日本通過法案 明確列出無人機禁止飛行範圍

美國各州逐步研議透過立法豁免企業資安事件賠償責任 資訊工業策進會科技法律研究所 2024年06月10日 為鼓勵企業採用資安標準與框架，美國已有幾州開始透過立法限縮企業資安事件賠償責任，企業若能舉證證明已符合法令或遵循業界認可之資安框架和標準，則於資安攻擊事件所致損害賠償訴訟中，將無需承擔賠償責任。 壹、事件摘要 為避免有心人士於未取得經授權下近用網路和敏感資料，企業往往投入大量資源打造資安防護架構，惟在現今網路威脅複雜多變的環境下，仍可能受到惡意資安攻擊，導致資料外洩事件發生，導致企業進一步面臨訴訟求償風險，其中多數指控為未實施適當的資安措施。為此美國佛羅里達州和西維吉尼亞州研議透過立法限縮企業之資安事件賠償責任，以鼓勵企業採用資安標準、框架與資安相關法令。 貳、重點說明 繼美國俄亥俄州[1]、猶他州[2]和康乃狄克州[3]相繼頒布法令，讓已實施適當安全維護措施之企業，豁免資安攻擊所致資料外洩之損害賠償責任，佛羅里達州和西維吉尼亞州近期亦提出相似法案，以下介紹兩州法案之重點： 一、佛羅里達州 美國佛羅里達州於2023年11月公布《資安事件責任法案》 （H.B 473: Cybersecurity Incident Liability）[4]，法案納入「安全港條款」（Safe Harbor），當企業遭受資安攻擊致生個資外洩事件，如可證明已遵循產業認可的資安標準或框架，實施適當的資安措施與風險控管機制，則可免於賠償責任，以鼓勵企業採納資安標準或框架。 為適用安全港條款，企業須遵循佛羅里達州資訊保護法（The Florida Information Protection Act），針對資料外洩事件，通知個人、監管機關和消費者，並建立與法案內所列當前產業認可的資安標準、框架，或是特定法令規範之內容具一致性的資安計畫（Cybersecurity Programs）： （一）當前產業認可的資安標準、框架 1. 國家標準暨技術研究院（National Institute of Standards and Technology, NIST）改善關鍵基礎設施資安框架（Framework for Improving Critical Infrastructure Cybersecurity）。 2. NIST SP 800-171－保護非聯邦系統和企業中的受控非機密資訊。 3. NIST SP 800-53 和 SP 800-53A－ 資訊系統和企業的安全和隱私控制/ 評估資訊系統和企業中的安全和隱私控制。 4. 聯邦政府風險與授權管理計畫（Federal Risk and Authorization Management Program, FedRAMP）安全評估框架。 5. 資安中心（ The Center for Internet Security, CIS）關鍵安全控制。[5] 6. ISO/IEC 27000系列標準。 7. 健康資訊信任聯盟（The Health Information Trust Alliance, HITRUST）通用安全框架（Common Security Framework）[6]。 8. 服務企業控制措施類型二（Service Organization Control Type 2, SOC 2）框架。 9. 安全控制措施框架（Secure Controls Framework）。 10. 其他類似的產業標準或框架。 （二）特定法令規範 企業（entity）如受以下法令規範，亦得適用安全港條款，如法令有修訂，企業應在發布修訂後的一年內更新其資安計畫： 1. 健康保險可攜與責任法（The Health Insurance Portability and Accountability Act, HIPAA）之安全要求。 2. 金融服務現代化法（The Gramm-Leach-Bliley Act）第五章。 3. 2014 年聯邦資訊安全現代化法（The Federal Information Security Modernization Act of 2014）。 4. 健康資訊科技促進經濟和臨床健康法（The Health Information Technology for Economic and Clinical Health Act, HITECH）之安全要求。 