何謂「數位藥丸(digital pill)」?

　　歐盟議會今年(2013)10月8日，針對「菸草產品指令」修正草案(Revision of the Tobacco Products Directive)進行投票，擬將電子香菸納入藥用規範落實菸害防制。此次修正草案目的在於規範歐盟菸草產品內部市場運作，保障公眾健康，該修正草案要點歸納如下 (一)包裝與標示 　　嚴格規範菸草產品需標示有礙健康的訊息和警語，並以圖示與文字呈現。除涵蓋外包裝正面與背面的65%外，側邊應標記妨害健康之警示。 (二)成分與添加物 　　為預防青少年對菸品產生興趣，規定菸草產品的外部包裝與內容物部份，需讓消費者清楚瞭解，購買的菸草產品有危害健康之疑慮，尤其是禁止香甜或水果風味的菸品要求在包裝上印刷更多警示規範，例如：不得將菸草產品以糖果、化妝品等樣式包裝之；禁止添加巧克力、香草等添加物抑制菸草刺激氣味。 (三)菸草產品規範範圍 　　對未含菸草成份之菸草產品，研擬具體規範辦法，例如：電子香菸、草藥香菸，擴大菸草產品規範範圍。 　　菸草產品指令之修正案預計於明年(2014)通過，藉由該項修正案統一歐盟各會員國對菸害防制標準與共識基礎，以提高會員國對菸草使用的危機意識，增加對禁菸、戒菸政策落實之動力。

　　歐洲議會於2009年3月26日，以大多數支持Lambrinidis報告中關於網路上個人自由保護之投票結果，反對法國政府和著作權行業提出的修正案。歐洲議會的態度是「保障所有公民接近使用網路就如同保障所有公民接受教育」，而且「政府或私人組織不能以處罰之方式拒給這種接近使用的權利」。歐洲議會議員要求會員國政府需體認到網路是一個有效增加公民權利義務之特殊機會，就這方面而言，使用網路及網路內容是一個關鍵要素。 　　這份報告被歐洲議會議員所採用，得以認識到提供安全措施來保護網路使用者(特別是孩童)之必要性，由於使用者可能會因使用網路，而暴露在成為罪犯或恐怖份子的犯罪工具的風險中。報告中提出方案對抗網路犯罪，但同時也要求在安全及網路使用者基本權利保障中尋求平衡點。 此報告否定法國所提之修正案，歐洲議會又再度否決由法國努力推動「網路侵權三振法案」（three strikes file-sharing law)。歐洲議會認為對於所有網路使用者的監測活動及對於侵權者之處罰有違比例原則。歐洲議會亦公開支持「網路權利憲章」（Internet Bill of Rights)以及推動「隱私權設計」（privacy by design）宗旨。

