美國《代幣分類法》（Token Taxonomy Act）草案

美國奧克拉荷馬州修正《個資事故通報法》，擴充個資定義範圍並強化通報機制 資訊工業策進會科技法律研究所 2025年07月22日 現行我國關於非公務機關就個資事故進行通報之規定，散落於各中央目的事業主管機關制定之各業別個人資料檔案安全維護管理辦法或相關辦法中，且前揭各辦法對於通報之標準不盡相同。各國主管機關紛紛強化個資治理法制，而美國奧克拉荷馬州修正關於個人資料定義、適當防護措施及個資事故通報機制等事項，以建立更完善之規範。 壹、事件摘要 美國奧克拉荷馬州議會業於2025年5月20日通過第626號法案（Senate Bill 626）[1]，修正《個資事故通報法》（Security Breach Notification Act）[2]，其目的係為補充現行治理規範之不足，修正重點涵蓋：擴充法定用詞之定義，針對「個人資料」（Personal Information）與「適當防護措施」（Reasonable Safeguards）等條文予以補充與增列；強化個資事故（Breach of the security of a system）之通報機制與設立豁免條款，並釐清與其他法規間之適用關係；以及修訂違法情事之民事裁罰。此外，本次修法亦明定，若機構或個人已採取適當防護措施，得作為民事訴訟中之抗辯理由。本法將自2026年1月1日起正式生效，並適用於自該日起所發現、判定或通報之個資事故，相關單位應即早進行法遵準備，以確保制度落實。 貳、修法重點 本次修法主要包含三大核心面向，簡要說明如下： 一、擴充法定用詞之定義 （一）個人資料 於現行法規對個人資料之定義下，再增加新資料類別： 1.與驗證碼、存取碼或密碼結合使用時，可用以登入特定個人金融帳戶之專屬電子識別碼（Electronic Identifier）或路由代碼（Routing Code）； 2.用以辨識特定自然人之獨特生物特徵資料，例如指紋、視網膜或虹膜影像，或其他具體實體或數位形式之生物辨識資料。 （二）適當防護措施 適當防護措施係指，為確保個人資料安全而考量組織或機構之規模、產業別、以及保有之個資類別與數量所制定之政策及作業實務。此概念包括但不限於：進行風險評估、建立技術面及實體面之多層次保護機制、對人員實施教育訓練，及建立個資事故應變計畫等。 二、強化事故通報機制與設立豁免條款 本法要求於發現系統個資事故並已通知受影響之當事人後，應於60日內向州檢察總長（Attorney General）提交書面通報，載明涉及之個人資料類別、事故性質、受影響人數、預估之財務損失、所採行之適當防護措施等必要內容。惟若事故影響人數低於500名州民，或事故發生於徵信機構且影響人數未達1,000人，則可免除向檢察總長通報之義務。 此外，本法明確規範，若特定機構已依據其他法律，如《奧克拉荷馬州醫療資安保護法》（Oklahoma Hospital Cybersecurity Protection Act of 2023）或聯邦《健康保險可攜及責任法》（Health Insurance Portability and Accountability Act of 1996）等履行相關通報義務，則視為已符合本法之要求。 三、民事裁罰 本法明定，民事罰鍰之裁量將審酌事故規模、事故發生後組織之因應作為及是否履行事故通報義務等因素而定，以確保裁量之比例原則。裁量情形說明如下： 1.若機構已採行適當防護措施且依法進行事故通報者，得免除民事責任； 2.若未採取適當防護措施，惟仍依規定完成事故通報者，則須負擔實際損害賠償責任並處以最高75,000美元罰鍰； 3.未落實適當防護措施與事故通報法定義務者，最高處以150,000美元罰鍰。 參、事件評析 本次修法可見奧克拉荷馬州就數位時代資安威脅所採行之積極因應作為，其修正重點包含：擴充個人資料之定義並明定適當防護措施之內容，俾利降低企業法遵成本及法律適用之不確定性；強化事故通報機制並設置合理豁免條款，以確保資訊透明度；於罰則規範中明定民事罰鍰之裁量，應審酌事故規模及是否履行事故通報義務等因素，以符合比例原則。 有鑑於本法修正後所課予之法定義務，建議企業應採行下列因應措施：(1)全面盤點所保有之個人資料，尤應注意新增納管之電子識別碼及生物特徵等資料；(2)檢視並強化現有防護機制，確保符合適當防護措施之要求；(3)建立標準化通報應變程序；(4)強化教育訓練。此外，企業宜定期檢視法規動態，以確保持續符合法規要求。 [1] Bill Information for SB 626, OKLAHOMA STATE LEGISLATURE, http://www.oklegislature.gov/BillInfo.aspx?Bill=sb626&Session=2500 (last visited June 1, 2025). [2] BILL NO. 626, OKLAHOMA STATE LEGISLATURE, https://www.oklegislature.gov/cf_pdf/2025-26%20ENR/SB/SB626%20ENR.PDF (last visited June 2, 2025).

