韓國2012年度國家智財施行計畫檢討評估結果出爐

美國奧克拉荷馬州修正《個資事故通報法》，擴充個資定義範圍並強化通報機制 資訊工業策進會科技法律研究所 2025年07月22日 現行我國關於非公務機關就個資事故進行通報之規定，散落於各中央目的事業主管機關制定之各業別個人資料檔案安全維護管理辦法或相關辦法中，且前揭各辦法對於通報之標準不盡相同。各國主管機關紛紛強化個資治理法制，而美國奧克拉荷馬州修正關於個人資料定義、適當防護措施及個資事故通報機制等事項，以建立更完善之規範。 壹、事件摘要 美國奧克拉荷馬州議會業於2025年5月20日通過第626號法案（Senate Bill 626）[1]，修正《個資事故通報法》（Security Breach Notification Act）[2]，其目的係為補充現行治理規範之不足，修正重點涵蓋：擴充法定用詞之定義，針對「個人資料」（Personal Information）與「適當防護措施」（Reasonable Safeguards）等條文予以補充與增列；強化個資事故（Breach of the security of a system）之通報機制與設立豁免條款，並釐清與其他法規間之適用關係；以及修訂違法情事之民事裁罰。此外，本次修法亦明定，若機構或個人已採取適當防護措施，得作為民事訴訟中之抗辯理由。本法將自2026年1月1日起正式生效，並適用於自該日起所發現、判定或通報之個資事故，相關單位應即早進行法遵準備，以確保制度落實。 貳、修法重點 本次修法主要包含三大核心面向，簡要說明如下： 一、擴充法定用詞之定義 （一）個人資料 於現行法規對個人資料之定義下，再增加新資料類別： 1.與驗證碼、存取碼或密碼結合使用時，可用以登入特定個人金融帳戶之專屬電子識別碼（Electronic Identifier）或路由代碼（Routing Code）； 2.用以辨識特定自然人之獨特生物特徵資料，例如指紋、視網膜或虹膜影像，或其他具體實體或數位形式之生物辨識資料。 （二）適當防護措施 適當防護措施係指，為確保個人資料安全而考量組織或機構之規模、產業別、以及保有之個資類別與數量所制定之政策及作業實務。此概念包括但不限於：進行風險評估、建立技術面及實體面之多層次保護機制、對人員實施教育訓練，及建立個資事故應變計畫等。 二、強化事故通報機制與設立豁免條款 本法要求於發現系統個資事故並已通知受影響之當事人後，應於60日內向州檢察總長（Attorney General）提交書面通報，載明涉及之個人資料類別、事故性質、受影響人數、預估之財務損失、所採行之適當防護措施等必要內容。惟若事故影響人數低於500名州民，或事故發生於徵信機構且影響人數未達1,000人，則可免除向檢察總長通報之義務。 此外，本法明確規範，若特定機構已依據其他法律，如《奧克拉荷馬州醫療資安保護法》（Oklahoma Hospital Cybersecurity Protection Act of 2023）或聯邦《健康保險可攜及責任法》（Health Insurance Portability and Accountability Act of 1996）等履行相關通報義務，則視為已符合本法之要求。 三、民事裁罰 本法明定，民事罰鍰之裁量將審酌事故規模、事故發生後組織之因應作為及是否履行事故通報義務等因素而定，以確保裁量之比例原則。裁量情形說明如下： 1.若機構已採行適當防護措施且依法進行事故通報者，得免除民事責任； 2.若未採取適當防護措施，惟仍依規定完成事故通報者，則須負擔實際損害賠償責任並處以最高75,000美元罰鍰； 3.未落實適當防護措施與事故通報法定義務者，最高處以150,000美元罰鍰。 參、事件評析 本次修法可見奧克拉荷馬州就數位時代資安威脅所採行之積極因應作為，其修正重點包含：擴充個人資料之定義並明定適當防護措施之內容，俾利降低企業法遵成本及法律適用之不確定性；強化事故通報機制並設置合理豁免條款，以確保資訊透明度；於罰則規範中明定民事罰鍰之裁量，應審酌事故規模及是否履行事故通報義務等因素，以符合比例原則。 有鑑於本法修正後所課予之法定義務，建議企業應採行下列因應措施：(1)全面盤點所保有之個人資料，尤應注意新增納管之電子識別碼及生物特徵等資料；(2)檢視並強化現有防護機制，確保符合適當防護措施之要求；(3)建立標準化通報應變程序；(4)強化教育訓練。此外，企業宜定期檢視法規動態，以確保持續符合法規要求。 [1] Bill Information for SB 626, OKLAHOMA STATE LEGISLATURE, http://www.oklegislature.gov/BillInfo.aspx?Bill=sb626&Session=2500 (last visited June 1, 2025). [2] BILL NO. 626, OKLAHOMA STATE LEGISLATURE, https://www.oklegislature.gov/cf_pdf/2025-26%20ENR/SB/SB626%20ENR.PDF (last visited June 2, 2025).

