解析生技製藥研發成果涉及智慧財產保護之新課題

美國奧克拉荷馬州修正《個資事故通報法》，擴充個資定義範圍並強化通報機制 資訊工業策進會科技法律研究所 2025年07月22日 現行我國關於非公務機關就個資事故進行通報之規定，散落於各中央目的事業主管機關制定之各業別個人資料檔案安全維護管理辦法或相關辦法中，且前揭各辦法對於通報之標準不盡相同。各國主管機關紛紛強化個資治理法制，而美國奧克拉荷馬州修正關於個人資料定義、適當防護措施及個資事故通報機制等事項，以建立更完善之規範。 壹、事件摘要 美國奧克拉荷馬州議會業於2025年5月20日通過第626號法案（Senate Bill 626）[1]，修正《個資事故通報法》（Security Breach Notification Act）[2]，其目的係為補充現行治理規範之不足，修正重點涵蓋：擴充法定用詞之定義，針對「個人資料」（Personal Information）與「適當防護措施」（Reasonable Safeguards）等條文予以補充與增列；強化個資事故（Breach of the security of a system）之通報機制與設立豁免條款，並釐清與其他法規間之適用關係；以及修訂違法情事之民事裁罰。此外，本次修法亦明定，若機構或個人已採取適當防護措施，得作為民事訴訟中之抗辯理由。本法將自2026年1月1日起正式生效，並適用於自該日起所發現、判定或通報之個資事故，相關單位應即早進行法遵準備，以確保制度落實。 貳、修法重點 本次修法主要包含三大核心面向，簡要說明如下： 一、擴充法定用詞之定義 （一）個人資料 於現行法規對個人資料之定義下，再增加新資料類別： 1.與驗證碼、存取碼或密碼結合使用時，可用以登入特定個人金融帳戶之專屬電子識別碼（Electronic Identifier）或路由代碼（Routing Code）； 2.用以辨識特定自然人之獨特生物特徵資料，例如指紋、視網膜或虹膜影像，或其他具體實體或數位形式之生物辨識資料。 （二）適當防護措施 適當防護措施係指，為確保個人資料安全而考量組織或機構之規模、產業別、以及保有之個資類別與數量所制定之政策及作業實務。此概念包括但不限於：進行風險評估、建立技術面及實體面之多層次保護機制、對人員實施教育訓練，及建立個資事故應變計畫等。 二、強化事故通報機制與設立豁免條款 本法要求於發現系統個資事故並已通知受影響之當事人後，應於60日內向州檢察總長（Attorney General）提交書面通報，載明涉及之個人資料類別、事故性質、受影響人數、預估之財務損失、所採行之適當防護措施等必要內容。惟若事故影響人數低於500名州民，或事故發生於徵信機構且影響人數未達1,000人，則可免除向檢察總長通報之義務。 此外，本法明確規範，若特定機構已依據其他法律，如《奧克拉荷馬州醫療資安保護法》（Oklahoma Hospital Cybersecurity Protection Act of 2023）或聯邦《健康保險可攜及責任法》（Health Insurance Portability and Accountability Act of 1996）等履行相關通報義務，則視為已符合本法之要求。 三、民事裁罰 本法明定，民事罰鍰之裁量將審酌事故規模、事故發生後組織之因應作為及是否履行事故通報義務等因素而定，以確保裁量之比例原則。裁量情形說明如下： 1.若機構已採行適當防護措施且依法進行事故通報者，得免除民事責任； 2.若未採取適當防護措施，惟仍依規定完成事故通報者，則須負擔實際損害賠償責任並處以最高75,000美元罰鍰； 3.未落實適當防護措施與事故通報法定義務者，最高處以150,000美元罰鍰。 參、事件評析 本次修法可見奧克拉荷馬州就數位時代資安威脅所採行之積極因應作為，其修正重點包含：擴充個人資料之定義並明定適當防護措施之內容，俾利降低企業法遵成本及法律適用之不確定性；強化事故通報機制並設置合理豁免條款，以確保資訊透明度；於罰則規範中明定民事罰鍰之裁量，應審酌事故規模及是否履行事故通報義務等因素，以符合比例原則。 有鑑於本法修正後所課予之法定義務，建議企業應採行下列因應措施：(1)全面盤點所保有之個人資料，尤應注意新增納管之電子識別碼及生物特徵等資料；(2)檢視並強化現有防護機制，確保符合適當防護措施之要求；(3)建立標準化通報應變程序；(4)強化教育訓練。此外，企業宜定期檢視法規動態，以確保持續符合法規要求。 [1] Bill Information for SB 626, OKLAHOMA STATE LEGISLATURE, http://www.oklegislature.gov/BillInfo.aspx?Bill=sb626&Session=2500 (last visited June 1, 2025). [2] BILL NO. 626, OKLAHOMA STATE LEGISLATURE, https://www.oklegislature.gov/cf_pdf/2025-26%20ENR/SB/SB626%20ENR.PDF (last visited June 2, 2025).

