網路賭博是否應加以規範？－以美國「違法網路賭博執行法案」為借鏡

　　經過了一整年向各界諮詢與彙整各方意見後，美國國家衛生研究院（NIH）於今年8月底，公布其所資助之GWAS基因型與表現型數據資料庫（genotype-phenotype datasets）之分享近用方針。此方針希望在保障研究參與者的個人隱私前提下，協助科學研究社群取得相關基因數據資料。GWAS數據資料對科學有顯著的幫助，並具有龐大的潛在公共利益，然而，提供個人的基因型與表現型資料進行科學研究，涉及個人隱私與秘密之保護，故具有高度的敏感性而受到大眾關切。 　　因此，NIH在訂定這項方針時，為了搜集各方意見，首先於去年5月，宣布計畫更新GWAS的數據資料分享政策，後於去年8月公開徵詢大眾對方針之意見，次又依據所蒐集之各方意見，於去年12月針對此分享政策舉辦會議進行討論，根據這些討論所形成之共識，併同NIH內部討論之結果，最後形成此項分享政策。 　　方針中指出，如何在促進科學研究之目的，與保護相關參與人的權利間取得平衡，是相當重要的議題，故本方針分別對研究人員近用之程序、基因數據資料的處理與參與者權利之保護進行詳細規範。舉例來說，本方針要求欲近用資料庫的研究人員，提供其研究必須使用此資料庫的書面說明資料；另外也會對所有存放在資料庫的數據資料進行去個人化處理，使該項資訊無法再以技術判別，並使用隨機方法加密，以確保參與者的隱私與保密資料不遭外洩。根據NIH表示，此方針雖然僅是對GWAS數據資料庫的近用作規範，但未來亦有意將其作為近用其他類似資料庫的規範參考架構。

美國奧克拉荷馬州修正《個資事故通報法》，擴充個資定義範圍並強化通報機制 資訊工業策進會科技法律研究所 2025年07月22日 現行我國關於非公務機關就個資事故進行通報之規定，散落於各中央目的事業主管機關制定之各業別個人資料檔案安全維護管理辦法或相關辦法中，且前揭各辦法對於通報之標準不盡相同。各國主管機關紛紛強化個資治理法制，而美國奧克拉荷馬州修正關於個人資料定義、適當防護措施及個資事故通報機制等事項，以建立更完善之規範。 壹、事件摘要 美國奧克拉荷馬州議會業於2025年5月20日通過第626號法案（Senate Bill 626）[1]，修正《個資事故通報法》（Security Breach Notification Act）[2]，其目的係為補充現行治理規範之不足，修正重點涵蓋：擴充法定用詞之定義，針對「個人資料」（Personal Information）與「適當防護措施」（Reasonable Safeguards）等條文予以補充與增列；強化個資事故（Breach of the security of a system）之通報機制與設立豁免條款，並釐清與其他法規間之適用關係；以及修訂違法情事之民事裁罰。此外，本次修法亦明定，若機構或個人已採取適當防護措施，得作為民事訴訟中之抗辯理由。本法將自2026年1月1日起正式生效，並適用於自該日起所發現、判定或通報之個資事故，相關單位應即早進行法遵準備，以確保制度落實。 貳、修法重點 本次修法主要包含三大核心面向，簡要說明如下： 一、擴充法定用詞之定義 （一）個人資料 於現行法規對個人資料之定義下，再增加新資料類別： 1.與驗證碼、存取碼或密碼結合使用時，可用以登入特定個人金融帳戶之專屬電子識別碼（Electronic Identifier）或路由代碼（Routing Code）； 2.用以辨識特定自然人之獨特生物特徵資料，例如指紋、視網膜或虹膜影像，或其他具體實體或數位形式之生物辨識資料。 （二）適當防護措施 適當防護措施係指，為確保個人資料安全而考量組織或機構之規模、產業別、以及保有之個資類別與數量所制定之政策及作業實務。此概念包括但不限於：進行風險評估、建立技術面及實體面之多層次保護機制、對人員實施教育訓練，及建立個資事故應變計畫等。 二、強化事故通報機制與設立豁免條款 本法要求於發現系統個資事故並已通知受影響之當事人後，應於60日內向州檢察總長（Attorney General）提交書面通報，載明涉及之個人資料類別、事故性質、受影響人數、預估之財務損失、所採行之適當防護措施等必要內容。惟若事故影響人數低於500名州民，或事故發生於徵信機構且影響人數未達1,000人，則可免除向檢察總長通報之義務。 此外，本法明確規範，若特定機構已依據其他法律，如《奧克拉荷馬州醫療資安保護法》（Oklahoma Hospital Cybersecurity Protection Act of 2023）或聯邦《健康保險可攜及責任法》（Health Insurance Portability and Accountability Act of 1996）等履行相關通報義務，則視為已符合本法之要求。 三、民事裁罰 本法明定，民事罰鍰之裁量將審酌事故規模、事故發生後組織之因應作為及是否履行事故通報義務等因素而定，以確保裁量之比例原則。裁量情形說明如下： 1.若機構已採行適當防護措施且依法進行事故通報者，得免除民事責任； 2.若未採取適當防護措施，惟仍依規定完成事故通報者，則須負擔實際損害賠償責任並處以最高75,000美元罰鍰； 3.未落實適當防護措施與事故通報法定義務者，最高處以150,000美元罰鍰。 參、事件評析 本次修法可見奧克拉荷馬州就數位時代資安威脅所採行之積極因應作為，其修正重點包含：擴充個人資料之定義並明定適當防護措施之內容，俾利降低企業法遵成本及法律適用之不確定性；強化事故通報機制並設置合理豁免條款，以確保資訊透明度；於罰則規範中明定民事罰鍰之裁量，應審酌事故規模及是否履行事故通報義務等因素，以符合比例原則。 有鑑於本法修正後所課予之法定義務，建議企業應採行下列因應措施：(1)全面盤點所保有之個人資料，尤應注意新增納管之電子識別碼及生物特徵等資料；(2)檢視並強化現有防護機制，確保符合適當防護措施之要求；(3)建立標準化通報應變程序；(4)強化教育訓練。此外，企業宜定期檢視法規動態，以確保持續符合法規要求。 [1] Bill Information for SB 626, OKLAHOMA STATE LEGISLATURE, http://www.oklegislature.gov/BillInfo.aspx?Bill=sb626&Session=2500 (last visited June 1, 2025). [2] BILL NO. 626, OKLAHOMA STATE LEGISLATURE, https://www.oklegislature.gov/cf_pdf/2025-26%20ENR/SB/SB626%20ENR.PDF (last visited June 2, 2025).

