美國馬里蘭州法案禁止雇主近用（access）其員工及應徵者之社群網站資訊

美國FDA擬修法調整臨床實驗知情同意義務之豁免標準 資訊工業策進會科技法律研究所 蔡宜臻法律研究員 2018年11月27日 壹、事件摘要 　　知情同意（informed consent）是人體試驗受試者保護重要的一環，同時也是生物醫學長期以來的研究傳統，然其規範內容卻會因科技與研究方式的改變而略有調整。美國食品藥物管理局（Food and Drug Administration, FDA）於2018年11月15日發布一份法規提案（proposed rule），公開徵求意見評論。該提案目的在於調整FDA知情同意的相關規定，未來FDA希望允許人體試驗倫理委員會（Institutional Review Boards, IRB）在試驗僅有最小風險（minimal risk）的情況下，得以裁決一臨床實驗案可豁免知情同意的責任，或更改某些「告知要項」[1]。本次法規提案徵詢終止日為2019年1月14日，FDA並規劃於本法規命令正式公告施行後，廢止其於2017年7月所發佈之《IRB豁免或變更臨床實驗之知情同意指南》（IRB Waiver or Alteration of Informed Consent for Clinical Investigations Involving No More Than Minimal Risk to Human Subjects）[2] 貳、重點說明　 　　目前FDA僅允許在危及生命[3]或緊急研究（emergency research）[4]的情況下，得以例外不必符合知情同意的一般要求（general requirements）[5]。而根據FDA於2018年11月15日發布於聯邦公報（Federal Register）的法規提案內容，FDA打算新增「試驗僅有最小風險」（The research involves no more than minimal risk to subjects）做為豁免或變更知情同意項目的甄別標準之一。如此一來若是修法通過，FDA對於知情同意豁免與否的認定標準就會跟1991年制訂的《美國聯邦受試者保護通則》（Federal Policy for the Protection of Human Subjects，簡稱the Common Rule）[6]更加接近。換言之，未來修法通過後，由FDA管理的人體臨床實驗將有三種情形得以豁免或變更知情同意義務：危及生命、緊急研究與僅具有最小風險的研究。 　　所謂最小風險，係指「研究中預期的傷害或不適的概率和程度，不大於在日常生活中或在進行常規身體或心理檢查時通常遇到的傷害或不適」[7]，比如：不需新藥研究申請（investigational new drug application, IND）的新藥研究；醫療器材臨床試驗豁免（investigational device exemption, IDE）之醫療器材研究；檢體之取得為無創（受試者之頭髮或指甲）的臨床研究；為研究目的而蒐集聲音、影片、數據或圖像紀錄；研究個體或群體的特徵或行為；個人或焦點團體訪談等質性研究[8]。FDA指出本次法規提案當中所指的最小風險定義與其附隨條件將與《美國聯邦受試者保護通則》自1991年施行以來之規定一致，即該研究只要同時符合以下四點便可望由IRB審查豁免或變更知情同意義務[9]： 僅有最小風險的研究[10]。 若不豁免或變更知情同意義務，則研究無法順利進行[11]。 不造成受試者權利跟福祉之負面影響[12]。 受試者將在適當時機獲悉進一步研究資訊[13]。 　　此次提案的法源依據是2016年通過的《21世紀治癒法》（21st Century Cures Act）第3024節所修正之《聯邦食品藥物化妝品法》（Federal Food, Drug, and Cosmetic Act）第505(i)(4)、520(g)(3)節。《21世紀治癒法》第3024節賦予FDA權力放寬臨床實驗的知情同意義務，其立法背景是由於目前FDA相關規範對知情同意要求相對嚴格，當研究者無法滿足現有法規對於知情同意的要求，便可能使潛在的有價值的研究被迫停止[14]；又或在某些情形下，要求研究者在進行臨床實驗時取得研究對象的知情同意並不切實際[15]。