英國政府於2022年5月6日宣布將針對大型企業(major firms)壟斷市場的情況制定新的監管計畫。該監管計畫將重新平衡大型與中小企業和消費者的關係,以利中小企業和消費者受到更好的保護,並使市場競爭環境更為公平。
該監管計畫針對的大型企業,即是國際市場上的科技巨頭(tech giants),如Google and Facebook。此類科技巨頭擁有並控制大量用戶的網路資料,並將該資料應用在特定應用程式與瀏覽器的搜尋演算法上,以確保其市場壟斷地位,使潛在的競爭者難以進入市場,進而影響市場的公平競爭以及消費者的自由選擇權。為解決前揭問題,英國預計透過修法賦予競爭和市場管理局下的「數位市場部門」(Digital Markets Unit, DMU)法定權力與監管權限,並搭配措施與作法如下:
為能有效落實上述措施,DMU將有權指定特定企業為具有「戰略市場地位」(strategic market status)的公司。指定標準將依公司的營業額、對消費者的影響力、對市場活動的影響力、公司的活躍程度與規模等綜合評估,檢視其是否達到強大且根深蒂固的力量(substantial and entrenched market power)。DMU並將針對少數主導數位市場的企業應如何公平對待其用戶和其他公司提出行為準則。被指定的公司若違反相關規範,將面臨全球年營業額最高10%的罰款,如果連續違反,則可被處以全球每日營業額5%的額外罰款。
英國政府期待透過新的監管計畫及未來的修法介入市場競爭,促使市場環境更為公平且適於創新,同時讓消費者擁有更多選擇權。英國新監管計畫之實施情形,值得持續關注。
中國大陸法院認定AI創作可受著作權法保護 資訊工業策進會科技法律研究所 2023年12月05日 近期生成式AI的工具運用,無論是生成文字的ChatGPT、生成圖像的Midjourney及生成影片的Pictory,技術一日千里,蓬勃發展;其應用已逐漸進入一般人的生活領域網,而且產生AI產出的侵權爭議,滋生運用AI創作的生成內容是否可主張著作權之疑義。我國經濟部智慧財產局於今(112)年6月以經授智字第11252800520號令 函指出--「AI利用人如係單純下指令,並未投入精神創作,由生成式AI模型獨立自主運算而生成全新內容,該AI生成內容不受著作權法保護。」採取否定見解 。不過其前提係「單純下指令,並未投入精神創作」,適於日前中國大陸北京互聯網法院於11月27日以(2023)京0491號民初11279號民事判決 認為如可認定屬「非機械性智力成果」,運用AI生成的圖片仍可受著作權保護。 壹、事件摘要 本案起因於原告將其使用開放原始碼的Stable Diffusion以輸入提示詞的方式,生成「春風送來了溫柔」之少女人像圖,並發布於網路平台。原告於事後發現,被告將該圖原有的原告署名浮水印(平台所發予的用戶編號)截除,並使用於其在網路上發布的文章中使用該圖做為插圖。原告因此提起姓名表示權與網路傳輸權的侵權訴訟。 被告主張系爭圖片具體來源為網路取得,已無法識別來源與浮水印,並不能確定原告是否享有圖片之權利;而且其所發布的主要內容為原創詩文,並非系爭圖片,亦未做為商業用途,並無侵權故意。 原告於本案中提出生成過程的影片佐證資料,北京互聯網法院認定呈現下列具體生成(取捨、選擇、安排與設計)步驟: 一、選擇前述軟體程式提供的模型,初步決定畫面最終生成的可用素材,決定作品的整體風格、類型。 二、為展現一幅在黃昏的光線條件下具有攝影風格的美女特寫所需,輸入有關類型、主體、環境、構圖、風格的提示詞,包括:「超逼真照片」與「彩色照片」類型;「日本偶像」主體並詳細描繪臉部皮膚、眼睛、辮子等細節;「外景」、「黃金時間」與「動態燈光」之環境提示;「機前瀏覽(眼看鏡頭)」、「酷姿勢」為構圖提示;「底片紋理、膠卷仿真」等風格提示。另並進行輸入反向指令提示,包括:繪畫、卡通、動漫等要求,以避免此類風格出現於生成內容。 三、進行相關參數設定,以及多次試驗的調整,包括採樣方法、清晰度、圖形比例等不同參數設置。 貳、重點說明 北京互聯網法院根據原被告的陳述與提供的證據資料,認定原告的AI生成圖構成作品(受著作權保護),且原告享有該作品之著作權: 一、法院首先提出四個認定是否構成作品的判斷要件:1.是否屬文學、藝術、科學領域;2.是否具有獨創性(原創性);3.是否具有一定的表現形式;4.是否屬於智力成果。同時認為本案須審酌的重點在於獨創性與是否屬於智力成果。 二、關於「是否屬於智力成果」,法院認為從原告構思圖片到最終圖片選定為止,原告進行了一定的智力投入,例如設計人物的呈現方式、選擇提示詞、安排提示詞的順序、設置相關的參數、選擇符合預期的生成內容,已具備本要件。 三、至於「是否具有獨創性」,法院認為非有智力投入的都具有獨創性,如「按照一定的順序、公式或結構完成的作品,不同的人會得到相同的結果」,則屬「機械性的智力成果」,並不具有獨創性。