美國基改食品標示新發展－強制標示與否的拔河

美國奧克拉荷馬州修正《個資事故通報法》，擴充個資定義範圍並強化通報機制 資訊工業策進會科技法律研究所 2025年07月22日 現行我國關於非公務機關就個資事故進行通報之規定，散落於各中央目的事業主管機關制定之各業別個人資料檔案安全維護管理辦法或相關辦法中，且前揭各辦法對於通報之標準不盡相同。各國主管機關紛紛強化個資治理法制，而美國奧克拉荷馬州修正關於個人資料定義、適當防護措施及個資事故通報機制等事項，以建立更完善之規範。 壹、事件摘要 美國奧克拉荷馬州議會業於2025年5月20日通過第626號法案（Senate Bill 626）[1]，修正《個資事故通報法》（Security Breach Notification Act）[2]，其目的係為補充現行治理規範之不足，修正重點涵蓋：擴充法定用詞之定義，針對「個人資料」（Personal Information）與「適當防護措施」（Reasonable Safeguards）等條文予以補充與增列；強化個資事故（Breach of the security of a system）之通報機制與設立豁免條款，並釐清與其他法規間之適用關係；以及修訂違法情事之民事裁罰。此外，本次修法亦明定，若機構或個人已採取適當防護措施，得作為民事訴訟中之抗辯理由。本法將自2026年1月1日起正式生效，並適用於自該日起所發現、判定或通報之個資事故，相關單位應即早進行法遵準備，以確保制度落實。 貳、修法重點 本次修法主要包含三大核心面向，簡要說明如下： 一、擴充法定用詞之定義 （一）個人資料 於現行法規對個人資料之定義下，再增加新資料類別： 1.與驗證碼、存取碼或密碼結合使用時，可用以登入特定個人金融帳戶之專屬電子識別碼（Electronic Identifier）或路由代碼（Routing Code）； 2.用以辨識特定自然人之獨特生物特徵資料，例如指紋、視網膜或虹膜影像，或其他具體實體或數位形式之生物辨識資料。 （二）適當防護措施 適當防護措施係指，為確保個人資料安全而考量組織或機構之規模、產業別、以及保有之個資類別與數量所制定之政策及作業實務。此概念包括但不限於：進行風險評估、建立技術面及實體面之多層次保護機制、對人員實施教育訓練，及建立個資事故應變計畫等。 二、強化事故通報機制與設立豁免條款 本法要求於發現系統個資事故並已通知受影響之當事人後，應於60日內向州檢察總長（Attorney General）提交書面通報，載明涉及之個人資料類別、事故性質、受影響人數、預估之財務損失、所採行之適當防護措施等必要內容。惟若事故影響人數低於500名州民，或事故發生於徵信機構且影響人數未達1,000人，則可免除向檢察總長通報之義務。 此外，本法明確規範，若特定機構已依據其他法律，如《奧克拉荷馬州醫療資安保護法》（Oklahoma Hospital Cybersecurity Protection Act of 2023）或聯邦《健康保險可攜及責任法》（Health Insurance Portability and Accountability Act of 1996）等履行相關通報義務，則視為已符合本法之要求。 三、民事裁罰 本法明定，民事罰鍰之裁量將審酌事故規模、事故發生後組織之因應作為及是否履行事故通報義務等因素而定，以確保裁量之比例原則。裁量情形說明如下： 1.若機構已採行適當防護措施且依法進行事故通報者，得免除民事責任； 2.若未採取適當防護措施，惟仍依規定完成事故通報者，則須負擔實際損害賠償責任並處以最高75,000美元罰鍰； 3.未落實適當防護措施與事故通報法定義務者，最高處以150,000美元罰鍰。 參、事件評析 本次修法可見奧克拉荷馬州就數位時代資安威脅所採行之積極因應作為，其修正重點包含：擴充個人資料之定義並明定適當防護措施之內容，俾利降低企業法遵成本及法律適用之不確定性；強化事故通報機制並設置合理豁免條款，以確保資訊透明度；於罰則規範中明定民事罰鍰之裁量，應審酌事故規模及是否履行事故通報義務等因素，以符合比例原則。 有鑑於本法修正後所課予之法定義務，建議企業應採行下列因應措施：(1)全面盤點所保有之個人資料，尤應注意新增納管之電子識別碼及生物特徵等資料；(2)檢視並強化現有防護機制，確保符合適當防護措施之要求；(3)建立標準化通報應變程序；(4)強化教育訓練。此外，企業宜定期檢視法規動態，以確保持續符合法規要求。 [1] Bill Information for SB 626, OKLAHOMA STATE LEGISLATURE, http://www.oklegislature.gov/BillInfo.aspx?Bill=sb626&Session=2500 (last visited June 1, 2025). [2] BILL NO. 626, OKLAHOMA STATE LEGISLATURE, https://www.oklegislature.gov/cf_pdf/2025-26%20ENR/SB/SB626%20ENR.PDF (last visited June 2, 2025).

