Refuah公司與紐約總檢察長達成和解並投資120萬美元保護病人資料

美國各州逐步研議透過立法豁免企業資安事件賠償責任 資訊工業策進會科技法律研究所 2024年06月10日 為鼓勵企業採用資安標準與框架，美國已有幾州開始透過立法限縮企業資安事件賠償責任，企業若能舉證證明已符合法令或遵循業界認可之資安框架和標準，則於資安攻擊事件所致損害賠償訴訟中，將無需承擔賠償責任。 壹、事件摘要 為避免有心人士於未取得經授權下近用網路和敏感資料，企業往往投入大量資源打造資安防護架構，惟在現今網路威脅複雜多變的環境下，仍可能受到惡意資安攻擊，導致資料外洩事件發生，導致企業進一步面臨訴訟求償風險，其中多數指控為未實施適當的資安措施。為此美國佛羅里達州和西維吉尼亞州研議透過立法限縮企業之資安事件賠償責任，以鼓勵企業採用資安標準、框架與資安相關法令。 貳、重點說明 繼美國俄亥俄州[1]、猶他州[2]和康乃狄克州[3]相繼頒布法令，讓已實施適當安全維護措施之企業，豁免資安攻擊所致資料外洩之損害賠償責任，佛羅里達州和西維吉尼亞州近期亦提出相似法案，以下介紹兩州法案之重點： 一、佛羅里達州 美國佛羅里達州於2023年11月公布《資安事件責任法案》 （H.B 473: Cybersecurity Incident Liability）[4]，法案納入「安全港條款」（Safe Harbor），當企業遭受資安攻擊致生個資外洩事件，如可證明已遵循產業認可的資安標準或框架，實施適當的資安措施與風險控管機制，則可免於賠償責任，以鼓勵企業採納資安標準或框架。 為適用安全港條款，企業須遵循佛羅里達州資訊保護法（The Florida Information Protection Act），針對資料外洩事件，通知個人、監管機關和消費者，並建立與法案內所列當前產業認可的資安標準、框架，或是特定法令規範之內容具一致性的資安計畫（Cybersecurity Programs）： （一）當前產業認可的資安標準、框架 1. 國家標準暨技術研究院（National Institute of Standards and Technology, NIST）改善關鍵基礎設施資安框架（Framework for Improving Critical Infrastructure Cybersecurity）。 2. NIST SP 800-171－保護非聯邦系統和企業中的受控非機密資訊。 3. NIST SP 800-53 和 SP 800-53A－ 資訊系統和企業的安全和隱私控制/ 評估資訊系統和企業中的安全和隱私控制。 4. 聯邦政府風險與授權管理計畫（Federal Risk and Authorization Management Program, FedRAMP）安全評估框架。 5. 資安中心（ The Center for Internet Security, CIS）關鍵安全控制。[5] 6. ISO/IEC 27000系列標準。 7. 健康資訊信任聯盟（The Health Information Trust Alliance, HITRUST）通用安全框架（Common Security Framework）[6]。 8. 服務企業控制措施類型二（Service Organization Control Type 2, SOC 2）框架。 9. 安全控制措施框架（Secure Controls Framework）。 10. 其他類似的產業標準或框架。 （二）特定法令規範 企業（entity）如受以下法令規範，亦得適用安全港條款，如法令有修訂，企業應在發布修訂後的一年內更新其資安計畫： 1. 健康保險可攜與責任法（The Health Insurance Portability and Accountability Act, HIPAA）之安全要求。 2. 金融服務現代化法（The Gramm-Leach-Bliley Act）第五章。 3. 2014 年聯邦資訊安全現代化法（The Federal Information Security Modernization Act of 2014）。 4. 健康資訊科技促進經濟和臨床健康法（The Health Information Technology for Economic and Clinical Health Act, HITECH）之安全要求。 5. 