資訊公地

「資訊公地」（information commons）是指由一個社群共同持有、管理並維護的資訊資源，其存取與使用規則由社群成員共同制定，而非由政府（公共領域）或私人（私有財產）單獨控制。此概念源於對自然資源「公地」的管理理論，應用於數位時代的知識與數據。其核心在於建立一個可持續的共享生態系，例如維基百科、開源軟體專案（如Linux）以及使用創用CC（Creative Commons）授權的創作。在風險管理體系中，資訊公地是智慧財產權與營業秘密管理的一環。雖然尚無單一ISO標準直接定義此術語，但其管理原則與ISO/IEC 5230:2020（OpenChain標準，開源軟體授權合規）的精神一致，該標準旨在確保組織能有效管理開源軟體組件的授權，避免法律風險。這與傳統的版權或專利管理不同，後者強調排他性權利，而資訊公地則強調在特定規則下的共享與協作。

企業在風險管理中應用資訊公地概念，主要是為了在利用開源資源加速創新的同時，控制智慧財產權與法規遵循風險。具體導入步驟如下： 1. **盤點與識別**：首先，企業需全面盤點產品或服務中使用到的所有資訊公地資源，特別是開源軟體組件、公開數據集或第三方API。需建立一份詳細清單，記錄每個組件的來源、版本與其所依循的授權條款（如GPL、MIT、CC BY等）。 2. **風險評估與合規分析**：依據盤點清單，法律或合規團隊需依據ISO/IEC 5230等標準，評估每項授權條款的義務與限制，例如是否要求公開原始碼（即「感染性」風險）、是否允許商業使用等。此階段需量化潛在的法律訴訟、商譽損失或產品下架風險。 3. **建立治理政策與流程**：制定明確的內部政策，規範員工如何選用、整合及貢獻資訊公地資源。這包括建立審批流程、要求開發人員接受授權條款訓練，並導入自動化工具掃描程式碼以確保合規。例如，台灣某大型電子製造商導入此流程後，其開源軟體授權違規事件在一年內減少了95%，並順利通過歐美客戶的供應鏈審計。

台灣企業在導入資訊公地管理時，主要面臨三大挑戰： 1. **法規認知落差**：許多企業，特別是中小企業，對國際開源授權條款（如GPLv3）的複雜性與法律效力認識不足，常誤將「免費」等同於「無限制使用」，導致潛在的侵權風險。對策是舉辦定期內部教育訓練，並建立由法務、研發部門組成的跨職能審查小組，將開源授權審查納入開發流程的必要環節。 2. **資源投入不足**：建立完善的開源軟體管理（OSPO）或合規流程需要投入專業人力與工具，對資源有限的企業構成負擔。解決方案是採用階段性導入策略，初期可先專注於高風險的核心產品線，並利用Synopsys Black Duck或Snyk等自動化掃描工具降低人力成本。預計初期導入與工具部署約需3-6個月。 3. **重私有輕共享的文化**：台灣產業文化高度重視營業秘密與專利保護，對於「貢獻」至資訊公地（如參與開源專案）抱持保留態度，擔心核心技術外流。克服此問題需由高層領導倡導，展示參與開源社群對提升技術能見度、吸引人才與掌握產業標準的長期戰略價值，並建立明確的對外貢獻審批流程，界定可公開與需保密的範圍。

積穗科研股份有限公司專注台灣企業information commons相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact