美國奧克拉荷馬州修正《個資事故通報法》,擴充個資定義範圍並強化通報機制
美國奧克拉荷馬州修正《個資事故通報法》,擴充個資定義範圍並強化通報機制
資訊工業策進會科技法律研究所
2025年07月22日
現行我國關於非公務機關就個資事故進行通報之規定,散落於各中央目的事業主管機關制定之各業別個人資料檔案安全維護管理辦法或相關辦法中,且前揭各辦法對於通報之標準不盡相同。各國主管機關紛紛強化個資治理法制,而美國奧克拉荷馬州修正關於個人資料定義、適當防護措施及個資事故通報機制等事項,以建立更完善之規範。
壹、事件摘要
美國奧克拉荷馬州議會業於2025年5月20日通過第626號法案(Senate Bill 626)[1],修正《個資事故通報法》(Security Breach Notification Act)[2],其目的係為補充現行治理規範之不足,修正重點涵蓋:擴充法定用詞之定義,針對「個人資料」(Personal Information)與「適當防護措施」(Reasonable Safeguards)等條文予以補充與增列;強化個資事故(Breach of the security of a system)之通報機制與設立豁免條款,並釐清與其他法規間之適用關係;以及修訂違法情事之民事裁罰。此外,本次修法亦明定,若機構或個人已採取適當防護措施,得作為民事訴訟中之抗辯理由。本法將自2026年1月1日起正式生效,並適用於自該日起所發現、判定或通報之個資事故,相關單位應即早進行法遵準備,以確保制度落實。
貳、修法重點
本次修法主要包含三大核心面向,簡要說明如下:
一、擴充法定用詞之定義
(一)個人資料
於現行法規對個人資料之定義下,再增加新資料類別:
1.與驗證碼、存取碼或密碼結合使用時,可用以登入特定個人金融帳戶之專屬電子識別碼(Electronic Identifier)或路由代碼(Routing Code);
2.用以辨識特定自然人之獨特生物特徵資料,例如指紋、視網膜或虹膜影像,或其他具體實體或數位形式之生物辨識資料。
(二)適當防護措施
適當防護措施係指,為確保個人資料安全而考量組織或機構之規模、產業別、以及保有之個資類別與數量所制定之政策及作業實務。此概念包括但不限於:進行風險評估、建立技術面及實體面之多層次保護機制、對人員實施教育訓練,及建立個資事故應變計畫等。
二、強化事故通報機制與設立豁免條款
本法要求於發現系統個資事故並已通知受影響之當事人後,應於60日內向州檢察總長(Attorney General)提交書面通報,載明涉及之個人資料類別、事故性質、受影響人數、預估之財務損失、所採行之適當防護措施等必要內容。惟若事故影響人數低於500名州民,或事故發生於徵信機構且影響人數未達1,000人,則可免除向檢察總長通報之義務。
此外,本法明確規範,若特定機構已依據其他法律,如《奧克拉荷馬州醫療資安保護法》(Oklahoma Hospital Cybersecurity Protection Act of 2023)或聯邦《健康保險可攜及責任法》(Health Insurance Portability and Accountability Act of 1996)等履行相關通報義務,則視為已符合本法之要求。
三、民事裁罰
本法明定,民事罰鍰之裁量將審酌事故規模、事故發生後組織之因應作為及是否履行事故通報義務等因素而定,以確保裁量之比例原則。裁量情形說明如下:
1.若機構已採行適當防護措施且依法進行事故通報者,得免除民事責任;
2.若未採取適當防護措施,惟仍依規定完成事故通報者,則須負擔實際損害賠償責任並處以最高75,000美元罰鍰;
3.未落實適當防護措施與事故通報法定義務者,最高處以150,000美元罰鍰。
參、事件評析
本次修法可見奧克拉荷馬州就數位時代資安威脅所採行之積極因應作為,其修正重點包含:擴充個人資料之定義並明定適當防護措施之內容,俾利降低企業法遵成本及法律適用之不確定性;強化事故通報機制並設置合理豁免條款,以確保資訊透明度;於罰則規範中明定民事罰鍰之裁量,應審酌事故規模及是否履行事故通報義務等因素,以符合比例原則。
有鑑於本法修正後所課予之法定義務,建議企業應採行下列因應措施:(1)全面盤點所保有之個人資料,尤應注意新增納管之電子識別碼及生物特徵等資料;(2)檢視並強化現有防護機制,確保符合適當防護措施之要求;(3)建立標準化通報應變程序;(4)強化教育訓練。此外,企業宜定期檢視法規動態,以確保持續符合法規要求。
[1] Bill Information for SB 626, OKLAHOMA STATE LEGISLATURE, http://www.oklegislature.gov/BillInfo.aspx?Bill=sb626&Session=2500 (last visited June 1, 2025).
