美國FCC發布新廣電事業所有權限制規則的法規制定建議通知
美國FCC在2011年12月22日發布了新廣電事業所有權限制規則的法規制定建議通知(Notice of proposed rulemaking, NPRM),進一步降低包括高功率無線電視台、廣播電台等地區性媒體集中、全國無線電視網所有權集中、以及地區性報社與無線電視台的跨媒體集中之管制密度。
廣電事業所有權限制規則自2000年之後歷經多次修正與涉訟,FCC於2003年的修正,於遭到2004年遭到聯邦第三巡迴法院的部份廢棄;2007年與2008年的修正,亦同樣遭到同法院的部份廢棄。而FCC在經2010年的四年一度檢視、並委託外界研究之後,再於此次進行修正、並諮詢各界。
FCC認為,寬頻網路確實使消費者轉向網路或行動平台接收新內容與影音節目,也連帶使媒體市場結構大幅變化。但新媒體目前尚未如傳統媒體般無所不在,主因是美國寬頻上網仍未普及,寬頻普及率僅70%;並有1400萬人無法接取寬頻基礎設施。而線上影音串流或下載節目皆要求最小寬頻頻寬,阻礙了新媒體的普及,因此廣電事業所有權限制規則對於維護競爭、在地化、多樣性、與保障少數族群、身心障礙者和女性的政策目標上,仍有存在必要。
此次NPRM重點如下:
1、維持地區無線電視所有權限制規則(Local Television Ownership Rule);
2、維持地區報社/地區無線電視跨媒體所有權限制規則(Newspaper/Broadcast Cross-Ownership Rule);
3、因既有地區無線電視、地區廣播所有權限制規則已足夠維護政策目標,廢除地區廣播電台/地區無線電視台跨媒體所有權限制規則(Radio/Television Cross-Ownership Rule);
4、維持複數全國無線電視網所有權限制規則(Dual Network Rule); 新訂少數族群與女性所有權保障規範。
美國食品和藥物管理局(FDA)於2018年9月6日發布關於「制定醫療器械在上市前核准(PMA)、低風險創新器材(De Novo)分類和人道用途器材免除(HDE)的利益-風險決策之不確定性考量指引草案。」 為滿足FDA促進公共健康的使命,醫療器械上市前核准(PMA)通常涉及較高的不確定性,因此本指引是適當的解決利益風險的判定以支持FDA的決策。包含考量患病群願意接受醫療器械帶來的益處及風險之更多不確定性,特別是沒有可接受的替代治療方案時。 根據指引草案,FDA依據具體情況,判定其利益-風險的適當程度之不確定性,包括: (1) 醫療器械可能帶來好處程度。 (2) 醫療器械存在的風險程度。 (3) 關於替代治療或診斷的利益-風險之不確定程度。 (4) 如果可能,需瞭解患者對醫療器械可能帶來的益處和風險之不確定性觀點。 (5) 公共衛生需求的程度。 (6) 依據臨床證據可支持上市前之可行性。 (7) 能夠減少或解決醫療器械的上市後利益-風險留下之不確定性。 (8) 上市後緩解措施的有效性。 (9) 建立決策類型。(如上市前核准(PMA)和人道用途器材免除(HDE)的核准標準不同。) (10) 對於早期患者訪問醫療器械的可能帶來的益處。 本指引草案中,FDA基於考量有關醫療器械臨床/非臨床訊息之利益風險,需與FDA的規範、監管機關和要求要有一致性。
歐洲資料保護監督官12月7日發表正式意見,針對歐盟執委會就AFSJ大型資訊技術系統設立作業管理機構之立法計畫,提出隱私保護法律要求歐洲資料保護監督官(European Data Protection Supervisor, EDPS)於2009年12月7日,針對歐盟執委會(European Commission)近年所提出關於設立歐盟「自由、安全及司法領域」(area of freedom, security and justice, AFSJ)大型資訊技術系統(IT System)作業管理機構之立法計畫,基於個人資料保護之立場提出正式法律意見。如此一立法計畫順利通過,該機構預計將擔負起包括「申根資訊系統」(Schengen Information System, SIS II)、「簽證資訊系統」(Visa Information System, VIS)、「歐洲指紋系統」(European Dactylographic System, Eurodac)及其他歐盟層級之大規模資訊技術系統之作業管理(operational management)任務。 