美國紐約州通過「防止非法侵入與加強電子資料安全法案」
2019年7月25日,紐約州州長Andrew Cuomo簽署「防止非法侵入與加強電子資料安全法案」(S.5575B/A.5635/Stop Hacks and Improve Electronic Data Security Act, 又稱SHIELD Act),目的在讓處理消費者個人資料的企業承擔更嚴格的責任。其核心精神在於,一旦發生與資料外洩相關的安全漏洞時,能及時進行適當的通知。同時,修改紐約州現有的資料外洩通知法,擴大個資蒐集適用範圍、個資定義 (例生物特徵、電郵資訊等)及資料洩漏定義、更新企業或組織之通知程序、建立合於企業規模之資料安全要求。此外,如違反通知義務,將處以最高5千美元或每次(未履行通知義務)20美元 (上限25萬美元)的民事賠償。且美國司法部長(The Attorney General) 亦得以紐約人民名義,代為起訴未實施資料安全規畫的企業,並按紐約民事執行法與規則(The Civil Practice Law And Rules)第63條進行初步救濟,依法強制禁止侵害行為繼續發生。該法預計將於2020年3月1日生效。
當天州長亦簽署「身份盜用預防措施和緩解服務修正案」(A.2374/S.3582),新增資料外洩安全保護措施,要求消費者信用機構,提供受安全漏洞影響的消費者「身份盜用預防措施」(Identity Theft Prevention )與「緩解服務」(Mitigation Services),為消費者制定長期最低度的保護手段。其要求信用機構,通知消費者將有關社會安全號碼的資料洩漏事件進行信用凍結,並提供消費者無償凍結其信用的權利。該法預計將於2019年10月23日生效,並且溯及既往適用該法案生效之日前三年內所發生之任何違反消費者信用安全的行為。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 【下午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
- 【北部場1】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場2】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場3】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場4】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【南部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【中部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
江敔菲
副法律研究員 編譯整理
美國3月發布AI國家政策框架 資訊工業策進會科技法律研究所 2026年06月05日 美國白宮於2026年3月發布AI國家政策(National Policy Framework for Artificial Intelligence,下稱AI框架),提出與AI相關之立法建議。該框架不具強制性,亦非創立新規範,僅係提供國會就聯邦AI立法給予立法建議,以協助國會考慮聯邦層級之AI監管方案。 壹、政策背景 川普政府自2025年上任後即撤銷前總統拜登政府時期強調風險控管與偏見防範之14110號行政命令,並於三天後簽署14179號行政命令,《消除美國AI領導障礙》(Eliminating Obstacles to American Leadership in AI),內容確立應維持並強化美國AI於全球之領導地位。同年7月,川普政府發佈「美國AI行動計畫」(AI Action Plan),政策重心著重於AI監管鬆綁及創新驅動;後於12月簽署《確保AI國家政策框架》(Ensuring A National Policy Framework For Artificial Intelligence)行政命令,核心目標係排除地法對國家AI政策之影響,確保聯邦法規於AI治理上之優先,避免政府政策碎片化。而2026年3月發布之AI框架延續先前之政策路線,並具體化為立法建議,包含兒童保護、智慧財產權保障、AI打詐、民生能源確保等。