一、「數據資料(data)」在今日已成為商業分析、AI演算法及模型訓練等科技發展基礎,甚至連原始未經編排的數據資料(raw data),都可能成為單獨交易標的。但不同區域對「數據資料」因立法政策等而有不同之保護範圍,例如臺灣對於網路資料庫,未如歐盟以立法方式特別規範其法定保護要件,在具體個案中另外從公平交易法的角度切入審查,稍有誤解即可能產生侵權爭議,本文擬從臺灣法律的角度討論數據資料在不同面向產生的新興爭議及其保護措施。
二、數據資料可能受哪些智慧財產法律之保護?
臺灣法令對「數據資料」之保護散見在不同法令,與智慧財產權相關者主要包括以下:
(一) 著作權法
臺灣著作權法保護具有原創性的表達方式(著作權法第3條第1項第1款參照),著作權人在作品完成即享有權利,無需另外註冊即可主張著作權。而「單一數據」(如單純的股價)僅屬單純事實,通常缺乏原創性,不受著作權法保護,僅有在資料的「選擇」與「編排」具創作性時,才可能受法院認定為「編輯著作」而受保護,但資料庫受法律保護之部分仍不及於資料本身的內容(著作權法第7條參照)。
(二) 營業秘密保護法
營業秘密法保護的是非公開、具有經濟利益的技術或商業資訊(營業秘密保護法第2條參照),因此企業對其具有經濟價值的數據,經採取合理保密措施者,可能成為受保護的營業秘密。
(三) 個人資料保護法
自然人的姓名、出生年月日、身分證統一編號、聯絡方式、病歷等一切可以間接或直接識別個人的數據資料,受到個資法之保護(個資法第2條參照),擬對前述範圍內的數據加以蒐集、處理及利用者,應採取法定程式以維護個人隱私。
(四) 公平交易法
公平交易法可謂數據資料保護的「兜底條款」,當數據不具原創性、亦非營業秘密,在企業以不當方式搾取他人努力成果進行競爭時,公平交易法可補充性的對前述智慧財產法令未予明文項目進行保護(公平交易法第25條及同法第45條參照)。近年法院依該法認定數件房仲網站系統係抓取同業建置的資料庫加以利用,足以違反交易秩序,即是一例。
三、新興數據資料爭議及其風險控管措施
(一) 數據資料違約造成的損害經常肇因於非契約當事者的第三方
基於數據資料易於儲存及快速流通的特性,數據資料相關違約造成的損害經常肇因於非契約當事者的第三方,例如:甲、乙兩公司簽署雲端資料庫利用及軟體服務協議,乙公司不慎將部分甲公司之數據資料洩漏給未簽約的丙,由於甲公司與丙無直接契約關係,甲無法依合約直接對丙求償或禁止其使用爭議數據,但資料的洩漏依然可能造成甲公司商譽與營收的連帶性損害。因此,在合作契約條款中宜對應此特性,準確定義歸責條款及其限度,以免因為模糊的定義破壞預期的風險分配。
(二) 數據資料財產權化在現行民法架構下定位不明
歐美文獻資料經常將數據資料之歸屬稱之為「ownership」或者「data rights」,但在臺灣民法體系下,數據並非有體物,嚴格言之不屬於傳統物權概念下「所有權」之標的,數據資料持有者擁有的僅為資料的「控制權」或者「契約上利益」。為避免法律適用爭議,就數據資料的控制利用權限宜於契約中制訂具體合約條款,明確約定數據資訊的控制管理權限歸屬、各利害關係者的使用範圍,以有效控制數據蒐集、傳輸帶來的個資侵害風險與數據利用之利益分配。
(三) 如何對電子數據資料採取「合理保密措施」?
1. 以電子或數位格式儲存和傳輸的數據資訊,可涵蓋數據本身(例如文字、音訊或圖像格式,演算法或程式碼),及以數位格式儲存的任何技術領域的數位化資訊兩部分,倘若具有經濟價值,擬適用營業秘密保護法維護,基於數位數據易於複製、容易隱匿及可迅速流通的特性,較傳統機密資訊更具難度。
2. 目前法院就企業是否對其主張的營業秘密採取「合理保密措施」的要求已高度具體化,從早期形式審查是否簽署「保密協議」轉向實質審查:企業是否依其人力、財力及資訊性質,採取「有效」且「依社會通常可能之方法或技術」的防護手段。例如,智慧商業法院112年度刑智上訴字第13號刑事判決即指出,爭議的客戶名單數位檔雖儲存在無網路連線之電腦中,並設有限定特定人員始有權限登入的帳號密碼,惟事實上授權密碼為共享型態,客觀上並無明確之分類分級管制、以及檔案傳輸和存取資訊之追蹤管理等整體防護措施,因此爭議資訊並未以合理的安全防護手段保持,不受保護。顯示,就數位營業秘密之保護單純簽署保密協議已有不足,對於數位性數據資料可因應其特性採取分級、數位權限控管及存取留存紀錄等資安數位化管理措施。
(四) AI數據資料的著作侵權爭議
1. 隨著各種聊天機器人模型的推出,AI蟬聯年度最火熱話題,而其輸入與輸出的數據資料所涉著作權爭議依然沒有定論。在模型訓練階段的涉及對海量大數據的「輸入」,而臺灣目前尚未如歐盟或日本就「資料探勘(Text and Data Mining, TDM)」有明確的立法豁免。因此,大量「抓取」網路數據並「存入」資料庫用以訓練AI模型,倘若無法確認來源合法,在技術上仍有構成著作「重製」的疑慮(著作權法第22條參照)。另一方面,在「輸出」階段,若AI生成的內容與訓練資料「實質近似」也仍難脫離著作侵權之爭議。
2. 因此,企業為導入AI而與模型廠商簽立契約時,宜預先確認訓練數據集來源、了解數據集資料的提供者可對該等資料的利用程度;當資料源自不同管道時,分區溯源確認其合法性,以避免部分違法數據「汙染」整個數據集,進而在與模型廠商的約款中就數據資料的利用權範圍及侵權風險敘明責任承擔程度。
四、透過契約及資安技術填補法律縫隙
面對「數據資料」此一新興資產,由於各法令保障範圍不一、適用要件有別,在爭議發生時,往往難以立即達到維權效果,因此今日企業對於數據資料之利用與管理,已從「界定法定權利」轉向為搭配「契約治理與技術控管」的混合策略。「契約自治」既已成為維權、防禦核心,宜留意透過明確的合約條款將法律的灰色地帶明確約定,例如在數據授權或者委外開發等案例,將數據資料使用範圍、訓練權限、衍生數據歸屬及轉授權限制具體化,以之填補法律縫隙。至於涉及營業秘密的數據資料,則需更進一步整合「資訊安全」的技術治理措施,以跨域整合之方式建構更周全的維權及避險措施。
◎ 參考資料
近期開源軟體涉及的著作權爭議探討
歐盟法院-網路數位資料庫之保護 (Case C‑762/19 )
房仲業的比價平台爭議-超連結他人網站資訊是否違反公平法第25條?