韓國通過個人資料保護法修法並對其執行命令指引提出修正草案

　　美國國會議員Markey與Rockefeller於2014年2月提出S. 2025：「資料仲介商有責與透明法草案」（Data Broker Accountability and Transparency Act），以促進對於消費者保護，與資料仲介產業發展間的平衡。該草案預將授權「美國聯邦貿易委員會」與各州據以監督與執行。 　　該草案對「資料仲介商」（以下簡稱Data Broker）加以定義為係以銷售、提供第三方近用為目的，而蒐集、組合或維護非其客戶或員工之個人相關資料的商業實體；更進一步的禁止Data Broker以假造、虛構、詐欺性的陳述或聲明的方式（包括提供明知或應知悉為偽造、假造、虛構、或詐欺性陳述或聲明的文件予以他人），自資料當事人取得或使其揭露個人相關資料。 　　該草案亦要求Data Broker建置及提供相關程序、方式與管道，以供資料當事人進行下列事項： 1.檢視與確認其個人相關資料（除非為辨識個人為目的的姓名或住址）正確性（但有其他排除規定）。 2.更正「公共紀錄資訊」（Public Record Information）與「非公共資訊」（Non-public Information） 3.表達其個人相關資料被使用的時機與偏好。例如在符合一定條件下，資料當事人得以「選擇退出」（Opt Out）其資料被Data Broker蒐集或以行銷為目的而販售。 　　於此同時，加州參議院亦已於2014年5月通過S.B. 1348：Data Brokers的草案，該草案要求資料當事人擁有檢視Data Broker所持有的資料，並得要求其於刪除提出後10天內永久刪除；當資料一經刪除，該Data Broker不得再行轉發或是將其資料販售給第三人。加州參議院並提案，該法案通過後將涵蓋適用至2015年1月1日所蒐集的資料，且個人於Data Broker每次違反時得提出$1,000美元的損害賠償訴訟（律師費外加）。雖然該草案受到隱私權保護團體的支持，卻受到加州商會（California Chamber of Commerce）與直銷聯盟（Direct Marketing Association）的反對。加州在Data Broker的立法規範上是否能超前聯邦的進度，讓我們拭目以待吧。

　　Gilead Sciences之子公司Kite Pharma（以下簡稱Kite）所推出之Yescarta®（Axicabtagene Ciloleucel）為治療復發型或難治型瀰漫性大B細胞淋巴瘤（Diffuse Large B-Cell Lymphoma, DLBCL）之CAR-T細胞治療產品，其為美國FDA第二個核准上市之CAR-T產品。 　　上述產品於2017年獲美國FDA核准上市後，Juno therapeutics公司隨即於美國加州中區聯邦地院起訴Kite，主張Yescarta侵害Juno therapeutics之美國7,446,190號專利「編碼嵌合T細胞受體之核酸（Nucleic acids encoding chimeric T cell receptors）」（以下簡稱190專利），2019年陪審團認定Kite成立專利侵權，裁定損害賠償額為7.78億美元；於2020年法院進一步認定Kite有蓄意侵權行為，再判定需增加50%之損害賠償金，使損害賠償總額超過11億美元。 　　本案上訴後，美國聯邦巡迴上訴法院（US Court of Appeals for the Federal Circuit, 以下簡稱 CAFC）於2021年8月26日推翻原審判決，認定190專利不符書面說明（Written Description）要件而無效。CAFC認為190專利請求項所請求之單鏈可變區片段抗體（single-chain variable fragment, scFv）結合部涵蓋過廣，包括可結合「任何」標的之「任何」scFv，惟其說明書未能提供其中之代表性物種（species）、或界定其共通結構特徵，於說明書中僅揭露可結合兩種不同標的之兩種scFv作為實施例，但未能說明此二物種如何、或是否能夠代表其所請求的整個上位之屬（genus）。