會有屬於營業秘密的資訊，為維護企業的商業競爭力，避免因營業秘密外洩影響公司營運，企業應建立及持續推動內部機密資訊管理制度，並因應社會與管理環境變化等，精進管理模式。同時應定期進行教育訓練，提高人員的機密保護意識，強化營業秘密外洩事件發生時的舉證，以有效的主張權利。 　　本文同步刊登於TIPS網站（https://www.tips.org.tw）