美國衛生及公共服務部提出雲端服務適用健康保險可攜與責任法之相關指引

　　日本總務省鑒於311地震時媒體播送的減災效果，在2014年2月14日對日本放送法施行規則的部分修正展開公眾諮詢。此次的修正係基於放送法母法第108條規定。依據該條的規範，基幹放送業者在進行國內的廣播時，若發生暴風、豪雨、洪水、地震、大型火災或有發生之虞時，為預防其發生或減輕其所造成之損害，應進行有效之廣播。 　　蓋日本在311災後，因其對對社會所產生巨大的衍生影響，後續規劃研擬了許多因應法制政策及措施。根據日本內閣府「2013年防災白皮書」，日本政府在311地震後所規劃政策方向及重要施政措施有：防災對策推進會議檢討會議的最終報告、災害對策法制的改正、與防災基本計畫的修正等各層面工作。 　　此外，依據日本防災對策推進會議檢討會議在2012年7月所完成之報告，其中對於災害立即回應體制的充實與強化，及建立綜合的防災資訊系統，建議應蒐集並提供必要之資訊，以盡早提供根本性的改善為目標。並且，為因應災害防救需要及強化即時應變能力，建立智慧防救災體系即屬刻不容緩，如何能運用各種多元性傳遞管道，落實將緊急性災害防救重要資訊傳送至每位國民，遂成關鍵議題。 　　而此次放送法施行規則的修正則擬增訂第86-2條，要求基幹放送業者應就基幹放送設備等向總務省所擬定的「基幹放送等整備計畫」；其中，關於母法108條廣播之確實實施而有特別必要者，並應取得總務省之確認。修正案擬增訂的101-2條除重複上述意旨，並要求總務省在確定確認上述計畫後，並應將公開其計畫的相關內容。 其中，對於地震防災對策特別措施法（地震防災対策特別措置法） 、水防法 與關於在土砂災害災害警戒區域內等的土砂災害防止推進的法律（土砂災害警戒区域等における土砂災害防止対策の推進に関する法律）等規範所訂定易受災區域內發信設備之設置，皆納入上述應被確認計畫的範圍。 　　日本屬地處地震頻繁國家，對於災害防救體系甚為重視，並投入大量資源加以發展。未來日本對於推動智慧防救災體系，是否會有更多進一步法制修改及調整，值得我們持續進行關注。

