解析中國江蘇省「企業知識產權管理規範」之內容與對台商的影響

　　在美中對抗、烏俄戰爭等地緣政治背景下，世界各國開始重視供應鏈穩定問題。日本在過去幾次供應危機中，逐漸從以化石能源為中心之產業結構，轉向以綠能為主之產業結構，為讓自身能最大限度地利用脫碳相關技術，並在維持能源穩定供應的同時，強化日本產業競爭力，日本經濟產業省於2022年12月23日公布「實現綠色轉型基本方針（草案）」（GX実現に向けた基本方針），提出未來10年政策藍圖，目前正於全國各地辦理意見交流會，徵集民眾意見。 　　根據上述方針草案，日本未來將採取之措施包括：（1）透過《能源使用合理化法》（エネルギーの使用の合理化に関する法律）徹底推動節能、製造業結構轉型為碳循環型生產體制，並導入蓄電池和控制系統；（2）再生能源成為主力電源，2030年再生能源占比達到36-38%；（3）2030年核能占比達到20-22%；（4）導入氫能、尿素等新能源，於2025年大阪萬博將進行實驗，並參酌外國實際案例，以安全為前提，制定合理之氫能安全戰略及國際標準；（5）整備電力及瓦斯市場，以確保供應穩定；（6）強化資源外交及國際合作，避免因依賴外國資源而產生斷鏈危機；（7）推動蓄電池產業；（8）促進資源循環；（9）運輸部門綠色轉型，包括下一世代汽車、飛機、船舶、鐵路、人物流等；（10）以脫碳為目的之數位投資；（11）住宅、建築物節能；（12）基礎設施投資；（13）碳捕捉技術；（14）食材、農林水產業轉型等。 　　除上述措施外，日本亦將運用綠色經濟轉型債券（暫定）及各種金融手段，支援綠色轉型前期投資。相關法案預計於下次國會提出，並於兩年內檢討具體措施。

美國奧克拉荷馬州修正《個資事故通報法》，擴充個資定義範圍並強化通報機制 資訊工業策進會科技法律研究所 2025年07月22日 現行我國關於非公務機關就個資事故進行通報之規定，散落於各中央目的事業主管機關制定之各業別個人資料檔案安全維護管理辦法或相關辦法中，且前揭各辦法對於通報之標準不盡相同。各國主管機關紛紛強化個資治理法制，而美國奧克拉荷馬州修正關於個人資料定義、適當防護措施及個資事故通報機制等事項，以建立更完善之規範。 壹、事件摘要 美國奧克拉荷馬州議會業於2025年5月20日通過第626號法案（Senate Bill 626）[1]，修正《個資事故通報法》（Security Breach Notification Act）[2]，其目的係為補充現行治理規範之不足，修正重點涵蓋：擴充法定用詞之定義，針對「個人資料」（Personal Information）與「適當防護措施」（Reasonable Safeguards）等條文予以補充與增列；強化個資事故（Breach of the security of a system）之通報機制與設立豁免條款，並釐清與其他法規間之適用關係；以及修訂違法情事之民事裁罰。此外，本次修法亦明定，若機構或個人已採取適當防護措施，得作為民事訴訟中之抗辯理由。本法將自2026年1月1日起正式生效，並適用於自該日起所發現、判定或通報之個資事故，相關單位應即早進行法遵準備，以確保制度落實。 貳、修法重點 本次修法主要包含三大核心面向，簡要說明如下： 一、擴充法定用詞之定義 （一）個人資料 於現行法規對個人資料之定義下，再增加新資料類別： 1.與驗證碼、存取碼或密碼結合使用時，可用以登入特定個人金融帳戶之專屬電子識別碼（Electronic Identifier）或路由代碼（Routing Code）； 2.用以辨識特定自然人之獨特生物特徵資料，例如指紋、視網膜或虹膜影像，或其他具體實體或數位形式之生物辨識資料。 （二）適當防護措施 適當防護措施係指，為確保個人資料安全而考量組織或機構之規模、產業別、以及保有之個資類別與數量所制定之政策及作業實務。此概念包括但不限於：進行風險評估、建立技術面及實體面之多層次保護機制、對人員實施教育訓練，及建立個資事故應變計畫等。 二、強化事故通報機制與設立豁免條款 本法要求於發現系統個資事故並已通知受影響之當事人後，應於60日內向州檢察總長（Attorney General）提交書面通報，載明涉及之個人資料類別、事故性質、受影響人數、預估之財務損失、所採行之適當防護措施等必要內容。惟若事故影響人數低於500名州民，或事故發生於徵信機構且影響人數未達1,000人，則可免除向檢察總長通報之義務。 此外，本法明確規範，若特定機構已依據其他法律，如《奧克拉荷馬州醫療資安保護法》（Oklahoma Hospital Cybersecurity Protection Act of 2023）或聯邦《健康保險可攜及責任法》（Health Insurance Portability and Accountability Act of 1996）等履行相關通報義務，則視為已符合本法之要求。 三、民事裁罰 本法明定，民事罰鍰之裁量將審酌事故規模、事故發生後組織之因應作為及是否履行事故通報義務等因素而定，以確保裁量之比例原則。裁量情形說明如下： 1.若機構已採行適當防護措施且依法進行事故通報者，得免除民事責任； 2.若未採取適當防護措施，惟仍依規定完成事故通報者，則須負擔實際損害賠償責任並處以最高75,000美元罰鍰； 3.未落實適當防護措施與事故通報法定義務者，最高處以150,000美元罰鍰。 參、事件評析 本次修法可見奧克拉荷馬州就數位時代資安威脅所採行之積極因應作為，其修正重點包含：擴充個人資料之定義並明定適當防護措施之內容，俾利降低企業法遵成本及法律適用之不確定性；強化事故通報機制並設置合理豁免條款，以確保資訊透明度；於罰則規範中明定民事罰鍰之裁量，應審酌事故規模及是否履行事故通報義務等因素，以符合比例原則。 有鑑於本法修正後所課予之法定義務，建議企業應採行下列因應措施：(1)全面盤點所保有之個人資料，尤應注意新增納管之電子識別碼及生物特徵等資料；(2)檢視並強化現有防護機制，確保符合適當防護措施之要求；(3)建立標準化通報應變程序；(4)強化教育訓練。此外，企業宜定期檢視法規動態，以確保持續符合法規要求。 [1] Bill Information for SB 626, OKLAHOMA STATE LEGISLATURE, http://www.oklegislature.gov/BillInfo.aspx?Bill=sb626&Session=2500 (last visited June 1, 2025). [2] BILL NO. 626, OKLAHOMA STATE LEGISLATURE, https://www.oklegislature.gov/cf_pdf/2025-26%20ENR/SB/SB626%20ENR.PDF (last visited June 2, 2025).

