美國參議員提案規範物聯網設備之資安漏洞

  美國參議員2017年08月01日提案立法,要求提供給美國政府的物聯網網路連結設備,須符合產業資訊安全標準,同時規範設備供應商,提供之設備必須可持續更新,不得含有無法更改參數的設定與不得具有任何已知安全漏洞。兩黨皆有參與提案參議員,共和黨為Cory Gardner和Steve Daines,以及民主黨的Mark Warner和Ron Wyden。

  由於物聯網連結數持續成長,與物聯網相連的裝置與感應器,預計在2020年會超過200億台裝置,相關裝置的資料蒐集與傳輸,同時影響消費者與產業。當這些裝置在出廠時若預設無法更改的參數,即預設固定程式無法更新,則該裝置連接物聯網時,會因裝置無法更新程式,而可能產生資安漏洞,進而影響物聯網上其它連結設備之安全性。

  2016至今,物聯網相關設備已被惡意阻斷服務攻擊(DDOS)影響相關網站、伺服器以及網路基礎設施提供者。

  Warner等4位參議員提出的〈2017年物聯網資安改進法〉(Internet of Things (IoT) Cybersecurity Improvement Act of 2017)草案,主要關注:

  1. 聯邦政府採購的物聯網相關設備,須可持續更新、符合產業標準、不含無法更改內建參數的設定、以及不含已知安全漏洞。
  2. 行政管理和預算局(Direct the Office of Management and Budget ,OMB),須發展可供替代網路級(network-level)資安設備以供限制性資料處理。
  3. 國土安全部的國家保護和計畫局(National Protection and Programs Directorate)須向提供連線設備予聯邦政府的承包商,發布整合性的資安漏洞揭露指導原則。
  4. 免除資安研究人員基於誠實信用研究時,所揭露與資安漏洞有關之法規責任。
  5. 要求所有執行機構清點所有連結物聯網的設備。

相關連結
你可能會想參加
※ 美國參議員提案規範物聯網設備之資安漏洞, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=55&tp=1&d=7859 (最後瀏覽日:2025/02/15)
引註此篇文章
你可能還會想看
巴西政府公布個人數據保護法草案

  巴西政府於2015年1月28日公布個人資料保護法草案(Regulation Of The Brazilian Internet Act And Bill Of Law On Personal Data Protection),該草案適用於個人和通過自動化方式處理個人資料的公司,惟前提是(1)處理行為發生在巴西或(2)蒐集個人資料行為發生在巴西。該草案將強加規範企業處理其在巴西的個人資料,包括資料保護義務和要求: 一、企業必須使資料當事人能夠自由的、直接的,具體的使當事人知悉並取得人同意以處理個人資料。 二、除了在有限的例外情況下,禁止處理敏感個人資料。例如資料當事人已被告知處理敏感個人資料的相關風險,並有具體的同意。敏感的個人資料包括,種族和民族淵源,宗教,哲學或道德信仰,政治觀點,健康和性取向資料,以及遺傳數據。 三、資料外洩時有義務立即報告主管機關。 四、當個人資料是不完整,不準確或已經過期時,允許資料當事人查詢他們的個人資料並更正之。 五、不得提供個人資料給資料保護水平不相似的國家。 六、有義務依比例原則採取安全保障措施以處理個人數據,防止未經授權的訪問,破壞,丟失,篡改,通訊或傳播資料。

