歐盟科技策略新趨勢－生物經濟策略

美國奧克拉荷馬州修正《個資事故通報法》，擴充個資定義範圍並強化通報機制 資訊工業策進會科技法律研究所 2025年07月22日 現行我國關於非公務機關就個資事故進行通報之規定，散落於各中央目的事業主管機關制定之各業別個人資料檔案安全維護管理辦法或相關辦法中，且前揭各辦法對於通報之標準不盡相同。各國主管機關紛紛強化個資治理法制，而美國奧克拉荷馬州修正關於個人資料定義、適當防護措施及個資事故通報機制等事項，以建立更完善之規範。 壹、事件摘要 美國奧克拉荷馬州議會業於2025年5月20日通過第626號法案（Senate Bill 626）[1]，修正《個資事故通報法》（Security Breach Notification Act）[2]，其目的係為補充現行治理規範之不足，修正重點涵蓋：擴充法定用詞之定義，針對「個人資料」（Personal Information）與「適當防護措施」（Reasonable Safeguards）等條文予以補充與增列；強化個資事故（Breach of the security of a system）之通報機制與設立豁免條款，並釐清與其他法規間之適用關係；以及修訂違法情事之民事裁罰。此外，本次修法亦明定，若機構或個人已採取適當防護措施，得作為民事訴訟中之抗辯理由。本法將自2026年1月1日起正式生效，並適用於自該日起所發現、判定或通報之個資事故，相關單位應即早進行法遵準備，以確保制度落實。 貳、修法重點 本次修法主要包含三大核心面向，簡要說明如下： 一、擴充法定用詞之定義 （一）個人資料 於現行法規對個人資料之定義下，再增加新資料類別： 1.與驗證碼、存取碼或密碼結合使用時，可用以登入特定個人金融帳戶之專屬電子識別碼（Electronic Identifier）或路由代碼（Routing Code）； 2.用以辨識特定自然人之獨特生物特徵資料，例如指紋、視網膜或虹膜影像，或其他具體實體或數位形式之生物辨識資料。 （二）適當防護措施 適當防護措施係指，為確保個人資料安全而考量組織或機構之規模、產業別、以及保有之個資類別與數量所制定之政策及作業實務。此概念包括但不限於：進行風險評估、建立技術面及實體面之多層次保護機制、對人員實施教育訓練，及建立個資事故應變計畫等。 二、強化事故通報機制與設立豁免條款 本法要求於發現系統個資事故並已通知受影響之當事人後，應於60日內向州檢察總長（Attorney General）提交書面通報，載明涉及之個人資料類別、事故性質、受影響人數、預估之財務損失、所採行之適當防護措施等必要內容。惟若事故影響人數低於500名州民，或事故發生於徵信機構且影響人數未達1,000人，則可免除向檢察總長通報之義務。 此外，本法明確規範，若特定機構已依據其他法律，如《奧克拉荷馬州醫療資安保護法》（Oklahoma Hospital Cybersecurity Protection Act of 2023）或聯邦《健康保險可攜及責任法》（Health Insurance Portability and Accountability Act of 1996）等履行相關通報義務，則視為已符合本法之要求。 三、民事裁罰 本法明定，民事罰鍰之裁量將審酌事故規模、事故發生後組織之因應作為及是否履行事故通報義務等因素而定，以確保裁量之比例原則。裁量情形說明如下： 1.若機構已採行適當防護措施且依法進行事故通報者，得免除民事責任； 2.若未採取適當防護措施，惟仍依規定完成事故通報者，則須負擔實際損害賠償責任並處以最高75,000美元罰鍰； 3.未落實適當防護措施與事故通報法定義務者，最高處以150,000美元罰鍰。 參、事件評析 本次修法可見奧克拉荷馬州就數位時代資安威脅所採行之積極因應作為，其修正重點包含：擴充個人資料之定義並明定適當防護措施之內容，俾利降低企業法遵成本及法律適用之不確定性；強化事故通報機制並設置合理豁免條款，以確保資訊透明度；於罰則規範中明定民事罰鍰之裁量，應審酌事故規模及是否履行事故通報義務等因素，以符合比例原則。 有鑑於本法修正後所課予之法定義務，建議企業應採行下列因應措施：(1)全面盤點所保有之個人資料，尤應注意新增納管之電子識別碼及生物特徵等資料；(2)檢視並強化現有防護機制，確保符合適當防護措施之要求；(3)建立標準化通報應變程序；(4)強化教育訓練。此外，企業宜定期檢視法規動態，以確保持續符合法規要求。 [1] Bill Information for SB 626, OKLAHOMA STATE LEGISLATURE, http://www.oklegislature.gov/BillInfo.aspx?Bill=sb626&Session=2500 (last visited June 1, 2025). [2] BILL NO. 626, OKLAHOMA STATE LEGISLATURE, https://www.oklegislature.gov/cf_pdf/2025-26%20ENR/SB/SB626%20ENR.PDF (last visited June 2, 2025).

