雲端運算所涉法律議題

歐盟GDPR保護適足性審核與因應作為 資訊工業策進會科技法律研究所 法律研究員　吳柏凭 2018年04月10日 壹、事件摘要 　　歐盟於 1995 年頒布個人資料保護指令(95/46/EC)[1]，對歐洲各國甚至全世界個人資料保護法制發展有極大影響力。然隨著資通訊技術發展變化迅速，網際網路與各項應用興起，既有歐盟個人資料保護指令面對這些變化已經難以為繼，歐盟執委會(European Commission) 出新的資料保護規則（General Data Protection Regulation, GDPR），於2016年4月27日通過，5月4日公布，正式成為歐盟第2016/679號規則（Regulation (EU) 2016/679）[2]。由於歐盟原則上禁止個人資料跨境傳輸，只有在被認可具有保護適足性(Adequate level of protection)的國家或地區才能例外許可傳輸，因此如何獲得歐盟保護適足性認可，就成為能否跨境傳輸歐盟個資的關鍵。 貳、重點說明 一、個人資料保護指令保護適足性審查規定 　　1995年的個人資料保護指令，就有禁止會員國將個人資料跨境傳輸至對資料保護不具有保護適足性之國家[3]。在第25條第2項中，對於保護適足性的審查，包括資料的性質、處理目的和期間、資料的發生地及最終目的地、該國家施行的普通法及特別法規範、以及安全措施等，透過個案綜合判斷是否具有保護適足性[4]。而關於具體的判斷標準，則依照第29條規定資料保護工作小組（Article 29 Data Protection Working Party）的指導文件[5]，其中對於法律規範審查，除了內容外，更重視個資保護的執行面。 二、GDPR保護適足性審查規定 　　GDPR延續了個人資料保護指令的規定，原則上禁止資料跨境傳輸至對資料保護不具有適足性之國家[6]。根據第45條第2項規定，適足性的評估包括以下要素： 法治、對人權與基本自由之尊重、一般與部門之相關立法，包括有關公共安全、防衛、國家安全及刑法、公務機關對個人資料之接近使用權、及該等立法、資料保護規則、專業規則及安全措施之執行。 有一個或以上獨立監管機關之存在及有效運作，或對象為國際組織時，確保及執行資料保護規則之遵守，包括充足之執行權，以協助及建議資料主體行使其權利，並與會員國之監管機關合作； 個人資料向其他第三國或國際組織進一步移轉，該其他第三國或國際組織之規則、判例法、及有效且可執行之資料主體權利及個人資料受移轉之資料主體有效之行政與司法救濟；第三國或國際組織所加入之國際協定，或其他因具法律拘束力之合約或辦法、及從其參與多邊或區域體系而生之義務，尤其關於個人資料保護者。 　　以上規定與個人資料保護指令最大不同在於將保護適足性的判斷標準明文化，同時補充個人資料向第三地再傳輸應注意的規範、具有獨立性監管機關等規定，填補原本個人資料保護指令的漏洞。 三、保護適足性認可程序與現況 　　保護適足性認可的程序[7]為： 來自歐盟執委會的提案。 得到由歐盟各國資料保護機關組成之作業會議(European Data Protection Board)的意見。 得到歐盟各國代表的承認。 歐盟執委會合意認可。 　　縱然取得認可，之後也會每四年檢驗一次[8]，如果被判定不具保護適足性，則仍會取消原本的認可[9]。 　　現階段已通過保護適足性審核的國家地區包括：安道爾、阿根廷、加拿大（民間機構）、法羅群島、根西島、以色列、馬恩島、澤西島、紐西蘭、瑞士及烏拉圭，另有美國限於「隱私盾」框架(Privacy Shield framework)方可傳輸。 參、事件評析 （一）保護適足性認可的效益 　　除了取得適足性認可外，個別企業可以透過1.標準契約條款(Standard Contractual Clauses, SCC)；2.拘束企業準則(Binding Corporate Rules, BCR)；或3.取得同意方式進行跨境傳輸[10]。但是取得適足性認可不但可以節省企業在個資跨境傳輸的成本，減輕企業負擔，同時也有助於整體產業突破歐盟貿易壁壘。 （二）通過保護適足性審核的困難 　　雖然現行通過適足性審核的國家地區有11個，惟需注意的是，根西島、馬恩島、以及澤西島都是英國屬地，法羅群島是丹麥屬地，而安道爾和瑞士都是在歐洲境內，這些國家地區的法規範本來就與歐盟差距不大，加上美國及加拿大國家本身不被認可具適足性，實際上不屬於歐盟法體系而通過適足性審核的國家地區非常有限。而且包括以色列、烏拉圭或紐西蘭在申請認可都花超過三年的時間，因此也不能作為短期的因應措施。 　　此外，在要件方面，規範上雖然我國個資保護規範與GDPR未有極大歧異，但只要存有差異，要取得認可就有極高困難度，這些都需要與歐盟執委會溝通。而在監管機關要求方面，雖然沒有要求單一機關，但對於機關的「獨立性」仍有要求。關於機關的獨立性目前歐盟並沒有明確的標準，但在歐盟法院判決中，有因為德國的州對州層級的資料監管機關進行調查的權力，而被認為不具獨立性[11]。 （三）通過適足性審核的具體作為 　　以日本為例，為了取得歐盟適足性認可，在2015年9月就其個人資料保護法（個人情報保護法）進行修正，其中設立個人資料保護委員會（個人情報保護委員会）即是為了符合適足性要求中「獨立監管機關」規定，而第24條跨境傳輸的規定更是重要。 　　日本個人資料保護委員會在2016年就與歐盟執委會溝通三次[12]，同時在2017年發出共同聲明[13]。在不修正法律的狀況下，日本個人資料保護委員會頒布一指導方針來消除差異，並於於2018年2月9日先揭示調適方向[14]，包括： 將歐盟視為敏感性個人資料而日本未明文規定者，解釋上一律視為敏感性個人資料。 歐盟不管個人資料保管期間，一律可以主張權利，而日本則限保管期間6個月以上方可主張權利。指導方針對於歐盟跨境傳輸的個資，不管保管期限一律許其主張權利。 對歐盟跨境傳輸的個資將要求揭露特定利用目的。 對於歐盟跨境傳輸的個資再移轉，必需要透過契約等規制，確保資料受保護水準。 關於歐盟跨境傳輸的個資，在去識別化一定要確認無法再識別，以與歐盟去識別化資料定義相符。 肆、結語 　　歐盟GDPR已施行在即，如何因應以突破其跨境傳輸的限制將不只是單純避免業者受罰，更是跨越歐盟貿易壁壘的重要關鍵，而在眾多例外許可跨境傳輸的方法中，又以取得保護適足性認可為最根本因應之道。雖然現在取得認可的難度極高，但仍有許多能努力的空間，目前我國也著手申請適足性認可的準備，未來能得到何種程度的回應，值得後續觀察。 [1] Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with regard to the Processing of Personal Data and on the Free Movement of Such Data. [2] Reform of EU data protection rules, European Commission, http://ec.europa.eu/justice/data-protection/reform/index_en.htm (last visited Apr.10, 2018). [3] Data Protection Directive, art. 25(1). [4] Data Protection Directive, art. 25(2). [5] European Commission, Working Party on Protection of Individuals with regard to the Processing of Personal Data, Working Documents Transfers of personal data to third countries: Applying Articles 25 and 26 of EU data protection directive, July 24, 1998. [6] General Data Protection Regulation, art. 45. [7] Adequacy of the protection of personal data in non-EU countries, https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en (last visited Apr.10, 2018). [8] General Data Protection Regulation, art. 45(3). [9] General Data Protection Regulation, art. 45(5). [10] General Data Protection Regulation, art. 46. [11]European Commission v. Federal Republic of Germany(C-518/07). [12]個人情報保護委員会，個人情報保護委員会の国際的な取組について，https://www.kantei.go.jp/jp/singi/keizaisaisei/miraitoshikaigi/4th_sangyokakumei_dai2/siryou3.pdf (last visited Apr.10, 2018). [13]JETRO，個人データ保護の「十分性認可」取得の好機に－日EU首脳が共同声明－，https://www.jetro.go.jp/biznews/2017/07/845f14ec50674c94.html (last visited Apr.10, 2018). [14]個人情報保護委員会，EU 域内から十分性認可により移転を受けた個人データの取扱いに関するガイドラインの方向性について ，https://www.ppc.go.jp/files/pdf/300209_siryou1.pdf (last visited Apr.10, 2018).