對AI下達複雜、反復修改指令不算創作行為? —美國著作權局發布AI著作權報告第2部分:可受著作權保護性

.Pindent{text-indent: 2em;} .Noindent{margin-left: 22px;} .NoPindent{text-indent: 2em; margin-left: 38px;} .No2indent{margin-left: 54px;} .No2Pindent{text-indent: 2em; margin-left: 54px} .No3indent{margin-left: 4em;} .No3Pindent{text-indent: 2em; margin-left: 4em} 對AI下達複雜、反復修改指令不算創作行為? —美國著作權局發布AI著作權報告第2部分:可受著作權保護性 資訊工業策進會科技法律研究所 2025年2月10日 由於生成式AI是根據使用者輸入的提示或稱指令(prompts),依機率分布推算生成出最有可能出現的結果,因此有人戲稱AI在每次生成時都是在隨機進行「擲骰子」,即便相同的提示也可能會得到有差異的輸出結果。為應對AI回應的不確定性和多樣性,如何下達提示,有效使用AI,為必須學習的課題。因此,有人說訓練不了人工智慧?我們可以訓練自己,但用心思考精準有效指令,費心對AI生成結果進行反復修改,就能取得著作權保護嗎?美國著作權局提出的看法,或許與大家的期待不同。 壹、事件摘要 美國著作權局今(2025)年1月發布AI著作權報告的「第2部分:可受著作權保護性(Part 2: Copyrightability)」[1]。為幫助評估AI著作領域的立法或監管措施是否必要,該局於2023年8月即發布「著作權與人工智慧議題徵詢通知(Copyright Office Issues Notice of Inquiry on Copyright and Artificial Intelligence)」,對外尋求對包括涉及使用受著作權保護的作品來訓練AI模型的問題、適當的透明度與揭露程度受著作權保護的作品的使用以及AI生成內容的法律定位等問題的意見[2]。在分析AI引發的著作權法與政策問題的意見徵詢結果後,美國著作權局於2024年7月31日,以數位複製物(digital replicas)主題,發布「著作權與人工智慧分析人工智慧引發的著作權法和政策議題」(Copyright and Artificial Intelligence analyzes copyright law and policy issues raised by artificial intelligence)報告的第1部分[3],並隨後於今(2025)年1月發布報告的「第2部分:可受著作權保護性(Part 2: Copyrightability)」[4]。 此報告指出現有的法律原則可根據個案判斷是否具有足夠的人為貢獻,有足夠的彈性足以解決關於AI生成內容是否具有著作權的問題,並不需要修法;當人工智慧被用作工具,且人類能夠決定作品的表達元素時,對AI生成結果的創意選擇、協調或安排,以及對生成結果的創意修改,都可獲得著作權保護;但目前使用者即使給予AI詳細的提示,也無法控制AI如何生成內容,不足以使其成為「作者」;著作保護仍須以人為創意投入,既有法令已足以激勵AI發展,沒有理由為AI生成的內容提供額外的著作權或特殊權利保護。 貳、重點說明 一、AI系統的輸出存在不可控制性[5] 當前生成式AI系統的輸出可能包括未指定的內容,在有數十億個參數的模型構建的複雜AI系統下,特定提示或其他輸入對於AI生成內容的影響存在不確定性,即使是專家研究人員在理解或預測特定模型行為的能力方面也受到限制。不僅AI生成的內容會因請求而異,而且即使具有相同的提示也是難以預測的,即使有AI系統例如Midjourney允許使用者控制生成一致的結果,在重複相同的提示時收到幾乎相同的圖像,然而即使如此也無法保證完美的一致性。 二、有辛勤努力、指示建議不等於有創造性貢獻 (一)無法僅因時間和努力而獲得著作權保護,它需要原創性 (originality),無論原創性有多麼低微 美國的著作權保護限於人類的創作(human authorship) 沒有任何法院承認非人類創造(non-human creation)的著作權。當然在使用AI的大多數情況下,人類將參與創作過程(creation process),並且在他們的貢獻符合創作資格的範圍時,能使其作品具有著作權。美國上訴法院(Supreme Court)明確表示,需要的是原創性 (originality),而不僅僅是時間和努力。在「Feist Publications, Inc. v. Rural Telephone Service Co.」案中,法院否定僅憑「血汗」(sweat of the brow)就足以獲得著作權保護的主張,但法院也認為絕大多數作品都很容易達到標準,因為所需的創造力水平極低;即使是很小的量、無論多麼粗糙、卑微或顯而易見都無妨(no matter how crude, humble or obvious’ it might be.)[6]。 (二)使用機器作為工具並不會否定著作權保護,如果作品已包含足夠的人類創作表達元素(human-authored expressive elements) 對於AI工具的使用是否影響著作權保護,美國著作權局提及在「Burrow-Giles Lithographic Co. v. Sarony」案中,法院將「作者」定義為「任何事物起源的人、創始人、製造者、完成科學或文學作品的人。(he to whom anything owes its origin; originator; maker; one who completes a work of science or literature.)」。法院確定了即使是使用照相機,攝影師也有許多創造性貢獻,包括將主題置於相機前,選擇和安排服裝、窗簾與其他各種配件、安排主題以呈現優雅的輪廓,以及喚起其所需的表情[7]。因此能否受保護的重點不在於有無使用工具,而是創造性投入的有無。 (三)「作者」必須是實際創作作品,即將想法轉化為有形呈現的表達的人,不包括只是提供詳細的建議和指示或做無實質改變轉換的人 美國著作權局在報告中指出,上訴法院在「Community for Creative Non-Violence v. Reid, "CCNV"」案中,認為:繪製設計草圖和以有形的表達媒介實現創意,使藝術家成為作者。該案的哥倫比亞特區巡迴法院明確表示,委託雕塑並提供詳細的建議與指示是不夠的,因為此類貢獻構成不受保護的想法,其不能因此成為雕塑的共同作者。而第三巡迴上訴法院在「Andrien v. Southern Ocean County Chamber of Commerce」案中, 認為原告「明確指示了副本的準備工作的具體細節」,因此「編譯只需要簡單的轉錄即可實現最終的有形形式」。因為印刷商「沒有實質改變原告的原始表達(original expression)」,法院裁定原告是「作者」[8]。 因此,該局認為儘管人工智慧生成內容不能被視為使用者與人工智慧系統的共同作品(joint work),但對於是否貢獻足夠的表達以被視為作者,提供有用的類比—僅僅向作者(AI)描述委託作品應該做什麼或看起來像什麼的人,並不是著作權法意義上的共同作者。 三、AI的創作輔助使用 美國著作權局同意,使用人工智慧作為輔助創作作品的工具與使用人工智慧作為人類創造力的替代品之間存在重要區別。雖然增強人類表達的輔助使用不會限制著作權保護,但認為需要進一步分析下列三種使用方式的差異: (1)指示人工智慧系統產生輸出的提示(prompts); (2)可以在人工智慧生成內容中感知到的表達性輸入(expressive inputs) (3)對人工智慧生成內容進行修改或安排(modifications or arrangements)。 (一)指示人工智慧系統產生輸出的提示(prompts) 由於欠缺對生成結果的控制能力,使用者即使輸入複雜的提示指令亦無法讓其成為「作者」[9]。提示本質上是傳達不受保護的思想,雖然高度詳細的提示可以包含使用者所需的表達元素,但目前的AI技術無法僅靠提示即能給予使用者足夠的人工控制,所以AI 系統的使用者無法成為生成內容的「作者」。雖然在輸入提示可以被視為類似於向受委託創作的藝術家提供指導,但在人與人之間的合作,委託者能夠監督、指導與理解受委託的人類藝術家的貢獻,但這情況目前不存在於人與AI的合作。或許將來可允許使用者對AI的生成內容取得完全的控制權,讓AI的貢獻變成固定或機械化(rote or mechanical)。 由於提示與結果輸出之間的差距,以及相同的提示可以生成多個不同生成內容的事實,進一步表明使用者缺乏對將他們想法轉換為固定表達的控制。而反覆修改提示不會改變、也無法為取得著作權提供足夠的依據,因為著作權保護的是作者身份,而不是辛勤工作。而且美國著作權局認為輸入修改後的提示與輸入單個提示在作用上似乎沒有實質性區別,對過程的控制程度都沒有改變。 不過,有些評論意見舉自然攝影作品做類比,認為即使攝影家無法控制野生動物何時進入畫面,這些作品也可能有資格獲得著作權保護。但美國著作權局認為,這與AI生成不同—攝影家的創作過程並沒有結束於他對作品的想法,其在照相機中控制角度、位置、速度和曝光的選擇,且可能進行作品的後製調修。該局指出「從(AI系統)提供的選項(生成結果)中進行選擇」不能被視為受著作權保護的作者身份, 因為「單一輸出的選擇本身並不是一種創造性的行為」。但該局也表示有時提示可以充分控制AI生成內容中的表達元素,如果AI技術進一步為使用者提供表達元素的更多控制,則結論可能會不同。 (二)富有表現力的輸入(Expressive Inputs)[10]與純粹指令不同 目前AI 系統接受以文本、圖像、音訊、視頻或這些內容形式的輸入,而可以將輸入保留成生成內容的一部分,例如修改或翻譯受著作權保護的作品。這類型的輸入,雖然亦可視為不同形式的提示,但與僅僅是傳達預期結果的提示不同。它所給的不僅是一個概念,更重要的是它限制了AI生成內容的「自主性」。因此可能提供了「更具說服力的人工干預」,而不是簡單的「將提示應用於未知的起點」。美國著作權局認為一個人輸入自己受著作權保護的作品,如果該作品在生成的內容中是可察覺的(perceptible),那麼他至少是該部分生成內容的「作者」。此類 AI 生成輸出的著作權將涵蓋可察覺的人類表達,包括可能涵蓋到作者對作品素材(material)的選擇、協調和安排。 (三)修改或安排(Arranging)AI生成的內容仍可受保護[11] 美國著作權局於報告中指出,使用 AI 生成內容通常是一個初始或中間步驟,如同其AI 註冊指引的說明—「人類可以以足夠創造性的方式選擇或安排 AI 生成的內容,以使最終作品整體構成一個作者的原創作品(the resulting work as a whole constitutes an original work of authorship)」。人類可以藉由修改AI生成的內容,使其達到符合著作權保護標準的程度,如果人類作者以創造性的方式選擇、協調和安排 AI 生成的內容,應該能夠主張著作權。例如:Midjourney 提供「Vary Region and Remix Prompting」,允許使用者使用提示來指定生成圖像的區域。美國著作權局認為此類可以讓使用者控制各個創意元素的選擇與放置的修改,是否達到最低原創性標準雖將取決於具體個案情況。但其認為就生成的內容位置可控制的案例,與純粹提示(prompts alone)情況不同,生成的內容應該受著作權保護。 參、事件評析 在美國著作權局公布其該報告之後,有網路媒體[12]以「美國著作權局定調:光靠提示詞的純AI生成圖片無法享有著作權保護,無論你下多複雜的提示詞都沒有」的標題,詮釋該報告的主旨。確實美國著作權局於該報告中,特別指出下達複雜與反復的提示,並不會影響著作權保護的取得與否的判斷。但關鍵點不在於提示本身,而是對AI生成結果的「可控制」(或可說是AI對生成結果的自主)程度。 對於AI生成結果的著作權保護,經濟部智慧財產局曾以電子郵件1070420號函指出:「著作必須係以自然人或法人為權利義務主體的情形下,其所為的創作始有可能受到著作權的保護。據了解,AI(人工智慧)是指由人類製造出來的機器所表現出來的智慧成果,由於AI並非自然人或法人,其創作完成之智慧成果,非屬著作權法保護的著作,原則上無法享有著作權。但若其實驗成果係由自然人或法人具有創作的參與,機器人分析僅是『單純機械式的被操作』,則該成果之表達的著作權由該自然人或法人享有。」,但何謂「單純機械式的被操作」?以複雜與反復的提示再擇取AI符合所需的AI修改結果,是否屬之?在目前AI工具朝向「自動化」發展的趨勢下,使用者下達提示後,多只須被動的對單一的生成結果,決定是否接受或重新下達指令,使用者只是以指令提出需求,實際的「創作行為」主體其實是AI而非人類。因此,美國著作權局於此報告中更進一步的說明使用者即使有複雜與反復的提示且有意的選擇特定結果,並不能就認定為「對結果有控制權」的創作。必須其結果可為使用者主導、控制,而非被動決定是否接受。 相對而言,在創作的保護實務上,美國著作權局告訴我們的是,人類仍然可以藉由在使用過程提高對AI生成結果的控制程度,以及生成內容的後製,使結果符合著作權保護標準。AI使用者應該盡量使用有提供具體修改控制功能的AI工具,只要有人為的事後修改,或使用過程中能具體主導AI生成的結果,我們仍然可以透過複雜與反復的提示AI,取得受著作權保護的生成結果。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw) [1]U.S. Copyright Office Copyright and Artificial Intelligence, Part 2: Copyrightability, https://www.copyright.gov/ai/Copyright-and-Artificial-Intelligence-Part-2-Copyrightability-Report.pdf [2]US Copyright Office, Copyright Office Issues Notice of Inquiry on Copyright and Artificial Intelligence, https://www.copyright.gov/newsnet/2023/1017.html (last visited Feb. 10, 2025). [3]US Copyright Office, Copyright Office Releases Part 1 of Artificial Intelligence Report, Recommends Federal Digital Replica Law, https://www.copyright.gov/newsnet/2024/1048.html (last visited Feb. 10, 2025). [4]U.S. Copyright Office Copyright and Artificial Intelligence, supra note 1. [5]詳前註1,頁5~7。 [6]詳註1,頁8。 [7]詳註1,頁9。 [8]詳註1,頁9。 [9]詳註1,頁18~21。 [10]詳註1,頁22~24。 [11]詳註1,頁24~27。 [12]電腦王,美國著作權局定調:光靠提示詞的純AI生成圖片無法享有著作權保護,無論你下多複雜的提示詞都沒有,https://www.techbang.com/posts/121184-the-us-copyright-office-has-set-the-tone-that-purely(最後瀏覽日:2025/02/10)。

