新加坡金融監管局發布金融服務產業轉型藍圖，以提升金融科技創新力

法國國家資訊自由委員會（Commission Nationale de l'Informatique et des Libertés, CNIL）於2025年9月18日作成裁罰決定，認定巴黎百貨公司SAMARITAINE SAS（La Samaritaine）（莎瑪麗丹百貨公司，下稱該公司）於職場內設置「偽裝成煙霧偵測器」的隱藏攝影機，該設備具備錄音功能且未適當評估風險與內部控制紀錄，並涉及個資事件通報義務未即時履行等多項違反《一般資料保護規則》（General Data Protection Regulation, GDPR）規定，最終遭裁處10萬歐元（約新台幣355萬元）的行政罰鍰。 本次事件係因該公司聲稱庫房商品失竊率增加，遂於2023年8月在兩處庫房安裝5台外觀形似煙霧偵測器但可錄音的攝影機，但員工並未事前知悉。然而，攝影機於裝設後數週即被員工發現，並在2023年9月被拆除而停止運作。CNIL之所以介入，係因2023年11月經媒體報導及後續申訴事件引發關注，進而啟動稽查程序。以下為CNIL認定本案的主要違規事項： 1.違反公平、透明與可歸責性（GDPR Art. 5(1)(a)、5(2)）：隱藏式攝影機設計使員工難以察覺且未予以告知；該公司未完成事前分析或影響評估、未妥善文件化紀錄，因此難認有以公平且透明方式處理個資。 2.違反資料最小化（GDPR Art.5(1)(c)）：攝影機具備「收音」功能，導致員工私領域對話等資料被蒐集，與所稱之防竊等特定目的未有相符，屬過度蒐集行為。 3.未建立個資侵害通報與紀錄（GDPR Art. 33(1)、33(5)）：員工拆除設備時留存載有錄影錄音內容的SD卡，公司在知悉後未於法定時限內通報並建檔紀錄；CNIL指出此類「失去對載體控制」情形並無任何模糊空間，且因其中內含員工影音資料，對自由權具有風險，依法應通報。 4.個人資料保護長（Data Protection Officer, DPO）未及時參與（GDPR Art. 38(1)）：DPO直至該攝影機拆除後才被告知，未能於事前提供風險控管與審酌是否符合法規範建議，而違反應「適時、適當參與」之要求。 本案可視為CNIL對職場監視劃出的紅線警告，雇主即使基於特定目的而採用不易察覺的監視措施，仍須在保護財產和人身安全的目標，與保護員工隱私間取得合理平衡，例如：蒐集期間具有「暫時性」；蒐集範圍最小化，無不必要收音等較小侵害手段；並應讓組織的DPO事前參與把關，完成比例性分析與風險評估，否則可能構成對員工基本權利與自由的重大干預。同時，內部也應建立事故應變流程，避免因誤判或延誤而使單一事件擴大成多重違規與裁罰風險。

美國商務部發佈智財權活動對美國經濟影響之綜合報告 科技法律研究所 法律研究員　曾文怡 101年5月16日 壹、事件摘要 　　美國商務部於今年3月發佈一份委由其所屬之「經濟統計局（Economics and Statistics Administration，ESA）」和「美國專利商標局（United States Patent and Trademark Office，USPTO）」共同執行的調查報告：「智慧財產和美國的經濟：產業焦點（Intellectual Property and the U.S. Economy: Industries in Focus）」。 　　報告除界定所選研究標的313種行業別中，共75種被認定為「智財密集型行業（IP-intensive industries）」；而這些「智財密集型行業」為美國帶來至少4千萬筆就業機會、超過5兆美元產值，佔美國GDP高達34.8%。 貳、報告重點摘要 一、「智財密集型產業」的篩選 　　此報告採用美國USPTO相關的行政數據，用以確認（identify）最密集利用商標、專利所提供的保護之行業；著作權方面，則係以是否主要為創作或生產受著作權保護素材，加以認定。以標準統計方法用以確認（identify）哪些美國行業（industries）是最具專利、商標及著作權密集型（intensive），並統稱為「智財密集型產業」。 (一)以該行業平均每人擁有專利數認定專利密集型行業 　　美國使用各美國行業標準分類 (North American Industry Classification System, NAICS) 於2004-2008這五年間的專利總數與該行業的平均就業人口的比例來測量行業的專利密集型： 　　Measure of industry patent “intensity” = total patents over the five years in a NAICS category / average payroll employment by industry 　　就業人口能夠展現一個行業的大小，並確保各行業在比較時是公平的 (even playing field) 。最具專利密集型的行業並不是擁有最多專利，而是在該行業一個職位有最多專利 (patents per job) 。若專利/職位比例高於所有行業的平均值，則該行業將被認定為專利密集型的行業。 (二)以商標登記數統計資料認定商標密集型行業 　　有鑑於一個商標通常會同時登記於好幾個不同的類別下，因此在此統計的方式將以類別為單位，而非商標。美國使用了3種方式來認定商標密集型的行業 (three-pronged approach) ： 1.平均每人擁有商標數密集的行業 　　比照專利的方式，以商標登記與行業就業人口比例來測量商標密集性，首先過濾出屬於上市公司的商標登記，並比對該公司公開資訊中 (Compustat 資料庫 ) 的主要產業及員工人數，因為Compustat資料庫有包含公司的NAICS行業類別，如此就可以取得行業的商標登記數及就業人口數並計算該行業之比例。 2.前50家商標登記最多企業 (Top 50 Trademark-Registering Companies) 　　利用USPTO發佈的前50家商標登記最多企業名單 ( 不同於第一種方式將包含上市與非上市公司 ) ，並利用付費的OneSource資料庫找出這些企業的 NAICS 行業類別，並統計各行業在前50家企業名單中出現的次數，一個行業出現超過5次以上將被認定為商標密集型。 3.隨機取樣 (Random Sample of Trademark Registrations) 　　從2010年所有在登記的商標隨機抽樣300件，其中196件為美國公司申請登記，針對這196家企業試圖找出其NAICS行業類別，行業類別若有超過5筆商標登記，將被視為商標密集型。 　　上述三種方式總共產出60個商標密集型行業，同時使用三種方式係希望能夠彌補一種方式可能有的缺點，例如商標密集型方式可能會低估某些產業或忽略到較小型或沒有上市的企業，這部分由第二種及第三種方式試圖彌補。 　　最後被認定出為商標密集型的行業也與Interbrand的品牌排行作比較 (Best Global Brands in 2010) ，以確認被認定為最具品牌價值的企業是否屬於商標密集型的行業，此研究找出品牌排行中的企業的NAICS行業類別，並與之前被認定為商標密集型的行業作比對，發現具相當的重疊性。 二、以WIPO核心著作權產業標準界定著作權密集型行業 　　美國有關著作權產業的界定，主要根據WIPO於2003年發佈之「著作權產業經濟貢獻調查報告（Guide on Surveying the Economic Contribution of the Copyright-based Industries）」以及 Stephen Siwek 發表之「著作權產業對美國經濟之影響報告（Copyright Industries in the U.S. Economy）」。亦即，報告採用WIPO所界定之「核心著作權產業（core copyright industries）」作為其認定何謂「著作權密集產業」的基礎，再將單純只以銷售（distribution）受著作權保護客體為目的之行業加以排除。 三、「智財密集型產業」是驅動美國經濟發展的重要引擎 　　根據報告，「智財密集型產業」在2010年的產值超過5兆美元，佔美國GDP高達34.8%；同年「智財密集型產業」的貨物出口總金額約7億750萬美元，佔全部貨物出口總額的60.7%。另外，智財密集型的國際服務貿易相關數據資料雖有限，但研究者仍發現在2007年，智財密集型的國際服務貿易約佔全美民營企業服務貿易額的19%。 四、「智財密集型產業」提供至少 4 千萬個就業機會 　　2010年全美至少有4千萬筆工作，是直接或間接與「智財密集型行業」相關，佔所有工作機會的27.7%。其中直接相關者的從業人數約2,710萬人，佔所有工作機會18.8%；而與「智財密集型行業」間接相關的從業人數約1,290萬人。