《21世紀治癒法》通過後，FDA隨即於2017年7月發布《IRB豁免或變更臨床實驗之知情同意指南》，當中指出FDA並不打算在僅有最小風險的臨床研究中，反對IRB做出豁免或變更知情同意項目的判定，若本次法規提案後續正式生效，FDA便會廢止此指南，使其轉為FDA規則（regulation）。 參、事件評析 　　知情同意是生物醫學研究的學術傳統，包含兩大重點，一是令研究對象充分知悉其所參與的研究，包含其研究目的、內容、風險與預期利益；二是確保研究對象在做出同意或不同意之意思表示時，其意思表示之真實性，由此保障受試者的自主權[16]。 　　知情同意之概念最早源自1947年的紐倫堡法典（Nuremburg Code），其規範內涵在過去數十年間因為生物醫學的研究方法與進行模式的變革而產生變化。早年的臨床研究主要由政府資助、在單一的機構進行，涉及的受試者人數相對有限；而近三、四十年，醫學研究漸漸發展成多機構、多中心甚至跨國的研究案，受試者可能高達數萬甚至數十萬，同時也逐漸形成跨領域的研究轉型，涉及如社會學、心理學、教育、環境、氣候等學科。在此情形下，研究方法與資料取得勢必與過去截然不同，傳統的知情同意的制度漸漸無法滿足現代醫學研究的需要。1978年貝爾蒙特報告（Belmont Report）便強調應評估臨床研究的風險是否超過日常可接受範圍[17]，1981年美國據此制定《美國衛生及公共服務部人體研究保護政策最終規則》（Final regulations amending basic HHS policy for the protection of human research subjects）[18]便首次將「不超過日常風險的臨床實驗」[19]納為知情同意之豁免或變更之標準；1991年制定的《美國聯邦受試者保護通則》亦延續此概念並進一步做出更明確定義（見前述），惟當時FDA基於其業務為確保藥品、生物製劑以及醫療器材安全與執照核發，與《美國聯邦受試者保護通則》作為拘束十六個聯邦機關的一般性規範不同，因此未將「僅有最小風險的臨床實驗」納為豁免或變更知情同意義務的標準[20]。 　　時序進展至今，資通訊技術的進步所累積的巨量資料逐漸成為生醫研究的重要研究資源，面對這項轉變與研究者對於倫理審查委員會專業性的質疑，美國近年再度嘗試調整修法。2016年通過之《21世紀治癒法》便要求FDA將「僅有最小風險的臨床實驗」納為得豁免或變更免除知情同意的標準之一，可被視為是期望FDA向更為寬鬆的《美國聯邦受試者保護通則》靠攏；另方面，2017年修訂《美國聯邦受試者保護通則》之最終規則（final rule，將於2019年1月生效），也新增「若是研究涉及取得可識別的個人資料或可識別的生物標本，需要證明若無這些資料研究將無法進行」[21]，作為豁免或變更知情同意義務的要件，許是為避免個人資料因知情同意的放寬而有遭受濫用之虞。不過這項要件在本次FDA法規提案並未提及。 　　綜上述，本文整理兩大爭點： 一、最小風險判定標準之不確定性。 　　最小風險之定義雖明確指「研究中預期的傷害或不適的概率和程度，不大於在日常生活中或在進行常規身體或心理檢查時通常遇到的傷害或不適」[22]，惟最小風險之判定仍存在不確定空間。FDA雖強調將承繼《美國聯邦受試者保護通則》自1991年施行以來個案累積之最小風險判定標準，但此一不確定性直接影響的是受試者的自主權，侵害美國憲法所保障的人權精神；此外，也有批評指出FDA所援引的《美國聯邦受試者保護通則》對於最小風險的定義文字過於模糊，容易造成誤解或誤判[23][24][25]。 二、本次法規提案並未新增《美國聯邦受試者保護通則》即將於2019年1月生效的項目，或再度造成FDA規定與其他聯邦機構未能一致的情形。 　　FDA本次法規提案新增「最小風險」的其中一個原因便是希望盡可能與《美國聯邦受試者保護通則》標準一致。然令人困惑的是，其並未新增《美國聯邦受試者保護通則》即將於2019年1月實施的豁免或變更知情同意義務的要件：「若是研究涉及取得可識別的個人資料或可識別的生物標本，需要證明若無這些資料研究將無法進行」[26]。換言之，即便此次修法提案通過，依舊與會與《美國聯邦受試者保護通則》有落差。更甚者，《美國聯邦受試者保護通則》所新增的要件，實意在保障個人資料不會因知情同意的豁免範圍改變而遭到恣意使用或揭露，有助於保護個人隱私與資料自主，而FDA並未將其納入法規提案內容，或可能造成個資保護之漏洞。此項缺失FDA於法規提案當中亦有提及，或可期待後續修正[27]。 