歐盟提出通用型人工智慧模型的著作權管理合規措施建議

歐盟提出通用型人工智慧模型的著作權管理合規措施建議

資訊工業策進會科技法律研究所

2025年07月23日

為推動以人為本且值得信賴之人工智慧(Artificial Intelligence, AI)應用,同時確保高度保護健康、安全及歐盟《基本權利憲章》所載之基本權利,包括民主、法治及環境保護,防止AI在歐盟境內造成有害影響,並依據歐盟《人工智慧法》(AI Act, AIA)第1條第1項支持創新。歐盟人工智慧辦公室(The European AI Office) 於2025年7月10日提出《人工智慧法案》關於通用型人工智慧的準則(The General-Purpose AI Code of Practice)[1],以下簡稱「GPAI實踐準則」。

該準則由辦公室擬定計劃邀集通用型人工智慧(以下簡稱GPAI)模型提供商、下游提供商、公協會、權利人、專家學者、民間團體組成工作小組,進行討論與草擬。目的在協助GPAI模型的提供者符合AIA要求其應訂定模型技術文件,提供給下游提供者,並應制定著作權政策、發布訓練內容摘要的規定。預計將自 2025 年 8 月 2 日起適用。

壹、事件摘要

歐盟GPAI實踐準則包括透明度、著作權與安全維護(Transparency, Copyright, and Safety and Security)三大章節。為證明符合AIA第53條及第55條所規定義的指導文件(guiding document),並確保GPAI提供者(providers)遵守其在《人工智慧法》下之義務,於該準則於著作權章節提供適用AIA第53條第1項(c)款規定[2]的措施建議。

該準則強調採取相關措施可以證明符合前揭定之義務,但符合歐盟著作權及相關權利法規,並不以遵守該準則為要件,而且也不會影響歐盟著作權及相關權利法規的適用與執行,其權利最終歸屬法院。而著作權人依法保留的權利,以及針對文字與資料探勘(Text and Data Mining, TDM)的例外或限制 (EU 2019/790號指令第4條第1項),仍應在合法條件下適用。

考量到一些GPAI提供者是新創企業,規模有別於一般企業,故該準則亦強調其所要求採取的是相稱措施(proportionate measures),應與提供者之規模相稱且合乎比例(commensurate and proportionate),並充分考量中小企業(SMEs),包括新創公司(startups)之利益。

貳、重點說明

該準則建議GPAI提供者,採取訂定著作權政策、合法重製、尊重權利保留、積極防止侵權、提供問責管道等五大著作權管理措施。

一、訂定、維持並實施著作權政策

為證明已符合AIA第53條第1項(c)款所負之義務,GPAI提供者針對其投放於歐盟市場之通用人工智慧模型,應制定政策以遵守歐盟著作權及相關權利法規。該準則建議提供者應將著作權章節所列措施納入於政策中,公開發布並維持最新狀態其著作權政策摘要,且在組織內部指派負責實施和監督。

二、獲取合法可存取之受著作權保護內容

GPAI提供者進行 EU 2019/790號指令第2條第2項之文字與資料探勘及訓練其通用人工智慧模型進行網際網路內容的重製並擷取時,例如使用網路爬蟲(web-crawlers)或授權他人使用網路爬蟲代其抓取(scrape)或以其他方式編譯資料,應防止或限制對作品及其他受保護標的物之未經授權行為,特別是應尊重訂閱模式(subscription models)或付費牆(paywalls)所施加之任何技術性拒絕或限制存取。而且在進行網路爬取時,應排除歐盟認定為持續且重複大規模商業侵犯著作權及相關權利之網站。

三、識別並遵守權利人的權利保留

GPAI提供者文字與資料探勘及訓練其通用人工智慧模型,其網路爬蟲應識別並遵守EU 2019/790號指第4條第3項的機器可讀(machine-readable)權利保留[3],讀取並遵循機器人排除協議(Robot Exclusion Protocol, robots.txt)。

該協議包括任何經網際網路工程任務組(Internet Engineering Task Force,IETF)證明技術上可行且可由AI提供者和內容提供者(包括權利人)實施之版本,或經國際或歐洲標準化組織採納透過基於資產(asset-based)或基於位置(location-based)之詮釋資料(metadata)等其他方式的機器可讀協議。亦包括通常係透過在歐盟層級經由權利人、AI提供者及其他相關利害關係人參與討論所達成共識的識別方案。

