日本公正取引委員會啟動以交易優勢不當攫取新興智慧財產之實況調查

美國奧克拉荷馬州修正《個資事故通報法》，擴充個資定義範圍並強化通報機制 資訊工業策進會科技法律研究所 2025年07月22日 現行我國關於非公務機關就個資事故進行通報之規定，散落於各中央目的事業主管機關制定之各業別個人資料檔案安全維護管理辦法或相關辦法中，且前揭各辦法對於通報之標準不盡相同。各國主管機關紛紛強化個資治理法制，而美國奧克拉荷馬州修正關於個人資料定義、適當防護措施及個資事故通報機制等事項，以建立更完善之規範。 壹、事件摘要 美國奧克拉荷馬州議會業於2025年5月20日通過第626號法案（Senate Bill 626）[1]，修正《個資事故通報法》（Security Breach Notification Act）[2]，其目的係為補充現行治理規範之不足，修正重點涵蓋：擴充法定用詞之定義，針對「個人資料」（Personal Information）與「適當防護措施」（Reasonable Safeguards）等條文予以補充與增列；強化個資事故（Breach of the security of a system）之通報機制與設立豁免條款，並釐清與其他法規間之適用關係；以及修訂違法情事之民事裁罰。此外，本次修法亦明定，若機構或個人已採取適當防護措施，得作為民事訴訟中之抗辯理由。本法將自2026年1月1日起正式生效，並適用於自該日起所發現、判定或通報之個資事故，相關單位應即早進行法遵準備，以確保制度落實。 貳、修法重點 本次修法主要包含三大核心面向，簡要說明如下： 一、擴充法定用詞之定義 （一）個人資料 於現行法規對個人資料之定義下，再增加新資料類別： 1.與驗證碼、存取碼或密碼結合使用時，可用以登入特定個人金融帳戶之專屬電子識別碼（Electronic Identifier）或路由代碼（Routing Code）； 2.用以辨識特定自然人之獨特生物特徵資料，例如指紋、視網膜或虹膜影像，或其他具體實體或數位形式之生物辨識資料。 （二）適當防護措施 適當防護措施係指，為確保個人資料安全而考量組織或機構之規模、產業別、以及保有之個資類別與數量所制定之政策及作業實務。此概念包括但不限於：進行風險評估、建立技術面及實體面之多層次保護機制、對人員實施教育訓練，及建立個資事故應變計畫等。 二、強化事故通報機制與設立豁免條款 本法要求於發現系統個資事故並已通知受影響之當事人後，應於60日內向州檢察總長（Attorney General）提交書面通報，載明涉及之個人資料類別、事故性質、受影響人數、預估之財務損失、所採行之適當防護措施等必要內容。惟若事故影響人數低於500名州民，或事故發生於徵信機構且影響人數未達1,000人，則可免除向檢察總長通報之義務。 此外，本法明確規範，若特定機構已依據其他法律，如《奧克拉荷馬州醫療資安保護法》（Oklahoma Hospital Cybersecurity Protection Act of 2023）或聯邦《健康保險可攜及責任法》（Health Insurance Portability and Accountability Act of 1996）等履行相關通報義務，則視為已符合本法之要求。 三、民事裁罰 本法明定，民事罰鍰之裁量將審酌事故規模、事故發生後組織之因應作為及是否履行事故通報義務等因素而定，以確保裁量之比例原則。裁量情形說明如下： 1.若機構已採行適當防護措施且依法進行事故通報者，得免除民事責任； 2.若未採取適當防護措施，惟仍依規定完成事故通報者，則須負擔實際損害賠償責任並處以最高75,000美元罰鍰； 3.未落實適當防護措施與事故通報法定義務者，最高處以150,000美元罰鍰。 參、事件評析 本次修法可見奧克拉荷馬州就數位時代資安威脅所採行之積極因應作為，其修正重點包含：擴充個人資料之定義並明定適當防護措施之內容，俾利降低企業法遵成本及法律適用之不確定性；強化事故通報機制並設置合理豁免條款，以確保資訊透明度；於罰則規範中明定民事罰鍰之裁量，應審酌事故規模及是否履行事故通報義務等因素，以符合比例原則。 有鑑於本法修正後所課予之法定義務，建議企業應採行下列因應措施：(1)全面盤點所保有之個人資料，尤應注意新增納管之電子識別碼及生物特徵等資料；(2)檢視並強化現有防護機制，確保符合適當防護措施之要求；(3)建立標準化通報應變程序；(4)強化教育訓練。此外，企業宜定期檢視法規動態，以確保持續符合法規要求。 [1] Bill Information for SB 626, OKLAHOMA STATE LEGISLATURE, http://www.oklegislature.gov/BillInfo.aspx?Bill=sb626&Session=2500 (last visited June 1, 2025). [2] BILL NO. 626, OKLAHOMA STATE LEGISLATURE, https://www.oklegislature.gov/cf_pdf/2025-26%20ENR/SB/SB626%20ENR.PDF (last visited June 2, 2025).