根據EDPS首長Peter Hustinx表示,由於前述各項系統之資料庫中均包含諸如護照內容、簽證及指紋等大量敏感個人資料,因此儘管設立單一之作業管理機構,可以在相當程度上釐清歐盟各部門職責歸屬及準據法適用之問題,但如此一機構欲取得合法性,其活動範圍及相關責任即必須在立法中獲得明確界定,否則即可能產生個人資料濫用(misuse of personal data)及資料庫「功能潛變」(function creep)之風險。而基於此一分析,Hustinx認為目前執委會之機構立法計畫尚未符合個人資料保護要求。 此外,針對後續立法進程,EDPS建議除應確實釐清該管理機構之活動範圍是否包括整體AFSJ,亦或僅限於邊境檢查及難民與移民事務;執委會與該機構之關聯性與責任等重要問題外,是否可在缺乏相關經驗及實證評估下,即直接將所有歐盟層級之大型資訊技術系統與資料庫歸入該機構管轄,顯然亦有商榷餘地。EDPS就此認為,透過立法界定「大型資訊系統」之範圍,並且採取資料庫分次進入該管理機構責任範圍之方式,應係日後執委會可以努力之方向。
美國參議院於2015年4月針對patent troll提出PATENT Act法案美國參議院於2015年4月底針對抗衡美國patent troll提出法案,該法案名為the Protecting American Talent and Entrepreneurship (PATENT) Act。希望能制止美國近年來濫用美國專利系統制度,造成許多不必要之專利訴訟案件等情形。 該法案指出,許多濫用之專利訴訟案不僅發生在大公司,許多中小公司也受到patent troll的侵擾,也許即使不著名的專利訴訟案也會花費被告方非常大筆之金額。法案內容指出,提起專利訴訟方需要清楚定義該專利的聲明(claim)及何種產品或是過程侵權,及其侵權之方法等。另外,勝訴方可以提出敗訴方在訴訟過程中所花費的費用並不客觀上合理等聲明。美國政府於2015年5月初表示支持該項提案,且認為該法案是合理且可理解的法案(common-sense legislation),並希望能於今年簽訂通過該法案於國家專利法中,讓美國專利法系統不受到patent troll的氾濫使用。 美國眾議院於2015年5月底又針對PATENT Act法案做出修正,希望在打擊專利蟑螂時,又不至於過度保護AIA,而造成專利權人泛濫使用AIA保護而矯枉過正。主要的法案修正內容包括: 1.限制PTAB過度檢視專利有效性的範圍。PTAB為了防止過多的專利訴訟,對於專利的有效性較謹慎檢視,因而相對的判定許多專利無效。此法案要求PTAB的審查標準需與地方法院檢視專利有效性的標準相同,以避免過度不合理的專利無效決定。 2.專利權人若要聲訴原告的專利無效需具有大量且具體的證明,證明專利的無效性。若專利權人提出無理由的專利訴訟,即造成濫用專利權人權利的情形,該法案規定,其可對其律師相關的懲罰。 3.若專利權人像PTAB提出對方的專利無效,PTAB僅需一個成員來決定是否構成審視該專利有效性的決定。 提出這些修改法案,主要希望在打擊專利訴訟濫用的同時,又不會過度的保護專利權人而可能夠成不中立的結果。
美國奧克拉荷馬州修正《個資事故通報法》,擴充個資定義範圍並強化通報機制美國奧克拉荷馬州修正《個資事故通報法》,擴充個資定義範圍並強化通報機制 資訊工業策進會科技法律研究所 2025年07月22日 現行我國關於非公務機關就個資事故進行通報之規定,散落於各中央目的事業主管機關制定之各業別個人資料檔案安全維護管理辦法或相關辦法中,且前揭各辦法對於通報之標準不盡相同。各國主管機關紛紛強化個資治理法制,而美國奧克拉荷馬州修正關於個人資料定義、適當防護措施及個資事故通報機制等事項,以建立更完善之規範。 