　　歐盟議會今年(2013)10月8日，針對「菸草產品指令」修正草案(Revision of the Tobacco Products Directive)進行投票，擬將電子香菸納入藥用規範落實菸害防制。此次修正草案目的在於規範歐盟菸草產品內部市場運作，保障公眾健康，該修正草案要點歸納如下 (一)包裝與標示 　　嚴格規範菸草產品需標示有礙健康的訊息和警語，並以圖示與文字呈現。除涵蓋外包裝正面與背面的65%外，側邊應標記妨害健康之警示。 (二)成分與添加物 　　為預防青少年對菸品產生興趣，規定菸草產品的外部包裝與內容物部份，需讓消費者清楚瞭解，購買的菸草產品有危害健康之疑慮，尤其是禁止香甜或水果風味的菸品要求在包裝上印刷更多警示規範，例如：不得將菸草產品以糖果、化妝品等樣式包裝之；禁止添加巧克力、香草等添加物抑制菸草刺激氣味。 (三)菸草產品規範範圍 　　對未含菸草成份之菸草產品，研擬具體規範辦法，例如：電子香菸、草藥香菸，擴大菸草產品規範範圍。 　　菸草產品指令之修正案預計於明年(2014)通過，藉由該項修正案統一歐盟各會員國對菸害防制標準與共識基礎，以提高會員國對菸草使用的危機意識，增加對禁菸、戒菸政策落實之動力。

　　美國和歐盟執委會於2022年3月25日宣布將建立新的跨大西洋資料保護框架（Trans-Atlantic Data Privacy Framework），該框架將促進美國與歐洲之間的資料流通，並解決歐盟法院在2020年宣布隱私盾協議（EU-U.S. Privacy Shield framework）無效時所提出的疑慮與問題。 　　該框架是重新建立美國與歐盟兩地個人資料傳輸的一個重要法律機制。美國承諾將實施新措施，以確保訊號情報活動（signals intelligence activities）是在必要且合法的國家安全目標下進行，並且不得不成比例地影響對個人隱私和公民自由的保護。基此，美國承諾的新措施包含強化美國訊號情報活動的隱私及公民自由保障機制、建立獨立且具約束力的救濟措施，以及強化美國情報機構對現有訊號情報活動的程序且分層監督。對於歐盟公民而言，將有全新且高標準的規範來保護個人資料；而對於美歐間的民眾和企業而言，該框架將可促進資料持續流動，足以鞏固歐美兩地每年高達一兆美元的跨境貿易，並使各種規模的企業能夠在彼此的市場中競爭。 　　資料流通對於美歐雙方的經濟關係以及所有企業而言都至關重要。事實上，美國和歐洲之間的資料流通所創造的經濟價值高達7.1兆美元，高居世界首位。在此背景下，新的跨大西洋資料隱私框架將強化美國與歐盟雙方對隱私、資料保護、法治和整體國家安全的共同承諾，未來美國與歐盟雙方將依此框架持續推進雙方各自相關的法律規範。

網路爬蟲治理趨勢與我國法制啟示 資訊工業策進會科技法律研究所 2026年04月30日 壹、網路爬蟲治理議題背景 隨生成式人工智慧產業蓬勃發展，模型訓練對於巨量資料之依賴度與日俱增，促使網路爬蟲（Crawlers）技術運用愈發頻繁。傳統網路生態原係建立於網站經營者與網路爬蟲索引功能的導流互惠默契[1]，網站容忍爬取以換取流量曝光。然而，當網路爬蟲大量爬取資料用於訓練，而非提供連結導流時，不僅造成流量分流與價值分配失衡，更損及內容產製者的廣告與訂閱收益[2]。 此經濟模式的轉變，讓技術訊號與法律意思表示長期脫節的矛盾浮上檯面。事實上，以自然語言呈現的服務條款與機器可讀的技術訊號（如 robots.txt）不一致之情形普遍存在。在搜尋引擎主導的時代，雙方多維持以資料換流量的默契，類矛盾尚能維持在技術管理層次，未釀成大規模法律對立。 如今，當爬取行為涉及訓練具備商業替代性的模型時，原本被掩蓋的技術脫節便陡然升級為法律風險。內容產製者因對傳統協定失去信任，轉向採行強硬的技術阻擋[3]；而 AI開發者則因 robots.txt 結構過於簡單，難以精確辨識複雜的著作權授權意願。即便開發者主觀上有遵循意願，但在自動化爬取過程中，仍因技術工具無法即時解讀自然語言聲明，進而陷入侵害著作權或違反契約之困境。 這種從互惠轉向競爭的變化，促使全球必須正視法制層面對於技術訊號與法律意願對齊的緊迫性。目前國際主要有兩種治理路徑：一是以美國為代表，仰賴著作權法中合理使用（Fair Use）之彈性空間，透過司法個案衡酌商業替代性與轉化性利用；二是以歐盟為首，透過《數位單一市場著作權指令》（The Copyright in the Digital Single Market Directive, CDSM Directive）明文確立「文本及資料探勘（Text and Data Mining, TDM）」之法定例外[4]，建立起事前規範。 相較於上述兩大主流路徑，我國目前既缺乏如歐盟般明確的法定例外制度作為避風港，在司法實務對於合理使用的解釋上也尚待更多AI相關案例累積心證，導致相關爭議高度仰賴司法事後認定，其不確定性使本土AI研發者往往須在法律風險與技術創新間艱難取捨，對產業生態系形成潛在的寒蟬效應。爰此，本文旨在爬梳歐美法規範趨勢與國內外司法實務案例，進而針對我國網路爬蟲治理路徑提出具體之政策建議。 