5. 刑事司法資訊服務系統 （The Criminal Justice Information Services, CJIS）安全政策。 6. 州或聯邦法律規定的其他類似要求。 該法案雖於2024年3月5日經佛羅里達州參議院三讀通過，但於2024年6月26日遭州長否決[7]，其表示法案對於企業的保障範圍過於廣泛，如企業採取基礎的資安措施與風險控管機制，便得主張適用安全港條款，將可能導致消費者於發生個資外洩事件時，無法受到足夠的保障。州政府鼓勵利害關係人與該州網路安全諮詢委員會（Florida Cybersecurity Advisory Council）合作，探求法案的替代方案，以保護消費者資料。 二、西維吉尼亞州 美國西維吉尼亞州於2024年1月29日提出眾議院第5338號法案[8]，修訂西維吉尼亞法典（Code of West Virginia），增訂第8H章資安計畫安全港條款（Safe Harbor for Cybersecurity Programs），如企業符合業界認可的資安標準、框架或依特定法令建立與實施資安計畫，包含個人資訊和機敏資料的管理、技術和企業保障措施，將能夠於侵權訴訟中，主張適用避風港條款。 法令內明列評估企業所建立的資安計畫規模和範圍是否適當之要素，包含： 1. 企業的規模和複雜性； 2. 企業的活動性質和範圍； 3. 受保護資訊的敏感性； 4. 使用資安防護工具之成本和可用性； 5. 企業可運用的資源。 （一）當前產業認可的資安標準、框架 除與佛羅里達州法案所列舉業界認可的資安標準之前六項相同，另增加： 1 NIST SP 800-76-2個人身分驗證生物辨識規範（Biometric Specifications for Personal Identity Verification）[9]。 2. 資安成熟度模型認證（The Cybersecurity Maturity Model Certification, CMMC）至少達到第2級，並經外部驗證（external certification）。 （二）特定法令規範 除與佛羅里達州法案所列舉特定法令之前四項相同，另增加：由聯邦環境保護局（Environmental Protection Agency, EPA）、資安暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA）或北美可靠性公司（North American Reliability Corporation）[10]所採用任何適用於關鍵基礎設施保護的規則、法規或指南。 惟目前法案已於2024年3月27日被西維吉尼亞州長否決[11]，其表示透過安全港條款鼓勵企業實踐資安框架雖立意良好，但也可能遭濫用而帶來不當影響，例如TikTok等大型國際企業，如在違背公民意願情況下共享個人資料時，將免於訴訟，恐有損其公民權益，未來州政府將與利害關係人持續進行協商。 參、事件評析 佛羅里達州和西維吉尼亞州近期同步公布有關限制企業於資安事件之責任相關法案，內容亦為相似，西維吉尼亞州之法案目前已遭否決，主要係擔心該豁免條款遭到不當濫用；佛羅里達州之法案亦因對於企業保障過廣與無法保障消費者個資安全考量，而遭州長否決。 法案中明列受產業普遍認可的資安標準、框架與政府所頒布特定法令，有助企業明確遵循與採納，建立與實施資安計畫，惟如何舉證所建立之資安計畫或實施之資安措施，與法案所列之資安標準、框架，或是特定法令規範，具有實質上的一致性，仍不明確，將可能阻礙企業於訴訟上行使抗辯與主張責任豁免權。未來美國如何權衡產業穩健發展與民眾個資保障，仍有待持續觀察。 [1] Chapter 1354 - Ohio Revised Code, Ohio Laws, https://codes.ohio.gov/ohio-revised-code/chapter-1354 (last visited May 24, 2024). [2]Part 7 Cybersecurity Affirmative Defense Act, Utah StateLegislative, https://le.utah.gov/xcode/Title78B/Chapter4/78B-4-P7.html (last visited May 24, 2024). [3]Frederick