　　美國聯邦通訊委員會FCC於2010年7月20 日發布第六次寬頻建設調查報告（Sixth Broadband Deployment Report），指稱「仍有1400萬到2400萬的美國人仍無法接取下載4Mbps、上載1Mbps的寬頻網路服務，並且幾乎沒有可能立即為這些人裝設寬頻網路。」從而FCC在報告中做出了「寬頻網路並未以合理、符合時代需求的方式對全民推廣佈建」（Broadband deployment to all Americans is not reasonable and timely）的結論。 　　自1996年通訊法（第706節）要求FCC應每年針對「寬頻普及」的狀況進行評估以來，FCC是第六次針對此議題發布調查報告。報告指出，雖然寬頻建設在過去10年中已有顯著的成長，但在如北卡羅萊納州、德州、密西西比州等地的鄉村地區，仍有不成比例的多數民眾並無法接取寬頻網路，因為網路服務提供者在這些區域中看不到佈建寬頻網路的經濟利益。 　　目前只有65%的美國民眾能在家中接取高速寬頻服務。今年3月公布的「國家寬頻計畫（National Broadband Plan）」，FCC則設定目標，希望利用教育方案和公私合作伙伴策略（public-private partnerships）來推動網路的基礎建設，在2020年前達到90%美國民眾可在家接取高速寬頻服務的目標。為此，FCC將重整普及服務基金，引進創新策略釋出新的行動寬頻頻譜、除去對基礎建設（包括路權與電線桿等的接取權）的投資障礙。 　　值得注意者，這份報告同時將家戶寬頻接取網路的基本速率從2Mbps提升到下載4Mbps、上傳1Mbps。

　　美國聯邦通訊委員會（Federal Communication Commission, FCC）於2021年1月19日通過「數位機會資料蒐集計畫」附加規則（Digital Opportunity Data Collection additional rules），將幫助FCC蒐集更精確與準確的網路寬頻布建資訊（broadband deployment data），以完成美國境內寬頻網路布建差距之辨識任務。該規則規範了需向主管機關報告關於網路近用性和/或網路覆蓋率相關資訊的報告主體，使需要報告的固網和行動寬頻服務供應商範圍更加明確。另外該規則亦有針對網路服務供應商提出關於固網速度與網路延遲相關報告時，所應遵守事項作規範。 　　該規則亦針對蒐集各州、地方與部落網路寬頻布建資訊的對應實體(mapping entities）、聯邦政府機構，與第三方單位，制定此三方進行辨識寬頻網路布建差距作業時所應遵守之注意事項，並為網路服務供應商提交固網和行動寬頻覆蓋率地圖資料時，設置其提交流程所應遵守之相關規範。該規則要求行動式網路服務供應商提交依據實際情況的相關基礎設施資訊或現場測試資料，作為FCC對行動式網路覆蓋範圍調查和驗證的資料，這些資料還將應用於擴大某些特定區域行動式網路寬頻覆蓋範圍的相關作業上，以增加該區域居民的使用數位機會。 　　「數位機會資料蒐集計畫」附加規則將使FCC確切知道寬頻網的可近用服務位置和不可近用服務位置，以及更了解美國的寬頻網路需求，以確保將來每位美國公民都能使使用高速網路服務，這同時也是「數位機會資料蒐集計畫」的目的。