刑事司法資訊服務系統 （The Criminal Justice Information Services, CJIS）安全政策。 6. 州或聯邦法律規定的其他類似要求。 該法案雖於2024年3月5日經佛羅里達州參議院三讀通過，但於2024年6月26日遭州長否決[7]，其表示法案對於企業的保障範圍過於廣泛，如企業採取基礎的資安措施與風險控管機制，便得主張適用安全港條款，將可能導致消費者於發生個資外洩事件時，無法受到足夠的保障。州政府鼓勵利害關係人與該州網路安全諮詢委員會（Florida Cybersecurity Advisory Council）合作，探求法案的替代方案，以保護消費者資料。 二、西維吉尼亞州 美國西維吉尼亞州於2024年1月29日提出眾議院第5338號法案[8]，修訂西維吉尼亞法典（Code of West Virginia），增訂第8H章資安計畫安全港條款（Safe Harbor for Cybersecurity Programs），如企業符合業界認可的資安標準、框架或依特定法令建立與實施資安計畫，包含個人資訊和機敏資料的管理、技術和企業保障措施，將能夠於侵權訴訟中，主張適用避風港條款。 法令內明列評估企業所建立的資安計畫規模和範圍是否適當之要素，包含： 1. 企業的規模和複雜性； 2. 企業的活動性質和範圍； 3. 受保護資訊的敏感性； 4. 使用資安防護工具之成本和可用性； 5. 企業可運用的資源。 （一）當前產業認可的資安標準、框架 除與佛羅里達州法案所列舉業界認可的資安標準之前六項相同，另增加： 1 NIST SP 800-76-2個人身分驗證生物辨識規範（Biometric Specifications for Personal Identity Verification）[9]。 2. 資安成熟度模型認證（The Cybersecurity Maturity Model Certification, CMMC）至少達到第2級，並經外部驗證（external certification）。 （二）特定法令規範 除與佛羅里達州法案所列舉特定法令之前四項相同，另增加：由聯邦環境保護局（Environmental Protection Agency, EPA）、資安暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA）或北美可靠性公司（North American Reliability Corporation）[10]所採用任何適用於關鍵基礎設施保護的規則、法規或指南。 惟目前法案已於2024年3月27日被西維吉尼亞州長否決[11]，其表示透過安全港條款鼓勵企業實踐資安框架雖立意良好，但也可能遭濫用而帶來不當影響，例如TikTok等大型國際企業，如在違背公民意願情況下共享個人資料時，將免於訴訟，恐有損其公民權益，未來州政府將與利害關係人持續進行協商。 參、事件評析 佛羅里達州和西維吉尼亞州近期同步公布有關限制企業於資安事件之責任相關法案，內容亦為相似，西維吉尼亞州之法案目前已遭否決，主要係擔心該豁免條款遭到不當濫用；佛羅里達州之法案亦因對於企業保障過廣與無法保障消費者個資安全考量，而遭州長否決。 法案中明列受產業普遍認可的資安標準、框架與政府所頒布特定法令，有助企業明確遵循與採納，建立與實施資安計畫，惟如何舉證所建立之資安計畫或實施之資安措施，與法案所列之資安標準、框架，或是特定法令規範，具有實質上的一致性，仍不明確，將可能阻礙企業於訴訟上行使抗辯與主張責任豁免權。未來美國如何權衡產業穩健發展與民眾個資保障，仍有待持續觀察。 [1] Chapter 1354 - Ohio Revised Code, Ohio Laws, https://codes.ohio.gov/ohio-revised-code/chapter-1354 (last visited May 24, 2024). [2]Part 7 Cybersecurity Affirmative Defense Act, Utah StateLegislative, https://le.utah.gov/xcode/Title78B/Chapter4/78B-4-P7.html (last visited May 24, 2024). [3]Frederick Scholl, Connecticut’s New Breach Notification and Data Security Laws: Carrots and Sticks, Quinnipiac University, July,1,2021,https://www.qu.edu/quinnipiac-today/connecticuts-new-breach-notification-and-data-security-laws-2021-07-01/ (last visited May 24, 2024). [4]CSHB 473-Cybersecurity Incident Liability, The Florida Senate,https://www.flsenate.gov/Session/Bill/2024/473 (last visited Jun. 28, 2024). [5]資安中心（ The Center for Internet Security, CIS）為美國非營利組織，負責推動CIS Controls，針對實際發生的資安攻擊行為提供防禦建議，作為企業保護 IT 系統和資料時可參考之最佳實務作法。資料來源：About us, Center for Internet Security, https://www.cisecurity.org/about-us (last visited Jun. 6, 2024). [6]What is HITRUST?, Schneider Downs,https://schneiderdowns.com/cybersecurity/what-is-hitrust/ (last visited May 24, 2024). [7]Governor of Florida, Vote letter for House Bill 473(2024), https://www.flgov.com/wp-content/uploads/2024/06/Veto-Letter_HB-473.pdf (last visited Jun. 28, 2024). [8]2024 REGULAR SESSION ENROLLED Committee Substitute for House Bill 5338, WEST VIRGINIA LEGISLATURE,https://www.wvlegislature.gov/Bill_Status/bills_text.cfm?billdoc=hb5338%20sub%20enr.htm&yr=2024&sesstype=RS&i=5338 (last visited May 24, 2024). [9]NIST SP 800-76-2 Biometric Specifications for Personal Identity Verification, National Institute of Standards and Technology, https://csrc.nist.gov/pubs/sp/800/76/2/final (last visited May 24, 2024). [10]北美電力可靠性公司（North American Electric Reliability Corporation, NERC），為一家非營利機構，致力推動關鍵基礎設施保護相關標準，以強化北美大規模電力系統（亦即電網）的可靠性和安全性，資料來源：https://www.nerc.com/Pages/default.aspx (last visited May 24, 2024). [11]Governor of West Virginia, Enrolled Committee Substitute for House Bill 5338(2024),https://www.wvlegislature.gov/Bill_Text_HTML/2024_SESSIONS/RS/veto_messages/HB5338.pdf (last visited May 24, 2024).

