數百萬計個人資料遭竊取 引起美國重視資料保護

美國奧克拉荷馬州修正《個資事故通報法》，擴充個資定義範圍並強化通報機制 資訊工業策進會科技法律研究所 2025年07月22日 現行我國關於非公務機關就個資事故進行通報之規定，散落於各中央目的事業主管機關制定之各業別個人資料檔案安全維護管理辦法或相關辦法中，且前揭各辦法對於通報之標準不盡相同。各國主管機關紛紛強化個資治理法制，而美國奧克拉荷馬州修正關於個人資料定義、適當防護措施及個資事故通報機制等事項，以建立更完善之規範。 壹、事件摘要 美國奧克拉荷馬州議會業於2025年5月20日通過第626號法案（Senate Bill 626）[1]，修正《個資事故通報法》（Security Breach Notification Act）[2]，其目的係為補充現行治理規範之不足，修正重點涵蓋：擴充法定用詞之定義，針對「個人資料」（Personal Information）與「適當防護措施」（Reasonable Safeguards）等條文予以補充與增列；強化個資事故（Breach of the security of a system）之通報機制與設立豁免條款，並釐清與其他法規間之適用關係；以及修訂違法情事之民事裁罰。此外，本次修法亦明定，若機構或個人已採取適當防護措施，得作為民事訴訟中之抗辯理由。本法將自2026年1月1日起正式生效，並適用於自該日起所發現、判定或通報之個資事故，相關單位應即早進行法遵準備，以確保制度落實。 貳、修法重點 本次修法主要包含三大核心面向，簡要說明如下： 一、擴充法定用詞之定義 （一）個人資料 於現行法規對個人資料之定義下，再增加新資料類別： 1.與驗證碼、存取碼或密碼結合使用時，可用以登入特定個人金融帳戶之專屬電子識別碼（Electronic Identifier）或路由代碼（Routing Code）； 2.用以辨識特定自然人之獨特生物特徵資料，例如指紋、視網膜或虹膜影像，或其他具體實體或數位形式之生物辨識資料。 （二）適當防護措施 適當防護措施係指，為確保個人資料安全而考量組織或機構之規模、產業別、以及保有之個資類別與數量所制定之政策及作業實務。此概念包括但不限於：進行風險評估、建立技術面及實體面之多層次保護機制、對人員實施教育訓練，及建立個資事故應變計畫等。 二、強化事故通報機制與設立豁免條款 本法要求於發現系統個資事故並已通知受影響之當事人後，應於60日內向州檢察總長（Attorney General）提交書面通報，載明涉及之個人資料類別、事故性質、受影響人數、預估之財務損失、所採行之適當防護措施等必要內容。惟若事故影響人數低於500名州民，或事故發生於徵信機構且影響人數未達1,000人，則可免除向檢察總長通報之義務。 此外，本法明確規範，若特定機構已依據其他法律，如《奧克拉荷馬州醫療資安保護法》（Oklahoma Hospital Cybersecurity Protection Act of 2023）或聯邦《健康保險可攜及責任法》（Health Insurance Portability and Accountability Act of 1996）等履行相關通報義務，則視為已符合本法之要求。 三、民事裁罰 本法明定，民事罰鍰之裁量將審酌事故規模、事故發生後組織之因應作為及是否履行事故通報義務等因素而定，以確保裁量之比例原則。裁量情形說明如下： 1.若機構已採行適當防護措施且依法進行事故通報者，得免除民事責任； 2.若未採取適當防護措施，惟仍依規定完成事故通報者，則須負擔實際損害賠償責任並處以最高75,000美元罰鍰； 3.未落實適當防護措施與事故通報法定義務者，最高處以150,000美元罰鍰。 參、事件評析 本次修法可見奧克拉荷馬州就數位時代資安威脅所採行之積極因應作為，其修正重點包含：擴充個人資料之定義並明定適當防護措施之內容，俾利降低企業法遵成本及法律適用之不確定性；強化事故通報機制並設置合理豁免條款，以確保資訊透明度；於罰則規範中明定民事罰鍰之裁量，應審酌事故規模及是否履行事故通報義務等因素，以符合比例原則。 有鑑於本法修正後所課予之法定義務，建議企業應採行下列因應措施：(1)全面盤點所保有之個人資料，尤應注意新增納管之電子識別碼及生物特徵等資料；(2)檢視並強化現有防護機制，確保符合適當防護措施之要求；(3)建立標準化通報應變程序；(4)強化教育訓練。此外，企業宜定期檢視法規動態，以確保持續符合法規要求。 [1] Bill Information for SB 626, OKLAHOMA STATE LEGISLATURE, http://www.oklegislature.gov/BillInfo.aspx?Bill=sb626&Session=2500 (last visited June 1, 2025). [2] BILL NO. 626, OKLAHOMA STATE LEGISLATURE, https://www.oklegislature.gov/cf_pdf/2025-26%20ENR/SB/SB626%20ENR.PDF (last visited June 2, 2025).

