日本修正《氫能基本戰略》以實現氫能社會

美國奧克拉荷馬州修正《個資事故通報法》，擴充個資定義範圍並強化通報機制 資訊工業策進會科技法律研究所 2025年07月22日 現行我國關於非公務機關就個資事故進行通報之規定，散落於各中央目的事業主管機關制定之各業別個人資料檔案安全維護管理辦法或相關辦法中，且前揭各辦法對於通報之標準不盡相同。各國主管機關紛紛強化個資治理法制，而美國奧克拉荷馬州修正關於個人資料定義、適當防護措施及個資事故通報機制等事項，以建立更完善之規範。 壹、事件摘要 美國奧克拉荷馬州議會業於2025年5月20日通過第626號法案（Senate Bill 626）[1]，修正《個資事故通報法》（Security Breach Notification Act）[2]，其目的係為補充現行治理規範之不足，修正重點涵蓋：擴充法定用詞之定義，針對「個人資料」（Personal Information）與「適當防護措施」（Reasonable Safeguards）等條文予以補充與增列；強化個資事故（Breach of the security of a system）之通報機制與設立豁免條款，並釐清與其他法規間之適用關係；以及修訂違法情事之民事裁罰。此外，本次修法亦明定，若機構或個人已採取適當防護措施，得作為民事訴訟中之抗辯理由。本法將自2026年1月1日起正式生效，並適用於自該日起所發現、判定或通報之個資事故，相關單位應即早進行法遵準備，以確保制度落實。 貳、修法重點 本次修法主要包含三大核心面向，簡要說明如下： 一、擴充法定用詞之定義 （一）個人資料 於現行法規對個人資料之定義下，再增加新資料類別： 1.與驗證碼、存取碼或密碼結合使用時，可用以登入特定個人金融帳戶之專屬電子識別碼（Electronic Identifier）或路由代碼（Routing Code）； 2.用以辨識特定自然人之獨特生物特徵資料，例如指紋、視網膜或虹膜影像，或其他具體實體或數位形式之生物辨識資料。 （二）適當防護措施 適當防護措施係指，為確保個人資料安全而考量組織或機構之規模、產業別、以及保有之個資類別與數量所制定之政策及作業實務。此概念包括但不限於：進行風險評估、建立技術面及實體面之多層次保護機制、對人員實施教育訓練，及建立個資事故應變計畫等。 二、強化事故通報機制與設立豁免條款 本法要求於發現系統個資事故並已通知受影響之當事人後，應於60日內向州檢察總長（Attorney General）提交書面通報，載明涉及之個人資料類別、事故性質、受影響人數、預估之財務損失、所採行之適當防護措施等必要內容。惟若事故影響人數低於500名州民，或事故發生於徵信機構且影響人數未達1,000人，則可免除向檢察總長通報之義務。 此外，本法明確規範，若特定機構已依據其他法律，如《奧克拉荷馬州醫療資安保護法》（Oklahoma Hospital Cybersecurity Protection Act of 2023）或聯邦《健康保險可攜及責任法》（Health Insurance Portability and Accountability Act of 1996）等履行相關通報義務，則視為已符合本法之要求。 三、民事裁罰 本法明定，民事罰鍰之裁量將審酌事故規模、事故發生後組織之因應作為及是否履行事故通報義務等因素而定，以確保裁量之比例原則。裁量情形說明如下： 1.若機構已採行適當防護措施且依法進行事故通報者，得免除民事責任； 2.若未採取適當防護措施，惟仍依規定完成事故通報者，則須負擔實際損害賠償責任並處以最高75,000美元罰鍰； 3.未落實適當防護措施與事故通報法定義務者，最高處以150,000美元罰鍰。 參、事件評析 本次修法可見奧克拉荷馬州就數位時代資安威脅所採行之積極因應作為，其修正重點包含：擴充個人資料之定義並明定適當防護措施之內容，俾利降低企業法遵成本及法律適用之不確定性；強化事故通報機制並設置合理豁免條款，以確保資訊透明度；於罰則規範中明定民事罰鍰之裁量，應審酌事故規模及是否履行事故通報義務等因素，以符合比例原則。 有鑑於本法修正後所課予之法定義務，建議企業應採行下列因應措施：(1)全面盤點所保有之個人資料，尤應注意新增納管之電子識別碼及生物特徵等資料；(2)檢視並強化現有防護機制，確保符合適當防護措施之要求；(3)建立標準化通報應變程序；(4)強化教育訓練。此外，企業宜定期檢視法規動態，以確保持續符合法規要求。 [1] Bill Information for SB 626, OKLAHOMA STATE LEGISLATURE, http://www.oklegislature.gov/BillInfo.aspx?Bill=sb626&Session=2500 (last visited June 1, 2025). [2] BILL NO. 626, OKLAHOMA STATE LEGISLATURE, https://www.oklegislature.gov/cf_pdf/2025-26%20ENR/SB/SB626%20ENR.PDF (last visited June 2, 2025).