　　美國電影協會(Motion Picture Association of America, MPAA)和美國唱片業協會(Recording Industry Association of America, RIAA)於2011年6月共同組成著作權資訊中心(Center for Copyright Information，簡稱CCI)，並說服Verizon、AT&T、Time Warner、Comcast、Cablevision等美國5大網路服務提供者加入，簽訂備忘錄，表示合作建置「著作權警告系統(Copyright Alert System，簡稱CAS)」，又謂「Six Strike系統」，該網站可向有提供下載非法檔案服務之網站業者發出警告或給予處罰，預計於2013年正式運作。 　　所謂「Six Strikes」，係指網路服務提供者發現有盜版行為時，會發出不同程度的6次警告。至於Six Strikes系統運作方式，係由各網路服務提供者自行決定要採取可有效打擊網路盜版的方式。目前美國5大網路服務提供者中，除Comcast及Cablevision以外，其它3個網路服務提供者已公開Six Strikes警告措施內容。 　　基本上，第1、2次警告屬於「通知(notice)」，僅利用電子郵件或電話通知使用者已侵害著作權；第3、4次警告屬「承認(acknowledgement)」，即利用彈跳視窗(pop-up)告知使用者侵害著作權情形已有3次以上等訊息，並且使用者應點選該告知侵權訊息之彈跳視窗方可進入其欲瀏覽的網站，使用者若點選視窗則視為其承認本身侵權行為；第5、6次警告則屬「因應措施(mitigation)」，即其它3個網路服務提供者會讓使用者感受到上網速度變慢，或是直到使用者上完著作權教育課程前，不讓其進入常瀏覽的網站等措施，而使用者亦可對網路服務提供者採取的措施提出異議。 　　但仍有論者對此提出不同看法，諸如若使用者利用虛擬私人網路(VPN)或非BitTorrent之檔案共享形式，分享檔案，即可迴避Six Strikes系統，或有論者認為侵權與否應由法院判斷，而非由網路服提供者逕行判斷等質疑，此一系統後續發展有待進一步關注。

中國大陸文化創意產業相關管制規範 科技法律研究所 法律研究員　尤騰毅 101年06月08日 　　中國大陸針對內、外資企業（含台資企業）的市場開放資格、條件，有不同程度的管制規範。臺灣業者在中國大陸外資管制規範下，亦被定位為外資，故若能透過類似ECFA等貿易協定的談判，爭取較為有利的市場開放措施，將可協助我國相關文創事業進入中國大陸市場。以下就中國大陸針對影視、出版、演出等行業的管制規範，予以整理，以供後續與中國大陸官方協商議題之參酌。 一、中國大陸電影產業相關法令限制 （一）主體經營資格 1.外商僅能透過合作攝製（無法獨資）進行電影拍攝 (1) 電影未開放獨資（境外組織）拍攝，僅能與中國大陸方合作拍攝（電影管理條例第18條） (2) 合作攝製分為三種聯合攝製、協作攝製、委託攝製（中外合作攝製電影片管理規定第5條）。聯合攝製聘用的境外主創人員需要經過廣電總局批准，且外方主要演員比例不得超過主要演員總數的三分之二（中外合作攝製電影片管理規定第13條）。而協作攝製、委託攝製的影片因為不在中國大陸上映，所以無此問題。 2.電影製片單位限於中外合營（合作、合資） (1) 外商無法獨資成立電影製片單位，僅能透過合作、合資的方式進行，並由中方廣電總局提出申請，成立後享有與其國有電影製片單位相同權利與義務。此外，外資投資合作、合資之電影製片單位資本額不得少於500萬元人民幣，且比例不得超過49%。（電影企業經營資格准入暫行規定第6條） 3.電影技術公司，改造電影製片、放映基礎設施和技術設備等相關產業限於中外合營（合作、合資） (1) 電影技術公司，改造電影製片、放映基礎設施和技術設備等相關產業，外商也僅能採取合作、合資的方式投資，且限定資本額不得少於500萬元人民幣，且比例不得超過49%。（電影企業經營資格准入暫行規定第9條） 4.外商不得獨資成立電影院，僅限中外合營（合作、合資） (1) 臺灣業者在大陸投資電影放映業務視同外資。（外商投資電影院暫行規定第10條） (2) 外資不得獨資成立電影院，僅限於合作、合資（外商投資電影院暫行規定第2條）。資本額不得少於600萬元人民幣，且中方投資比例不得低於51%，但針對試點城市中方比例不得低於25%。（外商投資電影院暫行規定第4條） 5.外商無法從事電影發行、放映業務 (1) 關於電影的發行、放映業務僅限其國內企業可以經營，外資無法投資（電影企業經營資格准入暫行規定）。 二、中國大陸電視產業相關法令限制 （一）主體經營資格 1.電視劇無法獨資進行拍攝活動，僅能與中國大陸方合作攝製 (1) 禁止外資設立廣播電視節目製作經營公司（外商投資產業指導目錄），僅能與中方企業合作攝製動畫片。