GPAI提供者亦應透過公開該等資訊並提供受影響權利人可在該等資訊更新時自動獲得通知的適當措施,使受影響之權利人能夠取得相關資訊,包括所用的網路爬蟲、所採識別並遵守權利保留之措施。

四、降低著作權侵權輸出之風險

為降低整合GPAI模型的下游人工智慧系統(downstream AI system),生成可能侵害著作權或相關權利的作品或其他標的物GPAI提供者應實施適當且合乎比例之技術保障措施,防止其模型生成以侵權方式重製受歐盟著作權及相關權利法規保護之訓練內容。;同時,在使用政策、條款與條件或其他類似文件中禁止模型用於著作權侵權目的。對於以自由及開源授權(free and open source licenses)發布之GPAI模型,應在隨附文件中請使用者注意禁止模型用於著作權侵權用途。無論是將模型整合至其自身的人工智慧系統,或係依據契約關係提供給他人。

五、提供聯繫受理管道

GPAI提供者應提供與受影響權利人進行連繫的管道與資訊,讓受影響之權利人及其代理人(包括集體管理組織(collective management organizations))以電子方式進行投訴。同時,勤勉、非任意地並在合理時間內處理投訴,除非投訴明顯無根據,或已對同一權利人提出之相同投訴作出回應。

參、事件評析

美國先前於2025年6月23日曾由加州北區聯邦地方法院(United States District Court for the Northern District of California),威廉·阿爾斯法官(Judge William Alsup)針對Andrea Bartz、Charles Graeber、Kirk Wallace Johnson這三位美國作家,對Anthropic公司訓練大型語言模型(Large Language Model, LLM)時使用受其等著作權保護書籍一案,作出AI訓練行為可主張合理使用的簡易裁決(summary judgment)[4]。但法官仍然指出提供AI訓練的合理使用(Fair Use)不代表資料來源的適法性(Legality of Source)獲得合法認定,並不支持盜版一本本來可以在書店購買的書籍對於創建大型語言模型 (LLM) 是合理必要 (reasonably necessary) 的。

這次歐盟的準則更明確指出,GPAI提供者進行文字與資料探勘及訓練其通用人工智慧模型,以網路爬蟲(web-crawlers)進行網際網路內容的擷取,應尊重訂閱模式(subscription models)或付費牆(paywalls)所採取的技術性拒絕或限制存取。而且在進行網路內容爬取時,應排除歐盟認定為持續且重複大規模商業侵犯著作權及相關權利之網站,即訓練資料的取得必須是合法。而且必須積極使用可識別並遵守機器人排除協議(Robot Exclusion Protocol, robots.txt)的技術,更應透過公開該等資訊、提供受影響權利人可在該等資訊更新時自動獲得通知的適當措施,使受影響之權利人能夠及時知悉所用網路爬蟲、所採尊重權利保留之措施。

雖然前揭美國法院案件正在進行審理,但顯然與歐盟的GPAI實踐準則及美國著作權局的合理使用立場[5]一樣,均不認同迴避權利保護施、自盜版網站取得的資料之情況。我國日前發生七法與法源公司之間的著作權訴訟,七法以網路爬蟲爬取法源公司於使用條款限制存取的資料,並非技術創新撞上不合時宜的舊有法律框架,而是創新應用仍應在合理保護權利的前提下進行。

歐盟GPAI實踐準則所揭示的政策制訂、尊重權利保留、積極防止侵權、提供有效且給予合理回應的問責管道等AIA合規要求,已提示GPAI的開發、服務提供,應如何透過公開、揭露措施來配套降低科技創新應用過程對既有權利的影響,也指引其應建立的內部管理與外部溝通重點。對於開發、運用GPAI對外提供服務的企業而言,在爭執訓練資料應有合法空間的同時,或許應該思考是否應先採取歐盟GPAI實踐準則所建議的措施,以尊重既有權利的態度,積極降低權利人的疑慮,始有助於形成互利的合法利用空間。

本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。

本文同步刊登於TIPS網站(https://www.tips.org.tw

[1]The European AI Office, The General-Purpose AI Code of Practice, https://digital-strategy.ec.europa.eu/en/policies/contents-code-gpai。(最後閱覽日:2025/07/21)

[2]該條款要求將通用人工智慧模型投放於歐盟市場(Union market)之提供者,必須制定政策以遵守歐盟著作權及相關權利法規,特別是透過最先進之技術,識別並遵守權利人依據《第2019/790號指令》(Directive (EU) 2019/790)第4條第3項所表達之權利保留。

