歐盟國會通過頗受爭議之「反仿冒貿易協定（ACTA）

　　美國聯邦通訊委員會（Federal Communications Commission，FCC）於2008年11月公布法規命令，開放閒置無線頻譜之使用。閒置頻譜緣起於美國無線電視訊號，對於鄉村或偏遠人口較少之地區並無覆蓋，這些地區之無線電視頻譜處於閒置未用狀態。FCC因應無線通訊對頻譜之需求，在以拍賣釋出新頻譜的同時，也由增進既有頻譜的效率著手。 　　FCC於此法規命令中公布初步的技術規範，包含使用地理資料庫以及感知無線電技術作為利用閒置頻譜之要件。之後，FCC於2009年11月公告接受業者遞交計畫書，審查是否能成為資料庫管理者之資格。 　　2010年9月FCC再度公布新的法規命令，取消感知無線電技術作為必要條件之要求，並調整技術規範，也預告將選擇民間業者來進行地理資料庫之管理與建置。 　　2011年01月26日，FCC正式公告九家業者，包括Comsearch、 Frequency Finder、Google、KB Enterprises LLC and LS Telcom、 Key Bridge Global LLC、 Neustar、Spectrum Bridge、 Telcordia Technologies、 WSdb LLC.。這九家業者將必須針對2010年所發佈之新規則提出補充資料，並與FCC工程技術辦公室（Office of Engineering and Technology ，OET）配合，舉行一系列的研討與測試實驗，確立最後的技術標準與測試資料庫運作的穩定度。 　　FCC亦表示，資料庫管理者必須同意，他們將不會從事任何歧視性及反競爭行為，亦不可有危及用戶隱私之行為。 　　在FCC指定地理資料庫的管理者後，美國開放閒置頻譜使用的前置準備也可說是完成，未來等業者完成測試，相關利用頻譜的設備上市之後，可望為無線通訊市場帶來更多低成本的選擇。

美國各州逐步研議透過立法豁免企業資安事件賠償責任 資訊工業策進會科技法律研究所 2024年06月10日 為鼓勵企業採用資安標準與框架，美國已有幾州開始透過立法限縮企業資安事件賠償責任，企業若能舉證證明已符合法令或遵循業界認可之資安框架和標準，則於資安攻擊事件所致損害賠償訴訟中，將無需承擔賠償責任。 壹、事件摘要 為避免有心人士於未取得經授權下近用網路和敏感資料，企業往往投入大量資源打造資安防護架構，惟在現今網路威脅複雜多變的環境下，仍可能受到惡意資安攻擊，導致資料外洩事件發生，導致企業進一步面臨訴訟求償風險，其中多數指控為未實施適當的資安措施。為此美國佛羅里達州和西維吉尼亞州研議透過立法限縮企業之資安事件賠償責任，以鼓勵企業採用資安標準、框架與資安相關法令。 貳、重點說明 繼美國俄亥俄州[1]、猶他州[2]和康乃狄克州[3]相繼頒布法令，讓已實施適當安全維護措施之企業，豁免資安攻擊所致資料外洩之損害賠償責任，佛羅里達州和西維吉尼亞州近期亦提出相似法案，以下介紹兩州法案之重點： 一、佛羅里達州 美國佛羅里達州於2023年11月公布《資安事件責任法案》 （H.B 473: Cybersecurity Incident Liability）[4]，法案納入「安全港條款」（Safe Harbor），當企業遭受資安攻擊致生個資外洩事件，如可證明已遵循產業認可的資安標準或框架，實施適當的資安措施與風險控管機制，則可免於賠償責任，以鼓勵企業採納資安標準或框架。 為適用安全港條款，企業須遵循佛羅里達州資訊保護法（The Florida Information Protection Act），針對資料外洩事件，通知個人、監管機關和消費者，並建立與法案內所列當前產業認可的資安標準、框架，或是特定法令規範之內容具一致性的資安計畫（Cybersecurity Programs）： （一）當前產業認可的資安標準、框架 1. 國家標準暨技術研究院（National Institute of Standards and Technology, NIST）改善關鍵基礎設施資安框架（Framework for Improving Critical Infrastructure Cybersecurity）。 2. NIST SP 800-171－保護非聯邦系統和企業中的受控非機密資訊。 3. NIST SP 800-53 和 SP 800-53A－ 資訊系統和企業的安全和隱私控制/ 評估資訊系統和企業中的安全和隱私控制。 4. 聯邦政府風險與授權管理計畫（Federal Risk and Authorization Management Program, FedRAMP）安全評估框架。 5. 資安中心（ The Center for Internet Security, CIS）關鍵安全控制。[5] 6. ISO/IEC 27000系列標準。 7. 