美國法院對於網路無障礙判決歧異

美國奧克拉荷馬州修正《個資事故通報法》，擴充個資定義範圍並強化通報機制 資訊工業策進會科技法律研究所 2025年07月22日 現行我國關於非公務機關就個資事故進行通報之規定，散落於各中央目的事業主管機關制定之各業別個人資料檔案安全維護管理辦法或相關辦法中，且前揭各辦法對於通報之標準不盡相同。各國主管機關紛紛強化個資治理法制，而美國奧克拉荷馬州修正關於個人資料定義、適當防護措施及個資事故通報機制等事項，以建立更完善之規範。 壹、事件摘要 美國奧克拉荷馬州議會業於2025年5月20日通過第626號法案（Senate Bill 626）[1]，修正《個資事故通報法》（Security Breach Notification Act）[2]，其目的係為補充現行治理規範之不足，修正重點涵蓋：擴充法定用詞之定義，針對「個人資料」（Personal Information）與「適當防護措施」（Reasonable Safeguards）等條文予以補充與增列；強化個資事故（Breach of the security of a system）之通報機制與設立豁免條款，並釐清與其他法規間之適用關係；以及修訂違法情事之民事裁罰。此外，本次修法亦明定，若機構或個人已採取適當防護措施，得作為民事訴訟中之抗辯理由。本法將自2026年1月1日起正式生效，並適用於自該日起所發現、判定或通報之個資事故，相關單位應即早進行法遵準備，以確保制度落實。 貳、修法重點 本次修法主要包含三大核心面向，簡要說明如下： 一、擴充法定用詞之定義 （一）個人資料 於現行法規對個人資料之定義下，再增加新資料類別： 1.與驗證碼、存取碼或密碼結合使用時，可用以登入特定個人金融帳戶之專屬電子識別碼（Electronic Identifier）或路由代碼（Routing Code）； 2.用以辨識特定自然人之獨特生物特徵資料，例如指紋、視網膜或虹膜影像，或其他具體實體或數位形式之生物辨識資料。 （二）適當防護措施 適當防護措施係指，為確保個人資料安全而考量組織或機構之規模、產業別、以及保有之個資類別與數量所制定之政策及作業實務。此概念包括但不限於：進行風險評估、建立技術面及實體面之多層次保護機制、對人員實施教育訓練，及建立個資事故應變計畫等。 二、強化事故通報機制與設立豁免條款 本法要求於發現系統個資事故並已通知受影響之當事人後，應於60日內向州檢察總長（Attorney General）提交書面通報，載明涉及之個人資料類別、事故性質、受影響人數、預估之財務損失、所採行之適當防護措施等必要內容。惟若事故影響人數低於500名州民，或事故發生於徵信機構且影響人數未達1,000人，則可免除向檢察總長通報之義務。 此外，本法明確規範，若特定機構已依據其他法律，如《奧克拉荷馬州醫療資安保護法》（Oklahoma Hospital Cybersecurity Protection Act of 2023）或聯邦《健康保險可攜及責任法》（Health Insurance Portability and Accountability Act of 1996）等履行相關通報義務，則視為已符合本法之要求。 三、民事裁罰 本法明定，民事罰鍰之裁量將審酌事故規模、事故發生後組織之因應作為及是否履行事故通報義務等因素而定，以確保裁量之比例原則。裁量情形說明如下： 1.若機構已採行適當防護措施且依法進行事故通報者，得免除民事責任； 2.若未採取適當防護措施，惟仍依規定完成事故通報者，則須負擔實際損害賠償責任並處以最高75,000美元罰鍰； 3.未落實適當防護措施與事故通報法定義務者，最高處以150,000美元罰鍰。 參、事件評析 本次修法可見奧克拉荷馬州就數位時代資安威脅所採行之積極因應作為，其修正重點包含：擴充個人資料之定義並明定適當防護措施之內容，俾利降低企業法遵成本及法律適用之不確定性；強化事故通報機制並設置合理豁免條款，以確保資訊透明度；於罰則規範中明定民事罰鍰之裁量，應審酌事故規模及是否履行事故通報義務等因素，以符合比例原則。 有鑑於本法修正後所課予之法定義務，建議企業應採行下列因應措施：(1)全面盤點所保有之個人資料，尤應注意新增納管之電子識別碼及生物特徵等資料；(2)檢視並強化現有防護機制，確保符合適當防護措施之要求；(3)建立標準化通報應變程序；(4)強化教育訓練。此外，企業宜定期檢視法規動態，以確保持續符合法規要求。 [1] Bill Information for SB 626, OKLAHOMA STATE LEGISLATURE, http://www.oklegislature.gov/BillInfo.aspx?Bill=sb626&Session=2500 (last visited June 1, 2025). [2] BILL NO. 626, OKLAHOMA STATE LEGISLATURE, https://www.oklegislature.gov/cf_pdf/2025-26%20ENR/SB/SB626%20ENR.PDF (last visited June 2, 2025).

