美國環保署擬針對兩項奈米材料納入顯著新種使用規則

美國商務部（Department of Commerce, DOC）旗下國家標準及技術研究院（National Institute of Standards and Technology, NIST）於2023年2月28日發布《晶片與科學法》（CHIPS and Science Act）補助具體內容，重點如下： 一、申請時間：補助採滾動式錄取模式（rolling basis），先進製程製造補助將於2023年3月31日起開放預先申請（pre-application）與正式申請（full application）；成熟製程與其他相關生產設施的製造補助，將分別於2023年5月1日及6月26日開放預先申請及正式申請。 二、補助方式與金額：補助分為直接補助（direct funding）、聯邦政府貸款（federal loans）或第三人提供貸款並由聯邦政府提供擔保（federal guarantees of third-party loans）。直接補助的金額上限預計為預估資本支出的15％。每個計畫可透過一種以上之方式獲得補助，然整體補助金額不得超出預估資本支出的35％。 三、申請流程 1.意向聲明（statement of interest）：申請人須提供半導體製造工廠投資計畫的簡要說明，俾利NIST旗下晶片計畫辦公室（CHIPS Program Office）為未來審查進行準備。 2.預先申請：申請人提供更詳盡的計畫內容。晶片計畫辦公室將給予調整意見。 3.正式申請：依照晶片計畫辦公室給予的意見修改後，申請人應遞交完整的計畫申請書，內容必須包含投資計畫的技術與經濟可行性之分析。晶片辦公室審核完畢後，會與申請人簽訂不具約束力的初步備忘錄（non-binding Preliminary Memorandum of Terms），記載補助方式與金額。 4.盡職調查（due diligence）：在經過上述程序後，晶片計畫辦公室如認為申請人合理且可能（reasonably likely）取得補助，將對申請人進行盡職調查。 5.補助發放：通過盡職調查後，DOC將開始準備發放補助。 四、補助規範與限制 1.禁止買回庫藏股（stock buybacks）：受補助者不得將補助款用於買回庫藏股。 2.人力資源計畫：申請人要求的補助金額若超過1億5千萬美元，須額外說明將如何提供員工可負擔且高品質的子女托育服務。 3.建造期限：受補助者必須於DOC所決定的特定日期（target dates）前開始或完成廠房建造，否則DOC會視情況決定是否收回補助。 4.分潤：補助金額超過1億5千萬美元時，受補助者須與美國政府分享超過申請計畫中所預估之收益，但最高不超過直接補助金額的75％。 5.不得於特定國家擴產與進行研究：受補助者於10年內或與DOC合意的期間內，除特定情況下（15 U.S.C. § 4652(a)(6)(C)），不得於特定國家，如中國，進行大規模半導體製造的擴產（material expansion）、聯合研究（joint research）或技術授權（technology licensing），違反者將會被DOC收回全額補助。

美國奧克拉荷馬州修正《個資事故通報法》，擴充個資定義範圍並強化通報機制 資訊工業策進會科技法律研究所 2025年07月22日 現行我國關於非公務機關就個資事故進行通報之規定，散落於各中央目的事業主管機關制定之各業別個人資料檔案安全維護管理辦法或相關辦法中，且前揭各辦法對於通報之標準不盡相同。各國主管機關紛紛強化個資治理法制，而美國奧克拉荷馬州修正關於個人資料定義、適當防護措施及個資事故通報機制等事項，以建立更完善之規範。 壹、事件摘要 美國奧克拉荷馬州議會業於2025年5月20日通過第626號法案（Senate Bill 626）[1]，修正《個資事故通報法》（Security Breach Notification Act）[2]，其目的係為補充現行治理規範之不足，修正重點涵蓋：擴充法定用詞之定義，針對「個人資料」（Personal Information）與「適當防護措施」（Reasonable Safeguards）等條文予以補充與增列；強化個資事故（Breach of the security of a system）之通報機制與設立豁免條款，並釐清與其他法規間之適用關係；以及修訂違法情事之民事裁罰。此外，本次修法亦明定，若機構或個人已採取適當防護措施，得作為民事訴訟中之抗辯理由。本法將自2026年1月1日起正式生效，並適用於自該日起所發現、判定或通報之個資事故，相關單位應即早進行法遵準備，以確保制度落實。 貳、修法重點 本次修法主要包含三大核心面向，簡要說明如下： 一、擴充法定用詞之定義 （一）個人資料 於現行法規對個人資料之定義下，再增加新資料類別： 1.與驗證碼、存取碼或密碼結合使用時，可用以登入特定個人金融帳戶之專屬電子識別碼（Electronic Identifier）或路由代碼（Routing Code）； 2.用以辨識特定自然人之獨特生物特徵資料，例如指紋、視網膜或虹膜影像，或其他具體實體或數位形式之生物辨識資料。 （二）適當防護措施 適當防護措施係指，為確保個人資料安全而考量組織或機構之規模、產業別、以及保有之個資類別與數量所制定之政策及作業實務。此概念包括但不限於：進行風險評估、建立技術面及實體面之多層次保護機制、對人員實施教育訓練，及建立個資事故應變計畫等。 二、強化事故通報機制與設立豁免條款 本法要求於發現系統個資事故並已通知受影響之當事人後，應於60日內向州檢察總長（Attorney General）提交書面通報，載明涉及之個人資料類別、事故性質、受影響人數、預估之財務損失、所採行之適當防護措施等必要內容。惟若事故影響人數低於500名州民，或事故發生於徵信機構且影響人數未達1,000人，則可免除向檢察總長通報之義務。 此外，本法明確規範，若特定機構已依據其他法律，如《奧克拉荷馬州醫療資安保護法》（Oklahoma Hospital Cybersecurity Protection Act of 2023）或聯邦《健康保險可攜及責任法》（Health Insurance Portability and Accountability Act of 1996）等履行相關通報義務，則視為已符合本法之要求。 三、民事裁罰 本法明定，民事罰鍰之裁量將審酌事故規模、事故發生後組織之因應作為及是否履行事故通報義務等因素而定，以確保裁量之比例原則。裁量情形說明如下： 1.若機構已採行適當防護措施且依法進行事故通報者，得免除民事責任； 2.若未採取適當防護措施，惟仍依規定完成事故通報者，則須負擔實際損害賠償責任並處以最高75,000美元罰鍰； 3.未落實適當防護措施與事故通報法定義務者，最高處以150,000美元罰鍰。 參、事件評析 本次修法可見奧克拉荷馬州就數位時代資安威脅所採行之積極因應作為，其修正重點包含：擴充個人資料之定義並明定適當防護措施之內容，俾利降低企業法遵成本及法律適用之不確定性；強化事故通報機制並設置合理豁免條款，以確保資訊透明度；於罰則規範中明定民事罰鍰之裁量，應審酌事故規模及是否履行事故通報義務等因素，以符合比例原則。 有鑑於本法修正後所課予之法定義務，建議企業應採行下列因應措施：(1)全面盤點所保有之個人資料，尤應注意新增納管之電子識別碼及生物特徵等資料；(2)檢視並強化現有防護機制，確保符合適當防護措施之要求；(3)建立標準化通報應變程序；(4)強化教育訓練。此外，企業宜定期檢視法規動態，以確保持續符合法規要求。 [1] Bill Information for SB 626, OKLAHOMA STATE LEGISLATURE, http://www.oklegislature.gov/BillInfo.aspx?Bill=sb626&Session=2500 (last visited June 1, 2025). [2] BILL NO. 626, OKLAHOMA STATE LEGISLATURE, https://www.oklegislature.gov/cf_pdf/2025-26%20ENR/SB/SB626%20ENR.PDF (last visited June 2, 2025).

