IBM Watson Health與FDA合作研究區塊鏈技術之醫療運用

　　日本總務省及經濟產業省於2017年11月至2018年4月間召開6次「資料信託功能認定流程檢討會」（情報信託機能の認定スキームの在り方に関する検討会），檢討具備資料信託功能之「資料銀行」認定基準及模範條款等事項，於2018年6月公布「資料信託功能認定指引ver1.0」（情報信託機能の認定に係る指針ver1.0），以利實現個人資料流通並創造新服務型態。資料銀行係指基於與個人間資料利用契約，透過PDS(personal data store)等系統管理個人資料，根據個人指示或預先設定的條件，於判斷妥當性後向第三方提供資料之行業。目前指引內容包括︰（1）資料信託機能認定基準︰具體內容包括業者適格性、資訊安全原則、資訊安全具體基準、治理體制、業務內容等；（2）模範條款記載事項︰針對個人與資料銀行、資料銀行與資料提供者、資料銀行與接受資料提供者間關係，列出具體應記載事項；（3）資料信託機能認定流程。 　　作為日本總務省「資料信託功能運用推動計畫」（情報信託機能活用促進事業）一環，日立製作所、東京海上日動火災保險、日本郵局等於2018年9月10日發表將根據「資料信託功能認定指引ver1.0」，進行「資料銀行」個資管理、提供及運用等實驗，參與者分別扮演資料提供者、資料銀行和資料利用者三種角色，未來將會參考實驗結果，提出認定基準改善建議。

　　歐盟執委會（European Commission）於2022年7月29日提出《近用電錶及用電資料之相互操作性要求及非歧視性與透明性程序實施規則草案》（Commission Implementing Regulation (EU) on interoperability requirements and non-discriminatory and transparent procedures for access to metering and consumption data），於2022年9月5日草案第二階段之公眾意見徵集結束。本草案以進一步落實《內部電力市場指令》（Directive (EU) 2019/944）中賦予用戶近用有關用電及包括行政手續費用、使用輸配電過路費等資料，促進智慧電錶系統（smart metering system）於資料模型階段及應用層面之相互操作性（interoperability），提高市場參與者資料近用與交換之標準，以及未來創新能源服務標準等目標。 為落實上述指令之要求，本草案旨在規定系統相互操作性以及資料近用的非歧視性與透明性要求，其重點如下： （1）本草案適用對象為經認證之歷史計量及用電資料、未經認證的近即時計量（non-validated near-real time metering）、用電資料形式的計量以及用電資料。 （2）確保供應商於用戶同意下能夠以透明且連續性的方式近用用戶資料（包括判讀及使用）。用戶亦得近用其於智慧電錶系統的資料。 （3）根據會員國的實踐，定義歐盟層級在商業模式層面、功能層面及資訊層面等一般性規則與程序規定的「參考模型」（reference model）。參考模型為特定服務及程序所需的基本工作程序，包括： A. 由各種角色、職責及其相互作用組成的「角色模型」，包括計量資料管理員（metered data administrator）、計量站管理員（metering point administrator）、資料近用提供者及權限管理員的角色和職責； B. 由資訊對象、屬性以及該對象間關係組成的「資訊模型」； C. 詳細說明程序步驟的「程序模型」。 （4）為有效確保資料近用程序的透明度，有必要收集會員國提供的國家實踐報告，並報告至歐盟層級，同時協助會員國報告其國家實踐。 （5）適用本草案之個人資料需遵守《歐盟一般資料保護規則》（GDPR）；由於智慧電錶符合終端設備的要求，也適用《電子通訊個人資料處理暨隱私權保護指令》（Directive 2002/58/EC）。

　　近幾年來，為了增加台籍員工向心力，不少台商都辦過「增資認股」，多數的情況是，企業辦理增資時，讓出一部分股權，開放員工入股。不論，員工入股是否自行買單，企業辦理「增資入股」時，都會先由台灣母公司辦理增資海外控股公司，再將計畫入股的員工載入控股公司名冊。 　　隨著台資企業開放員工入股漸成風潮，士林電機董事會日前通過，將以士電蘇州恆通增資為首例，讓台籍幹部入股百分之二十，未來海外子公司，都將循相同模式，這是首次有上市櫃台商清楚表明，增資用途是讓員工入股，引起外界關注。 　　經濟部投資審議委員指出，依「在大陸地區從事投資或技術合作許可辦法」第４條第１項第３款規定，台灣地區人民在大陸地區取得當地現有公司股權，視為「在大陸地區從事投資」，必須在行為發生前，依同法第７條第１ 項備具申請書件向投審會申請許可，縱投資金額在公告限額以下，亦應填具申報書並檢附相關文件向投審會申報。 　　根據上開規定，台幹入股台資企業，視為「投資」行為，必須事前提出申請，否則恐將挨罰。另員工入股之後，按在大陸地區從事投資或技術合作審查原則第３點規定，也必須遵守台灣地區個人對大陸投資累計金額不得超過八千萬元的上限。

