歐盟執委會發布人工智慧創新政策套案

日本政府怎樣對公部門管制DeepSeek？ 資訊工業策進會科技法律研究所 2025年07月07日 2025年2月3日，日本個人情報保護委員會（Personal Information Protection Commission，簡稱PPC）發布新聞稿指出[1]，DeepSeek所蒐集的資料，將會儲存在中國的伺服器裡，且為中國《國家情報法》的適用對象[2]。這可能將導致個人資料遭到中國政府調用或未經授權的存取。作為中國開發的生成式AI，DeepSeek雖以優異的文本能力迅速崛起，卻也引發資安疑慮。 身處地緣政治敏感區的日本對此高度警覺，成為率先提出警告的國家之一。台灣與日本面臨相似風險，因此日本的應對措施值得借鏡。本文將從PPC新聞稿出發，探討日本如何規範公部門使用DeepSeek。 壹、事件摘要 DeepSeek作為中國快速崛起之生成式AI服務，其使用範圍已快速在全球蔓延。然而，日本PPC發現該公司所公布之隱私政策，內容說明其所蒐集之資料將存儲於中國伺服器內，並依據中國《國家情報法》之適用範圍可能遭到中國政府調用或未經授權之存取。 日本PPC因而於2025年2月3日發布新聞稿，隨後日本數位廳於2月6日發函給各中央省廳，強調在尚未完成風險評估與資安審查之前，政府機關不應以任何形式將敏感資訊輸入DeepSeek，並建議所有業務使用應先諮詢內閣資安中心（内閣サイバーセキュリティセンター，NISC）與數位廳（デジタル庁）意見，才能判定可否導入該類工具[3]。數位大臣平將明亦在記者會中強調：「即使不是處理非機密資料，各機關也應充分考量風險，判斷是否可以使用。」（要機密情報を扱わない場合も、各省庁等でリスクを十分踏まえ、利用の可否を判断する）[4]。 本次事件成為日本對於生成式AI工具採取行政限制措施的首次案例，也引發公私部門對資料主權與跨境平台風險的新一輪討論。 貳、重點說明 一、日本對於人工智慧的治理模式 日本在人工智慧治理方面採取的是所謂的「軟法」（soft law）策略，也就是不依賴單一、強制性的法律來規範，而是以彈性、分散的方式，根據AI的實際應用場景與潛在風險，由相關機關分別負責，或透過部門之間協作因應。因此，針對DeepSeek的管理行動也不是由某一個政府部門單獨推動，而是透過跨部會協作完成的綜合性管控，例如： （一）PPC的警示性通知：PPC公開說明DeepSeek儲存架構與中國法規交錯風險，提醒政府機關與公務人員謹慎使用，避免洩漏資料。 （二）數位廳的行政指引：2025年2月6日，日本數位廳針對生成式AI的業務應用發布通知，明列三項原則：禁止涉密資料輸入、限制使用未明確審查之外部生成工具、導入前應諮詢資安機構。 （三）政策溝通與政治聲明：平將明大臣在記者會上多次強調DeepSeek雖未明列於法條中禁用，但其高風險屬性應視同「潛在危害工具」，需列入高敏感度審查項目。 二、日本的漸進式預防原則 對於DeepSeek的管制措施並未升高至法律層級，日本政府亦沒有一概禁止DeepSeek的使用，而是交由各機關獨自判斷[5]。這反映出了日本在AI治理上的「漸進式預防原則」：先以行政指引建構紅線，再視實際風險與民間回饋考慮是否立法禁用。這樣的作法既保留彈性，又讓官僚系統有所依循，避免「先開放、後收緊」所帶來的信任危機。 三、日本跟循國際趨勢 隨著生成式AI技術迅速普及，其影響已不再侷限於產業應用與商業創新，而是逐漸牽動國家資安、個資保護以及國際政治秩序。特別是生成式AI在資料存取、模型訓練來源及跨境資料流通上的高度不透明，使其成為國家安全與數位主權的新興挑戰。在這樣的背景下，各國對生成式AI工具的風險管理，也從原先聚焦於產業自律與技術規範，提升至涉及國安與外交戰略層面。 日本所採取的標準與國際趨勢相仿。例如韓國行政安全部與教育部也在同時宣布限制DeepSeek使用，歐盟、美國、澳洲等國亦有不同程度的封鎖、審查或政策勸導。