　　2019年8月7日，美國總務署（General Services Administration, GSA）、國防部（Department of Defense, DoD）及航空暨太空總署（National Aeronautics and Space Administration, NASA）共同發布一項暫行規定（interim rule），依據2019美國《國防授權法》（National Defense Authorization Act, NDAA）修正美國《聯邦採購規則》（Federal Acquisition Regulation, FAR），以公共及國家安全為由，禁止美國聯邦機構購買或使用包括華為、中興通訊、海康威視、海能達及大華科技等5家中國大陸企業、子公司與關係企業所提供之電信或視頻監控設備及服務。禁令並擴及經美國國防部長與國家情報局局長或聯邦調查局局長協商後，合理認為屬特定國家地區所擁有或控制之實體，或與該國家地區的政府有聯繫者。該暫行規定已於2019年8月13日生效，美國政府有權為不存在安全威脅的承包商提供豁免直至2021年8月13日。並預計在2020年8月，全面禁止美國聯邦機構與使用該中國大陸企業設備與服務之公司簽訂契約。 　　2019美國《國防授權法》第889（a）（1）（A）條，明文禁止美國聯邦機構採購或使用特定企業所涵蓋之電信設備或服務，並禁止將該類產品作為設備、系統、服務或關鍵技術的實質或必要組成。本次修正美國《聯邦採購規則》，即配合新增第4.21小節「禁止特定電信和視頻監控服務或設備的承包」，並於52.204-25中明訂「禁止簽訂與特定電信和視頻監視服務或設備契約」。故除非有例外或豁免，禁止承包商提供任何涵蓋特定中國大陸企業之電信設備或服務，作為設備、系統、服務或關鍵技術的實質或必要組成部分。承包商及分包商必須在契約履行過程中，報告有無發現任何使用此類設備、系統或服務之情形。

　　日本總務省下設之實現車聯網社會研究會（Connected Car 社会の実現に向けた研究会，下稱車聯網研究會），於2017年4月19日第4次會議中提出當前日本車聯網面對之相關課題及策略目標。至目前為止日本智慧型運輸系統（Intelligent Transportation System）各自已發展出道路交通資訊通信系統（Vehicle Information and Communication System，簡稱VICS）、電子收費系統（Electronic Toll Collection System，簡稱ETC）、雷達防追撞（ﾚｰﾀﾞｰ）等不同通訊技術，自動駕駛則發展至初期階段。日本當前發展中面臨其企業國際競爭力確保與強化、持續友善環境之可能性、高齡化及勞動生產力人口減少等問題。希望透過國家開發之系統及國際服務方式，利用交通資訊通信系統實現最佳的交通狀態，在人口稀少之地區利用無人駕駛系統，使駕駛不足之問題得以解決，對當地之購物及交通上可以加以協助。車聯網研究會設定之4大目標為： 零交通事故之社會 確保人之行動自由 便利、快速、安心之生活環境 生活方式的變化 　　透過利用車與車間通信等技術，降低事故之發生，普及車聯網等資通訊系統，車中行動模式之變革，並透過異業結合創造新的服務模式，達成安全、安心、便利之智慧聯網生活4大目標。

美國國家公路交通安全管理局（National Highway Traffic Safety Administration, NHTSA）於2025年1月15日發布「配備自動駕駛系統車輛之安全、透明度及評估計畫」（The ADS-equipped Vehicle Safety, Transparency, and Evaluation Program , AV STEP）法規預告（Notice of proposed rulemaking, NPRM），建立全國性自願評估與監督制度，以提高自駕車安全性之公共透明度，並促進其負責任布建。 根據《國家交通與機動車輛安全法》（National Traffic and Motor Vehicle Safety Act），自駕車在符合〈聯邦機動車輛安全標準〉（Federal Motor Vehicle Safety Standards, FMVSS）及州、地方法律的前提下，得於公共道路上行駛；若無法符合FMVSS之要求，則需進行豁免申請。惟不論採何種途徑，FMVSS皆未針對自駕車之安全性與性能進行評估，因此NHTSA提出AV STEP，為自駕車設計專門之豁免申請途徑，並針對不同自動化程度車輛提出涵蓋車輛設計、開發與運行之安全性審查條件，以對現行FMVSS之豁免規定進行補充。簡要說明如下： （1）需配置駕駛人之自駕車：需具備手動駕駛功能與清晰的交接程序，以於自駕系統失效時透過充分提示與反應時間，使駕駛人接管操作。 （2）完全由自駕系統操作之自駕車：監管著重於各種情況下皆能自主運作、回退（Fallback）機制需具遠端監控能力，且能自動進入最小風險狀態。 除上述要求外，申請者皆須提供第三方機構之獨立評估報告、說明自動駕駛系統故障之應對措施，並持續接受NHTSA監督。