美國奧克拉荷馬州修正《個資事故通報法》，擴充個資定義範圍並強化通報機制 資訊工業策進會科技法律研究所 2025年07月22日 現行我國關於非公務機關就個資事故進行通報之規定，散落於各中央目的事業主管機關制定之各業別個人資料檔案安全維護管理辦法或相關辦法中，且前揭各辦法對於通報之標準不盡相同。各國主管機關紛紛強化個資治理法制，而美國奧克拉荷馬州修正關於個人資料定義、適當防護措施及個資事故通報機制等事項，以建立更完善之規範。 壹、事件摘要 美國奧克拉荷馬州議會業於2025年5月20日通過第626號法案（Senate Bill 626）[1]，修正《個資事故通報法》（Security Breach Notification Act）[2]，其目的係為補充現行治理規範之不足，修正重點涵蓋：擴充法定用詞之定義，針對「個人資料」（Personal Information）與「適當防護措施」（Reasonable Safeguards）等條文予以補充與增列；強化個資事故（Breach of the security of a system）之通報機制與設立豁免條款，並釐清與其他法規間之適用關係；以及修訂違法情事之民事裁罰。此外，本次修法亦明定，若機構或個人已採取適當防護措施，得作為民事訴訟中之抗辯理由。本法將自2026年1月1日起正式生效，並適用於自該日起所發現、判定或通報之個資事故，相關單位應即早進行法遵準備，以確保制度落實。 貳、修法重點 本次修法主要包含三大核心面向，簡要說明如下： 一、擴充法定用詞之定義 （一）個人資料 於現行法規對個人資料之定義下，再增加新資料類別： 1.與驗證碼、存取碼或密碼結合使用時，可用以登入特定個人金融帳戶之專屬電子識別碼（Electronic Identifier）或路由代碼（Routing Code）； 2.用以辨識特定自然人之獨特生物特徵資料，例如指紋、視網膜或虹膜影像，或其他具體實體或數位形式之生物辨識資料。 （二）適當防護措施 適當防護措施係指，為確保個人資料安全而考量組織或機構之規模、產業別、以及保有之個資類別與數量所制定之政策及作業實務。此概念包括但不限於：進行風險評估、建立技術面及實體面之多層次保護機制、對人員實施教育訓練，及建立個資事故應變計畫等。 二、強化事故通報機制與設立豁免條款 本法要求於發現系統個資事故並已通知受影響之當事人後，應於60日內向州檢察總長（Attorney General）提交書面通報，載明涉及之個人資料類別、事故性質、受影響人數、預估之財務損失、所採行之適當防護措施等必要內容。惟若事故影響人數低於500名州民，或事故發生於徵信機構且影響人數未達1,000人，則可免除向檢察總長通報之義務。 此外，本法明確規範，若特定機構已依據其他法律，如《奧克拉荷馬州醫療資安保護法》（Oklahoma Hospital Cybersecurity Protection Act of 2023）或聯邦《健康保險可攜及責任法》（Health Insurance Portability and Accountability Act of 1996）等履行相關通報義務，則視為已符合本法之要求。 三、民事裁罰 本法明定，民事罰鍰之裁量將審酌事故規模、事故發生後組織之因應作為及是否履行事故通報義務等因素而定，以確保裁量之比例原則。裁量情形說明如下： 1.若機構已採行適當防護措施且依法進行事故通報者，得免除民事責任； 2.若未採取適當防護措施，惟仍依規定完成事故通報者，則須負擔實際損害賠償責任並處以最高75,000美元罰鍰； 3.未落實適當防護措施與事故通報法定義務者，最高處以150,000美元罰鍰。 參、事件評析 本次修法可見奧克拉荷馬州就數位時代資安威脅所採行之積極因應作為，其修正重點包含：擴充個人資料之定義並明定適當防護措施之內容，俾利降低企業法遵成本及法律適用之不確定性；強化事故通報機制並設置合理豁免條款，以確保資訊透明度；於罰則規範中明定民事罰鍰之裁量，應審酌事故規模及是否履行事故通報義務等因素，以符合比例原則。 有鑑於本法修正後所課予之法定義務，建議企業應採行下列因應措施：(1)全面盤點所保有之個人資料，尤應注意新增納管之電子識別碼及生物特徵等資料；(2)檢視並強化現有防護機制，確保符合適當防護措施之要求；(3)建立標準化通報應變程序；(4)強化教育訓練。此外，企業宜定期檢視法規動態，以確保持續符合法規要求。 [1] Bill Information for SB 626, OKLAHOMA STATE LEGISLATURE, http://www.oklegislature.gov/BillInfo.aspx?Bill=sb626&Session=2500 (last visited June 1, 2025). [2] BILL NO. 626, OKLAHOMA STATE LEGISLATURE, https://www.oklegislature.gov/cf_pdf/2025-26%20ENR/SB/SB626%20ENR.PDF (last visited June 2, 2025).