國際因應智慧聯網環境重要法制研析－歐盟新近個人資料修法與我國建議

　　歐盟於2016年4月19日公布數位單一市場下ICT標準化優先發展項目(ICT Standardisation Priorities for the Digital Single Market)，包括：5G通訊、雲端運算、智慧聯網、巨量資料技術、以及網路安全等，作為目前數位單一市場發展的基礎。相關影響產業包含：智慧健康、智慧能源、智慧運輸系統、電動車、智慧家居、以及智慧城市等。其三大主軸依次說明如下： 1. ICT標準建立為數位單一市場發展核心 歐盟將依1025/2012規則為基礎，進行標準化建立，因此將聚焦在數位單一市場需要發展的核心技術領域，優先進行標準訂定。 2. 因應全球技術變遷發展 ICT標準發展主要仍以產業為導向，且由產業自願性採納，建立之原則包括應具備透明性、開放、公平與一致性、有效與連結性等，此同時也能促成歐洲創新能量之發展。 3.以雙主軸計畫優先發展ICT標準設立 (1)首先歐盟執委會將確認數位單一市場優先發展之五項領域，並且設立發展時程。 (2)針對上述的優先發展領域，歐盟將進行施行檢視以及相關細項。 　　在5G通訊部分，預計將透過5G公私協力合作發展，同時以目前產業的需求為發展導向；在雲端運算方面，歐盟將以資金補助方式，促進雲端應用的互通性與易取性發展，並且支持企業，尤其在中小企業部分，以服務層級協議為基礎，協助採用雲端運算服務；在智慧聯網發展部分，主要為發展技術、介面、Open API等，建立準則，並預計將智慧聯網標準納入成為政府採購項目之一；在網路安全性部分，在上述發展技術領域當中，資料安全與隱私保護為核心議題，因此除了透過公司協力方式發展安全技術以外，同時也鼓勵業者應該設計著手保護隱私等概念優先納入技術之中；關於巨量資料技術部分，包括跨部門技術整合、資料與後設資料有更佳的互通性。此外，尚包括資料與軟體基礎設施服務，提供科學資料的交換、執行資料管理計畫、品質驗證、信賴性與透明性等原則。 　　最後，在可能受影響之產業方面，以智慧健康發展為例，智慧健康必須符合病人預期要求，如病人安全維護以及達到更佳的健康照護體系。因此，互通性的標準為當中關鍵的角色，未來亦有助於發展各國之間跨境醫療照護實踐。在電子病歷交換方面，從病人病歷摘要、電子處方簽等等，在符合個資保護條件之下，建立互通性標準可使疾病的治療更為完善。歐盟未來將持續鼓勵各會員國之間標準互通性之發展，包含目前行動健康應用程式的使用，以及未來遠距醫療應用。後續，歐盟將從2016年開始至2017年，持續針對標準建立進行討論會議，預計以資金費用補助以及其他政策方式輔導發展，同時也在2016年6月提出規劃說明使歐盟標準化政策發展符合現代化。

　　2011年3月31日，歐盟執委會啟用新一代的關鍵資訊基礎設施保護計畫(Critical Information Infrastructure Protection, CIIP)。上一代的關鍵資訊基礎設施保護計畫在2009年公布並已取得一定的成果。新一代的計畫集中在全球化的挑戰，著重在歐盟成員國與全球其他國家的合作，與相互之間的合作關係。 　　為了達成這個目標，歐盟執委會訂定以下的行動綱要： (1)準備和預防：利用成員國論壇(European Forum for Member States, EFMS)分享資訊及政策。 (2)偵測和反應：發展資訊分享及警示系統，建置民眾、中小型企業與政府部門間的資訊分享、警示系統。 (3)緩和及復原：發展成員國間緊急應變計畫，組織反應大規模網路安全事件，強化各國電腦緊急反應團隊的合作。 (4)國際與歐盟的合作：根據歐盟成員國論壇所制訂的，歐洲網際網路信賴穩定指導原則和方針，進行全球大規模網路安全事故的演習。 (5)制訂資訊通信技術的標準：針對關鍵資訊基礎設施制訂技術標準。 　　另外，在2011年4月14-15日舉行的關鍵資訊基礎設施保護電信部長級會議(Telecom ministerial conference on CIIP)，整個會議針對歐盟成員國、私人企業、產業界及其他國家進行策略性的對話，強化彼此在數位環境中的合作與信任關係。並針對新一代的關鍵資訊基礎設施保護計畫，向歐盟執委會提出相關政策建言。 　　受全球化、資訊化發展的影響，以及各國間互賴程度的增加，使得影響關鍵資訊基礎設施(CIIP)安全的問題，不再侷限於單一區域，更需要各方多元的合作。

　　美國總統布希於本（ 8 ）月 8 日簽署能源法案，法案目的除減少對國外能源依賴外，另亦授權興建一座新核能發電廠。布希政府希望於 2010 年前開始建造核能廠。 　　儘管核能爭議大，但現今國際油價已飆高達每桶 63 美元，在美國參眾兩院日前通過、布希總統今簽署的能源法案中，同意興建的新核電廠，是美國自 1979 年三哩島事件以來，第 1 座預定興建的核能廠。 　　能源法案的通過，被視為是布希政府一大勝利，也是相關利益團體石油公司的勝利。布希自 2001 年上台即大力鼓吹此法案，經 4 年多爭議，眾參院才分別在 7 月 28 、 30 日通過。 　　除新建核電廠外，能源法案內容還包括：准許在海岸探勘石油與天然氣，這項鬆綁引起環保人士質疑；提供美國能源公司超 10 年 145 億美元的減稅優惠，這項優惠讓華府輿論質疑，減稅是「肥了石油公司，苦了消費者與納稅人」；另外，鼓勵開發新的潔淨能源、再生能源，提供 18 億美元的獎助，這項具有環保意義、找尋替代能源的條文，也被質疑資助少得可憐。