英國運輸部（Department for Transport）2023年7月11日向議會提交《2023年公共充電樁規則（Public Charge Point Regulations 2023）》草案，希望改善電動車駕駛的充電體驗。草案是根據《2018自動與電動車法（Automated and Electric Vehicles Act 2018）》授權，規定一系列充電樁營運商必須遵守的充電樁規格標準，充電樁營運商若未遵守相關規定，最高可處以每座充電樁1萬英鎊之罰鍰： 一、定價及費用透明：充電樁營運商必須清楚標示每時段定價，以便士/瓩時（p/kWh）作為計價單位。每次充電後必須顯示充電總費用。 二、須提供24小時免費客服專線：充電點營運商須提供免費24小時專線，支援客戶服務。同時將客戶所提出的問題、解決方式和時間做成紀錄。 三、開放資料：充電樁營運商必須遵守開放式充電協議（Open Charging Point Interface, OCPI），建構開放式充電網絡，消除漫遊服務資料存取的障礙，免費公開充電樁位置、充電狀態、功率等充電樁相關資料。 四、感應式支付：所有新的8瓩以上公共充電樁，及現有快速公共充電樁必須提供消費者零接觸、無現金支付選項。 五、99%可靠性：所有快速公共充電樁，可靠性要求必須高達99％（即99% 的時間可以正常使用），並在網站公開充電樁可靠性資料。 六、充電漫遊支付服務（Payment roaming）：充電樁營運商必須至少和一家第三方充電漫遊服務供應商（roaming provider）進行合作，使消費者可以透過漫遊服務，使用同一APP或具RFID感應功能的卡片，支付不同充電樁營運商的充電費用。

從日本山崎案[1]談營業秘密不法取得之管理 資策會科技法律研究所 法律研究員　駱玉蓉 105年05月25日 壹、前言 　　為強化營業秘密的保護，日本從2003年開始，於不正競爭防止法（以下稱本法）中導入刑事保護的相關條文，爾後經過多次修法，在2011年調整刑事訴訟程序的同時，於本法導入了即使行為者不使用或揭露所示的營業秘密，但只要以獲取不當利益為目的，且「以複製」等方式「取得營業秘密」，亦為刑事處罰的對象[2]。2014年名古屋地院的日本山崎Mazak案件（ヤマザキマザック事件，以下稱本案）則是在此修法背景中，於少數公開判決中最先單獨引用該法條的案件。 　　面對層出不窮的營業秘密侵害案件，為遏止及處罰不法取得、使用或洩漏他人營業秘密的行為，我國營業秘密法亦於2013年的修法中增訂侵害營業秘密的刑事責任，將「知悉或持有營業秘密，未經授權或逾越授權範圍而重製、使用或洩漏該營業秘密」的行為[3]納入刑罰範疇，以期可有效遏阻營業秘密侵害案件。 　　有鑒於營業秘密外洩情形與不法取得手法的多變，本文將先從本案營業秘密侵害行為、存取/接觸權限控管的漏洞出發，接著探討應如何從控管員工的接觸/存取權限以強化營業秘密的保護，最後從落實營業秘密管理的面向，彙整本案受法院判決肯定之營業秘密保護措施及可進一步強化之配套，期給予我國企業營業秘密管理的省思。 貳、事件概要 　　中國大陸籍的被告Y，於2006年4月進入工具機大廠山崎Mazak（以下簡稱原告公司）任職，於2011年8月轉調連結業務部門與研發部門的業務技術部，於2012年3月因獲得其他公司聘書而提出離職申請，預定離職日為同年4月20日。 　　檢察官於一審的起訴內容提到，被告Y在無業務需求的狀況下，將三萬件以上的設計圖面等由公司內部伺服器下載至私人硬碟中，更於提出離職的當月，下載約一萬件與轉職企業相關機種的設計圖面等技術資料。雖然被告Y辯稱取得該等資料的目的在於工作上的學習需求，但根據被告Y與其中國大陸友人的往來訊息可知被告Y亟欲脫手所取得的技術資料以換取現金。 　　原告公司在本案當時，對技術資料的權限控管為將技術資料儲存在公司內部伺服器的資料夾內，僅業務上有需要的員工才能進行存取、下載，此外，原告公司配發給員工的業務用電腦亦設定有員工個人的帳號、密碼來進行認證，並藉由IP位址來辨識存取網路資料的員工所屬部門及該員工的存取權限。