CAFC指出，若要滿足書面說明要件之要求，說明書應揭露與代表性數量之標的結合之特定scFv物種，Juno雖提出專家證詞主張此二scFv實施例已具代表性，惟CAFC仍認為該證詞過於籠統而未能解釋何種scFv將與何種標的結合。CAFC指出，書面說明要件之目的在於確保專利排他權範圍不會超出發明人記載於說明書中之貢獻範圍，190專利發明人證稱其申請發明時只使用過說明書所載之兩個scFv實施例，且說明書未提供確認何種scFv將結合至何種標的之方法與指導，但190專利卻請求可與任何標的結合之scFv，因此，190專利之揭露內容未能證明發明人擁有結合至各種選定標的之所有可能scFvs，無法滿足書面說明要件之要求。 　　醫藥專利以上位請求項（genus claim）尋求保護時，可能因說明書記載內容不容易滿足書面說明與可據以實施（Enablement）要件而受到挑戰。除本案外，美國近期亦有數件醫藥專利因不符書面說明要件與可據以實施要件而被宣告無效，如Amgen Inc. v. Sanofi（Fed. Cir. 2021）、Idenix Pharmaceuticals LLC v. Gilead Sciences Inc.（Fed. Cir. 2019）、Enzo v. Roche（Fed. Cir. 2019），未來醫藥專利以上位請求項尋求保護是否會變得更加困難，值得繼續觀察。

　　有鑑於網路使用人口中，不同使用者族群所消耗的傳輸量比例相差懸殊，美國寬頻業者於近來積極推動網路傳輸流量上限管理計畫，且繼Comcast與Time Warner等業者的初步嘗試後，美國最重要的網路服務提供者—AT&T，也宣布將開始進行客戶網路流量管理計畫。 　　這項嘗試計畫將以限制新的DSL用戶為起點，其所規定的每月下載與上傳流量上限，係依據客戶申請的寬頻方案有所不同，分別被限制在20G至150G (gigabytes)不定。超過的部分則將持續向使用者警告兩個月後，依每超過1G加收一美元的費用，向使用者收費。 　　至於提出此項管理方案的理由，據AT&T發言人表示，是因為網路頻寬的使用分佈過於不平均，高達46%的頻寬是5%的使用者在使用，而21%的頻寬更是只為極少數的1%用戶所使用，顯然太過集中。根據AT&T的傳輸上限規定，購買傳輸速度3M (megabits)的寬頻使用者，日後每月的傳輸量上限是60G，這大約等於是下載30部DVD畫質電影的傳輸量。 　　不過，也有分析師指出，現階段欲全面滿足使用者的頻寬需求，對網路服務提供者而言尚非極大的財務負擔，且管制流量上限的作法，可能對既有以「吃到飽」費率方案為基礎，所發展出來的網路應用服務模式，造成極大的衝擊，此亦也可能引發後續有關網路中立性的政策辯論。

美國奧克拉荷馬州修正《個資事故通報法》，擴充個資定義範圍並強化通報機制 資訊工業策進會科技法律研究所 2025年07月22日 現行我國關於非公務機關就個資事故進行通報之規定，散落於各中央目的事業主管機關制定之各業別個人資料檔案安全維護管理辦法或相關辦法中，且前揭各辦法對於通報之標準不盡相同。各國主管機關紛紛強化個資治理法制，而美國奧克拉荷馬州修正關於個人資料定義、適當防護措施及個資事故通報機制等事項，以建立更完善之規範。 壹、事件摘要 美國奧克拉荷馬州議會業於2025年5月20日通過第626號法案（Senate Bill 626）[1]，修正《個資事故通報法》（Security Breach Notification Act）[2]，其目的係為補充現行治理規範之不足，修正重點涵蓋：擴充法定用詞之定義，針對「個人資料」（Personal Information）與「適當防護措施」（Reasonable Safeguards）等條文予以補充與增列；強化個資事故（Breach of the security of a system）之通報機制與設立豁免條款，並釐清與其他法規間之適用關係；以及修訂違法情事之民事裁罰。