歐洲議會全體會議投票通過《資安韌性法》草案，以提高數位產品安全性

　　2019年1月22日，歐盟執委會（European Commission）、歐洲議會（European Parliament）與歐盟理事會（Council of the EU）就修正「公部門資訊再利用指令」（The Directive on the re-use of public sector information，PSI Directive）的提案達成協議。歐洲議會則於4月4日通過提案，待歐盟理事會簽署正式的指令。 　　PSI Directive經過2003年制定（Directive 2003/98/EC）、2013年修正（Directive 2013/37/EU），於2017年為了履行指令規定的定期審查義務，召開了公眾線上諮詢，之後歐盟執委會根據諮詢結果及對指令的影響評估，於2018年4月25日通過修訂指令的提案，並於2019年1月達成協議。 　　此次修正將該指令更名為「開放資料與公部門資訊指令」（The Directive on the Open Data and Public Sector Information，以下稱新指令），預計能排除目前仍存在的公部門資訊取得障礙，並且要求將政府資助研究所產出的研究資料（publicly funded research data）也開放給公眾。此次修正的重點內容如下： 1、所有依據國家取用文件規定（national access to documents rules）下可取用的公部門資訊，原則上可以免費再利用，或者公部門可以收取為了提供、傳播資料所產出的費用，但該費用以不超過邊際成本（marginal costs）為限。這項改變，將使更多的中小企業和新成立公司能順利進入資料經濟市場。 2、新指令特別指出統計資料或地理空間資料屬於高價值資料集（high-value datasets），這些資料集具有高商業潛力，可以加速各種資訊產品或增值服務的產出，例如人工智慧。而新指令特別要求這些資料集應免費提供、使機器可讀，且透過應用程式介面（APIs）使他人能取用。但經評估後發現免費提供會造成市場競爭扭曲時，則不在此限。 3、關於公營事業及公共運輸所產生的有價值資料，不在現行PSI Directive規範範圍內，而各國對於是否必須提供資料有著不同的規定，但現在都必須依照新指令的規定使公眾可以免費再利用，不過仍可設定合理規費來收回相關行政費用。 4、有些公部門與私人企業制定了複雜的資料協定，導致公部門資訊被壟斷，新指令則要求各會員國應落實資訊透明，以及限制公部門與私部門訂立排除其他人可再利用公部門資訊的協定。 5、促進公部門資訊以動態即時資料方式發布，並透過使用者介面(APIs)使更多動態即時資料能被使用。而這也將使企業發展創新產品或服務，例如行動APP。 6、關於政府資助的研究，新指令將促進「政府資助研究而產出的研究資料」能更容易的被再利用，故各成員國被要求建立一致的再利用政策，使這些研究資料能透過資料庫（repository）被開放取用（open access），包含先前已經存入該資料庫的資料。 　　總而言之，本次修正將能夠降低中小企業進入市場的障礙，並增加公部門資訊的透明度和即時流通，也使公營事業資訊及政府出資研究所產出的研究資料能納入開放資料的範疇。