美國奧克拉荷馬州修正《個資事故通報法》，擴充個資定義範圍並強化通報機制 資訊工業策進會科技法律研究所 2025年07月22日 現行我國關於非公務機關就個資事故進行通報之規定，散落於各中央目的事業主管機關制定之各業別個人資料檔案安全維護管理辦法或相關辦法中，且前揭各辦法對於通報之標準不盡相同。各國主管機關紛紛強化個資治理法制，而美國奧克拉荷馬州修正關於個人資料定義、適當防護措施及個資事故通報機制等事項，以建立更完善之規範。 壹、事件摘要 美國奧克拉荷馬州議會業於2025年5月20日通過第626號法案（Senate Bill 626）[1]，修正《個資事故通報法》（Security Breach Notification Act）[2]，其目的係為補充現行治理規範之不足，修正重點涵蓋：擴充法定用詞之定義，針對「個人資料」（Personal Information）與「適當防護措施」（Reasonable Safeguards）等條文予以補充與增列；強化個資事故（Breach of the security of a system）之通報機制與設立豁免條款，並釐清與其他法規間之適用關係；以及修訂違法情事之民事裁罰。此外，本次修法亦明定，若機構或個人已採取適當防護措施，得作為民事訴訟中之抗辯理由。本法將自2026年1月1日起正式生效，並適用於自該日起所發現、判定或通報之個資事故，相關單位應即早進行法遵準備，以確保制度落實。 貳、修法重點 本次修法主要包含三大核心面向，簡要說明如下： 一、擴充法定用詞之定義 （一）個人資料 於現行法規對個人資料之定義下，再增加新資料類別： 1.與驗證碼、存取碼或密碼結合使用時，可用以登入特定個人金融帳戶之專屬電子識別碼（Electronic Identifier）或路由代碼（Routing Code）； 2.用以辨識特定自然人之獨特生物特徵資料，例如指紋、視網膜或虹膜影像，或其他具體實體或數位形式之生物辨識資料。 （二）適當防護措施 適當防護措施係指，為確保個人資料安全而考量組織或機構之規模、產業別、以及保有之個資類別與數量所制定之政策及作業實務。此概念包括但不限於：進行風險評估、建立技術面及實體面之多層次保護機制、對人員實施教育訓練，及建立個資事故應變計畫等。 二、強化事故通報機制與設立豁免條款 本法要求於發現系統個資事故並已通知受影響之當事人後，應於60日內向州檢察總長（Attorney General）提交書面通報，載明涉及之個人資料類別、事故性質、受影響人數、預估之財務損失、所採行之適當防護措施等必要內容。惟若事故影響人數低於500名州民，或事故發生於徵信機構且影響人數未達1,000人，則可免除向檢察總長通報之義務。 此外，本法明確規範，若特定機構已依據其他法律，如《奧克拉荷馬州醫療資安保護法》（Oklahoma Hospital Cybersecurity Protection Act of 2023）或聯邦《健康保險可攜及責任法》（Health Insurance Portability and Accountability Act of 1996）等履行相關通報義務，則視為已符合本法之要求。 三、民事裁罰 本法明定，民事罰鍰之裁量將審酌事故規模、事故發生後組織之因應作為及是否履行事故通報義務等因素而定，以確保裁量之比例原則。裁量情形說明如下： 1.若機構已採行適當防護措施且依法進行事故通報者，得免除民事責任； 2.若未採取適當防護措施，惟仍依規定完成事故通報者，則須負擔實際損害賠償責任並處以最高75,000美元罰鍰； 3.未落實適當防護措施與事故通報法定義務者，最高處以150,000美元罰鍰。 參、事件評析 本次修法可見奧克拉荷馬州就數位時代資安威脅所採行之積極因應作為，其修正重點包含：擴充個人資料之定義並明定適當防護措施之內容，俾利降低企業法遵成本及法律適用之不確定性；強化事故通報機制並設置合理豁免條款，以確保資訊透明度；於罰則規範中明定民事罰鍰之裁量，應審酌事故規模及是否履行事故通報義務等因素，以符合比例原則。 有鑑於本法修正後所課予之法定義務，建議企業應採行下列因應措施：(1)全面盤點所保有之個人資料，尤應注意新增納管之電子識別碼及生物特徵等資料；(2)檢視並強化現有防護機制，確保符合適當防護措施之要求；(3)建立標準化通報應變程序；(4)強化教育訓練。此外，企業宜定期檢視法規動態，以確保持續符合法規要求。 [1] Bill Information for SB 626, OKLAHOMA STATE LEGISLATURE, http://www.oklegislature.gov/BillInfo.aspx?Bill=sb626&Session=2500 (last visited June 1, 2025). [2] BILL NO. 626, OKLAHOMA STATE LEGISLATURE, https://www.oklegislature.gov/cf_pdf/2025-26%20ENR/SB/SB626%20ENR.PDF (last visited June 2, 2025).

　　於2015年10月19日，經濟合作與發展組織(OECD)發布最新2015年OECD科學、科技與產業計分板(OECD Science, Technology and Industry Scoreboard 2015)，此份報告指出，各國政府應增加對於創新研發的投資，以發展工業、醫療、資通訊產業的新領域科技，也將為氣候變化等全球性挑戰提供急需的解決措施。該報告數據顯示，美國、日本和韓國在新一代突破性科技方面具領先地位，即智慧製造材料、健康、資通訊技術這些有潛力改變現有進程的領域，尤其是韓國，最近在這些領域獲得了重大進展。自2000年以來，韓國的公共研發支出增加二倍之多，2014年GDP佔比達1.2%。反觀，許多發達經濟體的公共研發支出卻停滯不前，2014年OECD經濟體公共研發GDP佔比平均水平低於0.7%。 　　於2010-12年間，在智慧製造材料、健康和新一代資通訊技術領域，在歐洲和美國申請專利家族(patent families)中，美國、日本和韓國共佔到65%以上，接著是德國、法國與中國。2005-07年，韓國在這三個領域的專利家族申請數表現出最為強勁。在資通訊技術領域，韓國正致力於推動智慧聯網技術，歐盟是量子計算，中國則是巨量資料。於2013年OECD國家總研發支出實際增長了2.7%，達1.1萬億美元，但其GDP佔比與2012年相同，為2.4%。這一增長主要來自企業研發投入，而政府研發投入受到了預算合併等措施的影響。創新不止依靠研發上的投入，也依靠互補性資產，如軟體、設計和人力資本，即知識資本（knowledge-based capital, KBC）。知識資本投入已證實可抵抗經濟危機的衝擊，且2013年的數據表明各個經濟行業都增加了對知識資本的投入。但自2010年以來，許多發達國家政府資助或實施的研發減少或停滯不前。OECD警示，研發支出的減少對許多發達經濟體科技研發系統的穩定產生了威脅。鑑於OECD國家70%的研發來自企業部門，也傾向於關注特定應用程序的開發，從而改進先前的OECD計分版本，此份報告強調政府有必要保持對更具開放性的“基礎研究”的投入，始能激發與一些潛在用戶相關的新發現與新發明。