何謂「權利懈怠原則」？

美國奧克拉荷馬州修正《個資事故通報法》，擴充個資定義範圍並強化通報機制 資訊工業策進會科技法律研究所 2025年07月22日 現行我國關於非公務機關就個資事故進行通報之規定，散落於各中央目的事業主管機關制定之各業別個人資料檔案安全維護管理辦法或相關辦法中，且前揭各辦法對於通報之標準不盡相同。各國主管機關紛紛強化個資治理法制，而美國奧克拉荷馬州修正關於個人資料定義、適當防護措施及個資事故通報機制等事項，以建立更完善之規範。 壹、事件摘要 美國奧克拉荷馬州議會業於2025年5月20日通過第626號法案（Senate Bill 626）[1]，修正《個資事故通報法》（Security Breach Notification Act）[2]，其目的係為補充現行治理規範之不足，修正重點涵蓋：擴充法定用詞之定義，針對「個人資料」（Personal Information）與「適當防護措施」（Reasonable Safeguards）等條文予以補充與增列；強化個資事故（Breach of the security of a system）之通報機制與設立豁免條款，並釐清與其他法規間之適用關係；以及修訂違法情事之民事裁罰。此外，本次修法亦明定，若機構或個人已採取適當防護措施，得作為民事訴訟中之抗辯理由。本法將自2026年1月1日起正式生效，並適用於自該日起所發現、判定或通報之個資事故，相關單位應即早進行法遵準備，以確保制度落實。 貳、修法重點 本次修法主要包含三大核心面向，簡要說明如下： 一、擴充法定用詞之定義 （一）個人資料 於現行法規對個人資料之定義下，再增加新資料類別： 1.與驗證碼、存取碼或密碼結合使用時，可用以登入特定個人金融帳戶之專屬電子識別碼（Electronic Identifier）或路由代碼（Routing Code）； 2.用以辨識特定自然人之獨特生物特徵資料，例如指紋、視網膜或虹膜影像，或其他具體實體或數位形式之生物辨識資料。 （二）適當防護措施 適當防護措施係指，為確保個人資料安全而考量組織或機構之規模、產業別、以及保有之個資類別與數量所制定之政策及作業實務。此概念包括但不限於：進行風險評估、建立技術面及實體面之多層次保護機制、對人員實施教育訓練，及建立個資事故應變計畫等。 二、強化事故通報機制與設立豁免條款 本法要求於發現系統個資事故並已通知受影響之當事人後，應於60日內向州檢察總長（Attorney General）提交書面通報，載明涉及之個人資料類別、事故性質、受影響人數、預估之財務損失、所採行之適當防護措施等必要內容。惟若事故影響人數低於500名州民，或事故發生於徵信機構且影響人數未達1,000人，則可免除向檢察總長通報之義務。 此外，本法明確規範，若特定機構已依據其他法律，如《奧克拉荷馬州醫療資安保護法》（Oklahoma Hospital Cybersecurity Protection Act of 2023）或聯邦《健康保險可攜及責任法》（Health Insurance Portability and Accountability Act of 1996）等履行相關通報義務，則視為已符合本法之要求。 三、民事裁罰 本法明定，民事罰鍰之裁量將審酌事故規模、事故發生後組織之因應作為及是否履行事故通報義務等因素而定，以確保裁量之比例原則。裁量情形說明如下： 1.若機構已採行適當防護措施且依法進行事故通報者，得免除民事責任； 2.若未採取適當防護措施，惟仍依規定完成事故通報者，則須負擔實際損害賠償責任並處以最高75,000美元罰鍰； 3.未落實適當防護措施與事故通報法定義務者，最高處以150,000美元罰鍰。 參、事件評析 本次修法可見奧克拉荷馬州就數位時代資安威脅所採行之積極因應作為，其修正重點包含：擴充個人資料之定義並明定適當防護措施之內容，俾利降低企業法遵成本及法律適用之不確定性；強化事故通報機制並設置合理豁免條款，以確保資訊透明度；於罰則規範中明定民事罰鍰之裁量，應審酌事故規模及是否履行事故通報義務等因素，以符合比例原則。 有鑑於本法修正後所課予之法定義務，建議企業應採行下列因應措施：(1)全面盤點所保有之個人資料，尤應注意新增納管之電子識別碼及生物特徵等資料；(2)檢視並強化現有防護機制，確保符合適當防護措施之要求；(3)建立標準化通報應變程序；(4)強化教育訓練。此外，企業宜定期檢視法規動態，以確保持續符合法規要求。 [1] Bill Information for SB 626, OKLAHOMA STATE LEGISLATURE, http://www.oklegislature.gov/BillInfo.aspx?Bill=sb626&Session=2500 (last visited June 1, 2025). [2] BILL NO. 626, OKLAHOMA STATE LEGISLATURE, https://www.oklegislature.gov/cf_pdf/2025-26%20ENR/SB/SB626%20ENR.PDF (last visited June 2, 2025).