日本雖然和美國皆採取「軟法」（soft law）的治理策略，然而，相較於美國以技術封鎖為主，日本因其地緣政治的考量，對於中國的生成式AI採取明確防範的態度，這一點與韓國近期禁止政府機構與學校使用中國AI工具、澳洲政府全面禁止政府設備安裝特定中國應用程式類似。 參、事件評析 這次日本政府對於DeepSeek的應對措施，反映出科技治理中的「資料主權問題」（data sovereignty）：即一個國家是否有能力控制、保存與使用其管轄範圍內所生產的資料。尤其在跨境資料傳輸的背景下，一個國家是否能保障其資料不被外國企業或政府擅自使用、存取或監控，是資料主權的核心問題。 生成式AI不同於傳統AI，其運作依賴大規模訓練資料與即時伺服器連接，因此資料在輸入的瞬間可能已被收錄、轉存甚至交付第三方。日本因而對生成式AI建立「安全門檻」，要求跨境工具若未經審核，即不得進入政府資料處理流程。這樣的應對策略預示了未來國際數位政治的發展趨勢：生成式AI不只是科技商品，它已成為跨國治理與地緣競爭的核心工具。 中國通過的《國家情報法》賦予政府調閱私人企業資料的權力，使得中國境內所開發的生成式AI，儼然成為一種資訊戰略利器。若中國政府藉由DeepSeek滲透他國公部門，這將對國家安全構成潛在威脅。在此背景下，日本對公部門使用DeepSeek的管制，可被解讀為一種「數位防衛行為」，象徵著日本在數位主權議題上的前哨部署。 值得注意的是，日本在處理DeepSeek事件時，採取了「不立法限制、但公開警示」的方式來應對科技風險。此舉既避免激烈封鎖引發爭議，又對於資料的運用設下邊界。由於法令規範之制定曠日費時，為避免立法前可能產生之風險，日本先以軟性之限制與推廣手段以防止危害擴大。 台灣雖與日本同處地緣政治的敏感地帶，資料主權議題對社會影響深遠，為使我國可在尚未有立法規範之狀態下，參考日本所採之行政命令內控與公開說明外宣雙向並行之策略，對台灣或許是一種可行的借鏡模式。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw） [1]個人情報保護委員会，DeepSeekに関する情報提供，https://www.ppc.go.jp/news/careful_information/250203_alert_deepseek/ （最後瀏覽日：2025/05/06）。 [2]《中华人民共和国国家情报法》第7条第1项：「任何组织和公民都应当依法支持、协助和配合国家情报工作，保守所知悉的国家情报工作秘密。」 [3]デジタル社会推進会議幹事会事務局，DeepSeek等の生成AIの業務利用に関する注意喚起（事務連絡），https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/d2a5bbd2-ae8f-450c-adaa-33979181d26a/e7bfeba7/20250206_councils_social-promotion-executive_outline_01.pdf （最後瀏覽日：2025/05/06）。 [4]デジタル庁，平大臣記者会見（令和7年2月7日），https://www.digital.go.jp/speech/minister-250207-01 （最後瀏覽日：2025/05/06）。 [5]Plus Web3 media，日本政府、ディープシークを一律禁止せず　「各機関が可否を判断する」，https://plus-web3.com/media/500ds/?utm_source=chatgpt.com （最後瀏覽日：2025/05/06）。