但運用AI生成過程若能「提出的需求與他人越具有差異性,對畫面元素、布局構圖描述越明確具體」就越能呈現人作者的個性化表達。因此,法院認定原告雖然AI創作沒有使用畫筆,也與過去使用繪圖軟體不同,但原告對於人物及其呈現方式透過提供進行設計,並透過反覆的修改參數、調整修正,這過程呈現原告的審美觀,而亦可見不同人使用該AI工具可以自行生成不同的內容,故該作品「係由原告獨立完成、體現了原告的個性化表達」。 四、針對原告是否享有該圖作品的著作權,法院採肯定看法認為: 1.雖原告使用AI工具的行為類如委託他人設計,於委託時該是受託人為創作人,但委託與AI工具區別在於委託人具有自主意志,AI工具本身並沒有,不是自然人或法人等民事主體,依法(中國大陸著作權法)該AI工具本身無法成為作者而享有著作權。 2.事實上仍是人以工具進行創作,而工具的設計者亦已於GitHub論壇的授權條款中揭示該工具的授權人並不對使用者所生成的內容主張權利。 3. AI工具的設計者本身並沒有創作該圖的意願,亦無預先設定後續生成內容,未參與創作的生成過程,其訓練雖然是投入相當大的心力,但投入的是在工具的創建而非特定內容的生成。 參、事件評析 本案最終由原告獲得勝訴,法院認定被告侵害其姓名權與公開傳輸權,雖然法院認為使用AI工具的行為類如委託他人設計,於委託時該是受託人為創作人,但也認為AI工具本身並沒有自主意志,不是可享有著作權利的主體,依法(中國大陸著作權法)該AI工具的使用本質仍是人以工具進行創作,而工具的設計者並沒有生成內容的意思與投入,故應由多次修改呈現其個人表達念的使用者取得著作權。本文認為可以從此判決中獲得下述啟示: 一、對初次生成結果進行修改指令是取得原始性的重點:現今AI工具的使用,如要求程度不高,其實只須簡單的指令,例如生成一個xx的圖片,即可產生一張可用的圖片,但此時AI生成的內容僅是「按照一定的順序、公式或結構完成的作品,不同的人會得到相同的結果」,屬「機械性的智力成果」,將不具有獨創性。 二、反覆修改、調整參數呈差異化,即便是AI生成亦獲保護:運用AI生成過程應力求與他人的使用具有差異性,對畫面元素、布局構圖描述越明確具體,越能呈現人個性化表達,始能取得著作權保護。而反覆的修改參數,例如視線角度、光影呈現方式、表情姿勢要求等圖片的細節呈現,強化呈現個人化的思想、表達、創作投入,即可獲得著作權保護。 三、AI生成世代的著作保護更須重視創作歷程的存證:本案原告取得勝訴的重要關鍵,在其於本案中提出生成過程的影片佐證資料,證明其使用過程的需求(在黃昏的光線條件下具有攝影風格的美女特寫)、取捨(輸入反向指令提示,包括:繪畫、卡通、動漫等)、選擇(「日本偶像」主體並詳細描繪臉部皮膚、眼睛、辮子等細節)、安排與設計(「機前瀏覽(眼看鏡頭)」、「酷姿勢」等構圖)步驟呈現其多次試驗的調整的事實證明,若無此佐證影片,單依生成結果難以證明其創作投入,訴訟結果可能會變成敗訴。 四、AI生成工具的使用須注意生成結果的權利歸屬約定:即便本案針對原告使用AI生成工具的生成結果可受著作權保護,但原告是否享有該圖作品的著作權,法院再次確認工具的設計者的授權條款並沒有對使用者所生成的內容主張權利,若該條款約定使用者不依法可享有的內容權利,使用者的權益將受影響,是必須特別要注意的事情。 如同北京互聯網法院在判決中提及的,在照相機出現之前,人們需要高度的繪畫技術才能再現物體形象,但即便出現智慧型手機亦不影響我們運用它產生有獨創性的作品而構成攝影著作。可預見的未來AI技術會越發達,人的投入會越少,但這並不影響著作權制度鼓勵作品創作的立法意旨,只要有創作性的投入,即便只是反復的指令下達,也仍是受著作權法保護的獨特的個人作品。 [1]詳見臺灣智慧財產局頒布函釋說明生成式AI之著作權爭議,理慈國際科技法律事務所,https://www.leetsai.com/%E8%91%97%E4%BD%9C%E6%AC%8A/interpretation-released-by-taiwans-ipo-to-clarify-copyright-disputes-regarding-generative-ai?lang=zh-hant,最後瀏覽日期2023/12/04。該文提及的智慧財產局令函,本文未能於於該局之著作權函釋系統中檢索到。 [2]該局111-10-31以電子郵件1111031號令函提及有關人工智慧(AI)的創作,如是「以人工智慧為工具的創作」,也就是人類有實際的創意投入,只是把人工智慧(例如:繪圖軟體)當作輔助工具來使用,在這種情形依輔助工具投入創作者的創意而完成的創作成果仍可以受著作權保護,著作權則由該投入創意的自然人享有,除非有著作權法第11條及第12條之情形。 [3]判決全文詳見https://mp.weixin.qq.com/s/Wu3-GuFvMJvJKJobqqq7vQ,最後瀏覽日期2023/12/04。