美國奧克拉荷馬州修正《個資事故通報法》，擴充個資定義範圍並強化通報機制 資訊工業策進會科技法律研究所 2025年07月22日 現行我國關於非公務機關就個資事故進行通報之規定，散落於各中央目的事業主管機關制定之各業別個人資料檔案安全維護管理辦法或相關辦法中，且前揭各辦法對於通報之標準不盡相同。各國主管機關紛紛強化個資治理法制，而美國奧克拉荷馬州修正關於個人資料定義、適當防護措施及個資事故通報機制等事項，以建立更完善之規範。 壹、事件摘要 美國奧克拉荷馬州議會業於2025年5月20日通過第626號法案（Senate Bill 626）[1]，修正《個資事故通報法》（Security Breach Notification Act）[2]，其目的係為補充現行治理規範之不足，修正重點涵蓋：擴充法定用詞之定義，針對「個人資料」（Personal Information）與「適當防護措施」（Reasonable Safeguards）等條文予以補充與增列；強化個資事故（Breach of the security of a system）之通報機制與設立豁免條款，並釐清與其他法規間之適用關係；以及修訂違法情事之民事裁罰。此外，本次修法亦明定，若機構或個人已採取適當防護措施，得作為民事訴訟中之抗辯理由。本法將自2026年1月1日起正式生效，並適用於自該日起所發現、判定或通報之個資事故，相關單位應即早進行法遵準備，以確保制度落實。 貳、修法重點 本次修法主要包含三大核心面向，簡要說明如下： 一、擴充法定用詞之定義 （一）個人資料 於現行法規對個人資料之定義下，再增加新資料類別： 1.與驗證碼、存取碼或密碼結合使用時，可用以登入特定個人金融帳戶之專屬電子識別碼（Electronic Identifier）或路由代碼（Routing Code）； 2.用以辨識特定自然人之獨特生物特徵資料，例如指紋、視網膜或虹膜影像，或其他具體實體或數位形式之生物辨識資料。 （二）適當防護措施 適當防護措施係指，為確保個人資料安全而考量組織或機構之規模、產業別、以及保有之個資類別與數量所制定之政策及作業實務。此概念包括但不限於：進行風險評估、建立技術面及實體面之多層次保護機制、對人員實施教育訓練，及建立個資事故應變計畫等。 二、強化事故通報機制與設立豁免條款 本法要求於發現系統個資事故並已通知受影響之當事人後，應於60日內向州檢察總長（Attorney General）提交書面通報，載明涉及之個人資料類別、事故性質、受影響人數、預估之財務損失、所採行之適當防護措施等必要內容。惟若事故影響人數低於500名州民，或事故發生於徵信機構且影響人數未達1,000人，則可免除向檢察總長通報之義務。 此外，本法明確規範，若特定機構已依據其他法律，如《奧克拉荷馬州醫療資安保護法》（Oklahoma Hospital Cybersecurity Protection Act of 2023）或聯邦《健康保險可攜及責任法》（Health Insurance Portability and Accountability Act of 1996）等履行相關通報義務，則視為已符合本法之要求。 三、民事裁罰 本法明定，民事罰鍰之裁量將審酌事故規模、事故發生後組織之因應作為及是否履行事故通報義務等因素而定，以確保裁量之比例原則。裁量情形說明如下： 1.若機構已採行適當防護措施且依法進行事故通報者，得免除民事責任； 2.若未採取適當防護措施，惟仍依規定完成事故通報者，則須負擔實際損害賠償責任並處以最高75,000美元罰鍰； 3.未落實適當防護措施與事故通報法定義務者，最高處以150,000美元罰鍰。 參、事件評析 本次修法可見奧克拉荷馬州就數位時代資安威脅所採行之積極因應作為，其修正重點包含：擴充個人資料之定義並明定適當防護措施之內容，俾利降低企業法遵成本及法律適用之不確定性；強化事故通報機制並設置合理豁免條款，以確保資訊透明度；於罰則規範中明定民事罰鍰之裁量，應審酌事故規模及是否履行事故通報義務等因素，以符合比例原則。 有鑑於本法修正後所課予之法定義務，建議企業應採行下列因應措施：(1)全面盤點所保有之個人資料，尤應注意新增納管之電子識別碼及生物特徵等資料；(2)檢視並強化現有防護機制，確保符合適當防護措施之要求；(3)建立標準化通報應變程序；(4)強化教育訓練。此外，企業宜定期檢視法規動態，以確保持續符合法規要求。 [1] Bill Information for SB 626, OKLAHOMA STATE LEGISLATURE, http://www.oklegislature.gov/BillInfo.aspx?Bill=sb626&Session=2500 (last visited June 1, 2025). [2] BILL NO. 626, OKLAHOMA STATE LEGISLATURE, https://www.oklegislature.gov/cf_pdf/2025-26%20ENR/SB/SB626%20ENR.PDF (last visited June 2, 2025).

美國聯邦貿易委員會（下稱FTC）於2024年4月23日通過「禁止企業簽訂競業禁止契約」最終版本的規定（以下稱「最終規定」） ，FTC認為「簽訂或執行競業禁止契約」違反《聯邦貿易委員會法》（Federal Trade Commission Act）第5條之防止不公平競爭之違法手段之規定。最終規定所禁止簽訂競業禁止契約的對象廣泛，包含獨立承包商、為營利企業工作的員工，並將可能取代其他規範競業禁止契約效力之州法。不過，尚有部分情形將排除最終規定的適用，如： （1）公司與高階主管的既有競業禁止契約仍屬有效，而高階主管被定義為「年收入超過 151,164 美元（約新臺幣4,927,492元）且擔任決策職位」的員工，如總裁、首席執行長或其他擁有企業重大決策權的職位。 （2）允許出於善意收購企業的雙方簽訂競業禁止契約。 （3）因FTC對於某些產業無監管權，因此該等產業不適用於禁止簽訂競業禁止契約的最終規定，如非營利組織、銀行、保險公司以及航空公司。 FTC指出最終規定於美國聯邦公報上公布120天（約4個月）後生效，並要求現已簽訂競業禁止契約之雇主負有通知義務，雇主須透過數位（電子郵件或簡訊）或紙本方式，明確地通知現任、前員工，其既有的競業禁止契約即將失效。 但美國商會（U.S. Chamber of Commerce）已聲明表示該最終規定有超出FTC管轄範圍之疑慮，故後續可否執行最終規定，仍有待密切關注。 為因應FTC大範圍禁止簽訂競業禁止契約之法制方向，建議公司可參考資策會科法所發布之「營業秘密保護管理規範」以系統性方式檢視不同面向的既有管理作法，如人員面、內容面等，以落實對於營業秘密的保護。 1.關於文件的管理建議 先盤點紙本及數位機密文件；再設定文件之接觸權限。 2.關於人員的管理建議 留意人員的智財教育訓練；人員的保密或智財權歸屬契約，確保契約約定已納入公司想保護的機密資訊，比如客戶或供應商名單及聯絡資訊、產品規格、製程等；以及離職管理。 本文同步刊登於TIPS網站（https://www.tips.org.tw）。