AI 創作是否能獲得著作權？——Thaler 訴美國著作權局案解析 資訊工業策進會科技法律研究所 2025年04月16日 美國哥倫比亞特區聯邦上訴法院於2025年3月18日裁定Stephen Thaler博士與美國著作權局的上訴案，認為AI繪圖作品無法受著作權保護，因為AI並非自然人，無法成為作品作者或進行「職務上創作」。此判決再次確認了美國對AI創作無著作權保護的立場。[1] 壹、事件摘要 此案起源於2019年，Thaler博士為AI繪圖作品「A Recent Entrance to Paradise」向著作權局申請著作權登記，但因AI非自然人創作者，著作權局於2022年駁回申請。[2]Thaler博士認為，這違反憲法對創作的保護，並主張其研發之AI系統「Creativity Machine」為作者，而其本人則透過AI的「職務上創作」享有著作權。Thaler博士不服2023年聯邦地方法院判決而提起上訴。[3] 貳、重點說明 從美國哥倫比亞特區聯邦上訴法院之判決觀之，本案爭點在於： 一、AI是否符合著作權法「作者」之定義：即AI生成作品是否滿足「原創性」與「獨立創作」標準；美國著作權法是否允許非人類創作者擁有著作權？ 二、AI作品歸屬問題：Thaler博士主張AI創作之著作權應歸屬於開發者，或透過「職務上創作」使其本人取得著作權。然自然人與AI間關係；是否適用於人類創作者與雇主間法律關係；AI是否能被視為僱員？ 上訴法院認同著作權局於2023年3月16日發佈之《AI生成作品著作權登記指引》，該指引強調著作權目前僅保護自然人創作。AI獨立創作或主導作品表達情況無法獲得著作權保護，即使使用者透過指令或調整輸出，亦無法改變此原則。經審查，法院認為因著作權法規定涉及生命週期、由自然人將作品視為遺產繼承，與創作意圖等概念，顯示立法者設定作者應為自然人。本案係爭作品仍由AI獨立創作，Thaler博士僅在初始階段下達指令，故不符「原創性門檻」（Threshold of Originality）之標準。[4] 職務上創作方面，該適用於人類創作者與雇主之間的法律關係，而AI並非法律上自然人，故無法簽署雇傭合約成為員工。[5]綜上，Thaler博士無法透過以上方式取得作品著作權。法院支持著作權局之裁定與意見，認為無需討論至憲法層面問題，僅就目前著作權法是否涵蓋AI自主創作作品及足夠。 參、事件評析 我國智財局已於2023年6月16日發布函釋[6]，說明生成式AI模型生成內容是否為獨立之著作而受著作權法保護，視有無「人類精神創作」決定，目前與美國立場相似。美國聯邦上訴法院此次判決，確認AI無法成為著作權的作者，著作權保護僅限於人類創作者。雖然此判決不影響人類使用AI創作，但未來若要改變本案不保護AI自主生成的純機器作品的立場，或許不會從著作權法著手，而是透過立法方式創設新的法律權利來應對。美國國會與著作權局仍在持續研究AI相關法律，如2024年4月美國眾議院司法委員會舉行聽證會[7]，討論AI輔助創作與發明的智慧財產權問題，會上專家認為現行法律已涵蓋大部分AI相關議題，新增著作權法規可能增加複雜性並抑制創新。資策會科法所目前持續協助國科會、國發會、文化部等政府部會，觀測研析AI著作權國際法制發展，後續將針對AI在文化藝術運用的著作權等風險與因應提供創作人指引，並因應行政院發展我國主權AI的政策，研提資料取得困境的法制面解決建議。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw） [1]Thaler v. Perlmutter, 23-5233, (D.C. Cir. 2025), https://law.justia.com/cases/federal/appellate-courts/cadc/23-5233/23-5233-2025-03-18.html (last visited Mar. 26, 2025) [2]Re: Second Request for Reconsideration for Refusal to Register A Recent Entrance to Paradise (Correspondence ID 1-3ZPC6C3; SR # 1-7100387071), U.S. Copyright Office Review Board,https://www.copyright.gov/rulings-filings/review-board/docs/a-recent-entrance-to-paradise.pdf(last visited Mar. 26, 2025) [3]US appeals court rejects copyrights for AI-generated art lacking 'human' creator, https://www.reuters.com/world/us/us-appeals-court-rejects-copyrights-ai-generated-art-lacking-human-creator-2025-03-18/?utm_source=chatgpt.com(last visited Mar. 26, 2025) [4]Copyright Registration Guidance: Works Containing Material Generated by Artificial Intelligence, 88 Fed. Reg. 16,190, 16,192 (March 16, 2023), https://www.skadden.com/-/media/files/publications/2023/03/copyright-office-issues-guidance-on-ai-generated-works/formalguidance.pdf (last visited Mar. 26, 2025) [5]許慈真，美國聯邦地方法院判決Thaler v. Perlmutter ： AI生成作品不受著作權保護，2023年9月20日，北美智權報，https://naipnews.naipo.com/9074 (最後點閱時間 : 2025年3月26日)。 [6]智財局函釋（2023年6月16日經授智字第11252800520號函），https://topic.tipo.gov.tw/copyright-tw/cp-407-855070-f1950-301.html (最後點閱時間 : 2025年3月26日)。 [7]HEARING BRIEF: Judiciary Subcommittee Hearing on Artificial Intelligence and Intellectual Property – IP Protection for AI-Assisted Inventions and Creative Works, April 10th, 2024, https://infojustice.org/archives/45692?utm_source=chatgpt.com (last visited Mar. 26, 2025)

　　歐盟網路暨資訊安全局於2017年12月7日發布「重要基礎設施資訊安全培訓需求盤點報告」(Stocktaking of information security training needs in critical sectors)之文件，點出各重要基礎設施之「電腦安全事件反應小組」(Computer Security Incident Response Teams, CISRT)所必須接受之資安訓練種類。 　　歐盟之網路與資訊系統安全指令(The Directive on security of network and information systems, NIS Directive)規範各成員國之重要服務營運者(operator of essential service)必須確認出哪些服務於維繫社會與經濟活動上具備重要性。被認定具備重要性之部門如下:能源、運輸、銀行業、金融市場基礎設施、健康照護部門、飲用水供應與分配、數位基礎設施。 　　此份報告指出，該重要性部門之資安等級需求並不盡相同，因此導致各部門面對資安事件之準備無法相提並論。例如，能源產業會用到SCADA系統，而金融市場基礎設施則普遍沒有相關需求。而由於NIS指令將上述七種部門列為資訊安全維護最高層級，故此份報告目的係確認該部門當前的處境，並與現階段可取得之網路安全訓練對照，進一步具體檢視各重要部門是否有其他額外的網路安全訓練需求。 　　我國行政院於民國106年4月公布之資通安全管理法草案要求關鍵基礎設施提供者應訂定、修正、實施資通安全維護計畫，並向中央目的事業主管機關或直轄市、縣（市）政府提出該計畫之實施情形，在未來實際落實各重要性設施之資安維護以及資安小組訓練時，須意識到各重要性設施之資訊安全需求差異性，及相關人員必須針對不同單位而受不同之訓練。