Scholl, Connecticut’s New Breach Notification and Data Security Laws: Carrots and Sticks, Quinnipiac University, July,1,2021,https://www.qu.edu/quinnipiac-today/connecticuts-new-breach-notification-and-data-security-laws-2021-07-01/ (last visited May 24, 2024). [4]CSHB 473-Cybersecurity Incident Liability, The Florida Senate,https://www.flsenate.gov/Session/Bill/2024/473 (last visited Jun. 28, 2024). [5]資安中心（ The Center for Internet Security, CIS）為美國非營利組織，負責推動CIS Controls，針對實際發生的資安攻擊行為提供防禦建議，作為企業保護 IT 系統和資料時可參考之最佳實務作法。資料來源：About us, Center for Internet Security, https://www.cisecurity.org/about-us (last visited Jun. 6, 2024). [6]What is HITRUST?, Schneider Downs,https://schneiderdowns.com/cybersecurity/what-is-hitrust/ (last visited May 24, 2024). [7]Governor of Florida, Vote letter for House Bill 473(2024), https://www.flgov.com/wp-content/uploads/2024/06/Veto-Letter_HB-473.pdf (last visited Jun. 28, 2024). [8]2024 REGULAR SESSION ENROLLED Committee Substitute for House Bill 5338, WEST VIRGINIA LEGISLATURE,https://www.wvlegislature.gov/Bill_Status/bills_text.cfm?billdoc=hb5338%20sub%20enr.htm&yr=2024&sesstype=RS&i=5338 (last visited May 24, 2024). [9]NIST SP 800-76-2 Biometric Specifications for Personal Identity Verification, National Institute of Standards and Technology, https://csrc.nist.gov/pubs/sp/800/76/2/final (last visited May 24, 2024). [10]北美電力可靠性公司（North American Electric Reliability Corporation, NERC），為一家非營利機構，致力推動關鍵基礎設施保護相關標準，以強化北美大規模電力系統（亦即電網）的可靠性和安全性，資料來源：https://www.nerc.com/Pages/default.aspx (last visited May 24, 2024). [11]Governor of West Virginia, Enrolled Committee Substitute for House Bill 5338(2024),https://www.wvlegislature.gov/Bill_Text_HTML/2024_SESSIONS/RS/veto_messages/HB5338.pdf (last visited May 24, 2024).

