紐約通過法案，將禁止企業使用未能通過偏見審計的自動化招募系統

　　日本政府規制改革推進會議係由內閣府發布政令所成立，具跨部會協調性質、推動日本法規調適之委員會，規制改革推進會議於今（2020）年7月2日向安倍晉三首相報告，從去年10月起歷經8個月審議規制改革項目的審議結果後，最新版「規制改革實施計畫」於7月17日通過閣議決定。規制改革實施計畫中關於農林水產領域「促進智慧農業普及」項目，除了促進無人機、自動行走機普及、農作物栽培設施設立而調和相關規定外，「農業數據利活用」項目首見於規制改革實施計畫，實施項目包括以下四項： 利用農林水產省補助金（見註1）導入曳引機、農業機器人、無人機、IoT機器等智慧農業機械時，應符合以下要件：根據農業領域AI數據相關契約指引，農民可以使用其所提供給系統服務業者所保管之數據，該契約條文應包含於數據契約中。 農林水產省與農機廠商合作建構OPEN API數據環境，透過使用農機時所取得位置座標、作業紀錄等數據，未來農民可以將此數據使用於非出自該農機廠商的其他軟體。 農林水產省於2022年度預算開始，利用補助金導入農機廠商的農機時，須符合上述第2點OPEN API要求。 農林水產省將發出以下明確通知：因鳥獸害、緊急救難、搜索犯人、農業道路塌陷等應配合公家機關等具高度公共性事務，以及為保護人的生命身體財產等必要之情況，農機廠商如事前已徵得農民的概括性同意，可提供從農民方所取得之數據予有關當局。 　　日本政府為加速智慧農業落地普及，藉由調和農林水產省補助金規定促進農業數據流通運用，保護農民數據使用權利，且將農業數據擴散利用於公共事務，凸顯日本政府對於農業數據保護與運用的重視，值得我國做為借鏡。 註1：補助金不限於「有關補助金等預算執行適正化相關法律［昭和 30 年法律第 179 號］」（補助金等に係る予算の執行の適正化に関する法律［昭和 30 年法律第 179 号］）的補助金，包括其他交付金、委託費。 「本文同步刊登於TIPS網站（https://www.tips.org.tw）」