[3]指不接受其著作被用於文字與資料探勘目的之利用。

[4]Bartz et al. v. Anthropic PBC, No. 3:24-cv-05417-WHA, Doc. 231, (N.D. Cal. June 23, 2025),https://cdn.arstechnica.net/wp-content/uploads/2025/06/Bartz-v-Anthropic-Order-on-Fair-Use-6-23-25.pdf。(最後閱覽日:2025/06/25)

[5]劉家儀,美國著作權局發布AI著作權報告第三部分:生成式AI訓練-AI訓練是否構成合理使用?https://stli.iii.org.tw/article-detail.aspx?no=0&tp=1&d=9352

你可能會想參加
※ 歐盟提出通用型人工智慧模型的著作權管理合規措施建議, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=9380&no=67&tp=1 (最後瀏覽日:2026/07/01)
引註此篇文章
你可能還會想看
歐盟資通安全局公布《提升歐盟軟體安全性》研究報告

  歐盟資通安全局(European Union Agency for Cybersecurity, ENISA)於2020年4月25日以歐盟網路安全驗證框架(EU cybersecurity certification framework)檢視現行安全軟體開發及維護之方式與標準,並公布《提升歐盟軟體安全性》(Advancing Software Security in the EU)研究報告。歐盟資通安全局後續將以該研究報告協助產品、服務及軟體開發之驗證,並期望能夠成為執行歐盟網路安全驗證框架相關利害關係人之非強制性參考文件之一。   本報告指出由於安全軟體已普遍應用於日常商品與服務當中,但目前針對軟體安全事故並無相對應之安全守則及技術,故為提高軟體安全層級並緩解目前已知之軟體安全威脅,應針對安全軟體開發及維護進行規範並驗證。   報告中除了針對軟體安全提出其應具備之要素、概述現行安全軟體開發方式及標準之缺點外,亦提出若以歐盟網路安全驗證框架針對軟體開發方式進行驗證時可考量之一些實際做法,包括: 已驗證之資訊與通訊科技(Information and Communication Technology, ICT)產品、服務或流程供應商或製造商,針對資料庫之部署及維護,除探討防止資料洩漏之方式外,尚應考量產品、服務或流程驗證過程中,進行資料共享會面臨之安全威脅以及緩解之方式。 應與歐洲標準組織(European Standards Organizations, ESOs)及標準制定組織(Standards Developing Organization, SDOs)合作。 建立一些針對軟體開發、維護及操作準則以補充現有歐盟網路安全驗證方案(EU cybersecurity certification schemes)。 針對現行不一致之軟體開發及維護規範,應考量建立較寬鬆之合規性評估(conformity assessment)標準。 借鏡現有經驗和專業知識,促進歐盟網絡安全驗證框架之適用。

歐盟行動健康服務(mHealth)眾人引頸期盼的下一步

  歐盟於2015年5月9日在拉脫維亞的里加舉辦了為期一週之「eHealth Week」研討會,包含由歐盟輪值理事會主辦之高階eHealth會議,以及由歐洲HIMSS (Healthcare Information and Management Systems Society)主辦之「WoHIT (World of Health IT Conference & Exhibition)」兩大活動,而2015歐洲mHealth高峰會為其中備受矚目的重要主題活動。該高峰會以推動歐洲mHealth進程之執行為領導思考核心,相關利害關係者(包括公部門、ICT產業、健康保健專業學者)於5月12日以mHealth綠皮書公眾諮詢結果為基礎,針對歐盟目前執行中以及未來可能採取之政策為討論,主要議題包括:1.所蒐集資料之隱私與安全保護。2.生活康樂型apps產品之安全性與品質管控。3.網路經營者對於mHealth市場之進入障礙。   針對資料之隱私與安全保護議題,公眾諮詢結果顯示,關鍵問題在於mHealth apps蒐集使用者資料是否有足夠的隱私與安全保障措施?與會者並認為此問題在資料的第三人再利用情形尤為重要。對此歐盟執委會表示將展開就mHealth apps訂定以產業為主導、範圍涵蓋資料隱私與安全性之行為守則,以建立使用者對mHealth apps之信任感,並提升app開發者對歐盟資料保護法規之遵法意識。   針對生活康樂型apps(包括健康照護相關app)產品之安全性與品質管控議題,透過與會者現場意見調查顯示,認為健康照護相關apps之安全性、品質與可靠性由於欠缺臨床佐證,導致就apps的目的與功效會有錯誤的宣示。值得注意的是,制定法規控管並非多數意見,大多數與會者認為以訂定指引或標準的方式,作為生活與康樂型apps的安全性與品質之依循方針較為妥適。對此歐盟執委會表示會持續跟進此議題並與相關利害關係者討論下一步之行動。   針對網路經營者進入歐盟mHealth市場議題,與會者認為網路經營者將面臨複雜的進入障礙,諸如歐盟相關法規架構的不清與零散、mHealth方案與設備的互通性與開放標準的欠缺等。歐盟執委會明確表示,支持網路經營者進入mHealth市場,目前歐盟正在進行的「Startup Europe」等相關倡議措施,即是以強化網路及資通訊業者商業環境為目的,提供網路經營者法規諮詢、投資媒合、商業模式育成等協助,以降低網路經營者所面對之市場進入門檻並有機會展現其新創能量。