（外商投資產業指導目錄） (2) 與台灣地區的法人與自然人，合作製作電視劇，也是適用中外合拍劇的規定。（中外合作製作電視劇管理規定第21條） (3) 中國大陸對中外合作製作電視劇（含電視動畫）節目實行許可制度，也就是說，未經廣電總局批准同意者，不得與境外方合作製作電視動畫片。（中外合作製作電視劇管理規定第4條） （二）內容製作與題材審查 1.合拍劇的題材規劃，須提出立項審查 (1) 合拍劇的題材規劃，須經審查批准。（中外合作製作電視劇管理規定第3條） (2) 有關中外合作製作的電視動畫片，須提出題材規劃立項申請。（中外合作製作電視劇管理規定第6條） (3) 自2008年2月14日起，與臺灣地區及境外的法人、自然人合作製作電視劇立項的分集梗概，每集不少於1500字；與臺灣地區及境外的法人、自然人合作製作電視劇的其他規定，仍參照「中外合作製作電視劇管理規定」執行。（廣電總局關於調整大陸與臺灣合拍電視劇及有境外演職員參與制作的國產電視劇審查管理辦法的通知） (4) 大陸國產合拍劇（含動畫片）只須申請備案。（電視劇內容管理定第8條） （三）播映時段與比例 1.大陸與臺灣合拍電視劇，可視為國產電視劇播出和發行 (1) 自2008年1月1日起，大陸與臺灣合拍電視劇的完成片經廣電總局審查同意後，可視為國產電視劇播出和發行。（廣電總局關於調整大陸與臺灣合拍電視劇及有境外演職員參與制作的國產電視劇審查管理辦法的通知） （四）進口限制 1.進口電視動畫片播放限制 (1) 目前大陸規定動畫頻道、少兒頻道、青少頻道、兒童頻道和其它以未成年人為主要對象的頻道，要嚴格執行每天國產動畫片與引進動畫片播出比例不得低於7：3的規定。（大陸廣電總局「關於加強電視動畫片播出管理的通知」） (2) 自2008年5月1日起，各動畫頻道在每天的黃金時段（17:00-21:00）必須播出國產動畫片。中外合拍動畫片若希望在黃金時段播出的話，須先報國家廣電總局批准同意。（廣電總局關於加強電視動畫片播出管理的通知） (3) 各少兒頻道、青少頻道、兒童頻道和其他以未成年人為主要對象的頻道，在黃金時段必須播出國產動畫片或自製的少兒節目，不得播出境內外影視劇。（廣電總局關於加強電視動畫片播出管理的通知） （五）限娛令、限廣令 1.管制電視頻道娛樂性節目數量（限娛令） 中國大陸廣電總局針對娛樂性節目（婚戀交友類、才藝競秀類、情感故事類、遊戲競技類、綜藝娛樂類、訪談脫口秀、真人秀）進行管制，每天19:30-22:00的全國播出該類節目總數控制在9檔，每個綜合頻道每周播出上述類型節目總數不超過2檔，播出時間不得超過90分鐘。（廣電總局下發加強電視上星綜合頻道節目管理意見） 2.電視劇廣告限制（限廣令） 目前中國大陸播出電視劇，不得於在每集(以45分鐘計)中間插播任何形式的廣告。（〈廣播電視廣告播出管理辦法〉的補充規定） 三、中國大陸出版產業相關法令限制 （一）出版業之出版行為禁止外商投資 　　圖書、報紙、期刊的出版業務，以及音像製品和電子出版物的出版、製作業務等，係禁止外商投資之標的。（外商投資產業指導目錄） （二）出版物、包裝裝潢印刷品、其他印刷品之印刷經營活動 　　出版物印刷經營活動，根據外商投資產業指導目錄（2011年修訂）之規定，屬於投資限制類的產業，必須由中方控股（外商投資產業指導目錄）。而出版物的印刷經營活動，依印刷物的不同，區分不同的市場開放條件：（設立外商投資印刷企業暫行規定） 1.出版物印刷： (1) 所稱出版物，包括報紙、期刊、書籍、地圖、年畫、圖片、掛曆、畫冊及音像製品、電子出版物的裝幀封面等。（印刷業管理條例） (2) 允許設立中外合營（包括合資、合作）印刷企業，且必須由中方投資者擔任控股或主導地位，而董事長須由中方擔任，董事會也必須中方多於外商。（設立外商投資印刷企業暫行規定） (3) 外商投資印刷企業註冊資本不得低於1000萬元人民幣。（設立外商投資印刷企業暫行規定） 2.其他印刷品印刷： (1) 所稱其他印刷品，包括文件、資料、圖表、票證、證件、名片等。（印刷業管理條例） (2) 允許設立中外合營（包括合資、合作）印刷企業，且必須由中方投資者擔任控股或主導地位，而董事長須由中方擔任，董事會也必須中方多於外商 。（設立外商投資印刷企業暫行規定） (3) 外商投資印刷企業註冊資本不得低於500萬元人民幣。（設立外商投資印刷企業暫行規定） 3.包裝裝潢印刷品印刷： (1) 所謂包裝裝潢印刷品係指「商標標識、廣告宣傳品及作為產品包裝裝潢的紙、金屬、塑料等的印刷品」。