有關前述IP位址的分配，為一個部門配發255個IP位址對應255台電腦，當一部門未達255台電腦時，將會有未被電腦對應的IP位址存在，被告Y便是將自己電腦的IP位址切換成未被電腦對應的IP位址，再進行檔案的存取與複製。經由上述一連串的證據與事實證明，一審法院認定被告Y以不當得利為目的而複製（取得）原告公司的營業秘密，處以拘役兩年、併科罰金50萬日幣的判決。 參、判決評析 　　從本案可知，原告為保護其營業秘密，針對存取/接觸營業秘密者設有相關限制管理。亦即，藉由IP位址辨識存取網路資料的員工所屬部門及存取權限，再透過存取權限的帳號、密碼進行認證管理，該種管理方式立意良好，但在實施時，卻因為有未被電腦對應的IP位址存在，而讓被告Y取巧以切換IP位址的方式逾越權限接觸並取得原告公司的營業秘密。此外，雖然原告公司有留存電腦log紀錄，因而最後能證明被告Y曾進行六千次以上的資料存取，但若能在事前做好防備，強化管理措施，例如禁止濫用IP位址越權存取或限定存取次數等方式，增加意圖竊取營業秘密者的取得困難，相信能更遏阻潛在或食髓知味的不法行為。 　　以下從本案原告公司對於員工接觸權限的控管為啟發，例示限制員工存取/接觸營業秘密，可採取的強化對策。 一、適當賦予一定範圍之存取/接觸權。 　　例如在企業的研發單位，可依專案或產品線而拆分成多個範圍，依據範圍設定可存取/接觸的權限，藉此可避免出現如本案中，僅限定存取/接觸權、卻未區分範圍，導致一人手持帳號密碼便可通行無阻存取/接觸全部資料，造成外洩時損害程度的提高。 二、在上述對策一的基礎上，於資訊系統中註冊存取/接觸權者的帳號。 　　除了落實一帳號一密碼的原則，針對單一帳號的存取/接觸權限來限制其可閱覽、存取的資料範圍或內容外，若是員工有離職、轉調等情況時，亦要配合以刪除ID、更改存取/接觸權限的方式來應對，避免如本案因作業方便而導致有空的IP位址等開後門的情況，而造成營業秘密管理功虧一簣。 三、以區分保管來限制對營業秘密的存取/接觸權限。 　　區分保管可大分為「空間分離保管」以及「資料區分保管」。以空間分離保管為例，可依進出人員區分為訪客可進入的區域、持有門禁卡員工均可進入的區域、僅限定該部門員工才可進入的區域、針對保管高機密性資訊區域，實施指紋等生物認證的門禁管制。而以資料區分保管為例，常見的做法有高機密性文件與一般文件區分保管。 　　例如在本案中，隸屬於業務技術部的人員，便不應該擁有自由存取/接觸其他部門—研發部門之研發資料的權限，建議企業可透過前述的空間分離保管、資料區分保管，兩種方式雙管齊下，實施跨部門資料存取權限的控管。 四、禁用私人紀錄媒體、落實紀錄媒體的使用及保管。 　　嚴禁使用外接式的私人紀錄媒體，企業除了須備足員工所需的紀錄媒體之外，更需制訂與落實紀錄媒體的使用及保管措施。在本案中，即因原告公司當時的業務技術部部長（下稱部長Q）發現到部門內的紀錄媒體使用不受控管，導致私人紀錄媒體濫用的現象，便於其轄下部門制定如：建立可攜式紀錄媒體管理清單及使用規定，落實借出/返還管理、以及明訂禁止攜入或使用私人的外接式紀錄媒體的規範等，法院因而認定原告公司已採取合理保密措施。 　　然而，除了明定紀錄媒體的禁止使用或限制使用等規定外，還應透過週會、組會、課程宣導等方式周知可攜式紀錄媒體的使用規則，同時透過定期稽核確保該使用規則的確實執行，避免徒有管理規範卻未落實控管。 肆、結論 　　本案原告公司雖明定營業秘密相關的管理規定，例如權限設定、禁用私人紀錄媒體、公司紀錄媒體使用及保管等各種管理措施，而在本案獲得勝訴判決。但除了管理措施有可強化之處外，主要的原因仍發生於管理機制於實際運作上未嚴格落實，而有部門員工長期持有企業配置的硬碟與USB隨身碟而未歸還，甚或違反禁止使用私人可攜式紀錄媒體的規定，使用私人硬碟等的狀況，造成被告Y有機可乘使用私人硬碟儲存原告公司上萬筆設計圖面等資料。 　　從此可知，即便企業已建立各種營業秘密相關的管理措施，仍須定期追蹤掌握管理機制的落實，例如定期內部檢視和外部稽核、不定期抽查員工電腦使用紀錄等，確保營業秘密的有效管理。