　　墨西哥的聯邦資料保護法在二０一０年四月經墨西哥國會通過後，已於同年七月六日生效。這個新法旨在保護個人的隱私權並強化個人對自身資訊的掌控。與我國新近通過的個人資料保護法相同，墨西哥的這個新法所規範的範圍也包括了私部門對個人資料的蒐集、處理與利用。 　　在新法通過之後，原本的聯邦公共資訊近用機構（Federal Institute for Access to Public Information），亦擴張執掌並更名為聯邦公共資料近用及資料保護機構（Federal Institute of Access to Information and Data Protection）。在新制下，該機構將在原有負責事務外，另肩負起監督私部門就個人資料保護的相關事務。 　　此外，該法設計了一個雙重的監督機制：當資料的蒐集、處理或利用人，也就是所謂的資料控制者（Data Controller）出現可能違反聯邦資料保護法的狀況，將先由各相關部門的主管機關，例如主管經濟事務的機關或主管交通事務的機關來介入處理，而非由聯邦公共資料近用及資料保護機構立刻介入。

　　美國總統歐巴馬於2011年12月發布備忘錄（Presidential Memorandum），要求美國聯邦政府應加強「導入節能績效保證專案（Implementation of Energy Savings Projects and Performance-Based Contracting for Energy Savings）」，並宣布未來24個月內最少將投入20億（billion）美元經費，推動聯邦機構採購實施節能績效保證專案，以改善建築物能源效率。基於政策指示，美國能源部（Department of Energy）下屬聯邦能源管理推動機構（Federal Energy Management Program，以下簡稱FEMP），研議規劃配套機制，協助導入「節能績效保證專案（Energy Savings Performance Contract，以下簡稱ESPC）」，更精簡、效率、低成本之實施模式，並助益美國能源技術服務產業（Energy Service Companies，以下簡稱ESCO）發展。 　　美國FEMP於2012年2月公告ESPC採購關於「資金（Financing）」部分之「資訊徵求意見書（Request for Information，RFI）」，廣詢實務各界意見，希望能繼而落實於政府採購規範及契約範本之研議，並協助ESCO業者能更順利取得資金，並協助ESCO業者能更順利取得資金，及降低資金取得成本，如此亦可有利益於所採購導入之聯邦機構。 　　FEMP主要係規劃探討關於ESPC融資資金，最合理且有吸引力之利率，所應考慮各項要件及利率定價模式，並且規劃建立資金協助者之優先名單（Preferred Financiers），以利配套選用。再者FEMP為推動整合，特別探討ESPC跨專案（Project Aggregation (Combining)）時，可能影響資金協助者之融資與財務評估，例如數ESPC專案、數ESCO業者、由同一資金協助者承接，或是數ESPC專案、數實施地點、同一ESCO業者，同一資金協助者，亦或者數ESPC專案、數實施地點、數ESCO業者、但同一政府機構、且同一資金協助者，研析相關影響要件。 　　以及，FEMP並探討ESPC實施「量測驗證（Measurement and Verification），對於取得融資評估過程是否增加複雜影響因素，以及資金協助者對於量測驗證機制，是否認為將增加風險並致更高融資利率，均為重要探討議題。此項意見徵求書，未來將落實於聯邦機構政府採購之實務規範上，相關內容再持續觀察追蹤。