貳、重點說明 一、網路爬蟲治理與國際趨勢 觀測全球AI治理趨勢，網路爬蟲管理議題漸受重視。相關討論已從純粹的技術攻防轉化為法律規範的核心。目前國際間主要以美國的合理使用彈性與歐盟的法定例外架構路徑為觀測重點，並輔以國際組織推動的技術標準自律。 （一）美國路徑：以合理使用為核心的事後審查 以美國為觀測對象，其著作權局（United States Copyright Office, USCO）於2025年的報告中揭示了關鍵立場：為AI訓練而建立資料集的重製行為，本質上已構成初步侵權（Prima Facie Infringement）[5]，其合法性最終取決於合理使用抗辯是否成立。此見解釐清了技術上的公開可得（publicly available）並不等同於法律上的授權利用，即便內容於網際網路上可自由存取，其著作權保護並不因此消滅。 這法律定性與技術現狀的落差，直接衝擊了美國司法實務過往採取之默示授權（Implied License）理論。在早期判例（如 Parker v. Yahoo!案）[6]中，若網站未設置 robots.txt 阻擋爬蟲，法院常傾向認為權利人已默許搜尋引擎進行索引。然而，robots.txt 的初衷並非針對生成式 AI設計，其技術結構無法區分導流索引與模型內化這兩類本質迥異的行為，並導致內容產製者即便有意反對AI訓練利用，卻因缺乏精準的技術工具表達其授權意願，使法庭在個案審酌授權意圖或合理使用時，面臨證據判讀上的困境。 此外，針對大規模爬取行為，美國監理機關亦開始從著作權以外的視角強化監管。例如，聯邦貿易委員會（Federal Trade Commission, FTC）近期高度關注「普遍性擷取（Pervasive Extraction）」所涉及的隱私風險。FTC強調，即便資料經去識別化，若能透過巨量資料點反推個人敏感資訊，仍可能違反個人資料保護法規範。[7]由此可推敲，美國正透過著作權法遵與個資保護責任之雙重規範，強化對爬取行為事後責任之追究，而非單純從技術面禁止存取。 （二）歐盟路徑：以權利保留（Opt-out）為基礎的法定例外 相對於美國模式，歐盟透過《數位單一市場著作權指令》建立層次分明的TDM法定例外體系，依據利用目的之性質，區分為科學研究與一般性利用兩種目的：基於科學研究目的而進行之TDM，屬於強制性的法定例外。在此範圍內，權利人不得主張選擇退出，亦即權利人必須容忍符合公益目的之資料探勘行為；基於一般性利用目的（即科學研究目的以外），原則上允許資料爬取，但賦予權利人權利保留選擇。但權利人必須以機器可讀（Machine-readable）形式明確聲明，否則即須容忍一定程度的爬取行為。[8][9] 此制度的核心爭點在於機器可讀性與技術落實間的落差。近期歐盟實務（如荷蘭 DPG Media v. HowardsHome 案）進一步探討：若權利人僅在 robots.txt 中以自然語言註解法律聲明，該方式是否即應被認定為符合法律要求的機器可讀格式？[10]此類討論反映出歐盟司法實務正試圖釐清，在技術中立的原則下，機器可讀的判定基準是否應隨AI的辨識能力而動態調整？ 亦即，若 AI 確實能辨識該聲明，則該非結構化的文字是否就已該當法律上的權利保留效力。 此外，為解決內容產製者與 AI 開發者間的價值分配失衡，歐盟亦提出引入法定衡平報酬權（Statutory Right to Equitable Remuneration）之構想，試圖透過著作權集體管理組織（Collective Management Organisations , CMOs）建立公平的利益補償模式，將商業性爬取行為由單純的侵權爭議，轉化為制度性的商業授權框架。[11] （三） 國際合作與技術標準：形塑自律框架 在法律規範之外，國際組織正積極透過軟法與技術標準化，試圖緩解內容產製者與 AI 開發者間的緊張關係。目前，觀察標竿組織重點如下： 1. OECD：探索產業自律與授權框架 在國際合作層面，經濟合作暨發展組織（Organisation for Economic Co-operation and Development, OECD）在報告中，探討透過資料爬取行為準則（Code of Conduct）與定型化契約等手段，形塑產業自律框架[12]的可能性，期望能透過標準化的授權條款降低雙方磋商成本，並為開發者提供更明確的法遵指引，以減輕司法事後判決不確定性所帶來的衝擊。 2. IETF：研議以「利用目的」為基礎之技術協定 針對現有技術訊號（如 robots.txt）無法精確承載法律意願之缺陷，網際網路工程任務組（IETF）相關工作小組正嘗試研發新一代技術協定（如 train-ai 標籤）。研究焦點在於建立以利用目的為基礎的識別機制，探討自然語言與機器語言銜接的技術路徑，使權利人未來能更精確地表達其授權意向（如：區分搜尋索引與 AI 訓練），進而試圖彌補技術訊號與法律意思表示間的落差。[13] 二、 國內外司法實務案例分析 觀測近期司法實務，各國法院對爬蟲行為邊界之判定趨向細緻化，且美、歐兩地在司法判斷標準與關注焦點上各具特色。 （一）美國實務：從默示授權轉向契約與反競爭之平衡 在美國實務方面，爭議核心從早期有關默示授權轉向近期契約效力與競爭政策間平衡發展的演進。法院雖曾於 Parker v. Yahoo! [14]等早期案件中認為，若網站未以技術手段（如 robots.txt）限制爬取，在搜尋快取情境下可能視為默示授權。然而，此見解在AI時代已難以擴張至大規模重製以訓練模型之範疇。 近期法院判斷標準更傾向於認為，單純缺乏技術設定並不等同於達成全面授權的意思合致。在此種技術訊號與授權意向脫節的現狀下，網站經營者轉而強化服務條款之規範，試圖以契約債權彌補技術控制之不足。然而，這也引發了服務條款拘束力邊界的法律論辯。具體而言，在 hiQ Labs v. LinkedIn [15]等案中，法律爭議核心在於《電腦詐欺與濫用法》（Computer Fraud and Abuse Act，CFAA）的適用邊界。針對技術上無需登入即可存取的公開資料（Public Data），平台方不得僅憑撤銷授權（如寄發停止並終止函或阻斷 IP）便主張資料爬取者構成CFAA之無權限存取。法院在裁定中展現其法律見解：若容許平台透過服務條款對未登入狀態下即可存取之公開資料建立壟斷性控制權，將損及資訊自由流通與競爭之公共利益。[16] （二） 歐盟實務：聚焦權利保留（退出權）之有效性認定 在歐盟司法實務方面，司法實務判斷的重點則由單純的存取權限轉向權利保留之有效性認定。此轉變反映司法機關試圖確認，在技術中立原則下，法律要求之機器可讀性應如何解釋。德國法院在 Kneschke v. LAION 案[17]中提出重要觀點，認為機器可讀性之判定應取決於利用行為發生時之技術發展水平。該判決傾向認定，若 AI 應用程式在技術上已能實質理解自然語言，則僅以自然語言撰寫的服務條款亦可能被視為有效的機器可讀聲明；相對地，荷蘭法院在 DPG Media v. HowardsHome案[18]中則採取較嚴格的檢視標準，認為若出版商僅以自然語言註解或針對特定機器人進行封鎖，但在技術執行上未能達成適當且明確之辨識程度，致使自動化工具無法將其識別為法律上的權利保留指令，該聲明仍可能被判定為無效。 上述案例顯示歐盟實務正處於探索期，試圖在法律規範與技術現狀間尋求對齊，以確立法定例外制度下權利人與利用人之間的權利義務邊界。 （三） 我國實務：側重對權利人財產權之保障 相較於美、歐司法實務傾向於在競爭政策或著作權例外框架下進行權衡，我國司法實務現階段對於權利人利益之保障呈現更為嚴謹的審視態度，且在法律適用上展現出獨特的刑事定性。在國內有關網路資料爬取的指標性案例（法源與七法案）[19]中，法院認定即便爬取之資料本身不具著作權（例如法規內容），但若行為人明知網站已設有禁止規範，卻仍利用自動化程式大規模爬取資訊，且該利用行為具備直接商業競爭目的、實質損及原告之潛在市場，則此種行為除可能構成著作權侵害外，亦將涉及《刑法》第359條之無故取得他人電腦電磁紀錄罪。此見解凸顯出我國實務高度側重保護內容產製者對於電磁紀錄之支配權與商業投資成果之完整性，使得網路爬蟲行為在臺灣法制環境下，不僅面臨民事侵權責任，更具備顯著的刑事責任風險。 三、 我國現況與產業環境觀察 我國目前針對網路爬蟲之治理模式主要由司法實務主導，且現行法制環境對於權利人利益之保障維持一貫保守且嚴謹的認定態度。在法律層面，由於我國尚未引進類似歐盟之TDM法定例外制度，我國 AI開發者在進行大規模語料收集時，僅能仰賴《著作權法》中關於合理使用之不確定法律概念進行個案認定。此類高度依賴司法事後認定的現狀，使研發過程籠罩在法遵風險之下，對產業創新形成明顯的寒蟬效應。 在技術與商業實務層面，robots.txt 等傳統技術協定在生成式AI 時代，已顯現出語義表達能力不足之侷限，難以在機器語言中精準區分流量引導與資料訓練內化兩類本質差異甚廣的授權意願。觀察整體產業環境，內容產製者與AI開發者間的衝突核心，在於資料利用已具備高度商業替代性競爭意涵，且開發者無償利用巨量資料行為，與內容產製者要求合理對價之間產生巨大鴻溝，而非單純的技術存取議題。此外，《刑法》第359條無故取得電磁紀錄罪於網路爬蟲案件中適用邊界之不確定性，不僅加劇AI開發者對於技術行為入罪化的恐懼，更因缺乏明確的付費授權路徑或法定例外，成為我國AI生態系發展中難以跨越的法律屏障。 參、事件評析 綜觀國際趨勢，網路爬蟲治理的爭議已跨越單純的技術存取爭議，演進為在AI時代下治理路徑的策略選擇。 美國雖以合理使用作為事後裁決標準，但觀察其司法實務發展，實質上已有仰賴私法契約與其他多重法規構築防護網之傾向；相對於此，歐盟則採法定例外搭配權利保留（退出權），將治理重心提前至事前規範。兩種路徑雖規範密度有別，但均試圖在著作權人與利用人之間建構可資依循的權利義務框架。 歸結而言，我國現行網路爬蟲治理困境，似並非單純的法規空白問題，更涉及技術訊號與法律表述之結構性落差。