菲律賓基因改造茄子被迫停止田間試驗

　　流行音樂之抄襲，於我國著作權法之評價上，是以著作權法第91條第1項「擅自以重製之方法侵害他人之著作財產權者」來評價，我國智慧財產法院已有相關判決可供參酌，如智慧財產法院 103 年刑智上易字第 47 號刑事判決。惟流行音樂之創作，往往受到流行趨勢及過去其他作品的啟發，但將任何的風格上的模仿皆認為係著作權之侵害顯然並不恰當，而旋律相似度高達九成左右者屬於抄襲固然無庸置疑，然僅取樣(sampling)使用少數詞曲，用以表達概念或致敬之使用他人創作情形，其判斷標準，或可參考美國法院之判決見解。 　　2003年的Newton v. Diamond案中，第九巡迴上訴法院認可「微量取用」(de minimis use)原則，認為在有數十秒的取樣情形時，當一般聽眾不認為是挪用，即構成微量取用，並無實質近似，且若未取樣原曲之重要部分，亦不構成抄襲。但2005年時，聯邦第六巡迴上訴法院在Bridgeport Music, Inc. v. Dimension Films案中，對微量取用的情形提出「明確性規則」(bright- line rule)，認為必須要取得授權方得取樣；而美國最高法院則在1994年的Campbell v. Acuff-Rose案中，認為雖有擷取他曲旋律，但整體曲風不同時，採取轉化性原則，認為構成合理使用。

　　由於美國近年來透過太空系統進行通訊、定位導航、太空探索及國防等多方面應用，為避免太空系統受到網路威脅，白宮於2020年9月4日發布《太空政策第5號指令》（Space Policy Directive-5，SPD-5），該指令主要關注太空系統的網路安全，將現有地面使用的網路安全政策應用在太空系統中，旨在提高美國太空設施網路安全。 　　SPD-5指令建立以下五項太空網路安全原則，作為指導政府及民間單位提高太空系統網路安全的方法： 一、太空系統及相關軟硬體設施，應使用以風險等級為基礎的方式，進行開發運作並建構其網路安全系統。 二、太空系統營運商應制定太空系統網路安全計畫（應包含防止未經授權的存取行為、防止通訊干擾、確保地面接收系統免受網路威脅、供應鏈的風險管理等功能），以確保能掌握對太空系統的控制權。 三、監管機構應訂定規則或監管指南來實施SPD-5指令的原則。 四、太空系統的營運商及其合作對象應共同推動SPD-5指令，並盡力減少網路威脅的發生。 五、太空系統營運商在執行太空系統網路安全的保護措施時，應管理其風險承擔能力。 　　儘管SPD-5指令並未指示特定機構執行上開原則，但已有美國聯邦通信委員會將SPD-5之網路安全原則納入其法規中，未來SPD-5指令將有可能作為美國太空網路安全措施及法規訂定的基礎。

　　歐盟部長理事會（Council of Ministers）已於今（2010）年4月27日要求執委會檢視其網路犯罪防制目標，並調查是否有需要設立一中央機構，以儘速達成下列幾項目標，包括：提高調查人員、檢察官、法官及法院相關人員的專業標準、鼓勵各國警方資訊分享以及協調歐盟27個會員國間打擊網路犯罪所採取之方式。 　　部長理事會提議由執委會進行設立專責機構之可行性調查研究，擬由該專責機構負責前述目標之達成，亦須評估並監督預防性與調查性措施之實行。該調查研究中應特別考量欲設立專責機構之目的、範圍及可能的經費來源，另外亦需考慮是否將其設置於位於海牙的歐盟刑警組織（European Police Office, Europol）中。考量網路犯罪跨國界之特性，為使打擊網路犯罪之相關措施更有效，必須有良好的國際合作及司法執行互助配合。部長理事會認為藉由專責機構之設立，不僅能夠協助培訓法官、警方及檢察官，亦能做為聯繫網路使用者、受害者組織及其他私部門的常設機構。 　　本部長理事會將歐盟現有之網路犯罪防制相關計畫分成短、中、長期計畫，要求執委會定期追蹤各項相關計畫之執行情況，亦將設立網路犯罪防制專責機構列入執委會後續四年所持續執行有關犯罪與安全治理的斯德哥爾摩計畫（Stockholm Programme）中。 　　此外，部長理事會也呼籲歐盟各國追蹤用於網路犯罪之IP位置及網域名稱，同時要求執委會協助建立共通的廢止機制，以進行網路犯罪防制。 　　位於希臘的歐盟網路與資訊安全機構（European Network and Information Security Agency, ENISA），是現階段歐盟網路犯罪防治的研究機構，其進行資訊安全威脅行為之調查，並提供相關建議，但僅是資訊服務單位，未實際投入打擊犯罪行動。

