產業創新條例因應放寬公司研發抵減、加強留才制度之修正草案

美國奧克拉荷馬州修正《個資事故通報法》，擴充個資定義範圍並強化通報機制 資訊工業策進會科技法律研究所 2025年07月22日 現行我國關於非公務機關就個資事故進行通報之規定，散落於各中央目的事業主管機關制定之各業別個人資料檔案安全維護管理辦法或相關辦法中，且前揭各辦法對於通報之標準不盡相同。各國主管機關紛紛強化個資治理法制，而美國奧克拉荷馬州修正關於個人資料定義、適當防護措施及個資事故通報機制等事項，以建立更完善之規範。 壹、事件摘要 美國奧克拉荷馬州議會業於2025年5月20日通過第626號法案（Senate Bill 626）[1]，修正《個資事故通報法》（Security Breach Notification Act）[2]，其目的係為補充現行治理規範之不足，修正重點涵蓋：擴充法定用詞之定義，針對「個人資料」（Personal Information）與「適當防護措施」（Reasonable Safeguards）等條文予以補充與增列；強化個資事故（Breach of the security of a system）之通報機制與設立豁免條款，並釐清與其他法規間之適用關係；以及修訂違法情事之民事裁罰。此外，本次修法亦明定，若機構或個人已採取適當防護措施，得作為民事訴訟中之抗辯理由。本法將自2026年1月1日起正式生效，並適用於自該日起所發現、判定或通報之個資事故，相關單位應即早進行法遵準備，以確保制度落實。 貳、修法重點 本次修法主要包含三大核心面向，簡要說明如下： 一、擴充法定用詞之定義 （一）個人資料 於現行法規對個人資料之定義下，再增加新資料類別： 1.與驗證碼、存取碼或密碼結合使用時，可用以登入特定個人金融帳戶之專屬電子識別碼（Electronic Identifier）或路由代碼（Routing Code）； 2.用以辨識特定自然人之獨特生物特徵資料，例如指紋、視網膜或虹膜影像，或其他具體實體或數位形式之生物辨識資料。 （二）適當防護措施 適當防護措施係指，為確保個人資料安全而考量組織或機構之規模、產業別、以及保有之個資類別與數量所制定之政策及作業實務。此概念包括但不限於：進行風險評估、建立技術面及實體面之多層次保護機制、對人員實施教育訓練，及建立個資事故應變計畫等。 二、強化事故通報機制與設立豁免條款 本法要求於發現系統個資事故並已通知受影響之當事人後，應於60日內向州檢察總長（Attorney General）提交書面通報，載明涉及之個人資料類別、事故性質、受影響人數、預估之財務損失、所採行之適當防護措施等必要內容。惟若事故影響人數低於500名州民，或事故發生於徵信機構且影響人數未達1,000人，則可免除向檢察總長通報之義務。 此外，本法明確規範，若特定機構已依據其他法律，如《奧克拉荷馬州醫療資安保護法》（Oklahoma Hospital Cybersecurity Protection Act of 2023）或聯邦《健康保險可攜及責任法》（Health Insurance Portability and Accountability Act of 1996）等履行相關通報義務，則視為已符合本法之要求。 三、民事裁罰 本法明定，民事罰鍰之裁量將審酌事故規模、事故發生後組織之因應作為及是否履行事故通報義務等因素而定，以確保裁量之比例原則。裁量情形說明如下： 1.若機構已採行適當防護措施且依法進行事故通報者，得免除民事責任； 2.若未採取適當防護措施，惟仍依規定完成事故通報者，則須負擔實際損害賠償責任並處以最高75,000美元罰鍰； 3.未落實適當防護措施與事故通報法定義務者，最高處以150,000美元罰鍰。 參、事件評析 本次修法可見奧克拉荷馬州就數位時代資安威脅所採行之積極因應作為，其修正重點包含：擴充個人資料之定義並明定適當防護措施之內容，俾利降低企業法遵成本及法律適用之不確定性；強化事故通報機制並設置合理豁免條款，以確保資訊透明度；於罰則規範中明定民事罰鍰之裁量，應審酌事故規模及是否履行事故通報義務等因素，以符合比例原則。 有鑑於本法修正後所課予之法定義務，建議企業應採行下列因應措施：(1)全面盤點所保有之個人資料，尤應注意新增納管之電子識別碼及生物特徵等資料；(2)檢視並強化現有防護機制，確保符合適當防護措施之要求；(3)建立標準化通報應變程序；(4)強化教育訓練。此外，企業宜定期檢視法規動態，以確保持續符合法規要求。 [1] Bill Information for SB 626, OKLAHOMA STATE LEGISLATURE, http://www.oklegislature.gov/BillInfo.aspx?Bill=sb626&Session=2500 (last visited June 1, 2025). [2] BILL NO. 626, OKLAHOMA STATE LEGISLATURE, https://www.oklegislature.gov/cf_pdf/2025-26%20ENR/SB/SB626%20ENR.PDF (last visited June 2, 2025).