肆、結語 　　FDA原有關於豁免或變更知情同意的規定與《美國聯邦受試者保護通則》存有寬嚴程度落差，FDA此前僅限定在有生命危險與緊急研究的情形方可為之；而《美國聯邦受試者保護通則》由於是一種一般性規範，所以保障程度較為寬鬆。FDA本次修法將使部分僅有最小風險的臨床實驗可以更為順利進行，同時也使FDA知情同意的規範更加接近當前《美國聯邦受試者保護通則》的規定。惟最小風險的認定存在不確定性，其所可能侵害的是受試者自主權，不可不慎。又，《美國聯邦受試者保護通則》即將在2019年1月規定研究蒐集之個人資料必須對研究有絕對必要方可，而本次FDA的法規提案未見跟進此一新增要件。由於本提案仍在意見評論階段，是以FDA後續是否再度更新提案內容，值得後續關注。 [1] Institutional Review Board Waiver or Alteration of Informed Consent for Minimal Risk Clinical Investigation, 83 Fed. Reg. 57378-57386(Nov. 15, 2018) https://www.federalregister.gov/documents/2018/11/15/2018-24822/institutional-review-board-waiver-or-alteration-of-informed-consent-for-minimal-risk-clinical (last visited Nov. 26, 2018) [2] FOOD AND DRUG ADMINISTRATION[FDA], FDA In Brief: FDA takes steps to allow greater flexibility for clinical investigators about informed consent in minimal risk situations.(2018/11/13) https://www.fda.gov/NewsEvents/Newsroom/FDAInBrief/ucm625747.htm (last visited Nov. 26, 2018) [3] 21 CFR 50.23 [4] 21 CFR 50.24 [5] 有關更多FDA豁免告知同意之項目類別與細部說明，可參考https://www.accessdata.fda.gov/scripts/cdrh/cfdocs/cfcfr/CFRSearch.cfm?fr=50.23；　https://www.accessdata.fda.gov/scripts/cdrh/cfdocs/cfcfr/CFRSearch.cfm?fr=50.24　(last visited Jan. 8, 2019) [6] 45 CFR 46, subpart A. [7]“the probability and magnitude of harm or discomfort　anticipated in the research are not greater in and of themselves than those ordinarily encountered in daily life or　during the performance of routine physical or psychological examinations or tests.” (46 CFR 102(i); 21 CFR 50.3(k); 21 CFR 56.102(i)). [8] U.S. DEPARTMENY OF HEALTH & HUMAN SERVICES [HHS], OHRP Expedited Review Categories.(1998) https://www.hhs.gov/ohrp/regulations-and-policy/guidance/categories-of-research-expedited-review-procedure-1998/index.html (last visited Nov. 26, 2018) [9] 45 CFR 46.116 [10] “The research involves no more than minimal risk to subjects” [11] “The research could not be carried out practicably without the