（印刷業管理條例） (2) 允許設立中外合營（包括合資、合作）印刷企業、外資（獨資）印刷企業。（設立外商投資印刷企業暫行規定） (3) 外商投資印刷企業註冊資本不得低於1000萬元人民幣。（設立外商投資印刷企業暫行規定） （三）圖書、報紙、期刊、電子出版物發行 1.外商得以合資、合作、獨資的方式，於中國大陸從事圖書、報紙、期刊、電子出版物的發行活動 (1) 外商得以中外合資經營企業、中外合作經營企業或外資企業的型態，在中國大陸從事有關圖書、報紙、期刊、電子出版物的發行業務。（出版物市場管理規定） (2) 惟從事圖書、報紙、期刊連鎖經營業務，若連鎖門店超過30家者，禁止外資控股，外國投資者不得以變相參股方式違反上述有關30家連鎖門店的限制。（出版物市場管理規定） （四）音像製品之發行 1.外資得設立中外合作經營企業，從事與音像製品有關的發行業務 (1) 外資得與中方企業以合作經營的方式，從事音像製品的出版、制作、複製、進口、批發、零售、出租之業務。（出版物市場管理規定） (2) 所稱音像製品係指「錄有內容的錄音帶、錄像帶、唱片、激光唱盤和激光視盤等」。（音像製品管理條例） （五）國有書報刊音像製品發行企業股份制改造 1.外資可以合資、合作方式，參與國有書辦刊音像製品發行企業股份制改造 (1) 關於文化領域引進外資的意見規定，外資可以參與國有書辦刊音像製品發行企業股份制改造，但中方仍必須控股51%以上，或是佔有主導地位。（關於文化領域引進外資的若干意見） (2) 此種方式與一般合資、合作之投資模式有些許不同。國有企業係屬於特殊之經濟組織，而透過外資參與的股份制改造，即將國有企業改制成股份有限公司，並上市發行股票。 （六）光碟複製與生產 1.外商可以獨資、合資、合作方式投資可錄類光碟（即空白光碟）生產 (1) 根據關於文化領域引進外資的若干意見，外商可以獨資、合資、合作方式投資可錄類光碟（即空白光碟）生產。（關於文化領域引進外資的若干意見，以及複製管理辦法） 2.禁止設立外商獨資唯讀類光碟和磁帶磁片複製單位；惟允許合資、合作為之 (1) 唯讀類光碟（我國稱唯讀光碟，即不可複寫且具有內容光碟，例如一些影音光碟）和磁帶磁片複製單位，禁止外商獨資，但允許中外合資、合作的方式為之，惟中方必須控股或占主導地位。（關於文化領域引進外資的若干意見，以及複製管理辦法） 四、中國大陸演出產業相關法令限制 （一）演出經紀機構、演出場所經營單位 1.投資比例及經營權受到限制 (1) 台資僅得以合資、合作經營方式設立演出經紀機構或演出場所經營單位。（營業性演出管理條例） (2) 大陸地區合營者須保有經營主導權及51%投資比例。（營業性演出管理條例） 2.設立審查程序較為繁瑣與嚴格 (1) 台資投資設立演出經紀機構、演出場所經營單位時，適用外資設立之規定。（營業性演出管理條例） (2) 設立須透過省級文化主管部門向國務院文化主管部門提出申請，國務院文化主管部門依據省級主管部門出具之審查意見，決定是否頒發營業性演出許可證；申請人取得許可證後，再依照外商投資相關規定辦理。（營業性演出管理條例） 3.舉辦演出或從事經紀業務須由演出經紀人執行 (1) 演出經紀機構從事演出經紀活動時，須由取得資格證的專職演出經紀人負責執行業務。（演出經紀人資格認定實施辦法） (2) 演出經紀機構設立時，須登記專職演出經紀人身份。（營業性演出管理條例實施細則） （二）演出經紀人 (1) 臺灣地區人民在大陸設立合資、合作經營的演出經紀機構而申請從事演出經紀活動的港澳臺地區人員，須依中國演出家協會「演出經紀人資格認定實施辦法」進行培訓、考試，取得演出經紀人資格證。（演出經紀人資格認定實施辦法） (2) 未取得資格證者不得從事經紀活動。（演出經紀人資格認定實施辦法） （三）個體演員、文藝表演團體 1.演出管道仍受限 (1) 台資不得在中國大陸設立文藝表演團體。（營業性演出管理條例實施細則） (2) 台灣個體演員、文藝表演團體僅得透過中國大陸本地演出經紀機構舉辦演出；或參加中國大陸本地文藝表演團體之自辦演出。（營業性演出管理條例） (3) 大陸演出團體要承接台灣個體演員、文藝表演團體，具嚴格條件限制。（營業性演出管理條例） 2.演出之內容審查較為嚴格 (1) 台灣個體演員及文藝表演團體所參加之營業性演出，須經國務院文化主管部門會同國務院有關部門事前審查，審查內容較一般中國大陸人民嚴格。（營業性演出管理條例） (2) 台灣個體演員及文藝表演團體參與之演出，在表演中須受到實地檢查。（營業性演出管理條例）