歐盟GDPR保護適足性審核與因應作為歐盟GDPR保護適足性審核與因應作為 資訊工業策進會科技法律研究所 法律研究員 吳柏凭 2018年04月10日 壹、事件摘要 歐盟於 1995 年頒布個人資料保護指令(95/46/EC)[1],對歐洲各國甚至全世界個人資料保護法制發展有極大影響力。然隨著資通訊技術發展變化迅速,網際網路與各項應用興起,既有歐盟個人資料保護指令面對這些變化已經難以為繼,歐盟執委會(European Commission) 出新的資料保護規則(General Data Protection Regulation, GDPR),於2016年4月27日通過,5月4日公布,正式成為歐盟第2016/679號規則(Regulation (EU) 2016/679)[2]。由於歐盟原則上禁止個人資料跨境傳輸,只有在被認可具有保護適足性(Adequate level of protection)的國家或地區才能例外許可傳輸,因此如何獲得歐盟保護適足性認可,就成為能否跨境傳輸歐盟個資的關鍵。 貳、重點說明 一、個人資料保護指令保護適足性審查規定 1995年的個人資料保護指令,就有禁止會員國將個人資料跨境傳輸至對資料保護不具有保護適足性之國家[3]。在第25條第2項中,對於保護適足性的審查,包括資料的性質、處理目的和期間、資料的發生地及最終目的地、該國家施行的普通法及特別法規範、以及安全措施等,透過個案綜合判斷是否具有保護適足性[4]。而關於具體的判斷標準,則依照第29條規定資料保護工作小組(Article 29 Data Protection Working Party)的指導文件[5],其中對於法律規範審查,除了內容外,更重視個資保護的執行面。 二、GDPR保護適足性審查規定 GDPR延續了個人資料保護指令的規定,原則上禁止資料跨境傳輸至對資料保護不具有適足性之國家[6]。根據第45條第2項規定,適足性的評估包括以下要素: 法治、對人權與基本自由之尊重、一般與部門之相關立法,包括有關公共安全、防衛、國家安全及刑法、公務機關對個人資料之接近使用權、及該等立法、資料保護規則、專業規則及安全措施之執行。 有一個或以上獨立監管機關之存在及有效運作,或對象為國際組織時,確保及執行資料保護規則之遵守,包括充足之執行權,以協助及建議資料主體行使其權利,並與會員國之監管機關合作; 個人資料向其他第三國或國際組織進一步移轉,該其他第三國或國際組織之規則、判例法、及有效且可執行之資料主體權利及個人資料受移轉之資料主體有效之行政與司法救濟;第三國或國際組織所加入之國際協定,或其他因具法律拘束力之合約或辦法、及從其參與多邊或區域體系而生之義務,尤其關於個人資料保護者。 以上規定與個人資料保護指令最大不同在於將保護適足性的判斷標準明文化,同時補充個人資料向第三地再傳輸應注意的規範、具有獨立性監管機關等規定,填補原本個人資料保護指令的漏洞。 三、保護適足性認可程序與現況 保護適足性認可的程序[7]為: 來自歐盟執委會的提案。 得到由歐盟各國資料保護機關組成之作業會議(European Data Protection Board)的意見。 得到歐盟各國代表的承認。 歐盟執委會合意認可。 縱然取得認可,之後也會每四年檢驗一次[8],如果被判定不具保護適足性,則仍會取消原本的認可[9]。 現階段已通過保護適足性審核的國家地區包括:安道爾、阿根廷、加拿大(民間機構)、法羅群島、根西島、以色列、馬恩島、澤西島、紐西蘭、瑞士及烏拉圭,另有美國限於「隱私盾」框架(Privacy Shield framework)方可傳輸。 參、事件評析 (一)保護適足性認可的效益 除了取得適足性認可外,個別企業可以透過1.標準契約條款(Standard Contractual Clauses, SCC);2.拘束企業準則(Binding Corporate Rules, BCR);或3.取得同意方式進行跨境傳輸[10]。但是取得適足性認可不但可以節省企業在個資跨境傳輸的成本,減輕企業負擔,同時也有助於整體產業突破歐盟貿易壁壘。 (二)通過保護適足性審核的困難 雖然現行通過適足性審核的國家地區有11個,惟需注意的是,根西島、馬恩島、以及澤西島都是英國屬地,法羅群島是丹麥屬地,而安道爾和瑞士都是在歐洲境內,這些國家地區的法規範本來就與歐盟差距不大,加上美國及加拿大國家本身不被認可具適足性,實際上不屬於歐盟法體系而通過適足性審核的國家地區非常有限。而且包括以色列、烏拉圭或紐西蘭在申請認可都花超過三年的時間,因此也不能作為短期的因應措施。 此外,在要件方面,規範上雖然我國個資保護規範與GDPR未有極大歧異,但只要存有差異,要取得認可就有極高困難度,這些都需要與歐盟執委會溝通。而在監管機關要求方面,雖然沒有要求單一機關,但對於機關的「獨立性」仍有要求。關於機關的獨立性目前歐盟並沒有明確的標準,但在歐盟法院判決中,有因為德國的州對州層級的資料監管機關進行調查的權力,而被認為不具獨立性[11]。 (三)通過適足性審核的具體作為 以日本為例,為了取得歐盟適足性認可,在2015年9月就其個人資料保護法(個人情報保護法)進行修正,其中設立個人資料保護委員會(個人情報保護委員会)即是為了符合適足性要求中「獨立監管機關」規定,而第24條跨境傳輸的規定更是重要。 日本個人資料保護委員會在2016年就與歐盟執委會溝通三次[12],同時在2017年發出共同聲明[13]。在不修正法律的狀況下,日本個人資料保護委員會頒布一指導方針來消除差異,並於於2018年2月9日先揭示調適方向[14],包括: 將歐盟視為敏感性個人資料而日本未明文規定者,解釋上一律視為敏感性個人資料。 歐盟不管個人資料保管期間,一律可以主張權利,而日本則限保管期間6個月以上方可主張權利。指導方針對於歐盟跨境傳輸的個資,不管保管期限一律許其主張權利。 對歐盟跨境傳輸的個資將要求揭露特定利用目的。 對於歐盟跨境傳輸的個資再移轉,必需要透過契約等規制,確保資料受保護水準。 關於歐盟跨境傳輸的個資,在去識別化一定要確認無法再識別,以與歐盟去識別化資料定義相符。 肆、結語 歐盟GDPR已施行在即,如何因應以突破其跨境傳輸的限制將不只是單純避免業者受罰,更是跨越歐盟貿易壁壘的重要關鍵,而在眾多例外許可跨境傳輸的方法中,又以取得保護適足性認可為最根本因應之道。雖然現在取得認可的難度極高,但仍有許多能努力的空間,目前我國也著手申請適足性認可的準備,未來能得到何種程度的回應,值得後續觀察。 [1] Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with regard to the Processing of Personal Data and on the Free Movement of Such Data. [2] Reform of EU data protection rules, European Commission, http://ec.europa.eu/justice/data-protection/reform/index_en.htm (last visited Apr.10, 2018). [3] Data Protection Directive, art. 25(1). [4] Data Protection Directive, art. 25(2). [5] European Commission, Working Party on Protection of Individuals with regard to the Processing of Personal Data, Working Documents Transfers of personal data to third countries: Applying Articles 25 and 26 of EU data protection directive, July 24, 1998. [6] General Data Protection Regulation, art. 45. [7] Adequacy of the protection of personal data in non-EU countries, https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en (last visited Apr.10, 2018). [8] General Data Protection Regulation, art. 45(3). [9] General Data Protection Regulation, art. 45(5). [10] General Data Protection Regulation, art. 46. [11]European Commission v. Federal Republic of Germany(C-518/07). [12]個人情報保護委員会,個人情報保護委員会の国際的な取組について,https://www.kantei.go.jp/jp/singi/keizaisaisei/miraitoshikaigi/4th_sangyokakumei_dai2/siryou3.pdf (last visited Apr.10, 2018). [13]JETRO,個人データ保護の「十分性認可」取得の好機に-日EU首脳が共同声明-,https://www.jetro.go.jp/biznews/2017/07/845f14ec50674c94.html (last visited Apr.10, 2018). [14]個人情報保護委員会,EU 域内から十分性認可により移転を受けた個人データの取扱いに関するガイドラインの方向性について ,https://www.ppc.go.jp/files/pdf/300209_siryou1.pdf (last visited Apr.10, 2018).