waiver or alteration” [12] “The waiver or alteration will not adversely affect the rights and welfare of the subjects” [13] “Where appropriate, the subjects will be provided with additional information about their participation” [14] FOOD AND DRUG ADMINISTRATION[FDA], FDA In Brief: FDA takes steps to allow greater flexibility for clinical investigators about informed consent in minimal risk situations.(2018/11/13) https://www.fda.gov/NewsEvents/Newsroom/FDAInBrief/ucm625747.htm (last visited Nov. 26, 2018) [15] id. [16] 陳子平，〈醫療上「充分說明與同意」之法理在刑法上的效應（上）〉，《月旦法學雜誌》，第278期，頁224（2010）。 [17] THE NATIONAL COMMISSION FOR THE PROTECTION OF HUMAN SUBJECTS OF BIOMEDICAL AND BEHAVIORAL RESEARCH, The Belmont Report—Ethical Principles and Guidance for the Protection of Human Subjects of Research(1978), https://videocast.nih.gov/pdf/ohrp_appendix_belmont_report_vol_2.pdf (last visited Jan. 9, 2019) [18] Final regulations amending basic HHS policy for the protection of human research subjects. 46(16) Fed. Reg. 8366–8391 (Jan. 26, 1981) [19]　“those risks encountered in the daily lives of the subjects of the research” (46(16) FR 8373) [20] NATIONAL CENTER FOR BIOTECHNOLOGY INFORMATION[NCBI], Determining Minimal Risk in Social and Behavioral Research(2014), https://www.ncbi.nlm.nih.gov/books/NBK217976/ (last visited Jan. 9, 2019) [21]“if the research involves using identifiable private information or identifiable biospecimens, the research could not practicably be carried out without using such information or biospecimens in an identifiable format” (45 CFR 46.116(f)(3)(iii)) [22] 21 CFR 50.3(k), 56.102(i) [23] Regulations.gov, https://www.regulations.gov/document?D=FDA-2018-N-2727-0010 (last visited Dec. 20, 2018) [24] Shah S, Whittle A, Wilfond B, Gensler G & Wendler D., How do institutional review boards apply the federal risk and benefit standards for pediatric research, JOURNAL OF THE AMERICAN MEDICAL ASSOCIATION, 291(4), 476–482(2004). [25] Lidz C & Garverich S., What the ANPRM missed: Additional needs for IRB reform. JOURNAL OF LAW, MEDICINE AND ETHICS, 41(2), 390–396(2013). [26] 45 CFR 46.116(f)(3)(iii) [27] Supra note No. 1

