客戶機密資料外洩事件頻傳 美國AT＆T 8月底也被駭

　　在製藥領域運用生物技術的方法來研發新藥與新醫療診斷方法，已有越來越重要的趨勢，且將成為未來醫療照顧的主流，因此各國政府均積極透過各種政策工具，企圖搶食此塊經濟利益的大餅，不過直到目前為止，推動生技製藥最為成功的國家，仍集中在少數幾個研發大國。一直以來，德國在製藥領域也是居有舉足輕重的科技領先地位，不過在涉及生技製藥這一塊，德國目前的成就有限，已成功上市而來源於德國的生技藥品，並不多見（2005年德國核准通過的140項新有效成分中，僅有6項由德國公司所研發）。另一方面，德國擁有全歐洲最多的生技公司數目，這些生技公司每年從事相當多的研發活動，但其與製藥公司卻甚少主動合作。為加強生技產業與製藥產業的連結與合作，德國聯邦教育與研究部（Bundesministerium für Bildung und Forschung, BMBF）新近提出了新補助政策－「生技製藥之策略性競爭」（Strategiewettbewerb BioPharma），企圖為德國重新贏回世界藥局（Apotheke der Welt）的美名。 　　這個新的策略規劃所訴求的對象，是由主要來自於學術界的生技公司與傳統的製藥產業界所成立的合作團隊，而以企業型態經營者（Unternehmerisch geführte Konsortien aus Wissenschaft und Wirtschaft ）。BMBF希望透過鼓勵建立這樣的合作關係，讓這些合作參與者提出各種有助於以更有效率的方法研發醫藥品的新策略性概念或創意（Ideen für neuartige strategische Konzepte vorzulegen, die die Entwicklung von Medikamenten effizienter machen），以填補生技製藥產業價值創造鏈中的漏洞。所謂的價值創造鏈，指從實驗室的研究、醫院的投入、到醫藥品的製造、甚至是最後端的藥局等各生技製藥研發乃至製造使用所不可缺的各重要環節。 　　由德國的這項新補助政策可以看出，在生技製藥領域，德國政府的補助方向已不再侷限於傳統的技術能力的提升，反而是如何串連整個產業鏈以發揮價值創造的最大效益，為此一補助新政策的最大特色。由於補助的目的是在實現價值創造，因此補助去進行價值開發與規劃的醫藥技術項目，也沒有特別限定，反而是希望可以涵蓋所有可能的醫藥技術領域，因此包括抗癌藥物與治療神經系統方面疾病的藥物研發、開發新的疫苗或疾病診斷用的生物標記、以及如何建構臨床研究的新基礎架構（der Aufbau neuartiger Infrastrukturen für klinische Studien）等，均屬BMBF徵求創意的範圍。 　　經BMBF邀集由國際專家組成的評選委員會評選通過的創意，將可在未來五年獲得BMBF的經費持續協助。BMBF預計選出五個產學合作聯盟，投入總計一億歐元的經費支持，預計在今（2008）年秋天，將可順利選出五個補助的對象。BMBM的此項新補助政策受到生技製藥產業界的廣大迴響，成功引導德國生技產業與製藥產業構思各種可能的合作模式。BMBF表示，其在選擇適格的合作聯盟作為補助對象時，最重要的考量標準為合作夥伴的個別經歷介紹、其有無執行能力、是否具備執行所需的基礎環境條件、所提出的合作概念是否足以使其具備國際競爭優勢，以及所規劃的醫療技術發展是否具有創新性、原創性與市場潛力。

　　Cisco於2012年2月發布預測2011至2016年全球行動數據流量將從2011年每月0.6 Exabytes上升至2016年每月10.8 Exabytes，以高達78%的年複合成長率（CAGR, Compound Annual Growth Rate）逐年攀升。根據此數據，新加坡亦預測其國內行動數據流量將以64%的年複合成長率，從2010年3.1Petabytes上升至2015年37 Petabytes。目前新加坡的電信業者為因應與日益龐大的數據流量，已著手嘗試各項商業模式，包含分級訂價（tiered pricing）、流量管理政策（traffic policy management control）、網路最佳化（network optimisation）、既有基礎建設升級（upgrading of existing infrastructure）以及採用如長期演進技術（LTE，Long Term Evolution）等新興技術和行動數據疏導策略（Mobile data offloading strategies）的發展。 　　