歐盟議會通過對RoHS指令修正之提案,奈米銀與長型多壁奈米碳管將可能成為禁止之列

  歐盟議會之環境、公共健康暨食品安全委員會(以下簡稱委員會)於6月2日以55票贊成,1票反對,2票棄權,通過對電子電機設備有害物質限用指令(RoHS指令)修訂之提案。該提案要求對包括鹵化阻燃劑(Halogenated Flame Retardants)、聚氯乙烯(PVC)以及奈米銀(nanosilver)、長型多壁奈米碳管(long multi-walled carbon nanotubes,MWCNT)等目前未列於有害物質禁用清單之化學物質,評估是否列入清單。   RoHS指令適用於自其他第三國進口以及於歐盟地區所生產之電子電機設備產品,影響層面廣泛,值得注意的是,該修訂提案中就其適用對象改採「開放性適用」(open scope),亦即除有特別明文排除者外,所有電子電機設備產品皆適用此一指令。歐盟議會目前提議排除用於生產再生能源、特定大規模設備與工業工具以及用於生產軍事目的之物質和車輛之電子電機設備。   針對奈米銀和長型多壁奈米碳管兩項奈米物質,委員會於修訂提案將其增列於附件IV當中,將產生對內含上述二種物質且達可探測程度(detectable level)之電子電機設備禁止進入歐盟市場流通之效果。委員會也對內含奈米物質之電子電機設備要求進行標示,製造商亦應向歐盟執委會提供奈米物質之安全數據。惟有論者表示,在歐洲議會目前對於奈米物質之定義尚未明確之前提下,此修訂提案可能導致必須對所有的電子產品進行奈米標示之情況。

合成資料(synthetic data)

  「合成資料」(synthetic data)的出現,是為了保護原始資料所可能帶有的隱私資料或機敏資料,或是因法規或現實之限制而無法取得或利用研究所需資料的情況下,透過統計學方法、深度學習、或自然語言處理等方式,讓電腦以「模擬」方式生成研究所需之「合成資料」並進行後續研究跟利用,透過這個方法,資料科學家可以在無侵犯隱私的疑慮下,使合成資料所訓練出來的分類模型(classifiers)不會比原始資料所訓練出來的分類模型差。   在合成資料的生成技術當中,最熱門的研究為運用「生成對抗網路」(Generative Adversarial Network, GAN)形成合成資料(亦有其他生成合成資料之方法),生成對抗網路透過兩組類神經網路「生成網路」(generator)與辨識網路(discriminator)對於不同真偽目標值之反覆交錯訓練之結果,使其中一組類神經網路可生成與原始資料極度近似但又不完全一樣之資料,也就是具高度複雜性與擬真性而可供研究運用之「合成資料」。   英國國防科技實驗室(Defense Science and Technology Laboratory, DSTL)於2020年8月12日發布「合成資料」技術報告,此技術報告為DSTL委託英國航太系統公司(BAE Systems)的應用智慧實驗室(Applied Intelligence Labs, AI Labs)執行「後勤科技調查」(Logistics Technology Investigations, LTI)計畫下「資料科學與分析」主題的工作項目之一,探討在隱私考量下(privacy-preserving)「合成資料」當今技術發展情形,並提供評估技術之標準與方法。   技術報告中指出,資料的種類多元且面向廣泛,包含數字、分類資訊、文字與地理空間資訊等,針對不同資料種類所適用之生成技術均有所不同,也因此對於以監督式學習、非監督式學習或是統計學方法生成之「合成資料」需要採取不同的質化或量化方式進行技術評估;報告指出,目前尚未有一種可通用不同種類資料的合成資料生成技術或技術評估方法,建議應配合研究資料種類選取合適的生成技術與評估方法。

TOP