美國奧克拉荷馬州修正《個資事故通報法》，擴充個資定義範圍並強化通報機制 資訊工業策進會科技法律研究所 2025年07月22日 現行我國關於非公務機關就個資事故進行通報之規定，散落於各中央目的事業主管機關制定之各業別個人資料檔案安全維護管理辦法或相關辦法中，且前揭各辦法對於通報之標準不盡相同。各國主管機關紛紛強化個資治理法制，而美國奧克拉荷馬州修正關於個人資料定義、適當防護措施及個資事故通報機制等事項，以建立更完善之規範。 壹、事件摘要 美國奧克拉荷馬州議會業於2025年5月20日通過第626號法案（Senate Bill 626）[1]，修正《個資事故通報法》（Security Breach Notification Act）[2]，其目的係為補充現行治理規範之不足，修正重點涵蓋：擴充法定用詞之定義，針對「個人資料」（Personal Information）與「適當防護措施」（Reasonable Safeguards）等條文予以補充與增列；強化個資事故（Breach of the security of a system）之通報機制與設立豁免條款，並釐清與其他法規間之適用關係；以及修訂違法情事之民事裁罰。此外，本次修法亦明定，若機構或個人已採取適當防護措施，得作為民事訴訟中之抗辯理由。本法將自2026年1月1日起正式生效，並適用於自該日起所發現、判定或通報之個資事故，相關單位應即早進行法遵準備，以確保制度落實。 貳、修法重點 本次修法主要包含三大核心面向，簡要說明如下： 一、擴充法定用詞之定義 （一）個人資料 於現行法規對個人資料之定義下，再增加新資料類別： 1.與驗證碼、存取碼或密碼結合使用時，可用以登入特定個人金融帳戶之專屬電子識別碼（Electronic Identifier）或路由代碼（Routing Code）； 2.用以辨識特定自然人之獨特生物特徵資料，例如指紋、視網膜或虹膜影像，或其他具體實體或數位形式之生物辨識資料。 （二）適當防護措施 適當防護措施係指，為確保個人資料安全而考量組織或機構之規模、產業別、以及保有之個資類別與數量所制定之政策及作業實務。此概念包括但不限於：進行風險評估、建立技術面及實體面之多層次保護機制、對人員實施教育訓練，及建立個資事故應變計畫等。 二、強化事故通報機制與設立豁免條款 本法要求於發現系統個資事故並已通知受影響之當事人後，應於60日內向州檢察總長（Attorney General）提交書面通報，載明涉及之個人資料類別、事故性質、受影響人數、預估之財務損失、所採行之適當防護措施等必要內容。惟若事故影響人數低於500名州民，或事故發生於徵信機構且影響人數未達1,000人，則可免除向檢察總長通報之義務。 此外，本法明確規範，若特定機構已依據其他法律，如《奧克拉荷馬州醫療資安保護法》（Oklahoma Hospital Cybersecurity Protection Act of 2023）或聯邦《健康保險可攜及責任法》（Health Insurance Portability and Accountability Act of 1996）等履行相關通報義務，則視為已符合本法之要求。 三、民事裁罰 本法明定，民事罰鍰之裁量將審酌事故規模、事故發生後組織之因應作為及是否履行事故通報義務等因素而定，以確保裁量之比例原則。裁量情形說明如下： 1.若機構已採行適當防護措施且依法進行事故通報者，得免除民事責任； 2.若未採取適當防護措施，惟仍依規定完成事故通報者，則須負擔實際損害賠償責任並處以最高75,000美元罰鍰； 3.未落實適當防護措施與事故通報法定義務者，最高處以150,000美元罰鍰。 參、事件評析 本次修法可見奧克拉荷馬州就數位時代資安威脅所採行之積極因應作為，其修正重點包含：擴充個人資料之定義並明定適當防護措施之內容，俾利降低企業法遵成本及法律適用之不確定性；強化事故通報機制並設置合理豁免條款，以確保資訊透明度；於罰則規範中明定民事罰鍰之裁量，應審酌事故規模及是否履行事故通報義務等因素，以符合比例原則。 有鑑於本法修正後所課予之法定義務，建議企業應採行下列因應措施：(1)全面盤點所保有之個人資料，尤應注意新增納管之電子識別碼及生物特徵等資料；(2)檢視並強化現有防護機制，確保符合適當防護措施之要求；(3)建立標準化通報應變程序；(4)強化教育訓練。此外，企業宜定期檢視法規動態，以確保持續符合法規要求。 [1] Bill Information for SB 626, OKLAHOMA STATE LEGISLATURE, http://www.oklegislature.gov/BillInfo.aspx?Bill=sb626&Session=2500 (last visited June 1, 2025). [2] BILL NO. 626, OKLAHOMA STATE LEGISLATURE, https://www.oklegislature.gov/cf_pdf/2025-26%20ENR/SB/SB626%20ENR.PDF (last visited June 2, 2025).

　　英格蘭與威爾斯法律委員會(The Law Commission of England and Wales)與蘇格蘭法律委員會(The Scottish Law Commission)於2022年1月26日聯合提出¬「自駕車修法建議報告（Automated Vehicles: joint report）」，總結其自2018年來三次公眾意見諮詢之回應分析，提出75項法律修正建議，提交英格蘭及蘇格蘭議會決議是否採納並修法。 　　修法建議範圍涵蓋廣泛，重要突破性建議包含： （1）整合英國原有之《2018自動與電動車法（Automated and Electric Vehicles Act 2018）》中自駕車之認定標準，訂定一套雙階段自動駕駛認證許可制度，於第一階段審驗「整車」之規格是否符合國際或國內車輛型式安全審驗標準，並於第二階段審驗¬¬¬「個別自駕功能」是否能符合國內交通法規。 （2）提出「主責使用者（User-In-Charge, UIC）」概念，若車輛設計為在某些情形下需要人工接手駕駛，則自動駕駛系統（Automated Driving System, ADS）啟動時，坐在車內駕駛座之自然人即為UIC。 （3）對於不需要UIC車輛（No User-In-Charge, NUIC）營運平台業者，以及合法自駕車業者（Authorized Self-Driving Entities, ASDE），提出資格條件要求，包含必須具備良好名聲、財務穩健，必須向主管機關提交安全案例（safety cases）等。 （4）因《2018自動與電動車法》中已有要求自駕車均須投保保險，因此當自駕車造成車禍及損傷，不需先經確認有無人為故意過失，即可先行以保險進行賠償。事後若保險公司認為自駕車設計製造者有責任，得再依商品責任規範轉向車廠求償。 （5）而為了幫助事故調查、釐清責任，自駕車相關資料之持有者（如ASDE）應將相關資料保存3年又3個月，以配合侵權行為之法律請求權時效。 　　本分報告綜合各方意見，以務實之態度提出具體修法建議，深具參考價值，值得我國深入研析。