　　英國資訊專員辦公室進行獨立調查時發現， 1、40％的企業沒有充分認識提出的主要條文； 2、87％的企業無法估計公司中業務為因應改革可能支出的成本； 3、82％的受訪者是無法量化其當前資訊保護的開支； 4、在少數的大型組織觀測調查中發現，估計資訊保護的平均花費時常會受到扭曲； 5、當公司擁有超過250名員工或處理超過10萬筆個資紀錄時，絕大多數都已經聘請資訊保護專人； 6、重點業別包括服務業、金融保險業以及公共管理等，需要針對資訊管理有所計畫。 　　而調查報告在2013年5月14日於柏林舉辦的第三次歐洲資訊保護日會議中提出，資訊專員Christopher Graham表示「必須說，有少數人不同意為面臨21世紀的挑戰，而需要修訂歐洲資訊保護法。但真正進步之實現在於，今日或將來的法律面，針對個人資料有更好的體現。關鍵點在於確實地衡平理論面與執行面中資訊保護權利之平衡點。」 　　「已經談論過很多關於『什麼是最好的商業』，但這必須基於合法證據。此次的改革的結果會是非常重要的，我們希望敦促歐盟委員會可以考慮並將重點放在制定法律，為消費者提供真正的保障。」 　　「同樣的，企業和其他的利益相關者必須參與具建設性的義務與隱私權權利的重要性改革，在此過程中仍然可以受到影響」

雲端時代資料保險機制之解析 科技法律研究所 2013年12月05日 壹、前言 　　資訊時代，資訊應用所帶來的風險幾乎無可迴避，且往往帶來莫大衝擊；尤其在網路應用普及之後，大量資料透過網路傳輸、流通而暴露於資訊安全的風險當中，縱有再有高層級的防護，也無法使資料受損或漏失的風險機率降至零，因此有論者以為，對於無法藉由資訊安全措施加以避免的「殘餘風險」（Residual Risk），應由「保險機制」予以移轉。本研究特探討本議題，以呼應目前日益進展的保險產品發展趨勢。 　　此類的保險機制，一般稱為資料保險，專門填補網路應用所造成的風險，諸如網路安全（Network security）之欠缺所造成的損失，或者隱私（Privacy）被害所造成的損失。依據產業觀察者意見，此類保險產品的市場正有逐漸擴張的趨勢，尤其是對於健康照護服務（Health care）以及中小型的業者而言，此類保險對於風險管理服務可以發揮長足的作用，其能夠填補資料被害的通知成本、信用監控以及加強資料防護的成本[1]。 　　本文以雲端運算應用的興起為背景，觀察相應保險機制的演進及發展；以及其對於產業發展而言，為何被視為不可或缺的配套機制，進一步檢視我國推動資料保險的可行性與條件。 貳、資料保險機制的發展 一、資料保險的種類 　　用來填補資料受害之損害的保險，一般被稱為「資料保險」，尚可見以「網路保險」或「隱私保險」稱之。與其直接定義何謂「資料保險」，不如分析此保險的涵蓋範圍。此類保險早在十幾年前出現，當時其保險範圍，是填補資料被害所引發的損害賠償責任[2]。 　　財產保險可分成兩大類型，一類是一般的財產損害，即保險事故發生導致被保險人的財產減損或喪失，承保此類財產損失之保險，即英美法系所稱之「第一方保險」（First-party coverage）。另一類則是責任保險，即保險事故發生導致被保險人應負擔法律上責任或契約上損害賠償責任，承保因被保險人應負擔責任之財產損失，即所稱之「第三方保險」（Third-party coverage）。 　　在資料應用環境中，因資料受害導致損害大抵可依上述區分。當遭遇網路犯罪的損害、毀壞（Destroys）或是剝奪被保險人對於資料的使用權限，則屬於第一方財產損失。另一方面，當被保險人所保護、監管（Custody）或控制的第三人資料或資訊，遭遇網路犯罪損害、毀壞或竊取時，將使被保險人必須承受對第三方負擔損害賠償責任、並支付相關費用，此屬於第三方財產損失，例如入侵資訊系統而竊取信用卡資訊、受保護的個人資料、及銀行的帳戶號碼，又如妨礙有合法權限的第三人近用系統，以及違反法規所要求而未向第三人通知資料侵害等…[3]。 