　　美國聯邦上訴法院哥倫比亞巡迴分院（US Court of Appeals for the District of Columbia Circuit）於2010年1月12日，針對網路中立議題召開口頭辯論聽證會。該案上訴人為美國目前電視及網路服務市佔率最高的Comcast所提出，系爭案由為聯邦通信委員會（Federal Communication Commission, FCC）於2008年禁止網路服務提供者（Internet Services Provider, ISP）限制其用戶使用BitTorrent。 　　BitTorrent為一種常見的點對點傳輸程式，多用以線上檔案分享。該公司認為，FCC並沒有足夠的權力要求其不分用戶等級，全部提供毫無限制的服務；而FCC卻從保護消費者及網路應開放自由進入的角度辯述，從而使FCC是否有權力規範網路中立（Internet Neutrality）之議題邁入更激烈的討論。 　　所謂「網路中立」，意指網路服務提供者不得因傳送或下載資訊種類差異而提供不平等的流量服務。早在2005年，FCC即有一套管制網路服務提供者侵害網路中立的審查標準，但該標準並非為一體適用的法律位階，而FCC是否得依職權制定網路中立的規範，一直以來亦有所爭議，是故此次其與Comcast對簿公堂，FCC最終目的即是在尋求法院之見解，希冀獲得聯邦法院的支持而使其立法行動名正言順。 　　對此，聯邦最高法院原則上認同FCC以往對於「資訊服務」的見解，亦即，由於傳統電信服務往往與重大基礎建設相關，尤其是網路開放接取的相關規定，FCC應提高其管制密度；而屬低度管制的資訊服務（Lightly Regulated Information Service）則不應與電信服務有相同的對待；是故Comcast據認在網路中立尚未有明確權責規劃前，FCC實無權插手管控Comcast所提供之資訊服務。此外，該公司亦提出，類似BitTorrent的點對點傳輸應用程式往往用於大量檔案的交換，無限制地提供所有用戶使用，不但造成整體網路服務效能下降，由於傳輸的內容往往為影音檔案，亦間接侵害了Comcast本身的電視業務。 　　對此，雙方目前仍各執一詞，由於案件目前尚在上訴法院審理，FCC此次投石問路的策略是否成功還在未定之天，但可以確定的是，不論法院的見解為何，網路中立的爭議恐將持續發酵，並對後續網路服務提供之發展產生一定影響。