因應使用「生成式AI(Generative AI)」工具的營業秘密管理強化建議

2024年7月1日,美國實務界律師撰文針對使用生成式AI(Generative AI)工具可能導致的營業秘密外洩風險提出營業秘密保護管理的強化建議,其表示有研究指出約56%的工作者已經嘗試將生成式AI工具用於工作中,而員工輸入該工具的資訊中約有11%可能包含公司具有競爭力的敏感性資訊或客戶的敏感資訊,以Chat GPT為例,原始碼(Source Code)可能是第二多被提供給Chat GPT的機密資訊類型。系爭機密資訊可能被生成式AI工具提供者(AI Provider)用於訓練生成式AI模型等,進而導致洩漏;或生成式AI工具提供者可能會監控和存取公司輸入之資訊以檢查是否有不當使用,此時營業秘密可能在人工審查階段洩漏。

該篇文章提到,以法律要件而論,生成式AI有產生營業秘密之可能,因為營業秘密與著作權和專利不同之處在於「發明者不必是人類」;因此,由生成式 AI 工具協助產出的內容可能被視為營業秘密,其範圍可能包括:公司的內部 AI 平台、基礎的訓練算法和模型、輸入參數和輸出結果等。惟基於目前實務上尚未有相關案例,故生成式AI輸出結果在法律上受保護的範圍與條件仍需待後續的判例來加以明確。

實務專家提出,即使訴訟上尚未明確,企業仍可透過事前的管理措施來保護或避免營業秘密洩露,以下綜整成「人員」與「技術」兩個面向分述之:

一、人員面:

1.員工(教育訓練、合約)
在員工管理上,建議透過教育訓練使員工了解到營業秘密之定義及保護措施,並告知向生成式AI工具提供敏感資訊的風險與潛在後果;培訓後,亦可進一步限制能夠使用AI工具的員工範圍,如只有經過培訓及授權之員工才能夠存取這些AI工具。
在合約方面,建議公司可與員工簽訂或更新保密契約,納入使用生成式AI的指導方針,例如:明確規定禁止向生成式AI工具輸入公司營業秘密、客戶數據、財務信息、未公開的產品計劃等機密資訊;亦可增加相關限制或聲明條款,如「在生成式AI工具中揭露之資訊只屬於公司」、「限制公司資訊僅能存儲於公司的私有雲上」等條款。

2.生成式AI工具提供者(合約)
針對外部管理時,公司亦可透過「終端使用者授權合約(End User License Agreement,簡稱EULA)」來限制生成式AI工具提供者對於公司在該工具上「輸入內容」之使用,如輸入內容不可以被用於訓練基礎模型,或者該訓練之模型只能用在資訊提供的公司。

二、技術方面:
建議公司購買或開發自有的生成式AI工具,並將一切使用行為限縮在公司的私有雲或私有伺服器中;或透過加密、防火牆或多種編碼指令(Programmed)來避免揭露特定類型的資訊或限制上傳文件的大小或類型,防止機密資訊被誤輸入,其舉出三星公司(Samsung)公司為例,三星已限制使用Chat GPT的用戶的上傳容量為1024位元組(Bytes),以防止輸入大型文件。

綜上所述,實務界對於使用生成式AI工具可能的營業秘密風險,相對於尚未可知的訴訟攻防,律師更推薦企業透過訴訟前積極的管理來避免風險。本文建議企業可將前述建議之作法融入資策會科法所創意智財中心於2023年發布「營業秘密保護管理規範」中,換言之,企業可透過「營業秘密保護管理規範」十個單元(包括從最高管理階層角色開始的整體規劃建議、營業秘密範圍確定、營業秘密使用行為管理、員工管理、網路與環境設備管理、外部活動管理,甚至是後端的爭議處理機制,如何監督與改善等)的PDCA管理循環建立基礎的營業秘密管理,更可以透過上述建議的做法(對單元5.使用管理、單元6.1保密約定、單元6.4教育訓練、單元7.網路與環境設備管理等單元)加強針對生成式AI工具之管理。

本文同步刊登於TIPS網站(https://www.tips.org.tw

相關連結
你可能會想參加
※ 因應使用「生成式AI(Generative AI)」工具的營業秘密管理強化建議, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=9220&no=55&tp=1 (最後瀏覽日:2026/07/04)
引註此篇文章
你可能還會想看
美國最高法院肯定電玩同樣受到憲法第一修正案言論自由之保護