.Pindent{text-indent: 2em;} .Noindent{margin-left: 2em;} .NoPindent{text-indent: 2em; margin-left: 2em;} .No2indent{margin-left: 3em;} .No2Pindent{text-indent: 2em; margin-left: 3em} .No3indent{margin-left: 4em;} .No3Pindent{text-indent: 2em; margin-left: 4em} 美國商務部工業暨安全局（Bureau of Industry and Security, BIS）於2024年9月23日公布「確保聯網車輛資通訊技術及服務供應鏈安全」（Securing the Information and Communications Technology and Services Supply Chain: Connected Vehicles）法規預告（Notice of Proposed Rulemaking, NPRM），旨在透過進口管制措施，保護美國聯網車供應鏈及使用安全，避免國家受到境外敵對勢力的威脅。 相較於BIS於2024年3月1日公布的法規制定預告（Advanced Notice of Proposed Rulemaking, ANPRM），NPRM明確指出受進口管制的國家為中國及俄國，並將聯網車輛資通訊技術及服務之定義，限縮於車載資通訊系統、自動駕駛系統及衛星或蜂巢式通訊系統，排除資訊洩漏風險較小的車載操作系統、駕駛輔助系統及電池管理系統。NPRM定義三種禁止交易型態：（1）禁止進口商將任何由中國或俄國擁有、控制或指揮的組織（下稱「中俄組織」）設計、開發、生產或供應（下稱「提供」）的車輛互聯系統（vehicle connectivity system, VCS）硬體進口至美國；（2）禁止聯網車製造商於美國進口或銷售含有中俄組織所提供的軟體之聯網整車；（3）禁止受中俄擁有、控制或指揮的製造商於美國銷售此類整車。 NPRM亦提出兩種例外授權的制度：在特定條件下，例如年產量少於1000輛車、每年行駛公共道路少於30天等，廠商無須事前通知BIS，即可進行交易，然而須保存相關合規證明文件；不符前述一般授權資格者，可申請特殊授權，根據國安風險進行個案審查。其審查重點包含外國干預、資料洩漏、遠端控制潛力等風險。此外，為提升供應鏈透明度並檢查合規性，BIS預計要求VCS硬體進口商及聯網車製造商，每年針對涉及外國利益的交易，提交符合性聲明，並附軟硬體物料清單（Bill of Materials, BOM）證明。BIS針對此規範是否有效且必要進行意見徵詢，值得我國持續關注。

　　依據12月USPTO公開資訊，微軟（Microsoft）於2016年9月2號提出擴增實境（Augmented Reality，以下簡稱AR）系統之美國發明專利申請（申請號：20160373570）。目前AR系統不僅可投射虛擬訊息，還可偵測物理空間之物體位置，不過因為現實生活中，不管是有生命或無生命物體，都不太可能處於完全靜態不動的狀況；而微軟此技術之開發，除了不限於固定空間外，對移動中的物體更具有自動追蹤效果。 　　微軟專利指出該系統能辨識無生命物體，並可將該物體被選擇為追蹤對象的技術，這個AR系統可持續監測物體的狀態，不僅在同一空間中不同時間點，甚至是物體離開監控空間又被帶回的情況都可追蹤。