二、資料受害所致損害是否得請求保險賠償過往有很大爭議 　　傳統的財產保險，由於未指明承保因資料被害所致損失，往往會在被保險人因資料被害導致財產損失而請求保險賠償時，發生很大的爭議。主要的原因是，傳統的財產保險其設計原則，是以被保險人對於有形財產的「保險利益」作為「保險標的」，並以有形財產受損來估算保險損害，並未考量到資料等無形財產。因此，起因於資料或類似形態的程式、軟體之缺損所致的損害，是否可能在傳統財產的保險範圍內，頗有疑義，且司法實務上的意見相當分歧，茲整理如下。 （一）有利於被保險人的實務見解 　　在America Guarantee & Liability Insurance Co. v. Ingram-Micro[4].中，Ingram-Micro因幾分鐘的電力中斷，導致電腦資產與資料的喪失而嚴重影響正常的業務運作，遂依業務中斷保險(Business-interruption insurance）請求保險賠償，但遭受保險公司拒絕，保險公司提起訴訟並宣稱承保範圍未包含電腦與其他資產。地方法院認為，被保險人客製軟體程式的喪失，構成「具體損害」，具體損害不限於電腦迴路的被有形損毀或傷害，也會包含無法近用（Loss of access）、無法使用（Loss of use）以及功能喪失。 　　另一案Lambrecht & Associates, Inc. v. State Farm Lloyds[5]，保險公司認為電腦病毒感染所造成的損失，非有形損失，因而拒絕保險給付。法院認為，本案之電腦系統以及儲存的資料皆因病毒感染而毀壞、被置換（Replaced），此種結果，等於電腦系統完全無法接收、發送或回復任何形態的資訊，而完全失去作為電腦系統的效用；因此未接受保險公司的主張。 　　近期一例為責任保險爭議。Retail Ventures, Inc. v. Nat'l Union Fire Ins. Co.[6]中，Retail Venture是DSW鞋子盤商，2005年時它的電腦系統遭駭客入侵，共有百萬筆的客戶資料遭不當下載且許多資料夾也被翻閱過。由於DSW向Nat'l Union購買商業竊盜險，在其承保項目中包括電腦與資金移轉詐欺（Computer & Fund transfer fraud coverage），DSW遂向保險公司請求保險賠償，主張此次駭客入侵所造成的損失有530萬元之多，但保險公司拒絕給付賠償金。於是DSW對保險公司提起訴訟，地方法院認定保險公司應支付保險賠償，保險公司不服，提起上訴至巡迴法院，巡迴法院認為，條款規定雖是限於該損失是由保險事故「直接造成」（Resulting directly from），但這不代表該保險事故必須是造成損失的「唯一」（Solely）與「立即」（Immediately）的原因[7]，因此維持地方法院的判決。 （二）有利於保險人的實務見解 　　在America Online, Inc. v. St. Paul Mercury Insurance Co.中，由於America Online（AOL）所生產的網路接取軟體AOL 5.0據稱會毀壞用戶的電腦系統，因而被客戶訴訟求償，AOL依責任保險內容，轉而請求保險公司應替其進行訴訟防禦，遭保險公司拒絕。為此，AOL對保險公司提起訴訟，法院遂檢視保險契約中是否載明保險公司有進行訴訟防禦的義務。契約中將情境限於「有形」財產損失，法院解釋，從字義上一般不會認為電腦資料、軟體及系統是「有形」財產，因為有形財產應是指可以觸摸（Be touched），但電腦資料、軟體及系統無法被感官感知，因此是無形財產。此外契約中亦有「功能降低除外條款」，意即，不良品或者危險產品所造成的損害非有形，故被排除在承保範圍內。法院據此否認AOL的主張[8]。 三、「新」資料保險產品應運而生 　　從上述實務案例的觀察，作成不利於被保險人判決結果的法院，是直接認定電腦資料、軟體與系統為無形財產。反之，作成有利於被保險人判決結果的法院，是將「資料」（程式或軟體）與「電腦系統」合為觀之，而認定電腦系統為有形財產，把電腦系統無法發揮正常作用視為具體損害。即使判決結果可能有利於被保險人，但是解釋方式卻較為迂迴，也顯得被保險人相當艱辛。 參、外國資料保險機制之發展實例與推動 　　雲端運算發展日益普遍日後，可以透過網際網路提供資訊服務（例如儲存空間、應用程式等），「資料」已然不附載在特定或固定的載體（電腦系統）上。