電信產業號碼資料庫之應用與法制議題－以個人隱私保護為中心

　　自 92 年歐盟公告「廢電機及電子設備指令」（ WEEE ）及「電機及電子設備使用某些危害物質限制指令」（ RoHS ）以來，國際大廠紛紛制訂各種綠色採購標準以要求供應鏈體系符合無毒性、可回收及省能源的目標。回顧 94 年台灣電機電子產品輸歐出口值為新台幣 2,334.27 億元，影響廠商家數為 31189 家，因此這兩項指令執行之後，對台灣產業的衝擊影響甚鉅。 　　為協助國內中小企業因應歐盟 RoHS 指令之執行，經濟部中小企業處自 93 年起即已開始進行相關輔導工作，解決中小企業在面對綠色採購要求所遭遇之問題，如：法規環境、客戶要求、管理制度、人力資源等，藉由綠色供應鏈輔導，提升中小企業對綠色產品的認知，塑造優質而有效率的綠色供應鏈環境，以強化中小企業綠色競爭力。 　　隨著歐盟指令的推行已逐漸從資訊產品等 3C 大廠擴散到小型家電、玩具運動器材及電動工具等中小型企業規模，因此經濟部中小企業處將持續辦理輔導中小企業進入綠色材料與供應鏈體系，以及清查限用物質診斷、成立網路顧問團提供諮詢、綠色材料及供應鏈人才培訓、建立綠色供應鏈稽核訓練系統、示範觀摩及成果擴散等工作。 　　綠色產品趨勢已是不可擋的潮流，隨著今年 7 月 1 日 RoHS 指令的執行，及後續 EuP 、 REACH 、 … 等一連串綠色指令法規要求，對我國企業是一波波嚴酷的挑戰，需要政府投入更多的資源，繼續協助企業符合客戶綠色採購要求，將環保貿易障礙轉換成企業發展的新契機，開發拓展綠色產品的商機，以提升我國企業之綠色競爭力。

　　聯合國教科文組織於2020年9月發布《人工智慧倫理建議書》草案（First Draft Of The Recommendation On The Ethics Of Artificial Intelligence）（下稱建議書），以全球性的視野與觀點出發，為第一份全球性關於人工智慧倫理的建議書，試圖對人工智慧倫理作出框架性規定，對照其他區域性組織或個別國家人工智慧倫理準則或原則，著重之處稍有差異。該建議書係由組織總幹事Audrey Azoulay於2020年3月任命24位在人工智慧倫理學方面之跨領域專家，組成專家小組（AD HOC EXPERT GROUP, AHEG），以《建議書》的形式起草全球標準文書。 　　其主要內容提到六大價值觀：（一）人性尊嚴（Human dignity）、(二）基本人權和自由（Human rights and fundamental freedoms）、（三）不遺漏任何人（Leaving no one behind）、（四）和諧共生（Living in harmony）、（五）可信賴（Trustworthiness）、（六）環境保護（Protection of the Environment）。其中尤值關注處在於，建議書除強調人工智慧的技術、資料及研究需要進行全球範圍的共享外，相當重視世界上所有的國家及地區在人工智慧領域是否能均衡發展。特別在六大價值觀中提出「不遺漏任何人」觀點，也同時呼應了聯合國永續發展目標（Sustainable Development Goals, SDGs）的倡議。在人工智慧技術發展過程中，開發中國家（global south）及相對弱勢的群體是相當容易被忽略的。人工智慧蓬勃發展的時代，若某些群體或個體成為技術弱勢者，不僅在技術發展上有落差，更可能使人工智慧系統容易產生歧視、偏見、資訊和知識鴻溝，其後更將導致全球不平等問題的挑戰。 　　由專家小組起草的建議書草案已於2020年9月提交給聯合國成員國，作為對建議書的初步報告。該報告將提供給各會員國，並同步提交給預定於2021年召開的政府專家委員會，最後預計於2021年底的提交聯合國教科文組織大會。