美國奧克拉荷馬州修正《個資事故通報法》，擴充個資定義範圍並強化通報機制 資訊工業策進會科技法律研究所 2025年07月22日 現行我國關於非公務機關就個資事故進行通報之規定，散落於各中央目的事業主管機關制定之各業別個人資料檔案安全維護管理辦法或相關辦法中，且前揭各辦法對於通報之標準不盡相同。各國主管機關紛紛強化個資治理法制，而美國奧克拉荷馬州修正關於個人資料定義、適當防護措施及個資事故通報機制等事項，以建立更完善之規範。 壹、事件摘要 美國奧克拉荷馬州議會業於2025年5月20日通過第626號法案（Senate Bill 626）[1]，修正《個資事故通報法》（Security Breach Notification Act）[2]，其目的係為補充現行治理規範之不足，修正重點涵蓋：擴充法定用詞之定義，針對「個人資料」（Personal Information）與「適當防護措施」（Reasonable Safeguards）等條文予以補充與增列；強化個資事故（Breach of the security of a system）之通報機制與設立豁免條款，並釐清與其他法規間之適用關係；以及修訂違法情事之民事裁罰。此外，本次修法亦明定，若機構或個人已採取適當防護措施，得作為民事訴訟中之抗辯理由。本法將自2026年1月1日起正式生效，並適用於自該日起所發現、判定或通報之個資事故，相關單位應即早進行法遵準備，以確保制度落實。 貳、修法重點 本次修法主要包含三大核心面向，簡要說明如下： 一、擴充法定用詞之定義 （一）個人資料 於現行法規對個人資料之定義下，再增加新資料類別： 1.與驗證碼、存取碼或密碼結合使用時，可用以登入特定個人金融帳戶之專屬電子識別碼（Electronic Identifier）或路由代碼（Routing Code）； 2.用以辨識特定自然人之獨特生物特徵資料，例如指紋、視網膜或虹膜影像，或其他具體實體或數位形式之生物辨識資料。 （二）適當防護措施 適當防護措施係指，為確保個人資料安全而考量組織或機構之規模、產業別、以及保有之個資類別與數量所制定之政策及作業實務。此概念包括但不限於：進行風險評估、建立技術面及實體面之多層次保護機制、對人員實施教育訓練，及建立個資事故應變計畫等。 二、強化事故通報機制與設立豁免條款 本法要求於發現系統個資事故並已通知受影響之當事人後，應於60日內向州檢察總長（Attorney General）提交書面通報，載明涉及之個人資料類別、事故性質、受影響人數、預估之財務損失、所採行之適當防護措施等必要內容。惟若事故影響人數低於500名州民，或事故發生於徵信機構且影響人數未達1,000人，則可免除向檢察總長通報之義務。 此外，本法明確規範，若特定機構已依據其他法律，如《奧克拉荷馬州醫療資安保護法》（Oklahoma Hospital Cybersecurity Protection Act of 2023）或聯邦《健康保險可攜及責任法》（Health Insurance Portability and Accountability Act of 1996）等履行相關通報義務，則視為已符合本法之要求。 三、民事裁罰 本法明定，民事罰鍰之裁量將審酌事故規模、事故發生後組織之因應作為及是否履行事故通報義務等因素而定，以確保裁量之比例原則。裁量情形說明如下： 1.若機構已採行適當防護措施且依法進行事故通報者，得免除民事責任； 2.若未採取適當防護措施，惟仍依規定完成事故通報者，則須負擔實際損害賠償責任並處以最高75,000美元罰鍰； 3.未落實適當防護措施與事故通報法定義務者，最高處以150,000美元罰鍰。 參、事件評析 本次修法可見奧克拉荷馬州就數位時代資安威脅所採行之積極因應作為，其修正重點包含：擴充個人資料之定義並明定適當防護措施之內容，俾利降低企業法遵成本及法律適用之不確定性；強化事故通報機制並設置合理豁免條款，以確保資訊透明度；於罰則規範中明定民事罰鍰之裁量，應審酌事故規模及是否履行事故通報義務等因素，以符合比例原則。 有鑑於本法修正後所課予之法定義務，建議企業應採行下列因應措施：(1)全面盤點所保有之個人資料，尤應注意新增納管之電子識別碼及生物特徵等資料；(2)檢視並強化現有防護機制，確保符合適當防護措施之要求；(3)建立標準化通報應變程序；(4)強化教育訓練。此外，企業宜定期檢視法規動態，以確保持續符合法規要求。 [1] Bill Information for SB 626, OKLAHOMA STATE LEGISLATURE, http://www.oklegislature.gov/BillInfo.aspx?Bill=sb626&Session=2500 (last visited June 1, 2025). [2] BILL NO. 626, OKLAHOMA STATE LEGISLATURE, https://www.oklegislature.gov/cf_pdf/2025-26%20ENR/SB/SB626%20ENR.PDF (last visited June 2, 2025).