因應2020年社會實現自動駕駛,日本訂定自動駕駛制度整備大綱

  日本IT綜合戰略本部及官民資料活用推進本部於4月17日公佈「自動駕駛制度整備大綱」。大綱設定2020年至2025年間,日本社會實現自動駕駛下,所需檢討修正之關連法制度。   本大綱中,係以2020年實現自動駕駛至等級4為前提(限定場所、速度、時間等一定條件下為前提,系統獨自自動駕駛之情形),以在高速公路及部分地區之道路實現為條件設定。社會實現自動駕駛有以下課題需克服: 道路交通環境的整備:以自駕系統為行駛,一般道路因為環境複雜,常有無法預期狀況發生,導致自駕車的電腦系統無法對應。 確保整體的安全性:依據技術程度,設定一般車也能適用之行駛環境、設定車輛、自動駕駛之行駛環境條件以及人之互相配合,以達成與一般車相同之安全程度為方針下,由關係省廳間為合作,擬定客觀之指標。此一指標,並非全國一致,應就地方之特性,設定符合安全基準及自動駕駛行駛環境條件,建構整體確保安全之體制。 防止過度信賴自駕系統:訂定安全基準,使日本事件最先端自動車技術擴及於世界,訂定包含自駕系統安全性、網路安全等自動駕駛安全性要件指針。 事故發生時之法律責任:自動駕駛其相關人為駕駛人、系統製造商、道路管理者等多方面,其法律責任相對複雜化。現在係以被害人救濟觀點,至等級4為止之自動駕駛,適用自動車損害賠償責任險(強制責任險)方式,但是民法、刑法及行政法等法律全體之對應,仍為今後之課題,必須為早期快速處理。為了強化民事責任求償權行使、明確刑事責任之因果關係、並實現車輛安全性確保、避免所有人過度負擔等,車輛行駛紀錄器之裝置義務化、事故原因究明機制等,關係機關應合作為制度檢討。   本大綱最後並提出,在自動駕駛技術快速發展下,就其發展實際狀況應為持續半年1次召開會議檢討檢討。

日本修正《氫能基本戰略》以實現氫能社會

日本於2023年6月6日召開有關「再生能源、氫能等相關」內閣會議,時隔6年修正《氫能基本戰略》(水素基本戦略),其主要以「水電解裝置」、「燃料電池」等9種技術作為戰略領域,預計15年間透過官民投資15兆日元支援氫能相關企業,希冀盡速實現氫能社會。 日本早於2017年即提出氫能基本戰略,由於氫氣在使用過程中不會產生溫室氣體或其他污染物質,被認為是可以取代傳統化石燃料的潔淨能源,欲以官民共同合作,無論在日常生活、生產製造等活動下,都能透過氫能發電方式,達成氫能社會,故推出降低氫能成本、導入氫能用量的政策,並以2030年為目標,將氫能的用量設定為30萬噸、同時將氫能成本降為30日元/Nm3(以往價格為100日元/Nm3),使其成本與汽油和液化天然氣成本相當。為配合2021年《綠色成長戰略》,日本再次擴充目標,透過活用綠色創新基金,集中支援日本企業之水電解裝置和其他科技裝置,預計在2030年的氫能最大供給量達每年300萬噸、2050年可達2000萬噸。 然而隨著各國紛紛提出脫碳政策和投資計畫,再加上俄烏戰爭之影響,全球能源供需結構發生巨大變化,例如:德國成立氫氣專案(H2 Global Foundation)投入9億歐元,以市場拍賣及政府補貼成本的方式推動氫能、美國則以《降低通膨法》(The Inflation Reduction Act),針對氫能給予稅率上優惠措施等,在氫能領域進行大量投資,故為因應國際競爭,日本重新再審視國內氫能發展,並修正《氫能基本戰略》,除提出「氫能產業戰略」及「氫能安全保障戰略」外,本次主要修正之重要措施摘要如下: 1.維持2030年、2050年氫能最大供給量之設定,但新增2040年時提出氫能的最大供給量目標為1200萬噸。 2.由於水電解裝置在製造綠氫時不可缺,爰設定相關企業於2030年前導入15GW左右的水電解裝置,同時確立日本將以氫能製造為基礎之政策。 3.鑒於氫能科技尚不純熟、氫能價格前景不確定性高,在氫能供應鏈的建構上有較大風險,故透過保險制度分擔風險,以提高經營者、金融機構投資氫能之意願。 4.藉由氫能結合渦輪、運輸(汽車、船舶)、煉鐵化學等其他領域,期以氫氣發電渦輪、FC卡車(使用氫氣燃料電池Fuel Cell之卡車)、氫還原製鐵為中心,强化國際競爭力,創造氫能需求。 5.預計10年間,以產業規模需要在都市圈建設3處「大規模」氫能供給基礎設施;另依產業特性預計於具相當需求之地區,建設5處「中等規模」基礎設施。

TOP