  美國最高法院日前針對Brown v. EMA & ESA(即之前的Schwartzenegger v. EMA)一案作出決定,確認加州政府於2005年制定的一項與禁止販賣暴力電玩(violent video games)有關的法律,係違反聯邦憲法第一修正案而無效。   該加州法律係在阿諾史瓦辛格(Arnold Alois Schwarzenegger)擔任加州州長時通過。根據該法規定,禁止販售或出租暴力電玩給未滿18歲的未成年人,且要求暴力電玩應在包裝盒上加註除現行ESRB分級標誌以外的特別標誌,故有侵害憲法第一修正案所保障的言論自由之虞。本案第一審、第二審法院均認定加州「禁止暴力電玩」法案係屬違憲。   而最高法院日前於6月27日以7比2的票數判決,肯定下級審的見解。最高法院認為,電玩(video games)係透過角色、對話、情節和音樂等媒體,傳達其所欲表達的概念,就如同其他呈現言論的方式(如書本、戲劇、電影),皆應受到憲法言論表達自由原則之保護。   因此,對同樣受到憲法保障的遊戲內容表達,只有在有重大(值得保護)的公益須維護時,才能對其加以限制;同時,限制手段亦須通過最嚴格的審查標準(stringent strict scrutiny test)。最高法院認為,本案中加州政府並無法證明有重大(值得保護)的公益存在,且以法律禁止販賣的手段也無法通過審查標準。   如同美國娛樂軟體協會(ESA)CEO Michael D. Gallagher所說,政府不應採取立法禁止的方式,限制遊戲內容的表達自由;反之,美國電玩產業一直以來都遵守一套自願性的分級制度(Entertainment Software Rating Board rating system),藉以提供消費者有關遊戲內容的資訊。這套分級制度已足以協助家長從包裝盒上辨認出遊戲內容,確保未成年人不接觸不適宜的遊戲。   判決出爐後,產業界紛紛表示這是對遊戲產業的一大勝利。本案也證明,即使面臨日新月異科技發展的挑戰,憲法所保障的言論自由表達原則,同樣適用在新興科技的表現媒介。