　　緣起於2016年的加密法案（ENCRYPT Act），由於今年發生了臉書劍橋分析事件，以及歐盟GDPR的影響，本此法案再提的聲勢如浪潮襲來，不僅眾多議員附和，連企業（如：電子前線基金會Electronic Frontier Foundation，EFF）都予以支持。 　　加密法案的主要內容係以兩方面進行加密應用之保護， 各州州政府不得授權或要求產品或服務的製造商、開發商、銷售商或供應商，（A）設計或更改產品或服務中的安全功能，以供其進行監視或允許其進行實體搜索；（B）使其有能力解密或便於理解加密應用後的內容。 各州州政府不得禁止加密或類似安全功能的產品或服務，進行製造、銷售或租賃、提供銷售或租賃, 或向公眾提供覆蓋的產品或服務。此外，法案亦針對相關服務或產品的定義作了明確的說明。 　　本法案的主要提案者美國眾議員Ted Lieu指出，與加密或資料存取相關的問題，皆應在聯邦政府的層級進行討論，而就其本身電腦科學的專業，指出在各州間保有不同的加密應用執法標準，對資安、消費者、創新，以及執法本身都是不利的，引此本法案的推動旨在強化州際商業和經濟安全，以及網路安全問題，希望能對加密應用議題作全國性的討論，而不會損害使用者在過程中的安全性。

　　SOPA法案，全名「禁止網路盜版法案(The Stop Online Privacy Act)」，是於2011年10月26日由美國眾議員Lamar Smith所提出，主要支持團體包括美國「娛樂軟體協會(the Entertainment Software Association)」、網路域名公司GoDaddy.com、「美國動畫協會(the Motion Picture Association of America)」以及「美國商會(United States Chamber of Commerce)」等等。另外一個類似的法案為美國參議院於2011年5月提交的「保護知識產權法案」，簡稱PIPA(Preventing Real Online Threats to Economic Creativity and Theft of Intellectual Property Act)，該法案原預訂於2012年1月24日交付表決。 　　2012年1月18日，為了表明對SOPA的反對立場，美國各網站發起了關站的行動，包括Google、Wikipedia等這些大型網站皆參與了抗議行動(抗議行動的參與網站名單可參考下述網址: http://sopastrike.com/)。美國總統歐巴馬也於今年一月公開表明他不會支持SOPA以及類似的法案，主因為該法案箝制了資訊流的自由發展。白宮於官方部落格表示「保護線上智慧財產權的重要任務不可危害網路的開放以及創新發展」、「任何打擊線上盜版的努力必須避免線上審查對合法活動所造成的風險，並避免阻礙了商業的創新發展」、「我們必須避免創造新的網路安全風險或者是瓦解網路的基礎架構」、「期許並鼓勵所有的私人團體，包括網路內容創作人以及網路平台提供人，共同努力，採取自願性的措施以及最佳作法去減少線上盜版」，但是部落格中的聲明也指出，線上盜版已經是危害美國經濟的一個重要問題，它危害了中產階級的工作，並且危害了具有創造力以及創新力的美國公司以及企業。由於反對的浪潮，SOPA以及PIPA法案於今年1月20日正式地遭到議院擱置。 　　SOPA的立法主要是用來打擊國外販售仿冒品的網站以及提供非法下載影音軟體系統的網站，俗稱「海盜灣(pirate bay)」，使用人在這些網站只要輸入影集或者是電影名稱就可以免費下載收看。這些海盜灣由於伺服器不在美國境內所以難以管制，但是透過SOPA，美國政府可以藉著管制美國的網路服務者去切斷這些海盜灣在美國提供服務的生路。依照SOPA，Google將被禁止在其搜尋結果中顯示這些海盜灣，PayPal也將被禁止提供資金傳輸服務與這些被認定有侵權事實的業者。 　　事實上，著作權的侵權行為原本就是非法的，在此之前已有「數位千禧年著作權法案(the 1998 Digital Millennium Copyright Act，簡稱DMCA)」提供執行措施。依照本法，舉例說明，假設歌曲創作人發現有人非法在YouTube上上傳其享有著作權的歌曲，著作權人可以要求YouTube將之下架，這樣的要求稱為「DMCA 投訴公告(DMCA warning)」。光是2011年，Google就收到了約五百萬筆侵權下架的要求，若確定要求為合法，Google一般而言會在六個小時之內將之下架。