2025年11月，韓國公共行政安全部（Ministry of the Interior and Safety，下稱MOIS）於新聞稿宣布制定《公部門AI倫理原則》草案，追求公益、公平無歧視、透明、問責明確、安全性及隱私保護等六大核心價值，旨於促進創新、提升民眾對公部門應用AI之信任。 一、適用範圍 《公部門AI倫理原則》草案適用對象為公部門，包含中央、地方政府機關等，其性質為不具強制力的指引。 二、檢核表分三階段漸進式管理 《公部門AI倫理原則》草案依AI 應用的複雜程度分為三階段漸進式管理，設計最高達90個細項的檢核表（Checklist），惟目前尚未公開詳細內容： （一）第一階段：基礎導入（AI基礎應用） 針對技術引進的初步活用階段，共包含31個檢核項目，旨在建立基礎的倫理合規防線。 （二）第二階段：進階應用（AI決策支援） 適用於AI提供資料分析與建議以輔助人員進行行政決策的情境。隨著影響力提升，檢核項目擴增至74個，強化透明性與責任性的審查。 （三）第三階段：深度融合（AI自主決策） 針對AI具備高度自主決策權的高風險情境（如自主化服務或複雜判斷），執行最嚴密的倫理檢查，共達90個檢核項目。 建議公部門依檢核表自行檢查，並依結果建立「調整與回饋」的循環機制，以因應不斷變化的技術環境。 MOIS部長指出，未來將進一步蒐集學界意見以完備倫理原則，並開發一套AI倫理原則之培訓課程，確保一線能落實執行這90個檢核項目，保障人權與基本權利。 由於目前未見90個檢核項目內容，值得持續追蹤後續進展。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

新加坡智財爭議解決中心發展與評析 科技法律研究所 法律研究員　羅育如 2015年05月07日 壹、前言 　　在全球化競爭的趨勢下，各國若僅憑國家資本與生產力作為基礎，已難在國際上殺出重圍、嶄露頭角。由此可知，「創意」與「創新」是激化國家競爭力之泉源，而「智慧財產權」則是此泉源之力量匯集，更是提升國家競爭力之強效手段 。 　　新加坡政府於2013年3月份提出IP (Intellectual Property) Hub Master Plan 10年期計畫[1]，目標是成為亞洲智慧產權中心。計畫設有六大策略，本文以下針對【策略四：透過強化智財法院以及智財紛爭解決替代方案之能力，打造新加坡成為智財爭議解決中心】進行觀察。目的在於了解新加坡如何透過提高智財法庭行政效率以及推動智財爭議解決替代方案，以吸引權利人選擇新加坡做為智財爭議解決地點。 貳、智財爭議解決中心重點說明 　　發生智財爭議時，權利人大多會依據產品主要銷售市場或是智財權申請地來選擇爭議解決地點，從而目前智財訴訟多以美國與中國大陸為重點戰場，新加坡智財法院所承受案件相對稀少[2]。對此，新加坡政府認為，新加坡司法制度擁有具透明度、效率與中立的國際名聲，加上許多跨國企業皆在新加坡設立分部，使得法院之判決有在新加坡執行之機會[3]，因此只要提升新加坡智財法院的能力，新加坡就有機會成為智財爭議解決中心。 　　為了達成目標，新加坡從兩個面向切入，一是強化新加坡智財法院能力，以吸引更多智財訴訟在新加坡進行；二是強化新加坡執行智財爭議解決替代方案的能力，以吸引更多爭議解決替代能在新加坡執行，以下分別說明。 一、強化新加坡智財法院能力 (一)建立更有效率的行政流程 　　2013年9月新加坡最高法院註冊處(Registrar of the Supreme Court)公布智財法院方針(IP Court Guide)[4]，內容包括法官將會參與所有的中間上訴程序(interlocutory appeals)、審前會議(pre-trial conference；PCTs)以及責任審訊(the trial on liability)。 　　在排期審訊之前，需要完成的審前會議(PCTs)包括：1.當事人之首席律師必須親自向IP法官說明本案關鍵爭議點。2.每個案件設立專門管理的資深助理主簿(senior assistant registrar)負責其他的PCTs聽審，而助理主簿(assistant registrar)則會負責這個IP案件所有的中間上訴申請。 　　另外，智財法院也提供技術專業意見的技術鑑定專家（assessors）以及可提供法律專業意見的法庭之友（amicus curiae）名單，當事人可提出自己的候選者，以便法官諮詢技術上與法律上的專業意見[5]。 　　這樣的法院審理流程修改，對當事人而言，將被分配到專屬的主簿負責案件資訊，可提供當事人方便追蹤審理流程及進度。