英國「數位服務稅」

為加強兒少網路安全，英國通訊局（Office of Communication）於2025年4月24日發布「兒少風險評估指導原則」（Children's Risk Assessment Guidance）以及「兒少保護行為準則」（Protection of Children Codes of Practice），以供受規範之網路服務提供者遵循。 「兒少風險評估指導原則」要求所有受《網路安全法》（Online Safety Act 2023）規範的「使用者對使用者服務」（user-to-user service）和「搜尋服務」（search service）的服務提供者，在完成兒少存取評估（children’s access assessments）確認服務有可能被兒少存取後，必須在三個月內即2025年7月24日前，完成兒少風險評估（children’s risk assessments）。 至於「兒少保護行為準則」一經國會審議通過，則自2025年7月25日起生效，服務提供者必須採取「兒少保護行為準則」規定的安全措施（safety measures），或實施其他有效手段，以減少上開風險發生的可能性。 「兒少保護行為準則」列出的安全措施包括： 一、更安全的資訊發送： 有運作推薦系統（recommender system）且存在中度或高度有害內容風險的服務提供者，應調整其演算法，確保不向兒少推播有害內容。 二、有效的年齡驗證： 風險最高的服務提供者必須使用高度有效的年齡驗證，以識別使用者是否為兒少。 三、有效的內容審查： 服務提供者應建立內容審查機制，一旦發現有害兒少的內容時，能迅速採取行動。 四、更多的選擇與支援： 服務提供者應賦予兒少更多的控制權，包括允許對內容或貼文表達不喜歡、接受或拒絕群組聊天邀請、封鎖用戶、將用戶設為靜音、以及關閉自己貼文的留言功能等。 五、簡便的舉報與申訴： 服務提供者應提供透明的舉報與申訴管道，且確保提出舉報和申訴的管道和方式對兒少而言相對輕鬆且簡單。 六、強化的治理： 服務提供者應設置負責兒童安全的專責人員，高層團隊並應每年審查兒童風險管理情況。 如服務提供者未能履行上開義務，英國通訊局可處以罰款。必要時，甚至可向法院聲請禁制令封鎖該平台。 處在網路無限擴張的時代，保障兒少網路安全絕對是重要且不容忽視的課題。英國通訊管理局發布的實施作法，非常值得我國觀察學習與參考。

　　成功的物聯網（IOT）平台生態系統取決於多種因素，2017年4月3日歐盟智慧聯網研發推動平台（ European Research Cluster on the Internet of Things）在物聯網活動平台分析（Analysis on IoT Platforms Adoption Activities）中提出六個成功的重要因素： 策略與利害關係人的參與（Strategy & Stakeholder Engagement）：成功物聯網平台除了要製定良好的願景外，並讓主要利害關係人適當的參與系統策略，與整體政策格局保持一致性。 社群的支持（Community Support）：社群支持程度決定了物聯網系統的吸引力，透過適當的的機制和工具，以有效地減少參與的障礙。 開放性（Ecosystem Openness）：非常封閉的物聯網系統，吸引較少參與者。透過適當的開放以鼓勵利害關係人之參與，並減少進入之障礙。 技術的進步程度（Technology Advancement）：越是被廣泛使用的技術及技術特徵，越可以顯著增加物聯網系統的吸引力，除了提高績效以外，並增加系統存續之可能性。 市場機制（Marketplace Mechanisms）：透過市場機制可以取得用戶間的信任感，以增加參與的可能性，透過參與者價值交流進一步鼓勵參與。 包容性（Technology Inclusivity）：物聯網系統很少是孤立的，必須考慮許多外部因素，如架構技術、物聯網設備、服務等。物聯網生態系統越包容其他流行技術，越有可能被使用者接受。