因應整體資訊應用形態的轉變，國內外市場上逐漸有相關資料保險產品推出的案例。 一、實例 　　第一個例子，MSPAlliance是一個資源管理服務業者暨認證聯盟，於2013年4月與保險經紀公司Lockton 合作，設計「雲端暨管理服務」保險(Cloud and Managed Services Insurance)，讓其聯盟會員提供資訊服務時得以購買此保險；承保項目包括因網路攻擊、資料滅失或系統故障而導致應負擔損害賠償責任，以及因技術錯誤或無法作用（Tech Errors & Omissions）所導致的損害賠償責任，亦包含在內。至於被保險人的資格要求，則限定是聯盟會員，且必須通過Unified Certification Standard (UCS)驗證。事實上，要求被保險人取得一定的驗證，是保險風險管理很重要的ㄧ環。 　　第二個例子，雲端保險服務平台Cloudinsure於2013年2月宣布與保險經紀公司Lockton合作，擬設計適於雲端環境的隱私與安全責任保險方案。其保險產品內容主要在確保雲端服務提供者可履行在契約、或服務水準協議（Service Level Agreements）中的承諾，再者也能依據其客戶存放於雲端環境之資料的風險層級，給予金錢防護。 第三個例子，與前兩例不同，是針對一般的資訊服務使用者來設計。保險經紀公司達信（Marsh）於2012年6月針對雲端環境的企業使用者，開發新的保險方案CloudProtect。被保險人是採用雲端服務的中小型企業，承保項目包括：因雲端服務中斷所致的營運收入損失（Loss of income）、因採購新的雲端服務提供者所產生的相關費用支出、因資料轉換至新的雲端服務所產生的相關費用支出。 二、政府的參與及投入推動 　　美國的國家技術標準局（Institute of Standards and Technology, NIST）在規劃新網路時代藍圖時，把持續促進資料「保險」（Cyber Insurance），列為關鍵的一角。從這個角度而言，保險不僅具有轉移風險與填補損害的功能，更具有正面積極的意義，可作為新興技術發展的後盾。對於NIST這樣的主張，美國保險人協會（American Insurance Association）也予以呼應，認為針對網路應用環境而持續開發各種保險產品，是勢在必行的方向。 (一)政策推導 　　美國證券交易委員會指引（2011年），建議公司若為因應資安風險而購買保險產品，應列入資訊揭露範圍。此被認為是間接鼓勵企業購買相關保險產品的具體措施之一。 (二)政府機關作為被保險人購買資料保險之例 　　美國有以政府機關名義購買資料相關保險之例，蒙大拿（Montana State Government）購買「網路資料安全保險」（Cyber/Data Information Security Insurance），為期一年（2012年7月1日至2013年7月1日），保險項目包括：資訊安全責任（每次事故保險賠償上限200萬美元）、行政罰款（每次事故保險賠償上限200萬美元）、損害通知支出（每次事故保險賠償上限100萬美元）、網站媒體披露支出（每次事故保險賠償上限200萬美元）、每次保險事故發生以200萬美元為總保險賠償限額。此案之保險業者為Beazley，保險經紀人為Alliant Insurance Services。值得特別注意的是，保險項目當中包含損害通知支出，此是呼應了美國相關法令要求業者必須於獲悉資安事故時踐行通知相關的資料主體。 　　資安事故的確實可能使政府機關蒙受莫大損失，美國南卡羅萊納州稅務局（South Carolina Department of Revenue）2012年發生駭客攻擊事件，州政府花費約2000萬美元收拾殘局，其中1200萬美元用來作為市民身份被竊後的信用活動監控，其他則用來發送被害通知、資安強化措施、及建立數位鑑識團隊、資安顧問。 肆、結論－我國推動相關資料保險機制可行性之總合評析 　　現階段我國相關保險市場的現況，為因應我國個人資料保護法的通過與正式實施，也有推出資料相關保險產品，目標客群為企業，以協助企業因應觸及個人資料可能產生對他人的損害賠償責任、及填補其他附帶損害為主要訴求。至於，針對業者（被保險人）因提供資訊服務過程中的資料被害、毀損滅失所導致營業損失（營運中斷、負擔契約上損害賠償責任）之損害填補，似尚未有相關保險產品推出。