何謂德國「資訊科技安全法(IT-Sicherheitsgesetz)？

　　包括違法下載刑罰化在內的著作權法修正草案在06月20日下午於日本參議院本會議中表決通過。違法下載刑罰化等的規定從10月01開始施行，而其它規定則從2013年01月01日開始施行。 　　日本政府最初於06月15日於眾議院文部科學委員會所提出的修正案為因應隨著數位化、網路化的發展而生之著作物利用態樣多元化及著作物違法利用及流通等的問題，包括 (1) 所謂「偶然入鏡」等未產生實害之著作物的非授權使用的放寬； (2) 國立國會圖書館的數化位資料自動公眾發送等的相關規定； (3) 依關於公文書等管理之法律而生的利用行為的相關規定； (4) 所謂「擷取違法化」等、關於技術面的保護手段之規定的整備等，在同委員會內獲得全員一致的表決通過。 　　此外，在同委員會也就自民黨、民主黨(提供兩點全名)兩黨所提出的針對「違法著作物的下載」導入刑事罰的修正案進行表決，獲得通過，並在其後的眾議院本會議中併同前述文部科學委員會所提出之修正案一併表決通過，復送交參議院進行表決。違法著作權的下載行為早在先前2009年的著作權修法時即已認為為違法化，惟一直以來並沒有罰則之規定。 　　在日本音樂相關權利人團體很早開始就提出了違法下載刑罰化的強烈要求，不過都沒有納入著作權法修正的相關審議會進行審議。不過，此次在權利人團體強力向以自公兩黨為首的政黨進行遊說的結果，最後通過了「兩年以下的有期徒期或20萬圓以下罰金」的修正內容，並於本次參議院本會議中表決通過成立。

美國奧克拉荷馬州修正《個資事故通報法》，擴充個資定義範圍並強化通報機制 資訊工業策進會科技法律研究所 2025年07月22日 現行我國關於非公務機關就個資事故進行通報之規定，散落於各中央目的事業主管機關制定之各業別個人資料檔案安全維護管理辦法或相關辦法中，且前揭各辦法對於通報之標準不盡相同。各國主管機關紛紛強化個資治理法制，而美國奧克拉荷馬州修正關於個人資料定義、適當防護措施及個資事故通報機制等事項，以建立更完善之規範。 壹、事件摘要 美國奧克拉荷馬州議會業於2025年5月20日通過第626號法案（Senate Bill 626）[1]，修正《個資事故通報法》（Security Breach Notification Act）[2]，其目的係為補充現行治理規範之不足，修正重點涵蓋：擴充法定用詞之定義，針對「個人資料」（Personal Information）與「適當防護措施」（Reasonable Safeguards）等條文予以補充與增列；強化個資事故（Breach of the security of a system）之通報機制與設立豁免條款，並釐清與其他法規間之適用關係；以及修訂違法情事之民事裁罰。此外，本次修法亦明定，若機構或個人已採取適當防護措施，得作為民事訴訟中之抗辯理由。本法將自2026年1月1日起正式生效，並適用於自該日起所發現、判定或通報之個資事故，相關單位應即早進行法遵準備，以確保制度落實。 貳、修法重點 本次修法主要包含三大核心面向，簡要說明如下： 一、擴充法定用詞之定義 （一）個人資料 於現行法規對個人資料之定義下，再增加新資料類別： 1.與驗證碼、存取碼或密碼結合使用時，可用以登入特定個人金融帳戶之專屬電子識別碼（Electronic Identifier）或路由代碼（Routing Code）； 2.用以辨識特定自然人之獨特生物特徵資料，例如指紋、視網膜或虹膜影像，或其他具體實體或數位形式之生物辨識資料。 （二）適當防護措施 適當防護措施係指，為確保個人資料安全而考量組織或機構之規模、產業別、以及保有之個資類別與數量所制定之政策及作業實務。此概念包括但不限於：進行風險評估、建立技術面及實體面之多層次保護機制、對人員實施教育訓練，及建立個資事故應變計畫等。 二、強化事故通報機制與設立豁免條款 本法要求於發現系統個資事故並已通知受影響之當事人後，應於60日內向州檢察總長（Attorney General）提交書面通報，載明涉及之個人資料類別、事故性質、受影響人數、預估之財務損失、所採行之適當防護措施等必要內容。惟若事故影響人數低於500名州民，或事故發生於徵信機構且影響人數未達1,000人，則可免除向檢察總長通報之義務。 此外，本法明確規範，若特定機構已依據其他法律，如《奧克拉荷馬州醫療資安保護法》（Oklahoma Hospital Cybersecurity Protection Act of 2023）或聯邦《健康保險可攜及責任法》（Health Insurance Portability and Accountability Act of 1996）等履行相關通報義務，則視為已符合本法之要求。 三、民事裁罰 本法明定，民事罰鍰之裁量將審酌事故規模、事故發生後組織之因應作為及是否履行事故通報義務等因素而定，以確保裁量之比例原則。裁量情形說明如下： 1.若機構已採行適當防護措施且依法進行事故通報者，得免除民事責任； 2.若未採取適當防護措施，惟仍依規定完成事故通報者，則須負擔實際損害賠償責任並處以最高75,000美元罰鍰； 3.未落實適當防護措施與事故通報法定義務者，最高處以150,000美元罰鍰。 參、事件評析 本次修法可見奧克拉荷馬州就數位時代資安威脅所採行之積極因應作為，其修正重點包含：擴充個人資料之定義並明定適當防護措施之內容，俾利降低企業法遵成本及法律適用之不確定性；強化事故通報機制並設置合理豁免條款，以確保資訊透明度；於罰則規範中明定民事罰鍰之裁量，應審酌事故規模及是否履行事故通報義務等因素，以符合比例原則。 有鑑於本法修正後所課予之法定義務，建議企業應採行下列因應措施：(1)全面盤點所保有之個人資料，尤應注意新增納管之電子識別碼及生物特徵等資料；(2)檢視並強化現有防護機制，確保符合適當防護措施之要求；(3)建立標準化通報應變程序；(4)強化教育訓練。此外，企業宜定期檢視法規動態，以確保持續符合法規要求。 [1] Bill Information for SB 626, OKLAHOMA STATE LEGISLATURE, http://www.oklegislature.gov/BillInfo.aspx?Bill=sb626&Session=2500 (last visited June 1, 2025). [2] BILL NO. 626, OKLAHOMA STATE LEGISLATURE, https://www.oklegislature.gov/cf_pdf/2025-26%20ENR/SB/SB626%20ENR.PDF (last visited June 2, 2025).