另外職掌新加坡電信政策的新加坡資訊通信發展管理局（IDA Singapore），於2012年4月亦針對4G通訊系統及服務，提出頻譜重新分配之建議書，並諮詢各界之意見，以因應下階段全球移動數據領域之發展。IDA於建議書中計畫擬定以1800MHz、2.3GHz以及2.5GHz作為未來發展4G技術的主要頻段。為滿足產業所需之頻譜量，IDA預計於1800MHz頻段分別釋出2*70的對稱頻譜（paired spectrum）、於2.3GHz頻段釋出30MHz的非對稱頻譜（Unpaired Spectrum），而於2.5GHz頻段則同時釋出2*60MHz的對稱頻譜與30MHz的非對稱頻譜。除了釋出足夠頻譜外，為考量未來技術實驗以及電信業者發展全國性網路服務可能需求2*20MHz的對稱頻譜或20-30MHz的非對稱頻譜，IDA亦分別於前述三個頻段中預留2*5MHz（1800MHz）、20MHz（2.3MHz）以及於2.5MHz區段中預留2*10的對稱頻譜與20MHz的非對稱頻譜。 　　不過目前受到各國推崇的700MHz頻段卻未被新加坡納為現階段孕育4G技術的主要區域，同時對於900MHz是否於本次拍賣一同釋出以發展4G技術，新加坡政府仍持保留態度。對此，新加坡主要業者包括SingTel與StarHub皆已向iDA提交回覆建議書，表達此舉不符合國際未來發展趨勢並期待IDA能重新作出調整。

美國奧克拉荷馬州修正《個資事故通報法》，擴充個資定義範圍並強化通報機制 資訊工業策進會科技法律研究所 2025年07月22日 現行我國關於非公務機關就個資事故進行通報之規定，散落於各中央目的事業主管機關制定之各業別個人資料檔案安全維護管理辦法或相關辦法中，且前揭各辦法對於通報之標準不盡相同。各國主管機關紛紛強化個資治理法制，而美國奧克拉荷馬州修正關於個人資料定義、適當防護措施及個資事故通報機制等事項，以建立更完善之規範。 壹、事件摘要 美國奧克拉荷馬州議會業於2025年5月20日通過第626號法案（Senate Bill 626）[1]，修正《個資事故通報法》（Security Breach Notification Act）[2]，其目的係為補充現行治理規範之不足，修正重點涵蓋：擴充法定用詞之定義，針對「個人資料」（Personal Information）與「適當防護措施」（Reasonable Safeguards）等條文予以補充與增列；強化個資事故（Breach of the security of a system）之通報機制與設立豁免條款，並釐清與其他法規間之適用關係；以及修訂違法情事之民事裁罰。此外，本次修法亦明定，若機構或個人已採取適當防護措施，得作為民事訴訟中之抗辯理由。本法將自2026年1月1日起正式生效，並適用於自該日起所發現、判定或通報之個資事故，相關單位應即早進行法遵準備，以確保制度落實。 貳、修法重點 本次修法主要包含三大核心面向，簡要說明如下： 一、擴充法定用詞之定義 （一）個人資料 於現行法規對個人資料之定義下，再增加新資料類別： 1.與驗證碼、存取碼或密碼結合使用時，可用以登入特定個人金融帳戶之專屬電子識別碼（Electronic Identifier）或路由代碼（Routing Code）； 2.用以辨識特定自然人之獨特生物特徵資料，例如指紋、視網膜或虹膜影像，或其他具體實體或數位形式之生物辨識資料。 （二）適當防護措施 適當防護措施係指，為確保個人資料安全而考量組織或機構之規模、產業別、以及保有之個資類別與數量所制定之政策及作業實務。此概念包括但不限於：進行風險評估、建立技術面及實體面之多層次保護機制、對人員實施教育訓練，及建立個資事故應變計畫等。 二、強化事故通報機制與設立豁免條款 本法要求於發現系統個資事故並已通知受影響之當事人後，應於60日內向州檢察總長（Attorney General）提交書面通報，載明涉及之個人資料類別、事故性質、受影響人數、預估之財務損失、所採行之適當防護措施等必要內容。