積穗科研
繁中/EN/日本語
ai

生成式AI著作權與EU AI Act:台灣企業ISO 42001合規必讀指南

洞察發布
分享

積穗科研股份有限公司(Winners Consulting Services Co. Ltd.)指出:生成式AI著作權爭議正快速成為企業AI治理的核心法律風險——阿姆斯特丹大學J. Quintais教授2025年發表的研究明確揭示,在EU AI Act框架下,純AI生成內容因缺乏人類原創性而難以取得著作權保護,台灣企業若未建立符合ISO 42001的AI治理機制,將在著作權歸屬不明、訓練資料侵權等風險上陷入法律真空。

論文出處:Generative AI, copyright and the AI Act(J. Quintais,Computer Law & Security Review,2025)
原文連結:https://doi.org/10.1016/j.clsr.2025.106107

閱讀原文 →

關於作者與這項研究

J. Quintais是荷蘭阿姆斯特丹大學(University of Amsterdam)法學院的資深研究員,專攻數位著作權法、人工智慧與智慧財產權的交叉議題。其h-index達15,累計被引用逾623次,在歐洲AI監管法學領域具有相當的學術影響力。本篇論文發表於Computer Law & Security Review,截至2025年已累積24次引用,是近年探討生成式AI著作權與監管框架最具代表性的學術研究之一。

Quintais的研究特別之處,在於他並非單純討論著作權法的靜態規則,而是聚焦EU AI Act這套新興監管框架如何與既有著作權體制產生交互作用,以及這種交互作用對企業AI應用的實際影響。這對正在評估EU AI Act合規義務的台灣企業,具有高度的參考價值。

生成式AI著作權的三大法律結構性張力

Quintais的核心論點是:現行著作權法體制與EU AI Act的規範設計之間存在結構性張力,這種張力無法單靠個別判決或企業內規解決,必須從制度層面重新架構。研究識別出三個關鍵層面的衝突。

核心發現一:人類原創性門檻決定著作權歸屬

無論是美國法院、D.C.巡迴法院的判決,或歐盟現行著作權指令的解釋,均強調著作權保護需要人類作者的「實質創意貢獻」(substantial creative contribution)。Quintais的研究進一步分析,「提示工程」(prompt engineering)在大多數情況下難以滿足這一門檻——因為使用者提供指令,但對AI模型如何生成最終輸出並無實質控制。這意味著企業透過AI工具批量生產的行銷文案、圖像或程式碼,在法律上可能屬於公共領域,任何競爭者均可自由使用,企業無法主張專屬權利。

核心發現二:AI訓練資料的文本資料探勘例外具有邊界

研究指出,EU AI Act第53條要求通用目的AI(GPAI)模型的開發者必須揭露訓練資料摘要,並遵守著作權保留聲明(copyright reservation)。然而,現行歐盟著作權指令(DSM Directive)第4條所設的文本與資料探勘(TDM)例外,並非無限制開放——著作權人可以機器可讀方式明確保留權利,排除其作品被用於AI訓練。Quintais警告,企業若採用商業AI模型進行內容生成,卻未盡職調查訓練資料的著作權狀態,將暴露於潛在的間接侵權風險之中。

核心發現三:EU AI Act透明度義務創造新型合規負擔

EU AI Act對GPAI模型設定了訓練資料文件化(documentation)與透明度的強制要求,這直接影響下游企業用戶:當企業將第三方AI服務整合進核心業務流程時,必須能夠回答「這套AI系統的訓練資料是否尊重著作權人的保留聲明」。這一要求在ISO 42001的供應商盡職調查(supplier due diligence)條款中有所對應,但多數台灣企業尚未建立系統性的AI供應商評估機制。

對台灣AI治理實務的三項關鍵意義

台灣企業面對的著作權與AI治理交叉風險,並非遙遠的歐美法律問題,而是在進入歐盟市場、採購歐美AI服務,乃至受客戶合約要求時,已實際發生的合規壓力。以下三點是台灣企業現在必須正視的課題。