　　英國衛報（ The Guardian ）指出，英國對種植基因改造作物之管制規範存在著漏洞。 1998 年歐盟曾經允許一批基因該造玉米在歐盟境內種植，將之列入歐盟的一般性種子目錄（ the EU common catalogue of seeds ），該玉米由孟山都生技公司所研發，被稱為 MON 810 ；當時基因改造作物尚未受到大眾的注意，更未引起各國政府對基因改造作物的反省。對此，英國的環境食品農業事務部（ Department for Environment, Food and Rural Affairs, Defra ）指出對於這批歐盟所允許的基因改造作物，目前並沒有任何的規範可阻止其進口到英國境內，贊成或熱衷種植基因改造作物的人士，也可在不需通知主管機關或鄰近土地之所有人的情況下，合法種植自己希望的基因改造作物。農民只需在銷售或生產此種玉米時，遵守歐盟所頒佈之基因改造溯源與標示相關規則即可。對此，目前英國的環保團體與農民關心的焦點在於，英國目前並沒有區隔基因改造作物與非基因改造作物，及非基因改造作物受到污染時，計算賠償金範圍及數額等之規定，並呼籲英國政府重視此問題。

　　隨著以網路平台經營仲介事業的Airbnb服務開始流行，鎖定國外觀光客的個人住宅和投資型不動產出租產生一種新型態的商機，加上近年旅日遊客增加及2020東京奧運即將來臨，日本政府預期將會有短暫性遊客人數激增。為解決訪日旅客居住設施問題以及特定期間過後旅館閒置造成之資源浪費或倒產問題，日本將在明年（2018）六月施行住宅宿泊事業法（民泊新法）採取鬆綁民宿短期經營之法規限制。該法變革重點包含： 行政程序：原先依據旅館業法採取許可制，民泊新法施行後為申報制。 營業日數：層級化區分旅館與民泊限制年營業180日。 宿泊日數：解除住宿日限制（例如大阪民泊條例須三天兩夜以上）。 建物用途：原本必須為許可旅館，施行後住宅、公寓及招待所皆可。 營業地區：限制在住居專用地營業。 　　本法施行後將可明顯區分旅館業與民泊業強化管理，並且呼應日本政府的經濟振興計畫，帶動兼業、副業及提供自營作業者從事經濟活動的管道。另外，因新法施行後合法民泊增加產生的新型態商機成為吸引大型平台或企業投入政府經濟再興計畫之誘因，進而提供協助個人民泊經營者申報、環境改善、及代理管理等業務，有利於政府推動相關社會安全網建置。

　　美國和歐盟執委會於2022年3月25日宣布將建立新的跨大西洋資料保護框架（Trans-Atlantic Data Privacy Framework），該框架將促進美國與歐洲之間的資料流通，並解決歐盟法院在2020年宣布隱私盾協議（EU-U.S. Privacy Shield framework）無效時所提出的疑慮與問題。 　　該框架是重新建立美國與歐盟兩地個人資料傳輸的一個重要法律機制。美國承諾將實施新措施，以確保訊號情報活動（signals intelligence activities）是在必要且合法的國家安全目標下進行，並且不得不成比例地影響對個人隱私和公民自由的保護。基此，美國承諾的新措施包含強化美國訊號情報活動的隱私及公民自由保障機制、建立獨立且具約束力的救濟措施，以及強化美國情報機構對現有訊號情報活動的程序且分層監督。對於歐盟公民而言，將有全新且高標準的規範來保護個人資料；而對於美歐間的民眾和企業而言，該框架將可促進資料持續流動，足以鞏固歐美兩地每年高達一兆美元的跨境貿易，並使各種規模的企業能夠在彼此的市場中競爭。 　　資料流通對於美歐雙方的經濟關係以及所有企業而言都至關重要。事實上，美國和歐洲之間的資料流通所創造的經濟價值高達7.1兆美元，高居世界首位。在此背景下，新的跨大西洋資料隱私框架將強化美國與歐盟雙方對隱私、資料保護、法治和整體國家安全的共同承諾，未來美國與歐盟雙方將依此框架持續推進雙方各自相關的法律規範。