美國財政部外國資產控制辦公室更新發布與勒索軟體支付相關之制裁風險諮詢

　　華盛頓特區於今〈2010〉年8月5日由阿肯薩州及維及尼亞州參議院議員Pryor及John Rockefeller所倡議之「個人資料安全及外洩通報法」〈Data Security and Breach Notification Act of 2010〉，其旨趣，在於統一美國各州不同個資外洩通報法，並嘗試為消費者個人資料之安全及隱私設定全國性的標準。 　　Pryor法案曾於2007年提出，惟當時未能通過，其立法緣由係為處理美國各州、聯邦及國際間政府對個資安全與日俱增之重視。其規範內容，在要求處理及儲存消費者私人資訊，諸如「社會安全碼」〈social security numbers〉之企業，一旦發生資料外洩事件，需對國家提出通報，如該事件對消費者產生現實的「身分盜竊」〈identity theft〉或「帳戶詐欺」〈account fraud〉風險，則應於發現個資外洩六十日內通知受影響之消費者。 　　Pryor法案之適用對象甚廣，故有認為，該法一旦通過，其將成為繼美國金融服務法〈the Gramm-Leach-Bliley Act，簡稱GLBA〉後的模範法典，其適用對象包括受GLBA規範之金融機構及任何個人〈any individual〉、合夥〈partnership〉、公司〈corporation〉、信託〈trust〉、工地產產業〈estate〉、合作社〈cooperative〉、協會〈association〉、維持或傳送「敏感的會計資訊」或「敏感的個人資訊」之業主〈entity that maintains or communicates “sensitive account information” or “sensitive personal information”〉，但並不包括任何政府辦事處或其他聯邦、州政府單位、地方政府〈any agency or other unit of the federal,state, or local government〉或任何其下所再劃分之單位〈any subdivision thereof〉。 　　惟此一倡議中之資料安全立法不論法令遵循或執行皆有一定難度，因該法雖要求對超出「損害門檻」之資料外洩需對消費者通報，但對「損害門檻」並無明確定義。此外，受影響之企業似無實行適當風險評估之誘因，除需耗費大量成本評估外洩事件是否超過損害門檻外，尚需面臨企業名譽受損與客戶不滿之損失，在個資外洩要素風險指導原則付之闕如之情形下，企業恐無法客觀地評估自身個資外洩之風險。故有建議，解決之道，應明定損害門檻，並聘請外部專家或使用市場新工具，訂定客觀的指導原則，使企業在處理個資外洩問題時能減輕混亂及鼓勵評估結果的一致性並縮短風險評估的時間。 　　就資訊安全部分，此法案揭櫫於其通過一年內，美國商務、科學及交通委員會〈Committee on Commerce, Science, and Transportation〉應頒布規定，要求擁有或處理含有個人資料或契約之企業，必須建立並執行蒐集、使用、出售，及其他傳播、維持個人資訊之資訊安全政策，以達保護個人資料之目的。

　　連結稅（link tax）並非政府稅捐，而是網路業者以連結方式擷取新聞內容提供予他人，應向新聞業者協議取得授權，並支付適當費用的俗稱。針對網路業者擷取使用或彙整他人的新聞（例如Google News），導致發布該新聞之新聞業者實際獲得的點擊率與網路流量減少的情形，為了平衡新聞業者與網路業者間的利益，歐盟於2019年通過施行的歐盟數位單一市場著作權指令（The Directive on Copyright in the Digital Single Market）中，訂定網路業者應向新聞業者取得著作使用之授權協議，包含網路業者應與新聞業者分享一定比例之收益。 　　本條文於草案階段即備受爭議，草案條文（第11條）甚至包含使用超連結（hyperlink）的行為在內，而引發網路業者與使用者的反彈，並戲稱支付使用超連結的費用為繳交超連結稅。而最後通過的條文（第15條），則排除了非商業使用的個人、使用超連結或是僅單詞或簡短摘錄的情形，並將新聞業者的權利限於發表後的兩年以內，且不溯及適用指令施行前發表的新聞。 　　德國跟西班牙分別於2013年及2014年立法賦予新聞業者類似的權利，但結果顯示新聞業者對於網路業者的依賴，可能還遠大於網路業者擷取新聞業者內容所獲得的利益。法國於2019年7月完成將歐盟著作權指令內國法化，Google也因此調整其擷取政策，除非新聞業者主動完成對擷取內容範圍限制與授權的設定，Google將刪除全部擷取內容；連結稅能否保障新聞業者對其所發布新聞的相關權利，並平衡新聞業者與網路業者間的利益，仍有待觀察。