　　為了讓美國消費者可以完全明瞭日常購買食品所蘊含的營養內容，美國食品藥物管理局（Food and Drug Administration, FDA）於二月提案更新現行食品營養標示（Nutrition Facts Label）所必須彰顯的營養物內容。本次食品營養標示的調整，主要是針對從最新飲食建議、共識報告與全國調查數據所彙整出的結果，就攸關消費者疾病、健康與日常需求的營養物，重新就標示內容進行調整，以強化食品安全的資訊透明，落實保障消費者在選擇食品的資訊平等地位。以下，將針對本次主要調整事項分別作簡要說明： 　　在新的食品營養標示中，首先，要求額外列出添加糖（added sugars）的數量，以避免消費者因食用過多的糖分而導致肥胖（obesity）或促發其他疾病的發生；第二，要求更新食品營養物份量（serving size），對於食品營養標示需顯示消費者「實際食用」的份量，而非顯示消費者「可能食用」的份量；第三，要求標示鉀（potassium）與維他命D（vitamin D）的含量，以反應相關報告顯示美國人普遍對於鉀與維他命D有攝取不足的現象；第四，調整不同營養素（例如：鈉、膳食纖維與維他命D）的每日攝取標示，使消費者瞭解食品所含營養素內容；第五，持續要求標示總體脂肪（Total Fat）、飽和脂肪（Saturated Fat）與反式脂肪（Trans Fat），並去除卡路里來自脂肪的標示，以提供消費者攸關其健康更有用的資訊；最後，針對食品營養標示的型式進行調整，強調例如像是卡路里、份量與每日攝取比率之標示，以緩和美國近來日益嚴重的肥胖與心臟疾病等問題。 　　考量美國公共健康問題日益浮出檯面，FDA近來針對食品營養標示型式與內容進行調整，希望藉由資訊透明化的方式，讓消費者明瞭市售食品營養素是否影響自身健康，以作為挑選食品時的首要考量，進而降低不健康食品對消費者所帶來的危害。鑑於近來台灣食安問題日益嚴重，衛生主管機關是否亟需就食品營養標示，參酌美國或國外規範重新另作檢視，來確保消費者買得放心、食得安心，並吃出健康，則是現行衛生主管機關需另考量的重點。

　　於2016年1月21日，日本公平交易委員會(Japan Fair Trade Commission，下稱JFTC)公布了修正後的「反托拉斯法下之智慧財產權之利用指南(Guidelines for the Use of Intellectual Property under the Antimonopoly Act)」，就有關標準必要專利權利行使有無違反反托拉斯法之相關問題進一步為解釋，俾利往後企業為商業行為時之參考。以下為其修正概要：一、當標準必要專利權人同意依據FRAND原則授權時，其若再提出訴訟要求排除有意願取得授權者(willing licensee)為該標準必要專利權之利用或是拒絕授權與有意願取得授權者時，該行為會被認定違反反托拉斯法。二、基於一般商業行為所為並善意進行商業談判者，會被認定屬有意願取得授權者(willing licensee)，不論其之後是否就該專利有效性為爭執，或是對該專利是否屬實質必要專利為爭執。三、阻止他公司運用該專利進行研究、發展或販賣產品會被認定為不正商業行為，不論該行為是否在商品市場上產生限制競爭或獨占之結果。 　　JFTC為了釐清行使智慧財產權時所可能面臨是否違反反托拉斯法之相關問題，於西元(下同)2007年9月8日發布「反托拉斯法下之智慧財產權之利用指南(Guidelines for the Use of Intellectual Property under the Antimonopoly Act)」與「標準化與專利池協定指南(Guidelines on Standardization and Patent Pool Arrangements)」。標準必要專利(SEP)之相關爭議原則需依這些指南為判定，但這些指南對於一些表面上屬於權利行使(例如：標準必要專利之權利人所提起之侵權訴訟)的行為定性所提供的解釋卻十分有限。因此JFTC決定修改專利指南，並且公布草案予各方利害關係人表示意見，此乃JFTC於斟酌所得之各方意見後，所為之修正。

　　澳洲產業創新科技部（Department of Industry, Innovation and Science）於2020年2月7日發布「國家區塊鏈路線圖：向區塊鏈賦能之未來前進（National Blockchain Roadmap: Progressing towards a blockchain-empowered future）」政策文件。此路線圖為澳洲政府為彰顯其對區塊鏈技術之重視，並認知到區塊鏈與其他科技結合後將可進一步增進工作機會、促進經濟成長、減少商業成本與提升整體生產力，因此提出之區塊鏈發展方向規劃。 　　本路線圖文件指出，為實現區塊鏈技術，澳洲政府將於三個關鍵領域建立相關策略：一、建立有效且合理的規範與標準；二、建立可驅動創新之技術與能力；以及三、促進國際投資與合作。 　　路線圖文件並針對2020至2025年之區塊鏈發展進行規劃，相關措施包含： 重新命名國家區塊鏈諮詢委員會為國家區塊鏈路線圖推動委員會，並使其具有監督路線圖推動之職權。 建立由產業、研究團隊以及政府合作之團隊，以分析未來可能之應用案例。 對目前使用案例進行經濟分析與研究可能措施選項。 建立與連結政府端區塊鏈使用者，以促進學習交流與進一步應用。 進行國際研究以辨識出其他國家中適合學習做為政府服務之實際案例。 與區塊鏈服務提供商密切合作進行商業創新研究，以提出可供實際案例運用之解決方案。 確保區塊鏈發展涵蓋於整體國家策略中以促進數位科技能力管理。 使產業與教育機構合作發展關於區塊鏈資格技能之共同框架與課程內容。 為澳洲區塊鏈新創公司提出能力發展協助計畫，使其可向全球擴張並與支持合格企業。 引導外資投資以促進澳洲區塊鏈生態系建立。 引導既有雙邊協議進行區塊鏈前端計畫之合作與發展。 增加政府部門合作以確保澳洲企業可與發展中之新興數位貿易基礎設施進行連結等。 　　澳洲政府期待透過推動本路線圖與結合先前提出之AI路線圖政策，達成於2030年前成為數位經濟國家之目標。