中國大陸法院認定AI創作可受著作權法保護

中國大陸法院認定AI創作可受著作權法保護 資訊工業策進會科技法律研究所 2023年12月05日 近期生成式AI的工具運用,無論是生成文字的ChatGPT、生成圖像的Midjourney及生成影片的Pictory,技術一日千里,蓬勃發展;其應用已逐漸進入一般人的生活領域網,而且產生AI產出的侵權爭議,滋生運用AI創作的生成內容是否可主張著作權之疑義。我國經濟部智慧財產局於今(112)年6月以經授智字第11252800520號令 函指出--「AI利用人如係單純下指令,並未投入精神創作,由生成式AI模型獨立自主運算而生成全新內容,該AI生成內容不受著作權法保護。」採取否定見解 。不過其前提係「單純下指令,並未投入精神創作」,適於日前中國大陸北京互聯網法院於11月27日以(2023)京0491號民初11279號民事判決 認為如可認定屬「非機械性智力成果」,運用AI生成的圖片仍可受著作權保護。 壹、事件摘要 本案起因於原告將其使用開放原始碼的Stable Diffusion以輸入提示詞的方式,生成「春風送來了溫柔」之少女人像圖,並發布於網路平台。原告於事後發現,被告將該圖原有的原告署名浮水印(平台所發予的用戶編號)截除,並使用於其在網路上發布的文章中使用該圖做為插圖。原告因此提起姓名表示權與網路傳輸權的侵權訴訟。 被告主張系爭圖片具體來源為網路取得,已無法識別來源與浮水印,並不能確定原告是否享有圖片之權利;而且其所發布的主要內容為原創詩文,並非系爭圖片,亦未做為商業用途,並無侵權故意。 原告於本案中提出生成過程的影片佐證資料,北京互聯網法院認定呈現下列具體生成(取捨、選擇、安排與設計)步驟: 一、選擇前述軟體程式提供的模型,初步決定畫面最終生成的可用素材,決定作品的整體風格、類型。 二、為展現一幅在黃昏的光線條件下具有攝影風格的美女特寫所需,輸入有關類型、主體、環境、構圖、風格的提示詞,包括:「超逼真照片」與「彩色照片」類型;「日本偶像」主體並詳細描繪臉部皮膚、眼睛、辮子等細節;「外景」、「黃金時間」與「動態燈光」之環境提示;「機前瀏覽(眼看鏡頭)」、「酷姿勢」為構圖提示;「底片紋理、膠卷仿真」等風格提示。另並進行輸入反向指令提示,包括:繪畫、卡通、動漫等要求,以避免此類風格出現於生成內容。 三、進行相關參數設定,以及多次試驗的調整,包括採樣方法、清晰度、圖形比例等不同參數設置。 貳、重點說明 北京互聯網法院根據原被告的陳述與提供的證據資料,認定原告的AI生成圖構成作品(受著作權保護),且原告享有該作品之著作權: 一、法院首先提出四個認定是否構成作品的判斷要件:1.是否屬文學、藝術、科學領域;2.是否具有獨創性(原創性);3.是否具有一定的表現形式;4.是否屬於智力成果。同時認為本案須審酌的重點在於獨創性與是否屬於智力成果。 二、關於「是否屬於智力成果」,法院認為從原告構思圖片到最終圖片選定為止,原告進行了一定的智力投入,例如設計人物的呈現方式、選擇提示詞、安排提示詞的順序、設置相關的參數、選擇符合預期的生成內容,已具備本要件。 三、至於「是否具有獨創性」,法院認為非有智力投入的都具有獨創性,如「按照一定的順序、公式或結構完成的作品,不同的人會得到相同的結果」,則屬「機械性的智力成果」,並不具有獨創性。但運用AI生成過程若能「提出的需求與他人越具有差異性,對畫面元素、布局構圖描述越明確具體」就越能呈現人作者的個性化表達。因此,法院認定原告雖然AI創作沒有使用畫筆,也與過去使用繪圖軟體不同,但原告對於人物及其呈現方式透過提供進行設計,並透過反覆的修改參數、調整修正,這過程呈現原告的審美觀,而亦可見不同人使用該AI工具可以自行生成不同的內容,故該作品「係由原告獨立完成、體現了原告的個性化表達」。 四、針對原告是否享有該圖作品的著作權,法院採肯定看法認為: 1.雖原告使用AI工具的行為類如委託他人設計,於委託時該是受託人為創作人,但委託與AI工具區別在於委託人具有自主意志,AI工具本身並沒有,不是自然人或法人等民事主體,依法(中國大陸著作權法)該AI工具本身無法成為作者而享有著作權。 2.事實上仍是人以工具進行創作,而工具的設計者亦已於GitHub論壇的授權條款中揭示該工具的授權人並不對使用者所生成的內容主張權利。 3. AI工具的設計者本身並沒有創作該圖的意願,亦無預先設定後續生成內容,未參與創作的生成過程,其訓練雖然是投入相當大的心力,但投入的是在工具的創建而非特定內容的生成。 參、事件評析 本案最終由原告獲得勝訴,法院認定被告侵害其姓名權與公開傳輸權,雖然法院認為使用AI工具的行為類如委託他人設計,於委託時該是受託人為創作人,但也認為AI工具本身並沒有自主意志,不是可享有著作權利的主體,依法(中國大陸著作權法)該AI工具的使用本質仍是人以工具進行創作,而工具的設計者並沒有生成內容的意思與投入,故應由多次修改呈現其個人表達念的使用者取得著作權。本文認為可以從此判決中獲得下述啟示: 一、對初次生成結果進行修改指令是取得原始性的重點:現今AI工具的使用,如要求程度不高,其實只須簡單的指令,例如生成一個xx的圖片,即可產生一張可用的圖片,但此時AI生成的內容僅是「按照一定的順序、公式或結構完成的作品,不同的人會得到相同的結果」,屬「機械性的智力成果」,將不具有獨創性。 二、反覆修改、調整參數呈差異化,即便是AI生成亦獲保護:運用AI生成過程應力求與他人的使用具有差異性,對畫面元素、布局構圖描述越明確具體,越能呈現人個性化表達,始能取得著作權保護。而反覆的修改參數,例如視線角度、光影呈現方式、表情姿勢要求等圖片的細節呈現,強化呈現個人化的思想、表達、創作投入,即可獲得著作權保護。 三、AI生成世代的著作保護更須重視創作歷程的存證:本案原告取得勝訴的重要關鍵,在其於本案中提出生成過程的影片佐證資料,證明其使用過程的需求(在黃昏的光線條件下具有攝影風格的美女特寫)、取捨(輸入反向指令提示,包括:繪畫、卡通、動漫等)、選擇(「日本偶像」主體並詳細描繪臉部皮膚、眼睛、辮子等細節)、安排與設計(「機前瀏覽(眼看鏡頭)」、「酷姿勢」等構圖)步驟呈現其多次試驗的調整的事實證明,若無此佐證影片,單依生成結果難以證明其創作投入,訴訟結果可能會變成敗訴。 四、AI生成工具的使用須注意生成結果的權利歸屬約定:即便本案針對原告使用AI生成工具的生成結果可受著作權保護,但原告是否享有該圖作品的著作權,法院再次確認工具的設計者的授權條款並沒有對使用者所生成的內容主張權利,若該條款約定使用者不依法可享有的內容權利,使用者的權益將受影響,是必須特別要注意的事情。 如同北京互聯網法院在判決中提及的,在照相機出現之前,人們需要高度的繪畫技術才能再現物體形象,但即便出現智慧型手機亦不影響我們運用它產生有獨創性的作品而構成攝影著作。可預見的未來AI技術會越發達,人的投入會越少,但這並不影響著作權制度鼓勵作品創作的立法意旨,只要有創作性的投入,即便只是反復的指令下達,也仍是受著作權法保護的獨特的個人作品。 [1]詳見臺灣智慧財產局頒布函釋說明生成式AI之著作權爭議,理慈國際科技法律事務所,https://www.leetsai.com/%E8%91%97%E4%BD%9C%E6%AC%8A/interpretation-released-by-taiwans-ipo-to-clarify-copyright-disputes-regarding-generative-ai?lang=zh-hant,最後瀏覽日期2023/12/04。該文提及的智慧財產局令函,本文未能於於該局之著作權函釋系統中檢索到。 [2]該局111-10-31以電子郵件1111031號令函提及有關人工智慧(AI)的創作,如是「以人工智慧為工具的創作」,也就是人類有實際的創意投入,只是把人工智慧(例如:繪圖軟體)當作輔助工具來使用,在這種情形依輔助工具投入創作者的創意而完成的創作成果仍可以受著作權保護,著作權則由該投入創意的自然人享有,除非有著作權法第11條及第12條之情形。 [3]判決全文詳見https://mp.weixin.qq.com/s/Wu3-GuFvMJvJKJobqqq7vQ,最後瀏覽日期2023/12/04。