同時間，企業亦應隨時預警任何不符規定的異常警報，透過log異常行為的警示設定，提早發現問題並採取證據保全措施，將營業秘密外洩風險或損害降至最低。 　　企業歷經營業秘密的盤點、分級、達成管理措施共識，到形成各部門遵循的管理制度等繁複流程，始確認營業秘密保護標的及合法合理的管理措施，若是未落實執行管理，除了增加營業秘密外洩的風險，於後續訴訟階段也難以處於有利舉證的立場。所謂魔鬼藏在細節裡，無論是何種對策，確實落實而不流於形式，更是保護營業秘密的不二法則。 本文同步刊登於TIPS網站（http://www.tips.org.tw） [1] 名古屋地裁平成26年8月20日判決。 [2] 2011年日本《不正競爭防止法》第21條第1項第3款。 [3] 2013年我國《營業秘密法》第13條之1第1項第3款。

作為鄉村音樂發源地的美國田納西州，有著蓬勃的音樂產業，匯聚來自各路的表演藝術工作者，因而對相關從業者的個人公開權（Right of Publicity）保障尤為重視，早在1984年即制訂《個人權利保護法》（Personal Rights Protection Act），確保該權利不會因權利人死亡而消滅，屬於可由他人繼承之財產權，允許繼承人自由轉讓和授權，包含其姓名（Name）、肖像（Image）、形象（Likeness）之權利主張，但被繼承人之聲音仍不在權利主張的範疇。 惟現今AI深偽仿聲技術所生成之音樂亦可能侵害音樂人及藝術家的智慧財產權，因而於2024年3月21日由州長簽署《確保肖像、聲音和圖像安全法案》（Ensuring Likeness Voice and Image Security Act），簡稱貓王法案（ELVIS Act），該法案於3月7日獲得州議會兩黨一致支持，首度明確將個人公開權得主張之範圍擴及至表演者的聲音（NIL+V），其目的是為了應對AI生成音樂的突破性進展，以保護音樂創作人及表演藝術家之權利免受AI技術侵害，這是全美首部禁止他人未經授權使用或重製權利人的聲音以供訓練AI模型或生成深偽內容所制定的法律（註：加州雖已將聲音作為權利保護客體但非針對AI技術之侵害），明確規定第三人在未得本人之同意下，若意圖利用AI深偽技術生成經仿製、偽造或變造的圖片、影音、聲音等數位檔案，而後續冒用本人名義進行公開發表或公開演出詞曲創作人及表演藝術工作者之聲音或影像的行為，則須承擔相應的民事侵權行為責任，以及構成歸類在微罪的刑事犯罪，刑期最高可處11個月又29天的監禁或2,500美元以下的罰金，該法案預計於今年7月1日生效，且僅適用於在田納西州境內的工作者。 該法案所保護之主體除音樂創作人及表演藝術家外，亦包含動畫配音員及串流媒體盛行下廣播與網路節目的播音員（俗稱播客），以確保這類主要仰賴聲音維生的工作者能免於AI仿聲技術而減損其專業價值；另外若有與詞曲創作人或表演藝術工作者締結專屬合約之唱片公司或經紀公司亦為訴訟程序的適格當事人，可代理公司旗下的工作者尋求救濟管道；最後，若利用權利人的姓名（Name）、肖像（Image）、形象（Likeness）或聲音（Voice）屬於法案中列舉的合理使用行為，如基於公益目的、新聞播報、轉化性使用、偶然入鏡或著作之附帶性利用等，則應屬美國憲法第一修正案之保障範圍而非在該法案的規範射程。 除田納西州之外，美國尚有其他39個州提出或正在推動相似的法案，但全美目前仍欠缺統一性的立法；聯邦政府仍尚在研擬如何保護表演藝術工作者個人公開權的階段，日前在田納西州政府今年1月時提出貓王法案的草案後不久，由美國眾議院議員組成的跨黨派小組曾公佈《禁止人工智慧偽造和未經授權的重製法案》（或稱為《禁止人工智慧詐欺法案》），旨在推動建立聯邦層級的框架性立法，以確保個人的聲音或肖像權屬美國憲法第一修正案的保障範圍，而該提案據稱是針對美國參議院去年10月提出的《鼓勵原創、培育藝術和維繫安全娛樂法案》（或稱為《禁止仿冒法案》）的更新及補充，以維護公共利益，創造具有原創性、正當性及安全性的休閒娛樂環境。