對審理法官而言，在進入真正審理之前，也已經透過PCTs的幫助，了解整個案件內容、各方說法以及提具的證據資料。法官將能盡早熟悉案件，增進審理效率，並透過法庭之友與技術鑑定專家取得專業意見，整體提升效率及審理品質。 (二)設立亞洲唯一國際商業法庭(SICC) 　　新加坡律政部於2014年10月向新加坡國會提出新加坡憲法修正案和最高法院司法權法案，為2015年1月成立之國際商業法庭（Singapore International Commercial Court，SICC）奠定法律正當性。 　　SICC是亞洲唯一的國際商業法庭，隸屬於新加坡高等法院下，其判決效力與新加坡最高法院相同，主要工作目標在於解決來自亞洲的跨境貿易和投資產生的國際商業訴訟糾紛，包括商業糾紛及專利訴訟等。 　　SICC相較於新加坡最高法院以及新加坡國際仲裁中心(SIAC)的主要區別包括： 　　1.由新加坡法官及外國資深法官共同組成審判團隊 　　SICC審判團隊不僅包括新加坡高等法院的法官，還包括定期合約的助理法官(Associate Judges)[6]，這些助理法官可以來自新加坡也可來自其他國家的外國法官，外國法官通常是其他國家具有豐富經驗且有名望的資深法官[7]。 　　2.可委託國外合格律師[8]出庭 　　新加坡高等法院只能由新加坡有執業資格的律師出庭，但在SICC法庭，各當事方可委託並由外國律師代表出庭。 　　若該糾紛為離岸案件[9]，各當事方可以委託註冊外國律師代理，而無需新加坡當地律師的任何參與。相反地，若所涉糾紛並非離岸案件，註冊外國律師則僅有權代表當事方，就外國法部分提供意見。在非離案案件中，仍可在新加坡當地律師處於主導地位前提下，外國律師仍可以共同代理人（而非僅是外國法專家身分）出庭。 　　此新規定因首次允許外國律師代表客戶在新加坡法院出庭而極具突破性。 　　3.外國法的選擇與證據法則的適用 　　SICC不受新加坡證據法則的約束，可依當事方的申請，選用其他國家之證據法則。 二、強化新加坡執行智財爭議解決替代方案的能力 　　新加坡1991年成立新加坡仲裁與調解中心(Singapore International Arbitration Centre；SIAC)，為了更積極的提升仲裁能力，於2001年與世界智慧財產權組織(WIPO)協議在新加坡設立亞洲唯一辦事處及新加坡WIPO仲裁與調解中心(The WIPO Arbitration and Mediation Center Singapore Office)，以協助提升新加坡智財仲裁能力。 　　在此基礎上，2014年11月新加坡政府再增設國際調解中心(Singapore International Mediation Centre；SIMC)，SIMC的特色在於除了調解業務(mediation)之外，新增「仲裁中調解(arbitration-mediation-arbitration；Arb-Med-Arb)」的服務，豐富新加坡智財爭議解決替代方案之多樣化選擇性。 　　「仲裁中調解」流程為，當事人為解決爭議，先啟動仲裁程序，在仲裁程序進行過程中，仲裁員對案件進行調解，調解不成或調解成功後，再恢復進行仲裁程序。爭議雙方可以透過「調解」建立和解共識，再透過「仲裁」使得雙方和解共識有法律效力。相較於單獨使用「仲裁」，將更節省金錢與時間成本；相較於單獨使用「調解」，則有法律執行效力。 參、評析 　　新加坡目前由SIMC與SIAC共同執行調解服務、仲裁中調解服務、仲裁服務，提供更多元的爭議解決替代方案及能力；再由SICC與新加坡智財法院提供執行智財訴訟審理，已建立完整的智財爭議解決服務流程。 　　在實踐的過程中，新加坡勇於突破現況，提出憲法修憲案以及司法修改案，讓SICC能有法律正當性地位。並建立新加坡智財爭議解決中心完整服務範疇，包括新加坡國際調解中心的調解服務以及仲裁中調解服務；新加坡國際仲裁中心的仲裁服務；新加坡最高法院之智財法院訴訟服務以及國際商業法庭提供之外國律師、依據外國證據法則、外國法官審理的國際商業爭議訴訟服務。 　　但是，SICC缺點為其作出的判決可能難以跨境執行，SICC作出的判決為新加坡高等法院的判決，可能因為缺少類似《承認和執行外國仲裁裁決公約(紐約公約)》的立法而無法像新加坡國際仲裁中心(SIAC)作出的仲裁裁決那樣易於執行。 　　