[2] BILL NO. 626, OKLAHOMA STATE LEGISLATURE, https://www.oklegislature.gov/cf_pdf/2025-26%20ENR/SB/SB626%20ENR.PDF (last visited June 2, 2025).
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
隨著3D印表機的價格日趨親民、3D列印設計檔案於網際網路交流越趨頻繁,以及預期3D列印技術在未來的應用會更加精進與複雜化,3D列印技術於醫療器材製造面所帶來的影響,已經逐漸引起美國食品藥物管理局(FDA)的關注。 在近期FDA Voice Blog posting中,FDA注意到使用3D列印所製造出的醫療器材已經使用於FDA所批准的臨床干預行為(FDA-cleared clinical interventions),並預料未來將會有更多3D列印醫療器材投入;同時,FDA科學及工程實驗辦公室(FDA’s Office of Science and Engineering Laboratories)也對於3D列印技術就醫療器材製造所帶來的影響進行調查,且CDRH功能表現與器材使用實驗室(CDRH’s Functional Performance and Device Use Laboratory)也正開發與採用電腦模組化方法來評估小規模設計變更於醫療器材使用安全性所帶來的影響。此外,固體力學實驗室(Laboratory of Solid Mechanics)也正著手研究3D列印素材於列印過程中對於醫療器材耐久性與堅固性所帶來的影響。 對於3D列印就醫療器材製造所帶來的法制面挑戰,在Focus noted in August 2013中,其論及的問題包含:藉由3D列印所製造的醫療器材,由於其未經由品質檢證是否不應將其視為是醫療器材?3D列印醫療器材是否需於FDA註冊登記?於網路分享的3D列印設計檔案,由於未事先做出醫療器材風險與效益分析,FDA是否應將其視為是未授權推廣等問題。 針對3D列印於醫療器材製造所帶來的影響,CDRH預計近期推出相關的管理指引,然FDA認為在該管理指引推出前,必須先行召開公聽會來援引公眾意見作為該管理指引的建議參考。而就該公聽會所討論的議題,主要依列印前、列印中與列印後區分三階段不同議題。列印前議題討論包含但不限於材料化學、物理特性、可回收性、部分重製性與過程有效性等;列印中議題討論包含但不限於列印過程特性、軟體使用、後製程序與額外加工等;列印後議題討論則包含但不限於清潔/多餘材料去除、消毒與生物相容性複雜度影響、最終裝置力學測定與檢證等議題。
新加坡將推動國家電子醫療紀錄新加坡自今年(2018年)1月5日起推動「醫療服務法案(Healthcare Services Bill)」之制定,該法案預計取代現有「私人醫院和醫療診所法(Private Hospitals and Medical Clinics Act)」。其中「國家電子醫療紀錄(National Electronic Health Record),下稱NEHR」將整合並改善國營醫療機構及非國營醫療機構兩種醫療紀錄無法互通之情形,而行動醫療及遠端醫療亦納入之。 根據目前之諮詢狀況(已於今年2月15日結束),提案單位衛生部(Ministry of Health)表示,由於現代醫療技術已趨近複雜,若能整合各醫療單位之就診紀錄,將可大幅提升醫療效率,特別是在急診的狀況下,整合過的單一病歷將可降低評估所需的時間。 而對於病患之個資方面保護,該部表示,首先,NEHR並不會蒐集全部患者的醫療參數,只有患者之核心醫療參數才會上傳至NEHR之資料庫內,此外亦不提供非醫療目的外之使用(例如就業及保險評估)。而為降低非法使用之機率,非法使用亦將處罰之。 另外為尊重病患個人之資訊自決權,NEHR亦提供了病患選擇退出機制(opt-out)以作為個資保護的最後屏障。然而該退出機制仍不同於一般的退出機制(即退出後不得蒐集、處理及利用),該機制僅禁止各醫療機構讀取該病患之醫療紀錄,但是各該機構依NHER之架構仍應將每次就診紀錄上傳之,此一設計係避免緊急情況下或病患同意讀取電子病歷時,卻無醫療紀錄可供查詢之窘境。