換句話說，每2個與「智財密集型行業」直接相關的就業機會，就帶來1個額外的工作機會。 五、「智財密集型產業」薪資待遇、教育水準優於其他行業 　　「智財密集型產業」的平均週薪在2010年為1,156美元，高出其他民營產業別的815美元約42%。其中又以專利及著作權密集產業的薪資成長幅度較高，專利密集行業的薪資從2005年的66%，成長到2010年的73%；著作權密集行業的薪資從2005年的65%，成長到2010年的77%。 　　而相對高的薪資待遇又與IP密集型行業的教育背景有關。據2010年的統計資料，超過42%的25歲從業人員係具有大專院校學歷，高於其他非IP密集型行業的34%。 參、事件評析 一、我國應建立智財密集行業界定標準並建立數據資料庫，以利掌握產業智財發展動向 　　智財法令可以保護發明者、創作者免於盜版之害，鼓勵其持續創新，維持競爭優勢，並確保智財權交易、流通市場得以順利運作。但智財保護的界線設定，也相對的影響創新、創意是否有足夠的發展空間，一套經過衡平設計的智財權，影響國家產業經濟甚鉅。 　　然而如何設計出衡平的法令，並非只須單純的以正義公理做邏輯推論，同時也須仰賴大量統計資料的數據分析，以調查實際運用情形，才能在智財保護體系分寸拿捏之際有所依據。美國商務部的報告開宗明義便指出，必須透過大量數據資料的分析，方能掌握智財在所謂的「智財密集型行業」所扮演的角色。 　　我國目前在建立智財相關數據資料庫面向，基礎建設不足，無法分析預估產業的發展趨勢及經濟特性，亦不能評估智財對於我國經濟的貢獻程度影響，肇致智財相關政策的立論說明欠缺實證，實應立即著手整備建置相關數據資料庫。 二、推動著作識別碼與存證登記並建立誘因，是評估我國著作權密集型產業經濟貢獻統計分析模式的核心措施 　　全球經濟發展重心已轉移到音樂、影視、遊戲等文化創意產業，權利別亦跳脫專利權而與著作權息息相關。從韓國等國家智財戰略的方向亦可發現，有賴政策擬訂與相關推動措施，實現以著作權為核心的產業結構。 　　但從報告中可看出，相較於專利、商標，著作權相關的數據資料較為不足。究其原因，或與著作權採創作保護主義，毋須進行註冊、登記程序有關。由於我國著作權法亦採創作保護主義，且未有存證登記管道，建議可參酌美國、韓國、中國大陸等著作權法與權利登錄有關之規定，並提供登錄者相關誘因，作為我國著作權產業相關統計指標及資料庫之基礎。 　　而除規劃推動著作物登記制度外，為降低網路侵權對產業經濟造成損害，應一併研議著作物來源識別機制，利用單一著作物內容識別碼，來協助交易雙方經由識別碼查證著作物之來源與權利歸屬，降低著作權授權之風險。同時開發追蹤非法重製物流通之系統，協助權利人進行侵權證據之蒐集與保全，以健全的著作權交易機制，作為發展我國文創軟實力之後盾。 三、確保研發創作者的智財受到有效保護，是促進創新活動、智財交易流通、帶動經濟發展的根本基礎 　　此報告於一開始即特別指出，專利、商標及著作權提供企業和個人創作者，將無形的發明、創意轉化為實質經濟利益之法律基礎，而一個國家的智財保護機制將連帶影響其整體經濟的商業活動，包括：提供驅動發明、創作的誘因、保護創新者免於未經授權之利用、促進技術市場之垂直分工、媒合資金與創新活動、透過併購及首次公開發行股票 (IPO) ，支援創業初期階段企業資產的流動性及成長、實現以技術授權為基礎的商業模式、促使技術移轉市場與技術及創意交易市場得以更有效率的運作。 　　為保護研發創作者的權益，國外已有許多國家採取積極主動的措施，例如：韓國為維護韓國業者著作權海外交易秩序及提升交易雙方的信賴，於2012年1月11日指定其所屬的韓國著作權委員會（Korea Copyright Commission）作為著作權認證業務之專責機關，負責推動著作權認證制度。於今年以輸出海外市場 ( 中國等 ) 之音樂、電影、電視劇等內容，作為第一階段著作權認證對象，並提供免手續費之優惠。韓國著作權委員會並設置數位著作交易所 ( 網站 ) ，著作 ( 權 ) 人可將其著作之權利相關資訊登錄至數位著作交易所的「著作權資訊管理系統 (Copyright Integrated Management System，簡稱 CIMS) 」上，CIMS就會給予該著作一組ICN識別碼，讓公眾便於取得授權。韓國文化體育觀光部與特許廳也分別開發有非法重製物及仿冒品之線上追蹤系統，由該二套系統主動蒐集、分析相關侵權資料後，協助權利人交由檢調相關單位採取管制措施。 　　但回頭檢視我國情況，同樣面臨降低著作權交易可能衍生紛爭之需求，卻沒有著作權官方存證管道，更遑論給予著作權認證制度與重製物及仿冒品之線上追蹤協助。未來著實應該借鏡韓國作法，規劃推動符合我國產業發展需求的著作權保護機制。 報告原文：The full report can be found online at http://www.uspto.gov/news/publications/IP_Report_March_2012.pdf