壹、事件摘要 美國奧克拉荷馬州議會業於2025年5月20日通過第626號法案(Senate Bill 626)[1],修正《個資事故通報法》(Security Breach Notification Act)[2],其目的係為補充現行治理規範之不足,修正重點涵蓋:擴充法定用詞之定義,針對「個人資料」(Personal Information)與「適當防護措施」(Reasonable Safeguards)等條文予以補充與增列;強化個資事故(Breach of the security of a system)之通報機制與設立豁免條款,並釐清與其他法規間之適用關係;以及修訂違法情事之民事裁罰。此外,本次修法亦明定,若機構或個人已採取適當防護措施,得作為民事訴訟中之抗辯理由。本法將自2026年1月1日起正式生效,並適用於自該日起所發現、判定或通報之個資事故,相關單位應即早進行法遵準備,以確保制度落實。 貳、修法重點 本次修法主要包含三大核心面向,簡要說明如下: 一、擴充法定用詞之定義 (一)個人資料 於現行法規對個人資料之定義下,再增加新資料類別: 1.與驗證碼、存取碼或密碼結合使用時,可用以登入特定個人金融帳戶之專屬電子識別碼(Electronic Identifier)或路由代碼(Routing Code); 2.用以辨識特定自然人之獨特生物特徵資料,例如指紋、視網膜或虹膜影像,或其他具體實體或數位形式之生物辨識資料。 (二)適當防護措施 適當防護措施係指,為確保個人資料安全而考量組織或機構之規模、產業別、以及保有之個資類別與數量所制定之政策及作業實務。此概念包括但不限於:進行風險評估、建立技術面及實體面之多層次保護機制、對人員實施教育訓練,及建立個資事故應變計畫等。 二、強化事故通報機制與設立豁免條款 本法要求於發現系統個資事故並已通知受影響之當事人後,應於60日內向州檢察總長(Attorney General)提交書面通報,載明涉及之個人資料類別、事故性質、受影響人數、預估之財務損失、所採行之適當防護措施等必要內容。惟若事故影響人數低於500名州民,或事故發生於徵信機構且影響人數未達1,000人,則可免除向檢察總長通報之義務。 此外,本法明確規範,若特定機構已依據其他法律,如《奧克拉荷馬州醫療資安保護法》(Oklahoma Hospital Cybersecurity Protection Act of 2023)或聯邦《健康保險可攜及責任法》(Health Insurance Portability and Accountability Act of 1996)等履行相關通報義務,則視為已符合本法之要求。 三、民事裁罰 本法明定,民事罰鍰之裁量將審酌事故規模、事故發生後組織之因應作為及是否履行事故通報義務等因素而定,以確保裁量之比例原則。裁量情形說明如下: 1.若機構已採行適當防護措施且依法進行事故通報者,得免除民事責任; 2.若未採取適當防護措施,惟仍依規定完成事故通報者,則須負擔實際損害賠償責任並處以最高75,000美元罰鍰; 3.未落實適當防護措施與事故通報法定義務者,最高處以150,000美元罰鍰。 參、事件評析 本次修法可見奧克拉荷馬州就數位時代資安威脅所採行之積極因應作為,其修正重點包含:擴充個人資料之定義並明定適當防護措施之內容,俾利降低企業法遵成本及法律適用之不確定性;強化事故通報機制並設置合理豁免條款,以確保資訊透明度;於罰則規範中明定民事罰鍰之裁量,應審酌事故規模及是否履行事故通報義務等因素,以符合比例原則。 有鑑於本法修正後所課予之法定義務,建議企業應採行下列因應措施:(1)全面盤點所保有之個人資料,尤應注意新增納管之電子識別碼及生物特徵等資料;(2)檢視並強化現有防護機制,確保符合適當防護措施之要求;(3)建立標準化通報應變程序;(4)強化教育訓練。此外,企業宜定期檢視法規動態,以確保持續符合法規要求。 [1] Bill Information for SB 626, OKLAHOMA STATE LEGISLATURE, http://www.oklegislature.gov/BillInfo.aspx?Bill=sb626&Session=2500 (last visited June 1, 2025). [2] BILL NO. 626, OKLAHOMA STATE LEGISLATURE, https://www.oklegislature.gov/cf_pdf/2025-26%20ENR/SB/SB626%20ENR.PDF (last visited June 2, 2025).