從微軟專利可以看到這項技術運用在日常生活的價值，如：我們常常花很多時間在想汽車鑰匙和錢包放在哪裡，但透過這個系統的追蹤，可以節省我們找尋的時間；有時我們會忘記家裡的牛奶還剩多少，而花時間去逛超商，倘若我們運用此追蹤技術，能夠隨時知道牛奶剩餘的狀態，就可以避免這種情況的發生。 　　上開技術不僅包含AR技術，還有虛擬實境（Virtual Reality，簡稱VR）技術，這些技術能透過虛擬與真實世界合併，將真實世界、人類、空間和物體結合，並可進一步的智慧化追蹤，若這項專利被核准且可真實運用到現實生活，必能減少我們的生活中不必要的麻煩。 「本文同步刊登於TIPS網站（https://www.tips.org.tw ）」

　　在經歷1個多月、共50回合4G(含LTE與Wimax)頻譜拍賣後，英國Ofcom在2月20日宣布Everything Everywhere Ltd(EE)、 Hutchison 3G UK Ltd、 Niche Spectrum Ventures Ltd、 Telefónica UK Ltd (O2)與Vodafone Ltd五家公司取得頻譜執照。這次4G釋照拍賣收入比預期少10億英鎊，但也挹注英國政府23.4億英鎊，使財政得以紓緩。目前，英國民眾最晚於2017年，就可享有更快、更便宜與覆蓋性更佳的4G服務。 　　此次頻譜釋出共有250MHz取自於800MHz與2.6GHz。800MHz之得以釋出，來自於類比電視訊號關閉後，因頻譜重整所取得之「數位紅利」，並採取分頻多工（frequency division duplexing，FDD）；至於，2.6GHz則依頻段不同，而分別採用分頻多工與分時多工（time division duplexing，TDD）。由於，800MHz擁有優良覆蓋性，是故，英國政府藉由800MHz特性，釋放一張2*10MHz之執照，並規定業者覆蓋義務，以達到英國發展行動網路之目標。目前，取得該執照的O2，最晚於2017年須提供98%人口於室內可取得行動寬頻服務、至少95%人口能於英國境內(英格蘭，北愛爾蘭，蘇格蘭和威爾士)取得4G服務。 　　在Ofcom採取組合價格鐘拍賣型式（combinatorial clock auction，CCA）下，目前，業者已完成頻譜標得區塊數目(Eg:EE於800MHz取得一張2*5MHz)，待得標者完成配置(Assignment stage)頻段位址(Eg:EE頻段確定在800 MHz ~805 MHz)，最快於2013年夏天，英國民眾可更普及的享有下述優點： 　　1.網速可達到100Mbp，超越現今3G五至十倍。 　　2.使用智慧型手機、平板觀看電視，雜訊、遲緩的問題將不復見。 　　3.使用高畫質視訊將更為輕鬆，並且，照片與影片上傳於社群網站將非常迅速。 　　4.偏遠地區可因4G的覆蓋性廣而具有網路服務。 　　OFCOM不僅促進4G市場競爭外，並在今(2013)年年底提供報告，告知消費者與企業4G服務發展現況、地理位址，與網路速度，讓使用者有能力作出最好的選擇。而在未來的發展上，許多研究單位估計2030年時，行動網路的傳輸需求將可能是現在80倍，英國亦開始探討釋出頻譜發展5G的可能性，以因應未來供不應求所導致的「容量危機」(capacity crunch )。