　　美國FCC於二月份表示其將檢視採取額外的安全措施，是否能夠有效防止電信公司所持有之個人敏感性資訊外洩之問題，並就與此所涉之問題與建議採取之法律措施諮詢公眾之意見。此次諮詢的議題包括目前電信公司所採取的安全措施為何、此等措施存有何種缺失、以及採取何種措施將能夠更有效地保護消費者的隱私，並就以下五種特定的安全措施，諮詢公眾之意見，包括： (1) 由消費者設定密碼。 (2) 建立一套查驗機制，此一機制必須能夠記錄消費者個人資料之接近使用情況，包括時間、接近使用的資料內容、接近使用人…等之資訊。 (3) 電信公司必須就客戶專有之網路資訊 (customer proprietary network information，CPNI)進行加密。 (4) 限制資料之保存，要求電信公司必須刪除所有不必要的資料。 (5) 當個人資料遭他非法接近使用時，電信公司應通知消費者。 　　除此之外，FCC亦就其是否應修改現行法規，要求電信公司應就其實施消費者保護措施之狀況，提交年度稽核報告以及全年之客訴資料進行公眾意見諮詢，並且就電信公司是否應於提供CPNI前，致電予消費者，以確保CPNI資料之索取係由消費者本人親為一事諮詢公眾之意見。

　　日本納稅作業效率和全世界其他先進國家相比仍然偏低，根據世界銀行之調查，日本企業每年花費納稅作業的時間約330小時，是OECD會員國平均時間的1.9倍。為有效提高企業處理稅捐事務作業之效率，日本財務省研擬要求企業申報法人稅和消費稅時必須以電子方式進行，目標是在今年6月前提出具體草案，納入2018年度的稅制改正大綱。 　　日本自2004年起開辦法人及自然人透過網路申報納稅，各地稅務署可透過國稅綜合管理（SKS）系統讀取申報書類並取得其內容，且由於相關申報書類依法應保存9年，利用電子申報方式可有效節省空間成本程序負擔。 　　以2015年為例，法人稅全年總申報件數約196萬件，其中已有75%是經由網路申報。但另一方面，資本額1億元以上的日本企業經由網路申報者則僅有52%，理由除了大企業多有自成一格的總務會計系統，以及普遍仍存在以收據等文件進行報帳的習慣外，佔稅收全體約4成的地方稅目前仍有許多地方政府尚未提供電子申報之服務也是重要原因，就此總務省亦將持續進行基礎設施之整建以克服此問題。 　　我國自1998年擘劃電子化政府起至今已邁入第五階段，為能達成「便捷生活」、「數位經濟」及「透明治理」三大目標以及「打造領先全球的數位政府」之願景，應可參考前述日本政府之各項作法。

　　2015年7月30日美國專利商標局大幅更新其於2014年12月所公布的專利標的適格性（patent subject matter eligibility）暫行準則。這次的更新主要是將各界對於2014年12月版暫行準則的意見納入，並包括了幾項新的適格性與不具適格性申請專利範圍的舉例。儘管有評論指出，美國專利商標局也正研議針對生物技術舉例，但此次所舉之例主要針對抽象概念而非生物技術發明。 　　這些舉例係對各種技術提供其他適格的申請專利範圍，以及適用最高法院與聯邦巡迴法院判斷具有其他元件的申請專利範圍是否與法定不予專利標的顯著不同的示例分析。這些例子與在審查人員的教育訓練資料中所載的判例法之判決先例，都將用於協助審查人員在評估申請專利範圍元件（claim element）的專利適格性上能夠彼此一致。 　　在更新的暫行準則的第三部份中，美國專利商標局為認定抽象概念提供了進一步資訊，其係有關最高法院及聯邦巡迴上訴法院對於抽象概念適格性判定的司法見解，包括人類活動的特定方法、基本經濟行為、概念本身及數學關係式/公式。 　　在更新的暫行準則的第五部分中，美國專利商標局解釋說，適格性的初步證據要求審查人員明確清楚地解釋為什麼無法對所提出的專利申請專利範圍授予專利（unpatentable），以便專利申請人獲得足夠的通知並可以有效地作出回應。 　　對於專利適格性，審查人有義務清楚地闡明所提出的專利申請不具有適格性的理由或原因，例如藉由提供判定申請專利範圍中所敘述的法定不予專利（judicial exception）與為什麼它被認定為例外的理由，以及在申請專利範圍中識別其他元件（additional element）的理由（若有的話），及解釋為何未與法定不予專利標的顯著不同。這裡由可以依據在該技術領域之人一般可得之知識、判例法之先例、申請人所揭露之資訊或證據。 　　美國專利商標辦公室表示，本次暫行準則歡迎各界給予意見，並至2015年10月28日止。