美國奧克拉荷馬州修正《個資事故通報法》，擴充個資定義範圍並強化通報機制 資訊工業策進會科技法律研究所 2025年07月22日 現行我國關於非公務機關就個資事故進行通報之規定，散落於各中央目的事業主管機關制定之各業別個人資料檔案安全維護管理辦法或相關辦法中，且前揭各辦法對於通報之標準不盡相同。各國主管機關紛紛強化個資治理法制，而美國奧克拉荷馬州修正關於個人資料定義、適當防護措施及個資事故通報機制等事項，以建立更完善之規範。 壹、事件摘要 美國奧克拉荷馬州議會業於2025年5月20日通過第626號法案（Senate Bill 626）[1]，修正《個資事故通報法》（Security Breach Notification Act）[2]，其目的係為補充現行治理規範之不足，修正重點涵蓋：擴充法定用詞之定義，針對「個人資料」（Personal Information）與「適當防護措施」（Reasonable Safeguards）等條文予以補充與增列；強化個資事故（Breach of the security of a system）之通報機制與設立豁免條款，並釐清與其他法規間之適用關係；以及修訂違法情事之民事裁罰。此外，本次修法亦明定，若機構或個人已採取適當防護措施，得作為民事訴訟中之抗辯理由。本法將自2026年1月1日起正式生效，並適用於自該日起所發現、判定或通報之個資事故，相關單位應即早進行法遵準備，以確保制度落實。 貳、修法重點 本次修法主要包含三大核心面向，簡要說明如下： 一、擴充法定用詞之定義 （一）個人資料 於現行法規對個人資料之定義下，再增加新資料類別： 1.與驗證碼、存取碼或密碼結合使用時，可用以登入特定個人金融帳戶之專屬電子識別碼（Electronic Identifier）或路由代碼（Routing Code）； 2.用以辨識特定自然人之獨特生物特徵資料，例如指紋、視網膜或虹膜影像，或其他具體實體或數位形式之生物辨識資料。 （二）適當防護措施 適當防護措施係指，為確保個人資料安全而考量組織或機構之規模、產業別、以及保有之個資類別與數量所制定之政策及作業實務。此概念包括但不限於：進行風險評估、建立技術面及實體面之多層次保護機制、對人員實施教育訓練，及建立個資事故應變計畫等。 二、強化事故通報機制與設立豁免條款 本法要求於發現系統個資事故並已通知受影響之當事人後，應於60日內向州檢察總長（Attorney General）提交書面通報，載明涉及之個人資料類別、事故性質、受影響人數、預估之財務損失、所採行之適當防護措施等必要內容。惟若事故影響人數低於500名州民，或事故發生於徵信機構且影響人數未達1,000人，則可免除向檢察總長通報之義務。 此外，本法明確規範，若特定機構已依據其他法律，如《奧克拉荷馬州醫療資安保護法》（Oklahoma Hospital Cybersecurity Protection Act of 2023）或聯邦《健康保險可攜及責任法》（Health Insurance Portability and Accountability Act of 1996）等履行相關通報義務，則視為已符合本法之要求。 三、民事裁罰 本法明定，民事罰鍰之裁量將審酌事故規模、事故發生後組織之因應作為及是否履行事故通報義務等因素而定，以確保裁量之比例原則。裁量情形說明如下： 1.若機構已採行適當防護措施且依法進行事故通報者，得免除民事責任； 2.若未採取適當防護措施，惟仍依規定完成事故通報者，則須負擔實際損害賠償責任並處以最高75,000美元罰鍰； 3.未落實適當防護措施與事故通報法定義務者，最高處以150,000美元罰鍰。 參、事件評析 本次修法可見奧克拉荷馬州就數位時代資安威脅所採行之積極因應作為，其修正重點包含：擴充個人資料之定義並明定適當防護措施之內容，俾利降低企業法遵成本及法律適用之不確定性；強化事故通報機制並設置合理豁免條款，以確保資訊透明度；於罰則規範中明定民事罰鍰之裁量，應審酌事故規模及是否履行事故通報義務等因素，以符合比例原則。 有鑑於本法修正後所課予之法定義務，建議企業應採行下列因應措施：(1)全面盤點所保有之個人資料，尤應注意新增納管之電子識別碼及生物特徵等資料；(2)檢視並強化現有防護機制，確保符合適當防護措施之要求；(3)建立標準化通報應變程序；(4)強化教育訓練。此外，企業宜定期檢視法規動態，以確保持續符合法規要求。 [1] Bill Information for SB 626, OKLAHOMA STATE LEGISLATURE, http://www.oklegislature.gov/BillInfo.aspx?Bill=sb626&Session=2500 (last visited June 1, 2025). [2] BILL NO. 626, OKLAHOMA STATE LEGISLATURE, https://www.oklegislature.gov/cf_pdf/2025-26%20ENR/SB/SB626%20ENR.PDF (last visited June 2, 2025).