澳洲新南威爾斯州（New South Wales）議會於2026年2月12日通過《2026年工作健康與安全（數位工作系統）修正法案》（Work Health and Safety Amendment (Digital Work Systems) Bill 2026，以下簡稱本法案），並於同月18日獲御准（Royal Assent），以防範人工智慧在工作場所中對受雇者可能造成的職業安全危害。本次修正為澳洲州政府首次將數位工作系統納入《工作健康與安全法》規範框架之立法，明確要求雇主妥善管理人工智慧及其他數位工作系統對員工所帶來的安全風險；此次修法草案概述如下： 首先，就規範客體之界定而言，本次修法於第4條新增「數位工作系統」（digital work system）之定義，指演算法、人工智慧、自動化系統或線上平台。 其次，本次修法重點之一為主要注意義務之擴張。新南威爾斯州《工作健康與安全法》第19條第一項原即明定，事業單位對勞工之健康與安全，在合理可行的範圍內負有主要注意義務（primary duty of care）；同條第19條第3項第c款則進一步規定，事業單位應在合理可行的範圍內，為勞工提供並維持安全的作業系統（safe systems of work）。本次修法於前揭基礎上，於母法第19條第3項新增第c1款，要求事業單位在合理可行的範圍內，確保勞工之健康與安全不因該業務或事業單位「使用數位工作系統」而受到危害。再者，新增之第21A條亦明定，凡經營涉及數位工作系統之事業單位，均需在合理可行的範圍內，確保勞工之健康與安全不因該事業單位透過「數位工作系統」進行「工作分配」（the allocation of work）而面臨風險。此項擴張之核心意義，在於將數位系統所衍生之職場危害明文納入法規框架，將原本僅賴概括性規定涵攝之情形予以類型化，使雇主注意義務之射程更為清晰。傳統作業系統與新興「數位工作系統」（digital work systems）均明確落入規範範疇，部分原本遊走於灰色地帶之邊緣案例，亦得據此獲得更明確之法律保護。 進一步就前述之風險態樣類型化而言，修正後之第21A條第2項明定，營運業務或事業之人必須考量使用數位工作系統分配工作，是否會導致以下風險：(一)對業務或事業中的勞工（workers at work in the business or undertaking）造成過度或不合理的工作負荷；(二)採用過度或不合理的指標，對業務或事業中的勞工進行績效評估與追蹤；(三)對業務或事業中的勞工實施過度或不合理的監控或監視；(四)在業務或事業的經營過程中，做成違法的歧視性行為或決策。上開四項風險類型，實已涵蓋當前AI演算法管理（algorithmic management）所衍生之主要爭議。 最後，本次修法後，依第117條及118條規定，持有「工作健康與安全進入許可證」（work health and safety entry permit）之人員有權進入工作場所，就疑似違規情事檢查相關數位工作系統，而相關事業單位對此負有提供合理協助（reasonable assistance）之義務；主管機關則應就上開合理協助之行使訂定並於官方網站公告相關指引，以資遵循。 綜上，新南威爾斯州本次修法之特色，在於同時就「實體義務」、「執法配套」與「規範動態檢討」三個層次，完整建構數位工作系統之職業安全規範框架。新南威爾斯州之立法經驗，就規範客體之類型化、雇主注意義務之具體化，以及與國際規範接軌之機制設計，均可作為我國未來修法及主管機關訂定相關指引時之重要參酌。