德國立法通過反駭客法

  德國政府為減少官方與民間的電腦受到網路駭客的攻擊,於2007年5月正式立法通過「反駭客法(Antihacker Law)」,並藉此擴大了現行德國法律中網路犯罪的懲處範圍,從僅處罰破壞或攻擊商業或政府機關之電腦系統,擴及至破壞或攻擊個人電腦或DOS系統之犯罪。   依德國「反駭客法」之規定,凡任何個人或團體意圖非法使用而故意製造、散播或購買駭客工具(hacker tools)者,將可能被處十年以上有期徒刑。而所謂的「駭客(hacking)」在新法中則被定義為,凡是侵入電腦系統並獲取資訊者,不論是否有竊取該資訊的行為,均屬之。   上述立法結果,反對人士擔心恐將適得其反,因駭客工具的存在具有一體兩面,研發並利用駭客工具來測試電腦以及網路系統的安全性,在德國已行之有年,如果一旦加以禁止,不但無法達到預期目的,也過於輕視網路駭客者的能力;又將來持有駭客工具者,未來必須在法庭上主張係出於善意持有,亦是增加了持有者的舉證責任。該法已經於2007年8月實施。

英國提出因應GDPR自動化決策與資料剖析規定之細部指導文件

  2018年5月,英國資訊專員辦公室(Information Commissioner’s Office, ICO)針對歐盟GDPR有關資料自動化決策與資料剖析之規定,公布了細部指導文件(detailed guidance on automated decision-making and profiling),供企業、組織參考。   在人工智慧與大數據分析潮流下,越來越多企業、組織透過完全自動化方式,廣泛蒐集個人資料並進行剖析,預測個人偏好或做出決策,使個人難以察覺或期待。為確保個人權利和自由,GDPR第22條規定資料當事人應有權免受會產生法律或相類重大效果的單純自動化處理決策(a decision based solely on automated processing)之影響,包括對個人的資料剖析(profiling),僅得於三種例外情況下進行單純自動化決策: 為簽訂或履行契約所必要; 歐盟或會員國法律所授權; 基於個人明示同意。   英國2018年新通過之資料保護法(Data Protection Act 2018)亦配合GDPR第22條規定,制定相應國內規範,改變1998年資料保護法原則上容許資料自動化決策而僅於重大影響時通知當事人之規定。   根據指導文件,企業、組織為因應GDPR而需特別留意或做出改變的事項有: 記錄資料處理活動,以幫助確認資料處理是否符合GDPR第22(1)條單純自動化決策之定義。 倘資料處理涉及資料剖析或重大自動化決策,應進行資料保護影響評估(Data Protection Impact Assessment, DPIA),判斷是否有GDPR第22條之適用,並及早了解相關風險以便因應處理。 提供給資料當事人的隱私權資訊(privacy information),必須包含自動化決策之資訊。 應確保組織有相關程序能接受資料當事人的申訴或異議,並有獨立審查機制。   指導文件並解釋所謂「單純自動化決策」、「資料剖析」、「有法律效果或相類重大影響」之意義,另就可進行單純自動化決策的三種例外情況簡單舉例。此外,縱使符合例外情況得進行單純自動化決策,資料控制者(data controller)仍必須提供重要資訊(meaningful information)給資料當事人,包括使用個人資料與自動化決策邏輯上的關聯性、對資料當事人可能產生的結果。指導文件亦針對如何向資料當事人解釋自動化決策處理及提供資訊較佳的方式舉例說明。

TOP