　　歐盟執委員會於2013年9月提出新電信改革方案初步細節，期待建立歐盟電信服務單一市場，以加快經濟增長，創造就業機會和恢復歐洲在行動通訊技術領域的領先地位。 　　該提案將擴大歐盟的電信管制權力，協調各會員國管制機關，包括審查各會員國之國家電信發展政策、無線頻的釋出和拍賣頻，使會員國管制機關撤銷違反歐盟法律的作為。 　　歐盟內部之電信漫遊價格上限將維持，但將由2014年開始逐年降低；另外將於2014年推動漫遊時，接收來電免費。為了進一步促使降低漫遊價格，歐盟計劃鼓勵各家電信業者推出泛歐的通訊費率。這將形成一個類似的跨國電信營運許可，只要獲得歐盟內某一個會員國管制機關的許可後，便能在泛歐範圍內推出電信服務。歐盟也希望看到各會員國固網電信的價格持續下降，達到與國內長途電話同樣水平的價格。 　　執委會也在該草案中提出，將致力於規範寬頻網路接取的批發價格管制，以及其他各類行電信服務批發市場的管制。此外，歐盟將推動完整的、統一的消費者保護規則，以防止各會員國管制機關的保護不足。 　　為了鼓勵更快地釋出無線頻譜資源，歐盟希望制定授權釋出頻譜的共同規則，而且也將以獎勵誘因鼓勵市場參與者釋出頻譜用於行動寬頻市場，並且將建議如果頻譜使用效率過低，業者將可能被取消執照。電信業者也將被允許一定的頻譜交易，以鼓勵歐盟基礎設施交易。 　　最後該草案針對「網路中立」的問題也提出解決方案，將禁止電信市場的競爭業者之間，有將網路服務阻斷或降低網路傳輸優先權的舉措。電信業者將需要提供的更透明的寬頻網路連線實際速率資訊，降低「誤導性的廣告」損害消費者權益。然而，電信業者也能夠提供更高的連線速度，或較佳的網路傳輸品質保證，使客戶支付較高的價格取得較優質的服務。 　　歐盟認為歐洲的戰略利益和經濟進步，與泛歐電信單一市場的建立密不可分的，同時希望藉由本次改革，提供歐盟公民充分、公平、高品質、普及的網際網路與行動通訊服務。

　　G20要求OECD（經合組織）儘速制訂加密資產申報綱要（Crypto-Asset Reporting Framework, CARF），以建立「加密資產資訊自動交換制度」，使一國稅務機關有權收集，並與他國稅務機關交換從事加密資產交易者的稅務資訊。故OECD於今（2022）年3月發布公開徵詢文件，並於5月23日召開公開諮詢會議，並期能於今年10月完成CARF之制訂。 　　蓋人手一機的時代，透過APP買賣虛擬通貨及NFT等加密資產已是滑指日常。因使用區塊鏈技術，去中心化的特性使得所有交易都不需要傳統金融機構的中介或干預，又因為區塊鏈是分散式帳本，因此每一筆交易進行紀錄的礦工幾乎都不同。換言之，加密資產的交易及紀錄都有秘密性，金融機構與國家機關難以查得，就算能查到交易紀錄，也無法查得買賣加密資產雙方的真實身份，因此衍生出投資加密資產如有獲利，如果沒有申報，反正國家也查不到，就不用繳稅的問題。 　　因此，首段所稱CARF，即為解決前段因區塊鏈技術所引起的稅務挑戰，惟這項全新的交換制度涉及了加密資產與跨國稅務等事務，有賴全球合作，茲事體大，雖然CARF與現在已經在全球實施的稅務資訊自動交換制度類似，但顯有不同。

　　基因改造食品的安全性，向來引起全球關注，各界爭議不休。美國農業部在上（5）月29日公開表示，在奧勒岡州（Oregon）的私人農場中發現基因改造小麥，這是否屬於單一個案，還是意味著基改防線已有所瓦解，對於美國基改管理體系具有重大意義。以目前而言，美國尚未核准任何基因改造小麥。 　　美國是全球最大的小麥供應國，每年有4000萬噸小麥輸入亞洲；其中，日本更是美國最重要的海外市場。在本案爆發之後，日本於第一時間暫停來自美國西北的小麥進口至美國境內，這股緊張氣氛預計將快速漫延至其他亞洲國家。 　　事實上，在這事件同時，於綠色和平（green peace）及其他NGO團體串聯下，全球200萬民眾走上街頭，抗議美國孟山都（Monsanto）及其研發的基因改造食品，包括美國、加拿大、阿根廷等，估計共有52國、436個城市響應，一齊表達對於基因改造食品的不安感。在基因改造食品的長期爭議下，美國有若干州考慮採取立法管制，特別是要求基因改造作物或產品必須要標示清楚，以保護消費者的權益。最新的進展是，在本（6）月4日，康乃迪克州（Connecticut）議會以134比3，通過基因改革食物法案，要求各項食物必須明確標示是否含有基因改造成分。在這之後，緬因（Maine）州也立即跟進，以141比4通過類似的基改標示法案。而案件爆發地–奧勒岡州，則還沒有進一步消息。