健康資訊信任聯盟（The Health Information Trust Alliance, HITRUST）通用安全框架（Common Security Framework）[6]。 8. 服務企業控制措施類型二（Service Organization Control Type 2, SOC 2）框架。 9. 安全控制措施框架（Secure Controls Framework）。 10. 其他類似的產業標準或框架。 （二）特定法令規範 企業（entity）如受以下法令規範，亦得適用安全港條款，如法令有修訂，企業應在發布修訂後的一年內更新其資安計畫： 1. 健康保險可攜與責任法（The Health Insurance Portability and Accountability Act, HIPAA）之安全要求。 2. 金融服務現代化法（The Gramm-Leach-Bliley Act）第五章。 3. 2014 年聯邦資訊安全現代化法（The Federal Information Security Modernization Act of 2014）。 4. 健康資訊科技促進經濟和臨床健康法（The Health Information Technology for Economic and Clinical Health Act, HITECH）之安全要求。 5. 刑事司法資訊服務系統 （The Criminal Justice Information Services, CJIS）安全政策。 6. 州或聯邦法律規定的其他類似要求。 該法案雖於2024年3月5日經佛羅里達州參議院三讀通過，但於2024年6月26日遭州長否決[7]，其表示法案對於企業的保障範圍過於廣泛，如企業採取基礎的資安措施與風險控管機制，便得主張適用安全港條款，將可能導致消費者於發生個資外洩事件時，無法受到足夠的保障。州政府鼓勵利害關係人與該州網路安全諮詢委員會（Florida Cybersecurity Advisory Council）合作，探求法案的替代方案，以保護消費者資料。 二、西維吉尼亞州 美國西維吉尼亞州於2024年1月29日提出眾議院第5338號法案[8]，修訂西維吉尼亞法典（Code of West Virginia），增訂第8H章資安計畫安全港條款（Safe Harbor for Cybersecurity Programs），如企業符合業界認可的資安標準、框架或依特定法令建立與實施資安計畫，包含個人資訊和機敏資料的管理、技術和企業保障措施，將能夠於侵權訴訟中，主張適用避風港條款。 法令內明列評估企業所建立的資安計畫規模和範圍是否適當之要素，包含： 1. 企業的規模和複雜性； 2. 企業的活動性質和範圍； 3. 受保護資訊的敏感性； 4. 使用資安防護工具之成本和可用性； 5. 企業可運用的資源。 （一）當前產業認可的資安標準、框架 除與佛羅里達州法案所列舉業界認可的資安標準之前六項相同，另增加： 1 NIST SP 800-76-2個人身分驗證生物辨識規範（Biometric Specifications for Personal Identity Verification）[9]。 2. 資安成熟度模型認證（The Cybersecurity Maturity Model Certification, CMMC）至少達到第2級，並經外部驗證（external certification）。 （二）特定法令規範 除與佛羅里達州法案所列舉特定法令之前四項相同，另增加：由聯邦環境保護局（Environmental Protection Agency, EPA）、資安暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA）或北美可靠性公司（North American Reliability Corporation）[10]所採用任何適用於關鍵基礎設施保護的規則、法規或指南。 惟目前法案已於2024年3月27日被西維吉尼亞州長否決[11]，其表示透過安全港條款鼓勵企業實踐資安框架雖立意良好，但也可能遭濫用而帶來不當影響，例如TikTok等大型國際企業，如在違背公民意願情況下共享個人資料時，將免於訴訟，恐有損其公民權益，未來州政府將與利害關係人持續進行協商。 參、事件評析 佛羅里達州和西維吉尼亞州近期同步公布有關限制企業於資安事件之責任相關法案，內容亦為相似，西維吉尼亞州之法案目前已遭否決，主要係擔心該豁免條款遭到不當濫用；佛羅里達州之法案亦因對於企業保障過廣與無法保障消費者個資安全考量，而遭州長否決。 法案中明列受產業普遍認可的資安標準、框架與政府所頒布特定法令，有助企業明確遵循與採納，建立與實施資安計畫，惟如何舉證所建立之資安計畫或實施之資安措施，與法案所列之資安標準、框架，或是特定法令規範，具有實質上的一致性，仍不明確，將可能阻礙企業於訴訟上行使抗辯與主張責任豁免權。未來美國如何權衡產業穩健發展與民眾個資保障，仍有待持續觀察。 [1] Chapter 1354 - Ohio Revised Code, Ohio Laws, https://codes.ohio.gov/ohio-revised-code/chapter-1354 (last visited May 24, 2024). [2]Part 7 Cybersecurity Affirmative Defense Act, Utah StateLegislative, https://le.utah.gov/xcode/Title78B/Chapter4/78B-4-P7.html (last visited May 24, 2024). [3]Frederick Scholl, Connecticut’s New Breach Notification and Data Security Laws: Carrots and Sticks, Quinnipiac University, July,1,2021,https://www.qu.edu/quinnipiac-today/connecticuts-new-breach-notification-and-data-security-laws-2021-07-01/ (last visited May 24, 2024). [4]CSHB 473-Cybersecurity Incident Liability, The Florida Senate,https://www.flsenate.gov/Session/Bill/2024/473 (last visited Jun. 28, 2024). [5]資安中心（ The Center for Internet Security, CIS）為美國非營利組織，負責推動CIS Controls，針對實際發生的資安攻擊行為提供防禦建議，作為企業保護 IT 系統和資料時可參考之最佳實務作法。資料來源：About us, Center for Internet Security, https://www.cisecurity.org/about-us (last visited Jun. 6, 2024). [6]What is HITRUST?, Schneider Downs,https://schneiderdowns.com/cybersecurity/what-is-hitrust/ (last visited May 24, 2024). [7]Governor of Florida, Vote letter for House Bill 473(2024), https://www.flgov.com/wp-content/uploads/2024/06/Veto-Letter_HB-473.pdf (last visited Jun. 28, 2024). [8]2024 REGULAR SESSION ENROLLED Committee Substitute for House Bill 5338, WEST VIRGINIA LEGISLATURE,https://www.wvlegislature.gov/Bill_Status/bills_text.cfm?billdoc=hb5338%20sub%20enr.htm&yr=2024&sesstype=RS&i=5338 (last visited May 24, 2024). [9]NIST SP 800-76-2 Biometric Specifications for Personal Identity Verification, National Institute of Standards and Technology, https://csrc.nist.gov/pubs/sp/800/76/2/final (last visited May 24, 2024). [10]北美電力可靠性公司（North American Electric Reliability Corporation, NERC），為一家非營利機構，致力推動關鍵基礎設施保護相關標準，以強化北美大規模電力系統（亦即電網）的可靠性和安全性，資料來源：https://www.nerc.com/Pages/default.aspx (last visited May 24, 2024). [11]Governor of West Virginia, Enrolled Committee Substitute for House Bill 5338(2024),https://www.wvlegislature.gov/Bill_Text_HTML/2024_SESSIONS/RS/veto_messages/HB5338.pdf (last visited May 24, 2024).