美國奧克拉荷馬州修正《個資事故通報法》，擴充個資定義範圍並強化通報機制 資訊工業策進會科技法律研究所 2025年07月22日 現行我國關於非公務機關就個資事故進行通報之規定，散落於各中央目的事業主管機關制定之各業別個人資料檔案安全維護管理辦法或相關辦法中，且前揭各辦法對於通報之標準不盡相同。各國主管機關紛紛強化個資治理法制，而美國奧克拉荷馬州修正關於個人資料定義、適當防護措施及個資事故通報機制等事項，以建立更完善之規範。 壹、事件摘要 美國奧克拉荷馬州議會業於2025年5月20日通過第626號法案（Senate Bill 626）[1]，修正《個資事故通報法》（Security Breach Notification Act）[2]，其目的係為補充現行治理規範之不足，修正重點涵蓋：擴充法定用詞之定義，針對「個人資料」（Personal Information）與「適當防護措施」（Reasonable Safeguards）等條文予以補充與增列；強化個資事故（Breach of the security of a system）之通報機制與設立豁免條款，並釐清與其他法規間之適用關係；以及修訂違法情事之民事裁罰。此外，本次修法亦明定，若機構或個人已採取適當防護措施，得作為民事訴訟中之抗辯理由。本法將自2026年1月1日起正式生效，並適用於自該日起所發現、判定或通報之個資事故，相關單位應即早進行法遵準備，以確保制度落實。 貳、修法重點 本次修法主要包含三大核心面向，簡要說明如下： 一、擴充法定用詞之定義 （一）個人資料 於現行法規對個人資料之定義下，再增加新資料類別： 1.與驗證碼、存取碼或密碼結合使用時，可用以登入特定個人金融帳戶之專屬電子識別碼（Electronic Identifier）或路由代碼（Routing Code）； 2.用以辨識特定自然人之獨特生物特徵資料，例如指紋、視網膜或虹膜影像，或其他具體實體或數位形式之生物辨識資料。 （二）適當防護措施 適當防護措施係指，為確保個人資料安全而考量組織或機構之規模、產業別、以及保有之個資類別與數量所制定之政策及作業實務。此概念包括但不限於：進行風險評估、建立技術面及實體面之多層次保護機制、對人員實施教育訓練，及建立個資事故應變計畫等。 二、強化事故通報機制與設立豁免條款 本法要求於發現系統個資事故並已通知受影響之當事人後，應於60日內向州檢察總長（Attorney General）提交書面通報，載明涉及之個人資料類別、事故性質、受影響人數、預估之財務損失、所採行之適當防護措施等必要內容。惟若事故影響人數低於500名州民，或事故發生於徵信機構且影響人數未達1,000人，則可免除向檢察總長通報之義務。 此外，本法明確規範，若特定機構已依據其他法律，如《奧克拉荷馬州醫療資安保護法》（Oklahoma Hospital Cybersecurity Protection Act of 2023）或聯邦《健康保險可攜及責任法》（Health Insurance Portability and Accountability Act of 1996）等履行相關通報義務，則視為已符合本法之要求。 三、民事裁罰 本法明定，民事罰鍰之裁量將審酌事故規模、事故發生後組織之因應作為及是否履行事故通報義務等因素而定，以確保裁量之比例原則。裁量情形說明如下： 1.若機構已採行適當防護措施且依法進行事故通報者，得免除民事責任； 2.若未採取適當防護措施，惟仍依規定完成事故通報者，則須負擔實際損害賠償責任並處以最高75,000美元罰鍰； 3.未落實適當防護措施與事故通報法定義務者，最高處以150,000美元罰鍰。 參、事件評析 本次修法可見奧克拉荷馬州就數位時代資安威脅所採行之積極因應作為，其修正重點包含：擴充個人資料之定義並明定適當防護措施之內容，俾利降低企業法遵成本及法律適用之不確定性；強化事故通報機制並設置合理豁免條款，以確保資訊透明度；於罰則規範中明定民事罰鍰之裁量，應審酌事故規模及是否履行事故通報義務等因素，以符合比例原則。 有鑑於本法修正後所課予之法定義務，建議企業應採行下列因應措施：(1)全面盤點所保有之個人資料，尤應注意新增納管之電子識別碼及生物特徵等資料；(2)檢視並強化現有防護機制，確保符合適當防護措施之要求；(3)建立標準化通報應變程序；(4)強化教育訓練。此外，企業宜定期檢視法規動態，以確保持續符合法規要求。 [1] Bill Information for SB 626, OKLAHOMA STATE LEGISLATURE, http://www.oklegislature.gov/BillInfo.aspx?Bill=sb626&Session=2500 (last visited June 1, 2025). [2] BILL NO. 626, OKLAHOMA STATE LEGISLATURE, https://www.oklegislature.gov/cf_pdf/2025-26%20ENR/SB/SB626%20ENR.PDF (last visited June 2, 2025).

　　美國音樂串流服務網站Grooveshark於2015年4月30日在紐約聯邦法院與三家唱片公司(Warner Music Group, Universal Music Group, Sony Music Entertainment)達成和解協議，以避免由陪審團判決(jury verdict)所帶來高達7億3千6佰萬美金的侵權賠償金。Escape Media Group以5千萬美金、公開道歉及關閉經營將近10年的Grooveshark網站為代價結束了這起爭訟多年的著作權訴訟案。 　　Grooveshark網站的成立理念爲提供使用者上傳音樂的平臺，樂迷可透過平臺互相分享與檢索音樂，因此網站原本適用於數位千禧年著作權法(Digital Millennium Copyright Act)中的避風港原則。惟Grooveshark網站實質上透過員工上傳盜版音樂，此一做法已明顯超出避風港原則的保護範圍。紐約聯邦法院法官於去年秋季的裁定中指出，Escape Media Group透過員工上傳盜版音樂獲取利益為無可爭辯的證據，因此認爲該公司應對著作侵權負責。 　　紐約聯邦法院法官於審前會議中指出一旦Escape Media Group的故意侵權罪成立，每首歌曲應賠償15萬美金的侵權賠償金，而網站目前擁有近5千首歌曲，因此侵權賠償金額將高達7億3千6佰萬美金。此裁定成爲了此案達成和解協議的催化劑。對於此次的訴訟結果，美國唱片業協會（The Recording Industry Association of America,）代表三家唱片公司表示此次的和解成功杜絕了侵權音樂的主要來源，對於藝術工作者而言十分可貴。