　　美國國際消費電子展(International Consumer Electronics Show, CES)是每年全球介紹消費性電子產品的第一場重頭戲，2013年於美國時間1月8日在拉斯維加斯會議中心(Las Vegas Convention Center, LVCC)展開，展期持續四天。CES展展出面積17萬平方公尺，有超過3,250個參展公司，展出20,000種最新科技的電子產品，超過15萬人次參加。除了展出電子產品最新趨勢，CES同時也對於電子資訊相關議題開設研討會議，今年共有超過300場的研討會。 　　其中有一系列名為「創新政策高峰會」(Innovation Policy Summit)的研討會主題，討論政府部門如何與企業合作促進經濟成長及創新應用。高峰會中除邀請各科技領域中的創新發明者，還邀請政府部門、國會議員等，討論與科技政策最相關的種種議題。值得注意的是，創新政策高峰會中一場主題為「打擊專利蟑螂」(Fighting the Patent Trolls)的研討會於1月8日舉行，討論有關政府及民間業者如何打擊影響科技產業的專利蟑螂(Patent Trolls)，與會者除了有眾議員Peter DeFazio，還有Google、電子前線基金會(Electronic Frontier Foundation,EFF)、電子製造商Voxx International、零售商Home Automation等等企業代表，分享被專利蟑螂控訴專利侵權的經驗及提供意見。 　　在研討會中討論出的打擊方案有以下幾點： ‧擴展DeFazio眾議員提案的「保護高科技創新者免於惡意訴訟法案」(The Saving High-tech Innovators from Egregious Legal Disputes Act, SHIELD Act)到其他受專利蟑螂攻擊的產業，同時修改法案要求原告應在法院判決其負擔被告訴訟費用時，同時提出擔保金。 ‧應簡化專利局審核時質疑(challenge)不良專利的程序。 ‧在專利訴訟中對實際損害(actual damages)應提出更明確證據，並應更嚴格審查核發初步禁制令。 ‧科技公司應設法自救或組成聯盟，或者推廣Twitter公司2012年提出的「專利發明者協議」(Innovator Patent Agreement)，該協議讓公司內專利發明者對其發明專利有更大控制權，並承諾公司僅會將其專利用於防衛用途。 　　其中第一點的SHIELD法案，是眾議員DeFazio及Jason Chaffetz為遏止專利蟑螂於2012年8月共同提案。該法案目標在打擊專利蟑螂，針對電腦軟硬體提出的專利訴訟，原告若無勝訴之合理可能性(reasonable likelihood of succeeding)，法院得判決原告必須負擔被告訴訟費用及律師費用，以達到遏止專利蟑螂的目的。然而目前SHIELD法案立法進度停滯，DeFazio預計將提出修正版本爭取通過。DeFazio表示，該法案若要成功立法，需要各界聯合及廣泛支持。

　　2012年3月Google將世界各地總共60個相異的個人資料隱私權政策統一後，即受到歐盟個人資料保護機構「第29條工作小組」的關注，該小組認為Google修訂後的個人資料隱私權政策違反歐洲資料保護指令（European Data Protection Directive (95/46/CE)），將難以讓使用者清楚知悉其個人資料可能被利用、整合或保留的部分。同時，Google亦可能利用當事人不知情的情況下，大量利用使用者個人資料。因此，2012年10月歐盟要求Google在4個月內對該公司的個人資料隱私權政策未符歐盟規定者提出說明，惟至今Google仍無回應。因此，歐洲6個國家，包括法國、德國、英國、義大利、荷蘭及西班牙的個資監管機構，將聯合審視Google的個人資料隱私權政策是否違反各國的法律，並依據各國法律展開後續措施，如鉅額罰款等。法國之資訊自由國家委員會（Commission nationale de l'informatique et des libertés，簡稱CNIL）率先表示，若Google於4月11日前未改善其資料隱私權政策，法國將首先採取法律行動。然Google對此僅簡單回應，表示其資料隱私政策尊重歐盟的法律，且可以讓Google提供更簡單、更有效率的服務。

　　2020年4月20日澳洲政府要求澳洲競爭及消費者委員會(Australian Competition and Consumer Commission, ACCC)草擬強制性行為準則，以解決澳洲新聞媒體業者與數位平台(特別是Google及Facebook)間不對等的議價地位問題，由於2019年ACCC曾嘗試讓Google、Facebook自願與業者議價，並訂定相關程序準則，但事後成效不彰。為因應政府要求，ACCC於同年7月31日公布一份行為準則草案，「2020年修正草案—新聞媒體與數位平台強制性議價守則」(TREASURY LAWS AMENDENT (NEWS MEDIA AND DIGITAL PLATFORMS MANDATORY BARGAINING CODE) BILL 2020)。 　　此行為準則允許新聞媒體業者各自或集體向數位平台協議使用新聞內容的合理費用，請求費用的媒體公司至少須符合最低的編輯專業標準，並保持編輯獨立性，且每年營收須超過15萬澳元。雖然目前草案只適用於Google及Facebook，但未來也可能有其他數位平台列入適用範圍。 　　澳洲財政部長Josh Frydenberg表示，此準則設立的目的，是為了保護媒體公司著作內容的原創性，並確保業者能獲得合理的報酬，若Google及Facebook三個月內，無法與媒體公司達成報酬協議，將命仲裁員做出具有約束力的決定，違反規定者將會被裁處1000萬澳元的罰款。 　　此草案公布後，預計於8月28日完成磋商審議程序，並向議會提出最終草案版本，經議會通過後正式生效。由ACCC負責執行並管理該準則，而新聞媒體業者的資格則由澳洲通信媒體管理局(The Australian Communications and Media Authority)認定之。