淺談中國網絡文化內容自審制於手機遊戲管理之影響淺談中國網絡文化內容自審制於手機遊戲管理之影響 科技法律研究所 2013年12月31日 壹、前言 中國大陸文化部日前依據互聯網文化管理暫行規定第19條規定,頒布施行「網絡文化經營單位內容自審管理辦法」(簡稱自審管理辦法)。要求以營利爲目的提供「網絡文化產品及服務」之單位(即所謂的「網絡文化經營單位」),應進行自我審核,以確保內容之合法性。所謂「網絡文化產品及服務」依據互聯網文化管理暫行規定,包括網絡音樂、動漫、遊戲等文化產品及以此所為之製作、複製、進口、發行、播放等活動。據中國大陸文化部表示,制定本辦法是為了落實其國務院轉變政府職能、簡政放權的政策方向,特別是網絡遊戲中的手機遊戲部分,期待能透過企業自律機制,達到市場的有效管理。 貳、自審管理辦法重點說明 在具體做法上,自審管理辦法規範「網絡文化經營單位」必須符合四項具體要求,包括:(1)內容管理制度與部門:企業須建立內容管理制度與審核部門,明定內容審核之工作劃分、標準、流程及責任追究辦法;(2)內容審核人員:企業內部設置之內容審核部門須配置至少3名以上領有「內容審核人員證書」之審核人員,並指定其中1名審核人員為內容管理負責人,負責簽核其餘審核人員之審查意見;(3)踐行備案程序:企業內部於建立上述之審核程序後,應向所在地省級文化行政部門申報備案;(4)持續參與審核訓練:針對內容審核人員,省級文化行政部門將負責相關培訓考核及檢查監督工作,其中對於經考核合格者發給證書者,每年至少應參加1次後續培訓,以持續掌握內容審核的政策法規和相關知識。 針對未依該辦法實施自審制度之「網絡文化經營單位」,依據自審管理辦法第14條規定,則得由縣級以上文化行政部門或者文化市場綜合執法機構依照「互聯網文化管理暫行規定」第29條規定責令改正,並可根據情節輕重處20000元以下罰款。此外,依據自審管理辦法第13條規定,倘若內容審核人員出現重大審核失誤時,發證部門得注銷其「內容審核人員證書」。 最後,依照自審管理辦法第15條規定,相關「網絡文化產品及服務」在自審管理辦法施行前,如應踐行備案或批准程序,在施行後仍須按相關規定辦理,不會因企業自審制度建立而得以免除。 參、規範簡評 依照自審管理辦法規定,自審制度適用範圍涵蓋了所有應依法取得「網絡文化經營許可證」的網絡文化經營單位。據中國大陸文化部新聞稿指出,此舉將有助於端正手機遊戲市場亂象。其具體理由,本文簡要歸納如下,並附帶說明此措施對於台灣手機遊戲業者進入中國大陸市場將帶來之影響。 過去中國大陸文化部管理「網絡遊戲」,主要是透過「網絡遊戲管理暫行辦法」(簡稱暫行辦法)。當中針對「國產網絡遊戲」採取備案制,要求於營運日起30日內向其文化行政部門進行備案(暫行辦法第13條參照);「進口網絡遊戲」則採審查制,須事前獲得其文化行政部門審查批准,方可上線營運(暫行辦法第11條參照)。且解釋上所謂「網絡遊戲」並未排除「手機遊戲」,故外國業者在提供手機遊戲服務予中國大陸時,皆應授權當地具備「網絡文化經營許可證」之「網絡遊戲運營企業」進口並履行相關申報作業。 但現實上,基於手機遊戲開發成本低、週期短之特性,手機遊戲業者存在為數不少小規模企業,所開發遊戲數量自2011年以來呈現爆炸性成長。因而暫行辦法之相關管理要求,實際執行通常難以落實,便常見有手機遊戲規避上述申報作業,使得整體手機遊戲管理呈現真空狀態。 但此一管理困境,在施行自審管理辦法後,預期將有所改善。根據中國大陸文化部新聞稿指出,目前中國大陸手機遊戲市場主導權,已逐漸由遊戲開發商轉移至平台商。因此透過自審管理辦法下放內容審查權於大型平台上,再強化對大型平台的監管,可集中政府資源、擺脫過去針對個別遊戲業者的查緝困難。 同時,由於自審管理辦法要求企業應賦予內容審核人員獨立審核職權,官方新聞稿亦進一步指出內容管理負責人層級應提升至副總經理以上。一旦內容審核人員發生重大失職時,最重得注銷其審核權限。