歐盟執委會於2024年9月11日發布「2024年的能源聯盟現狀報告」（State of the Energy Union Report 2024），說明歐盟近年來在能源政策方面的發展，以及未來需要面對的挑戰。其中三項重點內容及近期後續發展如下： （1） 歐盟減碳和再生能源發展成果顯著 歐盟的溫室氣體排放量從1990年到2022年減少了32.5%，而同期歐盟經濟則增長了約67%；且於再生能源發展方面，風力發電成為歐盟第二大電力來源，僅次於核能。2024年上半年，再生能源占歐盟發電量的50%，超越歐盟所有化石燃料的總發電量。不過，歐盟仍需要加強能源效率措施，以實現到2030年最終能源消耗量減少11.7%的目標。 今（2025）年1月23日，英國智庫Ember報告指出，綜觀2024年，太陽光電已占歐盟發電量的11%，首度超越燃煤發電（10%），自綠色政綱（European Green Deal）頒布以來，風電與光電所增加的發電量，已助歐盟減少近590億歐元的化石燃料進口。 （2） 歐盟已降低對於俄羅斯的能源依賴 歐盟已大幅減少對俄羅斯天然氣的進口依賴，從2021年的45%降至2024年6月的18%，同時增加了從挪威和美國等可靠合作夥伴的進口；並將繼續支持烏克蘭，幫助其穩定電力系統，並通過捐款和資金援助其能源部門。而烏克蘭於今年停止俄羅斯天然氣借道輸送至歐洲後，波羅的海三國：立陶宛、拉脫維亞和愛沙尼亞亦決議脫離俄羅斯電網，連接歐洲大陸電網和能源市場。 （3） 歐盟將持續推動淨零相關政策 歐盟致力在淨零轉型過程中賦予能源消費者權利，通過新的能源市場法規保護消費者，確保其能負擔得起能源之使用，並提供社會氣候基金等支持；而為持續增強能源安全和競爭力，歐盟需要加快淨零技術的發展，加強與工業界的合作，並妥善利用創新基金等工具。而同（2024）年12月歐盟即以創新基金挹注46億歐元，加速綠氫、儲能、熱泵、電動車電池和等技術開發，並與歐洲投資銀行共同宣布以現代化基金投資29.7億歐元，支援會員國的潔淨工業部門；今年1月則在跨歐洲能源基礎設施 （Trans-European Networks for Energy Regulation, TNE-E）的政策架構下，投資跨國能源基礎建設逾12 億歐元，包含海上及智慧電網、氫能及碳封存之基礎設施等計畫。

　　伴隨IoT和AI等技術發展，業者間被期待能合作透過資料創造新的附加價值及解決社會問題，惟在缺乏相關契約實務經驗的狀況下，如何締結契約成為應首要處理的課題。 　　針對上述狀況，日本經濟產業省於2017年5月公布「資料利用權限契約指引1.0版」（データの利用権限に関する契約ガイドラインVer1.0），隨後又設置AI、資料契約指引檢討會（AI・データ契約ガイドライン検討会），展開後續修正檢討，在追加整理資料利用契約類型、AI開發利用之權利關係及責任關係等內容後，公布「AI、資料利用契約指引草案」（AI・データの利用に関する契約ガイドライン（案）），於2018年4月27日至5月26日間公開募集意見，並於2018年6月15日正式公布「AI、資料利用契約指引」（「AI・データの利用に関する契約ガイドライン）。 　　「AI、資料利用契約指引」分為資料篇與AI篇。資料篇整理資料契約類型，將資料契約分為「資料提供型」、「資料創造型」和「資料共用型（平台型）」，說明個別契約架構及主要的法律問題，並提示契約條項及訂定各條項時應考慮的要點，希望能達成促進資料有效運用之目的。 　　AI篇說明AI技術特性和基本概念，將AI開發契約依照開發流程分為（1）評估（assessment）階段；（2）概念驗證（Proof of Concept, PoC）階段；（3）開發階段；（4）進階學習階段，並針對各階段契約方式和締結契約時應考慮的要點進行說明，希望達成促進AI開發利用之目的。

　　歐盟法院法務官Jan Mazak建議歐盟法院駁回有關歐盟委員會否決對德國'Parmeggiano Reggiano' 為用於代表乾酪之商標名稱決議案。 　　歐盟委員會認為歐盟立法例對於有關地理名稱之保護應適用於’Parmesan Cheese’ 之商標案，委員會認為Parmesan Cheese 為地理名稱標示，係指出產於義大利之乾酪，故不得為商標名稱。因此，在德國即使是相類似之乾酪亦不允許標示為 ’Parmesan Cheese’。 　　德國抗辯縱使Parmigiano Reggiano應被予以保護，但單獨使用Parmigiano則應為通用名稱而不應予以限制；縱使Parmigiano 本身應被保護不得專用，但是和Parmesan兩者相比較係為不同字，不論是在德國或是歐盟各國都應被歸納為通用名稱，而應准予使用。 　　法務官認為，德國未證明Parmesan已成為通用名稱；而委員會未說明為何在德國Parmigiano Reggiano 或Parmesan係等同為乾酪地理來源標示。特別是，自10月正式通知本案爭議程序後，委員會亦未顯示任何其他事證得證明Parmigiano Reggiano有任何商標侵權案例之前案，故建議歐盟法院駁回本件歐盟委員會決議案。