考其原因，是保險業者對於此種因無形財產（資料）所導致損害的保險賠償模式，尚未累積足夠的經驗，也缺乏相關精算數據的掌握，因而不敢貿然承作，另一方面，保險業者本身也擔憂無足夠資力因應大規模的保險事故。 對此現象，我國主責資訊服務產業推動的有關政府部門，也思及政府投入參與資料保險機制，例如推動以機關為被保險人而購買相關的資料保險，藉以活絡資料保險市場；此種構想，在法律層面並無疑義，此乃保險賠償與國家賠償機制雖有各自目的，但未有所衝突[9]。然而，實際操作上，必須考量政府機關資訊系統是否能通過保險業者的保險風險查核、是否有足夠的預算足以支付保險費用、以及決策單位是否能有效與資訊業務單位溝通以評估購買此類保險的需求...等諸多問題。 　　事實上，我國相關資料保險市場要邁向成熟發展，尚待多方努力，除保險業者本身規劃並提出合適的保險產品之外，參酌國外經驗，保險經紀公司也能扮演一定角色，可針對客戶需求量身訂作風險評鑑、研提最符合的保險方案，並藉客戶共同需求而匯聚保險風險共同團體。政府所扮演之角色，除直接以政策推導之外，尚能在若干條件齊備之後實際參與保險機制，其後續方向值得關注。 [1]Collin J. Hite, Top lawyers on trends and key strategies for the upcoming year the ever-changing scope of insurance law, Aspatore Feb. 2013. [2]http://www.computerweekly.com/news/2240202703/An-introduction-to-cyber-liability-insurance-cover (last visited at Oct. 24, 2013) [3]Jack Montgomery, Cybercrime losses and insurance for property damage and third-party claims, Maine Bar Journal, Summer 2012, p. 159. [4]Civ. 99-185 TUC ACM, 2000 U.S. Dist. Lexis 7299 (D. Ariz., April 19, 2000). [5]Lambrecht & Associates, Inc. v. State Farm Lloyds, 119 S.W.3d 16, 25 (Tex. App. 2003). [6]Retail Ventures, Inc. v. Nat'l Union Fire Ins. Co. of Pittsburgh, Pa., 691 F.3d 821 (6th Cir. 2012). [7]Retail Ventures, Inc. v. Nat'l Union Fire Ins. Co. of Pittsburgh, Pa., 691 F.3d 821 (6th Cir. 2012), p.13. [8]America Online, Inc. v. St. Paul Mercury Ins. Co., 207 F. Supp. 2d 459 - Dist. Court, ED Virginia 2002, P.461-462. [9]請參考96年法務部法律字第0960003420號函。

　　2006年12月7日星期四在金融時報全版的廣告上，知名歌手U2、Kaiser Chiefs與大約四千個樂團，共同連署呼籲英國政府支持修正英國的著作權法，延長音樂著作權的保護期限。 英國著作權法的保護期限目前規定為50年，較美國著作權保護期限95年短，許多音樂著作人怕在有生之年會失去他們的音樂著作權。因此，英國的唱片工業((BPI, British Phonographic Industry)已經進行推動修改英國著作權法，希望延長英國著作權法保護期限，但有政府智慧財產權意見書卻建議政府維持原本英國著作權法之規定。 政府智慧財產權意見書的作者，安德魯高爾說，延長音樂著作權的保護期限超過50年，只會有利於已經很有錢的少數知名巨星。 錄音製品播放版權有限公司的發言人，肯尼斯哈瑞斯表示，那些音樂著作人採取在廣告版面上表達他們的訴求，是因為他們關切得著作權議題，竟然不被重視，所以想用這項空前的舉動，來支持修正英國著作權法，延長著作權保護期限。 延長著作權期限的議題不僅僅只是對巨星高要求的特殊待遇，而是必須讓那些難以維持生計的音樂著作人能被法律公平的對待。