此外，本次修法亦明定，若機構或個人已採取適當防護措施，得作為民事訴訟中之抗辯理由。本法將自2026年1月1日起正式生效，並適用於自該日起所發現、判定或通報之個資事故，相關單位應即早進行法遵準備，以確保制度落實。 貳、修法重點 本次修法主要包含三大核心面向，簡要說明如下： 一、擴充法定用詞之定義 （一）個人資料 於現行法規對個人資料之定義下，再增加新資料類別： 1.與驗證碼、存取碼或密碼結合使用時，可用以登入特定個人金融帳戶之專屬電子識別碼（Electronic Identifier）或路由代碼（Routing Code）； 2.用以辨識特定自然人之獨特生物特徵資料，例如指紋、視網膜或虹膜影像，或其他具體實體或數位形式之生物辨識資料。 （二）適當防護措施 適當防護措施係指，為確保個人資料安全而考量組織或機構之規模、產業別、以及保有之個資類別與數量所制定之政策及作業實務。此概念包括但不限於：進行風險評估、建立技術面及實體面之多層次保護機制、對人員實施教育訓練，及建立個資事故應變計畫等。 二、強化事故通報機制與設立豁免條款 本法要求於發現系統個資事故並已通知受影響之當事人後，應於60日內向州檢察總長（Attorney General）提交書面通報，載明涉及之個人資料類別、事故性質、受影響人數、預估之財務損失、所採行之適當防護措施等必要內容。惟若事故影響人數低於500名州民，或事故發生於徵信機構且影響人數未達1,000人，則可免除向檢察總長通報之義務。 此外，本法明確規範，若特定機構已依據其他法律，如《奧克拉荷馬州醫療資安保護法》（Oklahoma Hospital Cybersecurity Protection Act of 2023）或聯邦《健康保險可攜及責任法》（Health Insurance Portability and Accountability Act of 1996）等履行相關通報義務，則視為已符合本法之要求。 三、民事裁罰 本法明定，民事罰鍰之裁量將審酌事故規模、事故發生後組織之因應作為及是否履行事故通報義務等因素而定，以確保裁量之比例原則。裁量情形說明如下： 1.若機構已採行適當防護措施且依法進行事故通報者，得免除民事責任； 2.若未採取適當防護措施，惟仍依規定完成事故通報者，則須負擔實際損害賠償責任並處以最高75,000美元罰鍰； 3.未落實適當防護措施與事故通報法定義務者，最高處以150,000美元罰鍰。 參、事件評析 本次修法可見奧克拉荷馬州就數位時代資安威脅所採行之積極因應作為，其修正重點包含：擴充個人資料之定義並明定適當防護措施之內容，俾利降低企業法遵成本及法律適用之不確定性；強化事故通報機制並設置合理豁免條款，以確保資訊透明度；於罰則規範中明定民事罰鍰之裁量，應審酌事故規模及是否履行事故通報義務等因素，以符合比例原則。 有鑑於本法修正後所課予之法定義務，建議企業應採行下列因應措施：(1)全面盤點所保有之個人資料，尤應注意新增納管之電子識別碼及生物特徵等資料；(2)檢視並強化現有防護機制，確保符合適當防護措施之要求；(3)建立標準化通報應變程序；(4)強化教育訓練。此外，企業宜定期檢視法規動態，以確保持續符合法規要求。 [1] Bill Information for SB 626, OKLAHOMA STATE LEGISLATURE, http://www.oklegislature.gov/BillInfo.aspx?Bill=sb626&Session=2500 (last visited June 1, 2025). [2] BILL NO. 626, OKLAHOMA STATE LEGISLATURE, https://www.oklegislature.gov/cf_pdf/2025-26%20ENR/SB/SB626%20ENR.PDF (last visited June 2, 2025).