美國各州逐步研議透過立法豁免企業資安事件賠償責任 資訊工業策進會科技法律研究所 2024年06月10日 為鼓勵企業採用資安標準與框架，美國已有幾州開始透過立法限縮企業資安事件賠償責任，企業若能舉證證明已符合法令或遵循業界認可之資安框架和標準，則於資安攻擊事件所致損害賠償訴訟中，將無需承擔賠償責任。 壹、事件摘要 為避免有心人士於未取得經授權下近用網路和敏感資料，企業往往投入大量資源打造資安防護架構，惟在現今網路威脅複雜多變的環境下，仍可能受到惡意資安攻擊，導致資料外洩事件發生，導致企業進一步面臨訴訟求償風險，其中多數指控為未實施適當的資安措施。為此美國佛羅里達州和西維吉尼亞州研議透過立法限縮企業之資安事件賠償責任，以鼓勵企業採用資安標準、框架與資安相關法令。 貳、重點說明 繼美國俄亥俄州[1]、猶他州[2]和康乃狄克州[3]相繼頒布法令，讓已實施適當安全維護措施之企業，豁免資安攻擊所致資料外洩之損害賠償責任，佛羅里達州和西維吉尼亞州近期亦提出相似法案，以下介紹兩州法案之重點： 一、佛羅里達州 美國佛羅里達州於2023年11月公布《資安事件責任法案》 （H.B 473: Cybersecurity Incident Liability）[4]，法案納入「安全港條款」（Safe Harbor），當企業遭受資安攻擊致生個資外洩事件，如可證明已遵循產業認可的資安標準或框架，實施適當的資安措施與風險控管機制，則可免於賠償責任，以鼓勵企業採納資安標準或框架。 為適用安全港條款，企業須遵循佛羅里達州資訊保護法（The Florida Information Protection Act），針對資料外洩事件，通知個人、監管機關和消費者，並建立與法案內所列當前產業認可的資安標準、框架，或是特定法令規範之內容具一致性的資安計畫（Cybersecurity Programs）： （一）當前產業認可的資安標準、框架 1. 國家標準暨技術研究院（National Institute of Standards and Technology, NIST）改善關鍵基礎設施資安框架（Framework for Improving Critical Infrastructure Cybersecurity）。 2. NIST SP 800-171－保護非聯邦系統和企業中的受控非機密資訊。 3. NIST SP 800-53 和 SP 800-53A－ 資訊系統和企業的安全和隱私控制/ 評估資訊系統和企業中的安全和隱私控制。 4. 聯邦政府風險與授權管理計畫（Federal Risk and Authorization Management Program, FedRAMP）安全評估框架。 5. 資安中心（ The Center for Internet Security, CIS）關鍵安全控制。[5] 6. ISO/IEC 27000系列標準。 7. 健康資訊信任聯盟（The Health Information Trust Alliance, HITRUST）通用安全框架（Common Security Framework）[6]。 8. 服務企業控制措施類型二（Service Organization Control Type 2, SOC 2）框架。 9. 安全控制措施框架（Secure Controls Framework）。 10. 其他類似的產業標準或框架。 （二）特定法令規範 企業（entity）如受以下法令規範，亦得適用安全港條款，如法令有修訂，企業應在發布修訂後的一年內更新其資安計畫： 1. 健康保險可攜與責任法（The Health Insurance Portability and Accountability Act, HIPAA）之安全要求。 2. 金融服務現代化法（The Gramm-Leach-Bliley Act）第五章。 3. 