綜上所述，新加坡政府改革態度是確定發展方向並評估執行障礙後，就進行修法及設定專責單位負責專責工作事項，這是大刀闊斧的行政效率，但相對而言，市場是否已經跟上政府的行政效率，或是政府的行政方向是否符合市場實際的趨勢，則還有待時間考驗。 [1] IP HUB MASTER PLAN：Developing Singapore as a Global IP Hub in Asia http://www.ipos.gov.sg/Portals/0/Press%20Release/IP%20HUB%20MASTER%20PLAN%20REPORT%202%20APR%202013.pdf [2] 2014年(直至10/17)新加坡智財法院結案12件案件、2013年智財法院結案8件案例、2012結案7件、2011年21件案例、2010年15件案例。以上的案例皆為商標爭議案例。http://www.ipos.gov.sg/Services/HearingsandMediation/LegalDecisions.aspx(最後瀏覽日2014/10/17) [3] 劉孔中，2014/10/16至資策會科法所創智中心演講內容。 [4] New IP Court Guide from 6 September 2013 http://www.allenandgledhill.com/pages/publications.aspx?list=LBulletinAreas&pub_id=409&topic=Legal+Bulletin+September+2013 [5] 兩造於審理開始前便需要同意共同負擔技術或法律專家提供專業意見之相關費，然針對勝訴的一方要求敗訴一方支付錢術相關費費用的權利仍得以保留。 [6]助理法官的合約是固定時間的，且不享有終身職，並根據需要特定的工作天數計算報酬，為了建構這個制度，新加坡政府甚至修改憲法Article 94(4) of the Constitution。 [7]任何由新加坡國際商業法庭管轄的案件均將由獨任法官或三名法官進行審理，SICC首任11位國際法官的任期為三年，其中涵蓋大陸法系的法官以及英美法系的法官，包括Bernard Rix（英國和威爾士）和Anselmo Reyes （香港），他們都是各自法域下享有頗高威望且經驗相當豐富的海事海商法官。 [8]外國合格律師是指未取得新加坡律師執業資質，但已在世界任一其他法域取得律師執業資質（並獲得其執業法域相關部門頒發的證書），並符合從事出庭律師職業滿五年；且可熟練運用英語進行訴訟所有條件的律師。 [9]所謂離岸案件是指該案件由於下列原因之一與新加坡無任何實質性聯繫，即：新加坡法律並不適用於該糾紛，且糾紛的標的不受新加坡法律規範，也不由新加坡法律管轄；或者該糾紛與新加坡唯一的連接點在於，各當事方選擇新加坡法律為糾紛適用法律，並將糾紛提交新加坡國際商業法庭管轄。

　　面對科學界越來越無法抵擋的複製人浪潮，聯合國二月十八日召開一項特別會議，並表決通過聲明，呼籲各國政府禁止各種形式的複製人研究，包括用於研究人類幹細胞的技術等。不過項聲明並不具強制力。 　　聯合國法律委員會是以七十一票贊成，三十五票反對，四十三票棄權下，通過這項由宏都拉斯和美國布希政府提出的支持禁止複製人的聲明，委員會通過後交給聯合國大會，由一百九十一個會員國成員最後決定。回教國家已經表明，聯合國大會表決時將棄權，因為聯合國內部並無法達成共識﹔而目前各自有人類幹細胞研究的英國，比利時和新加坡都反對這項聲明，並稱聲明內容不會影響他們的「醫療性幹細胞研究」。 　　會中支持和反對陣營的最主要爭議核心，在於醫療性複製人類的研究，這類研究必須複製人類胚胎取得幹細胞，實驗結束後銷毀。支持這項研究技術的科學家認為，人類幹細胞研究為許多至今仍無法治療的疾病帶來新希望，例如阿茲海默症，各種癌症，糖尿病和脊椎傷害患者，影響約一億人﹔但是如美國，加拿大等反對國家則認為，這種研究不論是哪一種目的，都是在剝奪利用一個人的生命。聯合國成員在二○○一年起討論制定一項具約束力的全球性公約，禁止複製人，不過各國歧見擴大，一直無法達成共識。義大利因此提議制定不具強制力的宣言，呼籲各國各自立法「禁止任何透過複製程序產生人類生命的企圖，以及任何意圖達成此一目的的研究。」不過，宏都拉斯將此建議擴大，提議聯合國聲明「禁止所有形式的複製人行為。」