　　ITU舉辦之國際電信大會（WCIT2012）甫於2012年12月14日結束，本次會議之重點在於檢討自1988年首次制訂後，便一直都不曾再修訂之國際電信規則（ITRs）。依據會議公布之最終文件內容，修訂包含： 1.網路安全維護：新修訂之規則中，要求各會員國應確保國際電信網路之安全性與穩固性，避免受到技術性損害。 2.管制濫發電子訊息：要求各會國應採取措施，防制未經許可之濫發電子訊息，以減少對國際電信服務之影響。 3.保障身心障礙者獲取電信服務：要求各會員國應參考ITU制訂之標準與建議文件，保障身心障礙者獲取電信服務之權益。 　　在修訂電信規則之外，本次會議尚通過數項決議，包含： 1.安排特別措施，幫助位居內陸或島嶼型的開發中國家，維護接取國際光纖網路的權益與需求。有鑑於開發中國家與國際網路接駁時，無論就成本或實體線路接取，均需已開發國家之幫助，使其在高速光纖網路發展趨勢下，能以合理費用與國際接軌。 2.設立全球統一緊急服務號碼：由於緊急服務對於全球使用者（特別是旅行者）非常重要，ITU於本項決議中責成技術部門與會員國協調，研究建立全球統一之電信緊急服務號碼。 3.建立發展網際網路之有利環境：意識到網際網路成為全球資訊社會化之重要基礎設施，希望各會員國持續發展與確保網際網路之穩定性與安全性，建構有利網際網路持續發展之環境。 　　ITU對國際電信標準與規範具有巨大的影響力，對我國未來電信法制之發展亦將有深遠影響，WCIT會議結束後，新修訂之國際電信規則也正提交各會員國進行簽署，在生效後將對各國電信法制造成影響，我國電信法制亦應及早進行研究，關注新規則發展狀況，並分析不足之處，以與國際接軌。

聯邦檢察官指出 19 歲的 Curtis Salisbury ，在九月二十六日針對他在密蘇里州的聖路易市盜錄電影，並在網路上散佈等非法行為坦承犯案。 　　Salisbury 利用工作之便，於下班後使用數位錄影機及錄音器材盜錄兩部電影，進而在網路上散佈而遭到起訴。 Salisbury 因而成為第一位根據 “ 家庭娛樂及著作權法案 ” (Family Entertainment and Copyright Act) 而遭受起訴者。 　　家庭娛樂及著作權法案在 2005 年四月由國會通過，致力於遏止網路上的著作權侵害行為。法案中規定，運用視聽器材於電影院中盜錄電影者，可以處＄ 250,000 罰金及三年以下有期徒刑，若進而在網路上傳播者，則需承擔額外的罰則。 　　儘管這樣的結果使大多數電影製片業者歡欣鼓舞。然而，如此嚴厲的刑罰具有爭議性，原因在於嚴厲的罰則是為暴力犯罪而設計，若應用於著作權相關議題時，實非一個明智的選擇。