2014 年聯邦資訊安全現代化法（The Federal Information Security Modernization Act of 2014）。 4. 健康資訊科技促進經濟和臨床健康法（The Health Information Technology for Economic and Clinical Health Act, HITECH）之安全要求。 5. 刑事司法資訊服務系統 （The Criminal Justice Information Services, CJIS）安全政策。 6. 州或聯邦法律規定的其他類似要求。 該法案雖於2024年3月5日經佛羅里達州參議院三讀通過，但於2024年6月26日遭州長否決[7]，其表示法案對於企業的保障範圍過於廣泛，如企業採取基礎的資安措施與風險控管機制，便得主張適用安全港條款，將可能導致消費者於發生個資外洩事件時，無法受到足夠的保障。州政府鼓勵利害關係人與該州網路安全諮詢委員會（Florida Cybersecurity Advisory Council）合作，探求法案的替代方案，以保護消費者資料。 二、西維吉尼亞州 美國西維吉尼亞州於2024年1月29日提出眾議院第5338號法案[8]，修訂西維吉尼亞法典（Code of West Virginia），增訂第8H章資安計畫安全港條款（Safe Harbor for Cybersecurity Programs），如企業符合業界認可的資安標準、框架或依特定法令建立與實施資安計畫，包含個人資訊和機敏資料的管理、技術和企業保障措施，將能夠於侵權訴訟中，主張適用避風港條款。 法令內明列評估企業所建立的資安計畫規模和範圍是否適當之要素，包含： 1. 企業的規模和複雜性； 2. 企業的活動性質和範圍； 3. 受保護資訊的敏感性； 4. 使用資安防護工具之成本和可用性； 5. 企業可運用的資源。 （一）當前產業認可的資安標準、框架 除與佛羅里達州法案所列舉業界認可的資安標準之前六項相同，另增加： 1 NIST SP 800-76-2個人身分驗證生物辨識規範（Biometric Specifications for Personal Identity Verification）[9]。 2. 資安成熟度模型認證（The Cybersecurity Maturity Model Certification, CMMC）至少達到第2級，並經外部驗證（external certification）。 （二）特定法令規範 除與佛羅里達州法案所列舉特定法令之前四項相同，另增加：由聯邦環境保護局（Environmental Protection Agency, EPA）、資安暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA）或北美可靠性公司（North American Reliability Corporation）[10]所採用任何適用於關鍵基礎設施保護的規則、法規或指南。 惟目前法案已於2024年3月27日被西維吉尼亞州長否決[11]，其表示透過安全港條款鼓勵企業實踐資安框架雖立意良好，但也可能遭濫用而帶來不當影響，例如TikTok等大型國際企業，如在違背公民意願情況下共享個人資料時，將免於訴訟，恐有損其公民權益，未來州政府將與利害關係人持續進行協商。 參、事件評析 佛羅里達州和西維吉尼亞州近期同步公布有關限制企業於資安事件之責任相關法案，內容亦為相似，西維吉尼亞州之法案目前已遭否決，主要係擔心該豁免條款遭到不當濫用；佛羅里達州之法案亦因對於企業保障過廣與無法保障消費者個資安全考量，而遭州長否決。 法案中明列受產業普遍認可的資安標準、框架與政府所頒布特定法令，有助企業明確遵循與採納，建立與實施資安計畫，惟如何舉證所建立之資安計畫或實施之資安措施，與法案所列之資安標準、框架，或是特定法令規範，具有實質上的一致性，仍不明確，將可能阻礙企業於訴訟上行使抗辯與主張責任豁免權。未來美國如何權衡產業穩健發展與民眾個資保障，仍有待持續觀察。 [1] Chapter 1354 - Ohio Revised Code, Ohio Laws, https://codes.ohio.gov/ohio-revised-code/chapter-1354 (last visited May 24, 2024). [2]Part 7 Cybersecurity Affirmative Defense Act, Utah StateLegislative, https://le.utah.gov/xcode/Title78B/Chapter4/78B-4-P7.html (last visited May 24, 2024). [3]Frederick Scholl, Connecticut’s New Breach Notification and Data Security Laws: Carrots and Sticks, Quinnipiac University, July,1,2021,https://www.qu.edu/quinnipiac-today/connecticuts-new-breach-notification-and-data-security-laws-2021-07-01/ (last visited May 24, 2024). [4]CSHB 473-Cybersecurity Incident Liability, The Florida Senate,https://www.flsenate.gov/Session/Bill/2024/473 (last visited Jun. 28, 2024). [5]資安中心（ The Center for Internet Security, CIS）為美國非營利組織，負責推動CIS Controls，針對實際發生的資安攻擊行為提供防禦建議，作為企業保護 IT 系統和資料時可參考之最佳實務作法。資料來源：About us, Center for Internet Security, https://www.cisecurity.org/about-us (last visited Jun. 6, 2024). [6]What is HITRUST?, Schneider Downs,https://schneiderdowns.com/cybersecurity/what-is-hitrust/ (last visited May 24, 2024). [7]Governor of Florida, Vote letter for House Bill 473(2024), https://www.flgov.com/wp-content/uploads/2024/06/Veto-Letter_HB-473.pdf (last visited Jun. 28, 2024). [8]2024 REGULAR SESSION ENROLLED Committee Substitute for House Bill 5338, WEST VIRGINIA LEGISLATURE,https://www.wvlegislature.gov/Bill_Status/bills_text.cfm?billdoc=hb5338%20sub%20enr.htm&yr=2024&sesstype=RS&i=5338 (last visited May 24, 2024). [9]NIST SP 800-76-2 Biometric Specifications for Personal Identity Verification, National Institute of Standards and Technology, https://csrc.nist.gov/pubs/sp/800/76/2/final (last visited May 24, 2024). [10]北美電力可靠性公司（North American Electric Reliability Corporation, NERC），為一家非營利機構，致力推動關鍵基礎設施保護相關標準，以強化北美大規模電力系統（亦即電網）的可靠性和安全性，資料來源：https://www.nerc.com/Pages/default.aspx (last visited May 24, 2024). [11]Governor of West Virginia, Enrolled Committee Substitute for House Bill 5338(2024),https://www.wvlegislature.gov/Bill_Text_HTML/2024_SESSIONS/RS/veto_messages/HB5338.pdf (last visited May 24, 2024).