於組織運作上,AI框架主張不增設新AI專門單位,而是透過現有機構依其專業領域彈性管理,同時亦要求建立聯邦層級之AI法規,制定全國一致之標準。 貳、重點說明 AI框架並未涵蓋所有AI相關議題,僅針對政府認為應作為聯邦AI立法核心之7個領域給予立法建議,針對兒童、創作者及社區提供保障,並於創新、競爭力及國家安全間取得平衡。 1.保護兒童並強化家長權能 該部分係強調對於兒童在AI相關風險上之保護,要求AI服務及平台應採取保護兒童之措施,並且賦予家長管控兒童之權力。框架建議國會應持續深化兒童保護相關之修立法,強制平台建立年齡驗證機制及降低性剝削或自傷風險之防禦措施。同時,應確保現行兒童隱私法規能適用於AI系統,並且應避免模糊之內容標準及開放性責任。並且應尊重各州對於兒童保護之一般性法規。 2. 保障及強化美國社區 AI框架呼籲國會應簡化AI基礎建設之聯邦許可程序,以加速AI基處建設發展,並且同時顧及民生能源,確保一般居民不因AI資料中心建設發展之電費成本而負擔較高電費。另應加強打擊AI詐騙及詐欺,並確保國安機構對AI模型之掌握及風險控管能力;對於中小企業應提供AI資源協助,普及AI於產業中之部署。 3. 尊重智慧財產權並支持創作者 AI框架強調對創作者之保障,同時亦不應損害合法創新及言論自由。框架中強調,國會應尊重法院對於AI模型利用著作權作品進行訓練之合理使用裁決。並呼籲國會考慮建立授權框架或集管機制,以保障著作權人與AI供應商間之協商管道;同時呼籲應建立對數位複製品之保護措施,避免如聲音或肖像等個人可辨識特徵被未經授權轉為AI商用。 4. 防止審查與保護言論自由 AI框架中強調,聯邦政府須保障言論自由,並防止AI系統被用以壓制或審查合法之政治表達或異議。呼籲國會應防止美國政府強迫科技廠商,包含AI供應商,基於政黨或意識形態禁止、更改或強制內容。並應針對政府於AI平台之審查提供有效救濟方式。 5.促進創新並確保美國AI之主導地位 為推動美國於AI之領先地位,國會應建立監管沙盒鼓勵創新,並將聯邦資料庫轉化為AI可讀形式供產學界之模型訓練。在監管上,應避免建立新的監管機關,而是透過現有專業機構及產業主導標準進行分業監管,確保AI發展能於現有法規框架與產業實務下穩定成長。 6. 教育民眾並培養具備AI能力之勞動力 AI框架中強調青年培訓以及新工作機會之重要性。呼籲國會應採取非監管手段,將AI納入現有教育及職訓計畫中,制定精準的人才扶持政策,並強化贈地大學(Land-grant institutions)之AI技術支援能力。 7. 建立聯邦政策框架,避免繁瑣的州級AI法規 聯邦政府須建立聯邦層級之AI政策框架,透過聯邦優先原則取代各州不一之法律,以減輕企業合規成本並維護國家競爭力。應禁止各州干預具跨州、外交及國安特性之AI技術研發,亦不得因第三方非法行為而懲罰AI開發者;但仍須尊重傳統之州警察權力,尊重地方政府之基礎建設規畫及州政府內部使用AI規範之自主權。 參、事件評析 美國AI框架延續川普政府自上任以來之AI政策,強調監管鬆綁,並欲降低對AI之嚴格管制,促進創新及強化美國競爭力。此次框架法建議係建議國會建立聯邦層級之AI規範標準,但核心並非推動單一、全面性之法規改革,而是針對各特定領域給予立法建議,透過各領域機構之既有專業進行分業監管。 相較於歐盟透過AI Act 建立統一且具法律拘束力之AI風險分級管理制度,美國AI框架則是傾向透過既有法律體系及主管機關進行管理。雖近年來美國部分州政府已陸續推動AI相關立法,然AI框架強調建立聯邦層級之一致性政策,未來聯邦與州之間之法律及政策適用仍有爭議產生之可能。整體而言,美國AI框架透過分散式法律制度、分業監管方式處理AI相關風險,而非建立全面性總括之AI專法或專責機構。惟該框架目前僅屬白宮向國會提出之立法建議,未來國會如何將該些建議具體落實於各部會之聯邦法案中,以及是否能有效平衡監管及創新需求,仍有待後續觀察。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