　　歐盟執委會針對未來10年歐洲AI開發與開放資料運用方向等核心議題，於2020年2月19日公布一系列數位化政策提案，其中之一即為提出歐洲資料戰略（European Data Strategy）。本戰略提出資料開放共享政策與法制調適框架，宣示其目標為建構歐洲的資料單一市場（single market for data），視資料為數位轉型的核心，開放至今尚未被使用的資料。歐盟期待商界、研究者與公共部門等社群的公民、企業和組織，得透過跨域資料的蒐集與分析，改善決策的作成基礎或提升公共服務品質，為醫療或經濟等領域帶來額外利益，同時促進歐盟推動人工智慧發展及應用。 　　本戰略揭示了資料單一市場的建構框架，包含資料必須能在歐盟內與跨域流通並使所有人受益、全面遵守如個資保護、消費者保護與競爭法等歐盟相關規範、以及資料取用（access）和使用的規定，應平等實用且明確，並以之建立資料治理機制；同時，為在技術面強化歐洲數位空間之能力，以完善資料共享所需之資料基礎設施，應創建歐洲資料庫（European data pools），預備將來進行巨量資料分析與機器學習。在上述框架下，本戰略同時擬定了數個具體的措施與制度調修方向如下：（1）建構資料跨部門治理與取用之法規調適框架：包括於2020年第4季提出歐洲共同資料空間管理之立法框架，於2021年第1季提出高價值資料集（high-value data-sets），評估於2021年提出資料法（Data Act）以建構企業對政府或企業間的資料共享環境、調適並建立有利於資料取用之智慧財產權與營業秘密保護框架；（2）強化歐洲管理、處理資料之能力與資料互通性：建構資料共享體系結構並建立共享之標準及治理機制、於2022年第4季啟動歐洲雲端服務市場並整合所有雲端服務產品、於2022年第2季編纂歐盟雲端監管規則手冊；（3）強化個人有關資料使用之權利：從協助個人行使其所產出資料相關權利之角度，可能於資料法中優化歐盟一般資料保護規則（General Data Protection Regulation, GDPR）第20條之資料可攜權，如訂定智慧家電或穿戴裝置之資料可讀性格式；（4）建構戰略領域與公共利益領域之歐盟資料空間：針對戰略性經濟領域與攸關公共利益的資料使用需求，開發符合個資保護與資安法令標準之資料空間，主要用於保存製造業、智慧交通、健康、財務、能源、農業、公共管理等領域之資料。

　　2021年4月26日，歐盟商標協會（European Communities Trade Mark Association，以下簡稱ECTA）針對3D列印設計保護修法方向，向歐盟提交一份立場意見書（position paper）。歐盟自1998年發布《設計指令》（Directive 98/71/EC on the legal protection of designs）及2002年發布《設計規則》（Council Regulation（EC） No 6/2002 on Community designs）以來，已多年未進行修正；為了能對設計提供更有效的法律保護，歐盟從2018年起開始進行修法的公眾諮詢，並於2020年11月提出修法評估報告。 　　ECTA一直以來都很關注3D列印技術發展涉及的智慧財產議題，在意見書中列出了修法時應納入評估的重點。例如ECTA指出，雖然3D列印所使用的CAD模型檔案僅是列印過程中的媒介，檔案本身不能受到設計法律的保護，但檔案中包含了設計藍圖及其設計特徵，為了讓以數位形式呈現的設計能受到保護，建議應考慮修改《設計規則》第3條（b）及《設計指令》第1條（b）中對於產品（product）的定義，將CAD模型檔案及其他任何含有以數位形式呈現設計的物件（items）也納入產品的定義之中。 　　其次，ECTA認為應針對任何明知有侵權事實，但仍提供幫助的行為人課予輔助侵權責任（contributory infringement），以提供設計權人更有效的武器來捍衛自身權利。如行為人未經設計權人同意，自行利用3D儀器掃描物體，根據所得數據製作成CAD模型檔案，並將該CAD模型檔案提供給直接侵權人時，應成立輔助侵權。 　　最後，ECTA認為目前沒有針對3D列印技術制定專法的必要，僅需要在現行智財法律體系中進行修法調整即可，以避免法律體系過於複雜。

　　社交網站Facebook於2014年2月宣佈將以高達190億美元的價格收購即時通訊軟體WhatsApp。這是近年來對新創公司規模最大的一宗收購案，輕鬆超越Facebook在2012年以超過10億美元買下的相片分享應用程式（app）Instagram，以及去年微軟公司（Microsoft Corp.）花85億美元收購的視訊通話公司Skype。雖然該交易在今年4月就已經獲得美國聯邦貿易委員會（U.S. Federal Trade Commission, FTC）的批准，在歐洲恐怕要面臨反壟斷審查，這是該交易遇到的新障礙。 　　由於Facebook與歐盟主要的反壟斷機構歐盟委員會（European Commission, EC）聯繫，要求審查這宗轟動的交易案。雖然Facebook這一舉動可能導致該交易在歐盟層面進行正式調查，但卻得以避免在歐盟多個會員國接受繁重的反壟斷調查。布魯塞爾（Brussels）的Cleary Gottlieb Steen & Hamilton律師事務所的反壟斷律師Thomas Graf表示：「比起接受數個國家監管機構審查，Facebook寧可接受歐盟調查，因各國監管機構會分別要求其提供相關資訊。」對此歐盟委員會發言人拒絕發表評論。 　　倘若要讓歐盟委員會審查該筆交易，公司必須證明其至少符合在三個歐盟會員國接受審查的標準。目前還不能立即清楚地知道其他國家的競爭監管機構是否積極地密切關注該交易。而Facebook提出的請求帶來歐洲多家電信公司強力施壓。他們曾經警告，WhatsApp可被視為一種圖文訊息的低價替代方案，這將使Facebook在歐洲即時通訊市場上取得主導地位。