美國奧克拉荷馬州修正《個資事故通報法》，擴充個資定義範圍並強化通報機制 資訊工業策進會科技法律研究所 2025年07月22日 現行我國關於非公務機關就個資事故進行通報之規定，散落於各中央目的事業主管機關制定之各業別個人資料檔案安全維護管理辦法或相關辦法中，且前揭各辦法對於通報之標準不盡相同。各國主管機關紛紛強化個資治理法制，而美國奧克拉荷馬州修正關於個人資料定義、適當防護措施及個資事故通報機制等事項，以建立更完善之規範。 壹、事件摘要 美國奧克拉荷馬州議會業於2025年5月20日通過第626號法案（Senate Bill 626）[1]，修正《個資事故通報法》（Security Breach Notification Act）[2]，其目的係為補充現行治理規範之不足，修正重點涵蓋：擴充法定用詞之定義，針對「個人資料」（Personal Information）與「適當防護措施」（Reasonable Safeguards）等條文予以補充與增列；強化個資事故（Breach of the security of a system）之通報機制與設立豁免條款，並釐清與其他法規間之適用關係；以及修訂違法情事之民事裁罰。此外，本次修法亦明定，若機構或個人已採取適當防護措施，得作為民事訴訟中之抗辯理由。本法將自2026年1月1日起正式生效，並適用於自該日起所發現、判定或通報之個資事故，相關單位應即早進行法遵準備，以確保制度落實。 貳、修法重點 本次修法主要包含三大核心面向，簡要說明如下： 一、擴充法定用詞之定義 （一）個人資料 於現行法規對個人資料之定義下，再增加新資料類別： 1.與驗證碼、存取碼或密碼結合使用時，可用以登入特定個人金融帳戶之專屬電子識別碼（Electronic Identifier）或路由代碼（Routing Code）； 2.用以辨識特定自然人之獨特生物特徵資料，例如指紋、視網膜或虹膜影像，或其他具體實體或數位形式之生物辨識資料。 （二）適當防護措施 適當防護措施係指，為確保個人資料安全而考量組織或機構之規模、產業別、以及保有之個資類別與數量所制定之政策及作業實務。此概念包括但不限於：進行風險評估、建立技術面及實體面之多層次保護機制、對人員實施教育訓練，及建立個資事故應變計畫等。 二、強化事故通報機制與設立豁免條款 本法要求於發現系統個資事故並已通知受影響之當事人後，應於60日內向州檢察總長（Attorney General）提交書面通報，載明涉及之個人資料類別、事故性質、受影響人數、預估之財務損失、所採行之適當防護措施等必要內容。惟若事故影響人數低於500名州民，或事故發生於徵信機構且影響人數未達1,000人，則可免除向檢察總長通報之義務。 此外，本法明確規範，若特定機構已依據其他法律，如《奧克拉荷馬州醫療資安保護法》（Oklahoma Hospital Cybersecurity Protection Act of 2023）或聯邦《健康保險可攜及責任法》（Health Insurance Portability and Accountability Act of 1996）等履行相關通報義務，則視為已符合本法之要求。 三、民事裁罰 本法明定，民事罰鍰之裁量將審酌事故規模、事故發生後組織之因應作為及是否履行事故通報義務等因素而定，以確保裁量之比例原則。裁量情形說明如下： 1.若機構已採行適當防護措施且依法進行事故通報者，得免除民事責任； 2.若未採取適當防護措施，惟仍依規定完成事故通報者，則須負擔實際損害賠償責任並處以最高75,000美元罰鍰； 3.未落實適當防護措施與事故通報法定義務者，最高處以150,000美元罰鍰。 參、事件評析 本次修法可見奧克拉荷馬州就數位時代資安威脅所採行之積極因應作為，其修正重點包含：擴充個人資料之定義並明定適當防護措施之內容，俾利降低企業法遵成本及法律適用之不確定性；強化事故通報機制並設置合理豁免條款，以確保資訊透明度；於罰則規範中明定民事罰鍰之裁量，應審酌事故規模及是否履行事故通報義務等因素，以符合比例原則。 有鑑於本法修正後所課予之法定義務，建議企業應採行下列因應措施：(1)全面盤點所保有之個人資料，尤應注意新增納管之電子識別碼及生物特徵等資料；(2)檢視並強化現有防護機制，確保符合適當防護措施之要求；(3)建立標準化通報應變程序；(4)強化教育訓練。此外，企業宜定期檢視法規動態，以確保持續符合法規要求。 [1] Bill Information for SB 626, OKLAHOMA STATE LEGISLATURE, http://www.oklegislature.gov/BillInfo.aspx?Bill=sb626&Session=2500 (last visited June 1, 2025). [2] BILL NO. 626, OKLAHOMA STATE LEGISLATURE, https://www.oklegislature.gov/cf_pdf/2025-26%20ENR/SB/SB626%20ENR.PDF (last visited June 2, 2025).

　　日本個人情報保護委員會於5月31日與歐盟執行委員會，對於取得之個人資料跨境傳輸相互承認達成實質合意。歐盟今年5月施行之歐盟個人資料保護規則（European Union General Data Protection Regulation,GDPR）對於個人資料之跨境傳輸係採「原則禁止、例外允許」模式，因此只有在符合例外之情形下，個人資料才能進行跨境傳輸，而例外獲得許可的情形包括由企業自主採行符合規範的適當保護措施，或取得個資當事人明確同意等方式。此外，GDPR也規定對第三國或地區個人資料保護水平是否達到GDPR標準，為適足性認定制度，取得此一認定資格者，即可自由與歐盟間進行個人資料跨境傳輸。目前有瑞士等11個國家及地區取得認定，日本則尚未取得。 　　日本為了減輕企業的負擔，2016年7月個人情報委員會決定處理方針，以取得相互認定承認為目標；於2017年1月歐盟執行委員會政策文書發表，將日本列為適足性認定之優先國家，將持續進行雙方後續對話。自2016年4月自2018年5月為止累計對話協商53次。於2017年5月施行修正之個人資料保護法，新導入域外適用規定，並對於國外執行當局為必要資訊提供為相關規定。依據上述對話意見，今年2月14日審議擬定「個人資料保護法指引－歐盟適足性認定之個人資料傳輸處理編(個人情報の保護に関する法律についてのガイドラインーEU域内から十分性認定により移転を受けた個人データの取扱い編)」草案，於今年4月25日至5月25日完成草案預告及意見徵集程序，預定於今年7月上旬訂定發布。其後，將於今年秋天完成歐盟與日本間相互指定與認定程序。亦即，個人情報保護委員會基於個人資料保護法第24條規定，指定歐洲經濟區（EEA）為與日本有同等水準之個人資料保護制度之外國，而歐盟執行委員會依據GDPR第45條規定，認定日本為具備適足保護水準。相互認定後，日本與歐盟間得相互為個人資料傳輸，如有相互協力必要性發生時，個人情報保護委員會及歐洲執行委員會應相互協議以為解決。