美國聯邦上訴法院判決,加州政府禁止販賣暴力電玩予未成年人之法案,係屬違憲美國聯邦第九區巡迴上訴法院,於2009年2月20日判決中維持下級審見解,認定『禁止暴力電玩法案』係違反憲法所保護的言論自由。系爭法案於2005年由加州國會通過,並由州長Arnold Schwarzenegger所簽署批准。根據該法案規定,禁止販售或出租所謂『特別殘酷、極端邪惡或道德敗壞(especially heinous, cruel or depraved)』的暴力電玩給未滿18歲的未成年人;符合法條所描述之暴力電玩並應該在包裝盒上加註除現行ESRB分級標誌以外的特別標示(18禁);且賦予零售商於販賣暴力電玩時,有檢查顧客年齡之義務,違者將可處1000美元罰款。 聯邦法院法官認為,被告(加州政府)無法證明『暴力電玩』會影響青少年心理及精神方面的健康,或者出現反社會或激進的行為舉止;被告也無法證明透過立法禁止的手段,能有效達到法案所宣稱保護未成年人的立法目的;法院也認為,系爭條文規定過於模糊,並未能說明暴力電玩之判斷標準。 原告Video Software Dealers Association 和Entertainment Software Association表示,要達到加州政府所宣稱的保護未成年人的立法目的,應從加強既有ESRB分級制度的教育宣導、落實零售商遵守分級制度以及透過父母的管教監督等方式著手,而非增加不適當的內容審查機制。然而,支持該法案者則主張,禁止暴力電玩如同禁止對未成年人散佈色情內容一樣(最高法院認為政府禁止對未成年人散佈色情內容並未違憲),本案被告加州州長Schwarzenegger也表示將上訴到底。 日前在德國也出現修正刑法,將販賣或散佈暴力電玩入罪之提議,在暴力電玩分級制度所引起的爭議日益擴大之際,各國相關作法及其所引起之爭議,或許值得我國主管機關重新檢討「電腦軟體分級辦法」之借鏡參考。
中國駭客入侵德國政府電腦中國總理溫家寶對於最近發生疑似中國駭客入侵德國政府機關電腦事件表示關心,並於2007年8月27日宣布–中國將與德國共同合作解決此一問題。 本起事件起因於德國總理Angela Merkel宣稱中國駭客企圖利用間碟軟體影響德國政府的電腦運作。其特別強調中國在快速工業化的過程中,與其他國家的關係正在不斷增強,不應放任駭客恣意入侵他國電腦,以免損害中、德長期的友好關係。 德國政府資料安全暨保護部的資安專家在今年五月份早已發現電腦駭客曾企圖利用間碟軟體經由網際網路入侵德國政府部門的電腦,且有若干政府部門被植入特洛伊木馬程式,其中包括外交部、經濟部、研究發展部等。他們曾監測到有一個約160G-bye的電腦檔案正從德國政府部門的電腦傳送到中國,幸好及時阻止資料傳送而得以避免損害發生。倘若當時中國駭客成功竊取德國政府的電腦資料,後果恐怕難以預料。 對於此一事件,德國的內政部發言人始終不願予以證實或作任何評論。僅強調德國政府將會持續增強所有政府部門的電腦防駭能力,保證能夠確實防止駭客的攻擊和入侵。 為對付駭客行為,德國在2007年8月7日公布「反駭客法」,即使駭客僅有侵入他人電腦系統的行為而未有竊取資料或造成損害,仍須面臨十年的刑則。另外,任何故意設計、散佈或購買非法駭客工具程式的行為亦同。
美國國會議員提出「網路盾」草案美國民主黨議員Ed Markey於2019年10月22日提出2019年「網路盾」草案(Cyber Shield Act of 2019),將設立委員會以建立美國物聯網網路安全標準。 雖由參議員MarkWarner所提出之2019年物聯網網路安全促進法(Internet of Things Cybersecurity Improvement Act of 2019)已通過並施行,惟該法僅適用於聯邦政府機構之設備採購。而「網路盾」草案之目的則係設立委員會並建立美國物聯網設備認證標章。依據該草案第3條,於該法通過並經總統簽署後90天內,美國國務卿必須建立網路盾諮詢委員會,該委員會之任務為擬定並建立美國網路盾標章。 另依據該草案第4條,物聯網產品之自願性認證程序與認證標章,內容必須符合特定產業之網路安全與資料保護標準。該標章應為數位標章,並標示於產品之上,且可劃分數個等級,以表彰其符合產業所需求之網路安全與資料安全等級。而針對標章之內容,該法要求美國國務卿於法律通過90天內應建立諮詢相關利益團體之程序,以確保其充分符合產業需求與利益。美國國務卿與各聯邦主管機關亦須合作以持續維護網路安全與資料安全標章之運作,且確保獲得該標章之產品,其資安與資料保護品質均優於未受認證之產品。