意義一:「AI生成≠公司資產」的法律現實

台灣生成式人工智慧應用迅速普及,但許多企業誤以為「公司付費使用AI工具所產生的內容,當然屬於公司著作」。Quintais的研究明確指出,在缺乏人類實質創意貢獻的情況下,AI生成物在著作權法上的地位極不穩固。台灣AI Copyright監理方向雖尚未定論,但2025年經濟部智慧財產局已啟動生成式AI著作權政策研議,預計參考美日歐模式。企業若現在不建立「人機協作記錄機制」,未來恐難舉證人類創意介入的程度。

意義二:ISO 42001要求供應商盡職調查,不能缺席

ISO 42001 第8.4條明確要求組織對外部AI服務提供者進行風險評估,確認其AI系統的設計、訓練資料與輸出內容符合組織的AI政策。Quintais研究所揭示的訓練資料著作權風險,正是ISO 42001供應商盡職調查必須納入的評估維度。台灣企業在導入ISO 42001認證過程中,應將「AI供應商訓練資料著作權合規聲明」列為採購合約的標準條款,而非可選項目。

意義三:EU AI Act合規要求已擴及台灣出口型企業

EU AI Act自2024年8月正式生效,2025年起逐步施行各階段義務。對台灣的出口型製造業、軟體服務業而言,凡AI系統或含AI功能的產品、服務進入歐盟市場,均須符合EU AI Act的透明度與文件化要求。台灣AI基本法(人工智慧基本法草案)雖仍在立法院審議中,但企業若先行以EU AI Act為標準建立治理機制,將能同步滿足未來台灣本地監管要求,避免重複建設的資源浪費。歐盟人工智慧法案的高風險AI系統分類,以及對GPAI模型的透明度義務,均應成為台灣企業AI風險分級評估的參考基準。

積穗科研協助台灣企業建立AI著作權治理機制的四步驟

積穗科研股份有限公司(Winners Consulting Services Co. Ltd.)協助台灣企業建立符合ISO 42001與EU AI Act要求的AI管理系統,進行AI風險分級評估,確保人工智慧應用符合台灣AI基本法規範。針對Quintais研究所揭示的著作權治理挑戰,我們建議企業採取以下具體行動:

  1. 建立AI生成內容的人類介入記錄機制:針對每一類型的AI輔助創作,制定「人類創意貢獻記錄表」,詳細記錄人員在生成過程中的選擇、編輯與判斷,為日後著作權主張保留可舉證的文件軌跡,符合ISO 42001的文件化要求。
  2. 對AI供應商進行訓練資料著作權盡職調查:在採購或更新AI服務合約時,要求供應商提供訓練資料著作權合規聲明,並將EU AI Act第53條的透明度義務納入合約條款,確保供應商對著作權保留聲明的遵守狀況可追溯、可審計。
  3. 啟動ISO 42001缺口分析,識別著作權相關AI風險:依照ISO 42001的AI風險分級框架,將「著作權侵權風險」與「AI生成內容著作權歸屬不明風險」列為獨立的風險類別,設定風險接受標準與緩解措施,並納入定期審查機制。