首先，我國未引進類似歐盟法定例外制度，僅能仰賴具高度不確定性之合理使用概念；其次，即便欲從私法契約角度建立事前約束，仍面臨傳統技術協定因語義表達之侷限性，難以精確傳達權利人對於導流索引與AI訓練利用之差異化授權意願，其結果往往導致技術訊號與法律服務條款內容產生落差。 面對此困境，我國未來治理路徑首要之務，或可思考建構足以縮短技術訊號與法律意思表示落差的緩衝空間，調和當前導流互惠轉向替代競爭所引發的價值分配矛盾。 [1] Yichen Zhang, Kneschke v LAION: Are Text and Data Mining Exceptions a “Get-Out-of-Jail-Free Card” for AI Training?(2025),15, https://papers.ssrn.com/sol3/papers.cfm?abstract_id=5439454 (last visited Nov. 22, 2025). [2] Inbar Cohen, From Headlines to Al: Narrowing the Bargaining Gaps between News and AI Companies(2024), 9, https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4878254 (last visited Nov. 22, 2025). [3] UK Dep’t for Sci., Innovation & Tech., International AI Safety Report 2025 (2025), 2.3.6. Risks of copyright infringement, https://www.gov.uk/government/publications/international-ai-safety-report-2025/international-ai-safety-report-2025 (last visited Sept. 29, 2025). [4] European Parliament, Generative AI and Copyright: Training, Creation, Regulation (2025), Policy Department for Justice, Civil Liberties and Institutional Affairs, PE 774.095, 32-33,https://www.europarl.europa.eu/RegData/etudes/STUD/2025/774095/IUST_STU(2025)774095_EN.pdf (last visited Oct. 14, 2025). [5] United States Copyright Office, Copyright and Artificial Intelligence Part 3: Generative AI Training pre-publication version(2025) , 26-31,https://www.copyright.gov/ai/Copyright-and-Artificial-Intelligence-Part-3-Generative-AI-Training-Report-Pre-Publication-Version.pdf (last visited Nov. 24, 2025). [6] Parker v. Yahoo!, Inc., No. 07-2757, 2008 WL 4410095 (E.D. Pa. Sept. 25, 2008). [7] Federal Trade Commission, “FTC Cracks Down on Mass Data Collectors: A Closer Look at Avast x-Mode,” Technology Blog, Mar. 15, 2024, https://www.ftc.gov/policy/advocacy-research/tech-at-ftc/2024/03/ftc-cracks-down-mass-data-collectors-closer-look-avast-x-mode-inmarket (last visited Nov. 24, 2025). [8] European Parliament, Generative AI and Copyright: Training, Creation, Regulation (2025), Policy Department for Justice, Civil Liberties and Institutional Affairs, PE 774.095, 35-36, https://www.europarl.europa.eu/RegData/etudes/STUD/2025/774095/IUST_STU(2025)774095_EN.pdf (last visited Oct. 14, 2025). [9] European Parliament, Generative AI and Copyright: Training, Creation, Regulation (2025), Policy Department for Justice, Civil Liberties and Institutional Affairs, PE 774.095, 120, https://www.europarl.europa.eu/RegData/etudes/STUD/2025/774095/IUST_STU(2025)774095_EN.pdf (last visited Oct. 14, 2025). [10] DPG Media et al. v. HowardsHome, C/13/737170 / HA ZA 23-690, ECLI:NL:RBAMS:2024:6563 (Amsterdam District Court, 30 Oct. 2024). Available at: https://www.nlp.legal/xms/files/Between_labs_and_algorithms__…pdf (last visited Oct. 7, 2025). [11] European Parliament, Generative AI and Copyright: Training, Creation, Regulation (2025), Policy Department for Justice, Civil Liberties and Institutional Affairs, PE 774.095, 128-129, https://www.europarl.europa.eu/RegData/etudes/STUD/2025/774095/IUST_STU(2025)774095_EN.pdf (last visited Oct. 14, 2025). [12] Organisation for Economic Co-operation and Development (OECD). Intellectual Property Issues in Artificial Intelligence Trained on Scraped Data. OECD Artificial Intelligence Papers No. 33, February 2025, 10, https://www.oecd.org/content/dam/oecd/en/publications/reports/2025/02/intellectual-property-issues-in-artificial-intelligence-trained-on-scraped-data_a07f010b/d5241a23-en.pdf (last visited Nov. 19, 2025). [13] IETF, Progress on AI Preferences(2025), https://www.ietf.org/blog/ai-pref-progress/ (last visited Nov. 26, 2025). [14] Parker v. Yahoo!, Inc., No. 07-2757, 2008 WL 4410095 (E.D. Pa. Sept. 25, 2008). [15] hiQ Labs, Inc. v. LinkedIn Corp., 31 F.4th 1180 (9th Cir. 2022). [16] Meta Platforms, Inc. v. Bright Data Ltd., 661 F. Supp. 3d 1086 (N.D. Cal. 2023). [17] Kneschke v. LAION, e.V., Case No. 310 O 227/23, Hamburg Regional Court (Landgericht Hamburg), Sept. 27 2024. Available at: https://www.wipo.int/wipolex/en/judgments/details/2381 (last visited Oct. 7, 2025). [18] DPG Media et al. v. HowardsHome, C/13/737170 / HA ZA 23-690, ECLI:NL:RBAMS:2024:6563 (Amsterdam District Court, 30 Oct. 2024). Available at: https://www.nlp.legal/xms/files/Between_labs_and_algorithms__…pdf (last visited Oct. 7, 2025). [19] 臺灣新北地方法院 114 年 6 月 24 日 111 年度智訴字第 8 號刑事判決。