　　英國的1988年智慧財產權法（The Copyright, Designs and Patents Act of 1988）長久以來，對於慈善及非營利團體在公開場合或活動中播放音樂，一直給予合理使用的空間。然當相關團體受惠於此一規定時，創作人跟表演人卻不樂見此情形。因此，英國主管機關針對此一合理使用規範，在2008年對相關團體進行了意見徵詢。 　　在2008年10底截止的意見徵詢中，對於改變錄音著作與表演人權利的公開演播合理使用空間，提供了下列三個選項： 一、 完全廢除此一合理使用空間 二、 縮小適用的團體範疇 三、 廢除合理使用空間，但權利人只能以對雙方都公平的費率收取權利金 　　近日，英國政府宣布根據前述的意見徵詢結果，將廢除慈善與非營利團體的合理使用規定，從2010年4月開始這些團體將必須負擔一個固定的年費，才能在活動或公開場合中使用音樂，但截至目前為止，使用的費率為何尚未確定，但主管機關表示，希望一年不超過100英鎊。 　　主管機關接下來將對費率部分開始徵詢意見，對於1988年智慧財產權法也預期會進行修正，並於2010年4月開始落實相關規範。這樣的改變對於慈善團體而言固然感到失望，相關團體也以未來在活動場合中，不播放音樂或不付權利金來做為要脅，但整體發展仍有待後續觀察。

　　美國加州於2019年9月通過AB-5法案（Assembly Bill No. 5），預計於2020年1月正式施行，本法目的在於強化零工經濟下非典型勞務提供者（如平台外送員）的權益保護，於加州現行勞動法令之基礎上，增訂關於各類勞務提供者之特別規定。 　　依本法主要規範，係推定替雇主（hirer）提供服務的工作者為僱傭契約關係下之僱員（employee），就最低工資、失業保險、勞災、醫療保險等面向，業者應對這些工作者提供等同受僱人之相關權益及保障；若要被例外認定為非成立僱傭關係之獨立承包商，則必須滿足不受公司於工作方面的控制指示、從事與公司通常業務範圍無關之業務、以及有實質接案自由等三要件，並要求業者應以上列標準判定其勞務提供者為僱員或獨立承包商，同時需於例外認定為獨立承包商時提出相關證明。 　　同時，本法亦考量到施行後其效力對既有營業形態之衝擊，分別採取以下措施： 針對例如派報員、商業捕撈（commercial fishermen）等業別，於本法正式施行後一定期間內，豁免前述列舉之特定領域勞務提供者適用本法來認定其與業者間的契約關係。亦即，在法案生效後的短期內，特定業者暫時不需適用該法所定要件來檢視與勞務提供者間之契約關係，避免本法貿然實施可能導致其無法經營日常業務的困境。 對於醫療保健專業人員、持有牌照之律師、建築師、會計師、證券經紀商等法明文列舉之特定職業，排除適用本法判定勞動關係的特別規定，而非暫時豁免適用。

.Pindent{text-indent: 2em;} .Noindent{margin-left: 2em;} .NoPindent{text-indent: 2em; margin-left: 2em;} .No2indent{margin-left: 3em;} .No2Pindent{text-indent: 2em; margin-left: 3em} .No3indent{margin-left: 4em;} .No3Pindent{text-indent: 2em; margin-left: 4em} 日本於2024年6月21日內閣決議更新「實現數位社會重點計畫」（デジタル社会の実現に向けた重点計画），作為日本最新數位與資料治理革新之上位政策，以達成實現Society5.0以及整合並協調各機關數位政策之目標，力求克服日本近年面臨人口減少、勞動力不足、產業競爭力下降、災害風險等之課題。 「實現數位社會重點計畫」自2021年發布第一版起，即以六項願景整合相關政策，分別為： 1. 數位化實現成長：數位轉型推動整體社會的生產力與競爭力； 2. 重要領域數位化：資料串連推動醫療、教育、防災、兒童等領域的安全發展； 3. 數位化實現區域振興：數位工具活化各區域特色； 4. 沒有人落後的數位社會：使所有人都可以體驗數位化服務； 5. 開發與保護數位人力：建立持續培養數位人力的社會； 6. 推動國際資料流通：實現資料可信任的跨國自由流通。 2024年「實現數位社會重點計畫」以六項願景分述各機關計劃推動的320個相關政策，如有醫院急救時共享醫療資訊、電子母子健康手冊、兒童資料串接、減少長者數位障礙、女性數位人才培育，以及推動資料可信任自由流通（Data Free Flow with Trust）等。 此外，本次更新之計畫新增「業務、系統、制度三位一體」作為推動架構。其中業務指結合資料與數位應用的行政服務；系統則是指適合於業務運作的軟、硬體；制度則指透過包含資料標準、指引或法令等方式形成之規範。日本藉此推動架構評估資料與數位之政策從起草、規劃到執行等階段中業務、系統與制度之間的協調性，為政策的制定者、使用者提供便利與高品質的數位體驗。 由2024年實現數位社會重點計畫的更新可知，日本強調在數位轉型階段中社會整體革新的企圖，加強政策在業務、系統、制度三個層面的一致性，以在邁向數位社會的同時克服社會轉型的挑戰。