　　美國聯邦貿易委員會（Federal Trade Commission，FTC）鑒於近期授權學名藥（Authorized Generic，指由原專利藥廠於專利到期後自行或授權所推出之學名藥）上市申請頻率遽增，且授權學名藥專利和解協議日多之現況，自今（2009）年起，即積極展開一系列調查行動，先後於3月首度對授權學名藥和解協議案件祭出處罰裁決，並於6月公佈一份有關授權學名藥報告（Authorized Generic: An Interim Report）。 　　在美國授權學名藥法規（即Hatch-Waxman Act）架構下，首次提出簡易新藥審查申請取得學名藥上市許可之第一申請者（first-filer），得享有180日之市場專屬保護期間，除授權學名藥外，保護期間內其他藥廠一概不得推出相仿學名藥。 　　美國學名藥市場專屬保護期間之設計，原是希望藉此加速學名藥研發與上市，達到降低藥品取得價格之效，但根據FTC調查顯示，由於授權學名藥在市場專屬保護期間內依法得進入市場，於受到授權學名藥介入競爭之壓力下，第一申請者學名藥零售價格會比原先下降4.2%，經銷價格會下降6.5%，並減少該第一申請者藥廠47-51%的收入。在此背景下，越來越多第一申請者藥廠傾向採擬與原專利品牌藥廠達成延遲學名藥上市協議之策略，藉此互為其利。根據FTC統計，2004-2008年間約有25%的專利和解案件涉及授權學名藥條款，76%的對造為第一申請者學名藥藥廠，其中有25%的和解，是由授權學名藥藥廠與第一申請者藥廠就於一定期間（平均約為34.7月）不進入市場互為承諾。 　　FTC目前唯一的監管機制，係依據醫療照護現代化法（The Medicare Prescription Drug, Improvement, and Modernization Act of 2003，MMA），要求專利藥廠若與學名藥廠做成任何專利訴訟和解協議或相關協議時，應於協議生效10日內向FTC通報，以供FTC決定是否展開反競爭調查。FTC對於此類協議之審查上，終於今年3月有所進展，宣布必治妥（Bristol-Myers Squibb，BMS）應就其與Apotex公司間所達成專利訴訟和解協議繳交210萬美元。

為促進綠色轉型並提高對投資人之保護，歐洲銀行監理機關（European Banking Authority, EBA）、歐洲保險與職業年金監理機關（European Insurance and Occupational Pensions Authority, EIOPA）及歐洲證券與市場監理機關（European Securities and Market Authority, ESMA）於2024年6月18日針對永續金融揭露規則（Sustainable Finance Disclosure Regulation），向歐盟執委會（European Commission）發布共同意見。 現行的永續金融揭露規則於2019年制定並於2021年生效，其目的在提高金融產品服務的 ESG 揭露透明度和標準化，透過要求金融市場參與者提供可靠且可比較的 ESG 資料，使投資者能夠做出更明智的投資決策，引導投資人重視環境與永續議題。現行的永續金融揭露規則係以「商品標籤」之方式揭露金融商品資訊，但共同意見中認為此標籤制度並未提供明確標準或門檻，使投資人無法充分了解為何特定商品具有永續性，導致漂綠（greenwashing）及相關投資風險。 因此，本次共同意見向執委會建議，執委會應建立投資人易於理解且具有客觀標準之金融商品類別，解決上述資訊落差疑慮。共同意見建議，金融機構可採用「永續（sustainable）」與「轉型（transition）」兩項金融商品類別。以下簡介共同意見就兩項金融商品類別提供之建議： 一、永續類別 永續類別係指金融商品投資於已達到環境或社會永續門檻之經濟活動或資產。共同意見提及，執委會或可考慮將永續類別再拆分為環境永續類別與社會永續類別；但若拆分兩項類別，可能必須注意目前環境永續與社會永續兩項類別得參考之指標發展程度不一，未來在訂定門檻時如何確認相關指標需進一步討論。 二、轉型類別 轉型類別係指金融商品投資於尚未達到環境或社會永續門檻，但未來將逐步提高其永續性以達到永續類別門檻之經濟活動或資產。共同意見建議，執委會於訂定轉型類別之門檻時，應參考經濟活動分類標準之關鍵績效指標、轉型計畫、商品減碳路徑及減緩主要不利影響之措施等因素。 目前執委會正評估利害關係人意見及永續金融揭露規則實施經驗，作為改善歐盟永續金融制度之依據，因此共同意見亦建議，執委會應先進行消費者調查，再著手後續規則修訂，方能達到制度優化之成果，保障投資人權益及永續發展。