問題在於DMCA投訴公告對於美國國外的網站並無法發揮其預期的效力。 　　但是類似YouTube這類的網站經營者則擔心，SOPA可能帶來網站營運者必須負擔審查使用人所上傳的檔案是否有侵權事實義務的負面效應。依照SOPA，任何支付服務或者是廣告營運主都需要提供一個管道供第三人檢舉「偷竊美國財產」的使用人，一遭檢舉，營運主就有義務在五天之內切斷其服務。雖然亂檢舉有刑事責任，但是是否無侵權行為的舉證責任則需要受控告者自行負擔，而許多小網站以及非營利性網站根本無力去負擔龐大的訴訟費用。另外，反對者認為SOPA對於「搜尋引擎(internet search engine)」以及「國外侵權網站(foreign infringing site)」的定義過於廣泛，在本法之下，維基百科也會被定義為「搜尋引擎」，並有義務在任何美國法院的要求下去移除「國外侵權網站」的有關聯結，否則將會被視為助長侵權行為並面臨「藐視法庭罪」，這將造成言論自由箝制的相關問題，除此也會大量增加維基百科的營運成本。業者多表示肯認SOPA的立意並表示願意合作，但是業者表示SOPA過於廣泛模糊的法規文字將可能會流於網站內容的審查並造成無法控制的後果。反對者指出，SOPA的影響範圍無法預測，網站內容若只是部分有侵權疑慮，可能整個網站都無法出現在搜尋引擎的搜尋結果中。「電子前哨基金會(Electronic Frontier Foundation, EFF)」指出，類似Facebook或YouTube這類由使用者自創內容的網站，未來可能都要被迫自行去監管網站內容，將大量增加營運成本。另一方面而言，SOPA賦予業者只要具有合理懷疑就可以封鎖使用者，這將會成為大公司用來打壓潛在競爭者並迴避反托拉斯法的手段。

繼2023年1月5日美國總統拜登（Joe Biden）簽署《2022年保護美國智慧財產法》（Protecting American Intellectual Property Act of 2022）並生效後，至今尚未見任何根據該法規展開行動的報告，不過各界仍相當關注該法案的動向，因為其與過往的經濟制裁措施有著顯著的差異。 《2022年保護美國智慧財產法》與其他經濟制裁措施之差異包括： 1.僅針對營業秘密之重大竊盜，不包括其他智慧財產權如專利、著作權等； 2.未要求行為人主觀是為他國政府之利益而竊取營業秘密； 3.法規中使用到關鍵術語的標準及定義較少； 4.某些制裁措施具有強制性； 5.制裁的對象不僅包括竊取美國營業秘密者，也包括從他人竊取美國營業秘密中獲利者； 6.營業秘密盜竊行為須有合理可能性或已經對美國國家安全、外交、經濟、金融穩定構成重大威脅。 雖然《2022年保護美國智慧財產法》即將成為重要的政府工具，以解決營業秘密損失及其對國家安全之影響，且允許當事人面臨營業秘密訴訟或威脅時，將制裁措施武器化，但仍有部分問題有待解決，包括： 1.營業秘密受各州法律管轄，各州之管理機構是否會制定自己的營業秘密定義標準？ 2.若在訴訟進行期間實施制裁措施，將產生甚麼影響？ 3.是否產生《經濟間諜法》（Economic Espionage Act）之待審案件？美國司法部（US Department of Justice）是否必須參與？ 4.判斷是否制裁的標準與美國司法部所採用的《經濟間諜法》之標準是否相同？若不同，則差異為何？ 5.當事人或法院是否知道判定營業秘密盜竊行為時該適用什麼證據標準？（法規僅規定由總統決定） 6.法院能否將此類制裁措施作為其決策的一部分？ 儘管《2022年保護美國智慧財產法》所衍生的問題及將產生的影響尚有待觀察，但建議企業採取下列合規措施，以避免成為美國新制裁措施的目標，包括： 1.制定並實施合規的營業秘密保護政策與程序； 2.對員工進行教育訓練，使其瞭解有關《2022年保護美國智慧財產法》的基礎知識以及對營業秘密之管理要求； 3.對有可能被盜竊營業秘密的流程進行稽核審查。 本文同步刊登於TIPS網站（https://www.tips.org.tw）。