美國情報體系發布「情報體系運用人工智慧倫理架構」美國國家情報體系(United States Intelligence Community)係於1981年依據行政命令第12333號(Executive Order 12333)所建立,其任務為蒐集、分析與提供外國情報與反情報資訊美國國家領導人,服務對象包含美國總統、執法單位以及軍事單位。其於2020年6月提出「情報體系人工智慧倫理架構」(Artificial Intelligence Ethics Framework for the Intelligence Community),為人工智慧系統與訓練資料、測試資料之採購、設計、研發、使用、保護、消費與管理提出指引,並指出人工智慧之利用須遵從以下事項: 一、於經過潛在風險評估後,以適當且符合目的之方法利用; 二、人工智慧之使用應尊重個人權利與自由,且資料取得應合法且符合相關政策與法規之要求; 三、應於利用程序內結合人類判斷與建立問責機制,以因應AI產品之風險並確保其決策之適當性。 四、於不破壞其功能與實用性之前提下,盡可能確認、統計以及降低潛在之歧視問題。 五、AI進行測試時應同時考量其未來利用上可預見之風險。 六、持續維持AI模型之迭代(Iteration)、版本與改動之審查。 七、AI之建立目的、限制與設計之輸出項目,應文件化。 八、盡可能使用可解釋與可理解之方式,讓使用者、審查者與公眾理解為何AI會產出相關決策。 九、持續不定期檢測AI,以確保其符合當初建置之目的。 十、確認AI於產品循環中各階段之負責人,包含其維護相關紀錄之責任。
日本發布AI利用者的安全性報告,呼籲企業強化AI利用過程中的營業秘密保護管理措施日本獨立行政法人情報處理推進機構(Information-technology Promotion Agency,下稱IPA)於2026年4月2日發布AI利用者的安全性報告(下稱安全性報告),並呼籲企業強化AI利用過程中的營業秘密保護管理措施。 近年來,以生成式AI為首的人工智慧技術及其應用急速發展,但另一方面,針對AI開發與運用所衍生之安全性風險亦層出不窮。IPA針對其於今(2026)年1月發布之10大資訊安全威脅中的第三位風險,即AI應用所帶來的網路風險,發布安全性報告,期協助企業降低AI利用過程中的營業秘密外洩風險。 安全性報告指出,有高達67%的企業職員會透過個人帳號使用生成式AI,且有高達77%會直接將公司內部資料「複製貼上」到生成式AI對話框。由於雲端AI係藉由網路串接方式提供AI服務,因此人員若將企業之營業秘密輸入AI中,即意味著將企業之營業秘密提供營運AI服務的外部企業。此外,在雲端AI中輸入企業之營業秘密,除了該營業秘密可能會被作為學習資料,用於訓練AI以外,其他企業亦可能透過該雲端AI輸出之內容取得該營業秘密,潛在高度洩密風險。準此,安全性報告提醒企業勿在具備網路串接功能之雲端AI上傳包含企業營業秘密之資料,並呼籲企業透過諸如將AI瀏覽器區分為企業內部使用與外部使用之方式,強化內部營業秘密保護管理措施,以避免洩密風險。 企業如欲於內部導入AI應用以提升業務效率,可參考資訊工業策進會科技法律研究所創意智財中心(資策會科法所創智中心)發布之《營業秘密保護管理規範》、《營業秘密管理指針2.0》,建立營業秘密管理措施或相關機制,避免在使用AI提升業務效率的同時,導致具備機敏性或屬於營業秘密之資訊外洩。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)