因而運作上將可間接影響企業人事權限分配,對於企業高層業務執行帶來一定程度箝制,進而達到有效管理之目的。 對於台灣業者而言,由於按照暫行辦法第12條規定,申報進口網絡遊戲內容審查者,必須為取得獨占授權之「網絡遊戲運營企業」。因此,台灣遊戲業者未來在授權遊戲於大陸業者營運時,應留意其合作之大陸「網絡文化經營單位」,是否有建立上述自審制度,以避免對其產品拓展產生不利影響。同時,應留意其是否有踐行相關進口網絡遊戲內容審查申報,以避免觸法。 資料來源: 《文化部關于實施〈網絡文化經營單位內容自審管理辦法〉的通知》(文市發〔2013〕39號),http://big5.gov.cn/gate/big5/www.gov.cn/zwgk/2013-08/22/content_2471896.htm (最後瀏覽日:2013/12/25)。 新华网,〈文化部放权网络文化企业内容自审 网游网络音乐先行试点〉,2013/08/20,http://news.xinhuanet.com/politics/2013-08/20/c_117021657.htm(最後瀏覽日:2013/12/25)。 中华人民共和国文化部文化市场司,〈庹祖海同志在贯彻落实《网络文化经营单位内容自审管理办法》视频会议上的讲话〉,2013/11/29,http://www.ccnt.gov.cn/sjzz/whscs_sjzz/whscs_zhxw/201312/t20131202_424345.htm(最後瀏覽日:2013/12/25)。
美國食品藥物管理局修訂《臨床研究電子系統、電子紀錄及電子簽章:問答集》指引草案美國食品藥物管理局(U.S. Food and Drug Administration, US FDA)於2023年3月15日修訂《臨床研究電子系統、電子紀錄及電子簽章:問答集》(Electronic Systems, Electronic Records, and Electronic Signatures in Clinical Investigations: Questions and Answers)指引草案,為試驗委託者、臨床研究人員、人體研究倫理審查委員會、受託研究機構及其他利害關係人統整電子系統、電子紀錄及電子簽章常見問答,供食品、醫療產品、菸草製品及動物新藥臨床研究參考。 本指引草案修訂2017年6月21日所發布的《21 CFR part 11臨床研究使用電子紀錄及電子簽章—問答集》(Use of Electronic Records and Electronic Signatures in Clinical Investigations Under 21 Part 11-Questions and Answers),並將於本指引最終版確定後,取代2007年5月10日所發布的《臨床研究使用電腦系統》指引(Computerized Systems Used in Clinical Investigations)。US FDA認為電子系統、電子紀錄及電子簽章是可信且可靠的,並且通常可等同於紙本紀錄及手寫簽名的方式。 本指引修正重點如下: 一、新增電子系統驗證的風險基礎方法,以確保臨床研究建立、修改、維護、歸檔、檢索、傳輸電子資料及紀錄的真實性、完整性及機密性。 二、統整試驗委託者與資訊科技服務供應商合作應注意事項,以確保電子紀錄符合監管要求。 三、新增數位健康科技(digital health technology, DHT)定義及使用DHT考量重點。 關於臨床研究使用DHT,亦可參考2021年12月23日所公布的《透過數位健康科技擷取臨床研究遠端資料》(Digital Health Technologies for Remote Data Acquisition in Clinical Investigations)指引草案。該指引草案針對DHT的選擇、驗證、應用、訓練及風險提供相關建議。於臨床研究使用電子系統、電子紀錄及電子簽章已為國際趨勢,對於各國相關規範值得持續關注。 本文同步刊載於stli生醫未來式網站(https://www.biotechlaw.org.tw)