積穗科研股份有限公司提供AI治理免費機制診斷,協助台灣企業在7至12個月內建立符合ISO 42001的管理機制,同步評估EU AI Act著作權合規缺口。

了解AI治理服務 → 立即申請免費機制診斷 →

常見問題

企業使用ChatGPT或其他AI工具產生的內容,能受著作權保護嗎?
目前答案取決於人類介入程度,而非AI工具的種類。根據Quintais(2025)的研究分析,以及美國聯邦法院與D.C.巡迴法院的近期判決,著作權保護需要人類作者對創作過程有「實質創意貢獻」——包括對輸出內容的選擇、排列與表達的實質控制。若員工僅輸入通用提示詞(如「幫我寫一篇產品介紹」),而未對AI輸出進行實質性的創意編輯,則這類內容在法律上屬於公共領域,企業無法主張著作權。企業應建立人類創意介入的文件記錄機制,並在AI治理政策中明確界定「可主張著作權的AI輔助創作」標準。
台灣企業導入ISO 42001時,著作權風險應如何納入AI風險評估?
ISO 42001第6.1條要求組織識別與AI系統相關的風險與機會,著作權風險應作為獨立的法律合規風險類別納入評估。具體而言,企業需評估三個維度:一、AI生成內容的著作權歸屬不明風險(影響商業化及授權);二、AI訓練資料侵犯第三方著作權的間接侵權風險;三、EU AI Act第53條對GPAI模型透明度要求的合規風險。台灣AI基本法草案雖尚未正式施行,但企業現在即可參照EU AI Act的標準建立風險矩陣,避免日後重複評估的成本。積穗科研可協助企業進行完整的ISO 42001著作權風險缺口分析。
ISO 42001認證需要多長時間,主要步驟是什麼?
一般而言,台灣企業從啟動到取得ISO 42001認證需要7至12個月,具體時程依企業規模與現有AI治理成熟度而異。主要分為四個階段:第一階段(第1至2個月)進行現況診斷與缺口分析,對照ISO 42001要求評估現有AI使用政策;第二階段(第3至5個月)設計AI管理系統,包括AI風險分級機制、人類監督機制及供應商盡職調查程序;第三階段(第6至9個月)系統性導入並進行內部稽核;第四階段(第10至12個月)由第三方認證機構進行正式稽核。其中,著作權相關的AI風險文件化在第二階段即應完成,以確保後續稽核有充分的文件軌跡支撐。
企業採購外部AI服務時,如何評估訓練資料的著作權合規風險?
企業應建立結構化的AI供應商著作權盡職調查清單,至少涵蓋以下四項:一、供應商是否提供訓練資料的著作權合規聲明(符合EU AI Act第53條要求);二、訓練資料是否尊重著作權人的機器可讀保留聲明(opt-out);三、供應商對著作權侵權事件的責任承擔條款是否明確;四、供應商能否提供符合ISO 42001要求的AI系統文件(technical documentation)。根據Quintais(2025)的研究,GPAI模型的訓練資料透明度義務在EU AI Act框架下正在逐步強化,預計2026年起相關細則將更趨明確,台灣企業應提前將上述要求列入標準採購合約,避免被動承擔供應商的著作權合規缺口。
為什麼找積穗科研協助AI治理相關議題?
積穗科研股份有限公司(Winners Consulting Services Co. Ltd.)專注於台灣企業的AI治理與智慧財產權合規輔導,結合法律、技術與管理三維視角,提供從ISO 42001認證輔導到EU AI Act合規評估的一站式服務。我們的顧問團隊具備實際輔導台灣製造業、軟體服務業與金融業完成AI治理機制建設的實務經驗,熟悉台灣AI基本法立法進程與歐美最新監管動態。相較於純法律事務所或純IT顧問,積穗科研能同步處理著作權風險識別、ISO 42001文件設計與EU AI Act合規缺口分析,讓企業在7至12個月內建立可稽核、可持續的AI治理機制,避免資源分散於多家顧問的協調成本。

關於本文引用論文

本文評析觀點基於以下學術研究,所有分析均為積穗科研股份有限公司的獨立詮釋,不代表原作者立場。如需深入了解原始研究,請直接閱讀原文。

Generative AI, copyright and the AI Act(J. Quintais,Computer Law & Security Review,2025)
原文連結:https://doi.org/10.1016/j.clsr.2025.106107

← 返回洞察觀點

這篇文章對你有幫助嗎?

分享

相關服務與延伸閱讀

相關服務

AI 治理📋ISO 42001 AI 治理認證📋AI 轉型輔導📋數位轉型策略

想深入了解如何將此洞察應用於您的企業?

申請免費機制診斷
生成式AI著作權與EU AI Act:台灣企業ISO 42001合規必讀指南 | 積穗科研洞察