惟若事故影響人數低於500名州民，或事故發生於徵信機構且影響人數未達1,000人，則可免除向檢察總長通報之義務。 此外，本法明確規範，若特定機構已依據其他法律，如《奧克拉荷馬州醫療資安保護法》（Oklahoma Hospital Cybersecurity Protection Act of 2023）或聯邦《健康保險可攜及責任法》（Health Insurance Portability and Accountability Act of 1996）等履行相關通報義務，則視為已符合本法之要求。 三、民事裁罰 本法明定，民事罰鍰之裁量將審酌事故規模、事故發生後組織之因應作為及是否履行事故通報義務等因素而定，以確保裁量之比例原則。裁量情形說明如下： 1.若機構已採行適當防護措施且依法進行事故通報者，得免除民事責任； 2.若未採取適當防護措施，惟仍依規定完成事故通報者，則須負擔實際損害賠償責任並處以最高75,000美元罰鍰； 3.未落實適當防護措施與事故通報法定義務者，最高處以150,000美元罰鍰。 參、事件評析 本次修法可見奧克拉荷馬州就數位時代資安威脅所採行之積極因應作為，其修正重點包含：擴充個人資料之定義並明定適當防護措施之內容，俾利降低企業法遵成本及法律適用之不確定性；強化事故通報機制並設置合理豁免條款，以確保資訊透明度；於罰則規範中明定民事罰鍰之裁量，應審酌事故規模及是否履行事故通報義務等因素，以符合比例原則。 有鑑於本法修正後所課予之法定義務，建議企業應採行下列因應措施：(1)全面盤點所保有之個人資料，尤應注意新增納管之電子識別碼及生物特徵等資料；(2)檢視並強化現有防護機制，確保符合適當防護措施之要求；(3)建立標準化通報應變程序；(4)強化教育訓練。此外，企業宜定期檢視法規動態，以確保持續符合法規要求。 [1] Bill Information for SB 626, OKLAHOMA STATE LEGISLATURE, http://www.oklegislature.gov/BillInfo.aspx?Bill=sb626&Session=2500 (last visited June 1, 2025). [2] BILL NO. 626, OKLAHOMA STATE LEGISLATURE, https://www.oklegislature.gov/cf_pdf/2025-26%20ENR/SB/SB626%20ENR.PDF (last visited June 2, 2025).

　　2014年2月12日，美國發表「網路安全框架(Cybersecurity Framework)」，該框架係由美國政府、企業及民間機構花費一年的時間共同發展而成，其蒐集了全球現有的標準、指引與最佳實務作法，最後由國家標準技術局（National Institute of Standard and Technology, NIST）彙整後所提出。 　　本框架主要可分成三大部份： 1.框架核心（Framework Core） 框架核心包括辨識(Identify)、保護( Protect)、偵測( Detect)、應變( Respond)、與復原( Recover)等五項功能。這五項功能組成網路安全管理的生命週期，藉由這五項功能的要求項目與參考資訊的搭配運用，可使組織順利進行網路安全管理。 2. 框架實作等級（Framework Implementation Tiers） 共分成局部（Partial）、風險知悉（Risk Informed）、可重複實施（Repeatable）、合適（Adaptive）四個等級。組織可以透過對風險管理流程、整合風險管理計畫以及外部參與等三個面向的觀察，瞭解組織目前的安全防護等級。 3. 框架側寫（Framework Profile） 框架側寫係組織依照本框架實際操作後所產出的結果，可以協助組織依據其企業需求、風險容忍度，決定資源配置的優先順序，進一步調整其網路安全活動。 　　此一安全框架旨在提供整體規劃藍圖予尚未建立網路安全架構的組織參考，而針對已有建立網路安全架構者，該框架並未意圖取代組織原先的風險管理程序和網路安全計畫，而係希望協助公、私部門改善資通訊科技和工業控制系統風險管理的能力。