隨著金融科技（FinTech）高速發展與委外服務普及，金融相關資服業者受託處理個人資料的規模與風險日益提升。為協助相關產業建構穩健的個資安全管理機制，資策會科技法律研究所（資策會科法所）協助數位發展部，於114年11月21日舉辦「金融相關資服業個資安全維護線上說明會」，期望能透過強化資訊系統提供者之個資法遵意識及資安技術能力，進而保護金融業者使用資訊系統之個資安全。 會中詳盡介紹數位發展部訂定之「資服業個資參考指引」及「個資安維計畫範本」，並結合理論與實務，以「QA案例集」深度解析錯誤案例及解方，提供產業更具體、可落實的操作建議。資策會科法所強調，資服業者應主動優化法遵流程，並可靈活參考數位發展部提供的法遵資源，滾動式規劃並改善個資保護措施，在數位轉型浪潮中厚植數位信任，共同守護金融生態的個資安全，邁向產業永續發展。 相關連結： https://stli.iii.org.tw/model.aspx?no=179 https://stli.iii.org.tw/news-detail.aspx?no=16&d=126 簡報線上閱覽 個資安維計畫撰寫常見問題說明 數位經濟相關產業個資安維辦法及案例宣導

為協助企業持續精進營業秘密保護管理，經濟部智慧財產局（智慧局）委託財團法人資訊工業策進會科技法律研究所創意智財中心（資策會科法所創智中心）於2025年6月11日在北科大集思會議中心感恩廳辦理「營業秘密保護實務座談會（北部場）」。 資策會科法所創智中心2023年調查我國上市、上櫃企業的智財資料管理現況發現，企業在對營業秘密資料管理最憂心的三大問題為：「無法及時發現」資料遭竊；提供資料後，「無法追蹤」合作夥伴的使用情形；資料外洩後，「無法證明」有合理保密措施，顯示數位化時代對機密資料保護有更高的挑戰。 近年有法院判決明確指出，僅採資安管控措施，不足以證明營業秘密已有合理保密措施，顯示資安控管不等同於營業秘密管理，為協助企業了解二者差異並建立更完整的營業秘密管理制度，座談會上半場安排兩場重點專題： 台積電資訊保護處林為瑤副處長探討「數位轉型下的營業秘密管理實務分享」議題，探討企業如何在數位環境中系統化管理營業秘密，提升防護層級。 資策會科法所鄒宗萱副所長交流「營業秘密與資安的機密分級差異」議題，從法院見解談分級管理要點，深入解析資安與營業秘密管理差異。 下半場由台灣營業秘密保護促進協會李紹康秘書長、台積電資訊保護處林為瑤副處長、辛耘企業李易霖協理、法務部調查局資通安全處魯智遠科長、德勤商務法律事務所蔡志宏律師、資策會科法所施品安副主任等六位與談人分享產官學領域的實務營業秘密經驗，以利企業了解營業秘密的竅門。 簡報線上閱覽 營業秘密保護實務座談會 資安與營業秘密的差異

資策會科法所為協助法人機構了解科技專案補助相關規範，於2025年8月27日辦理年度「科技專案成果管理之法制與實務課程」，針對科技專案運作流程、科技專案補助辦法架構，介紹如〈經濟部推動研究機構進行產業創新及研究發展補助辦法〉、〈經濟部科學技術研究發展成果歸屬及運用辦法〉等相關補助與研發成果運用規範，以使學員運用於科技專案之實務工作。 本課程並介紹111年增訂之〈經濟部科學技術研究發展成果歸屬及運用辦法〉第五章之一研發成果衍生新創公司（新創專章）法規以及實際案例，並說明二次作價之要件與限制，以利法人衍生新創之順利推動。 此外，因應111年5月《國安法》修法建立「營業祕密層級化保護體系」，並配合國科會「國家核心關鍵技術認定辦法」及「政府機關（構）委託補助出資國家核心關鍵技術計畫認定辦法」於 112年4月28日生效。本課程針對國家核心關鍵技術及研發成果運用相關規範，整理注意事項供學員參酌。 簡報線上閱覽 資策會科法所辦理科技專案成果管理之法制與實務課程

● 欲參與【台北場1】通訊傳播事業實務專題講座的通傳會人員與轄管通訊傳播業者，可改至以下連結報名：https://stli.iii.org.tw/news-event.aspx?no=16&d=1336 〈時間：2025年11月21日（五）下午14:00-17:00，地點：台北集思交通部國際會議廳〉 ● 欲參與【台北場2】通訊傳播事業實務專題講座的通傳會人員與轄管通訊傳播業者，可改至以下連結報名：https://stli.iii.org.tw/news-event.aspx?no=16&d=1337 〈時間：2025年11月24日（一）下午14:00-17:00，地點：台北集思北科大感恩廳〉 1.如願收到本所電子報等訊息，惠請與會來賓點擊會員報名按鈕，以會員身分報名本活動。 2.如不願收到本所電子報等訊息，惠請與會來賓點擊非會員報名按鈕，以非會員身分報名。 3.因部分系統仍在調整中，可能會跳出電子報訂閱回函之確認信。如您並未訂閱電子報而仍跳出通知，請您不用擔心，本所不會以此寄送電子報。 近年隨著科技迅速的發展與3C產品使用習慣的改變，通訊傳播業者所蒐集、處理、利用的個人資料也隨之增加，所面臨的個資保護風險也因此上升。為避免個資事故的發生並遏止我國民眾遭受非法侵害，從業者個資保護與資安防護能力與意識的提升，對於個資保護採取管理，為降低個資風險的重要方式。我國所訂定之個資相關法律，要求通訊傳播業者採取適當之個資保護措施，使其具備與法相符之個資保護能力。依據個資法第27條第1項及同法施行細則第12條規定，非公務機關保有個人資料檔案者，應採行適當之安全措施，以防止個人資料被竊取、竄改、毀損、滅失或洩漏。 國家通訊傳播委員會為協助業者瞭解通訊傳播事業適用之個人資料保護法規之內容，特別於2025年11月21日、2025年11月24日、2025年11月27日舉辦「通訊傳播事業個資保護實務專題講座」。藉由個資保護實務專題講座課程，協助通傳會與轄管通訊傳播事業人員瞭解有關個資保護實務管理機制(含個資盤點)、案例說明(含裁罰案例及消費者個資爭議案例)、個資告知事項範本內容、跨境隱私保護管理機制等議題，以強化通傳事業對於個資實務的認識。 主辦單位：國家通訊傳播委員會 執行單位：財團法人資訊工業策進會科技法律研究所 時　　間：2025/11/27（四）14：00 - 17：00 議　　程： 時間 議題 講師 13:30-14:00 來賓報到 14:00-14:10 開幕致詞 國家通訊傳播委員會長官 14:10-15:00 個資保護實務管理機制 資策會科技法律研究所講師 觀看簡報 15:00-15:10 休息時間 15:10-16:00 案例解析 資策會科技法律研究所講師 16:00-16:10 休息時間 16:10-16:50 國際隱私法遵趨勢分享 資策會科技法律研究所講師 16:50-17:00 交流討論 個資保護實務管理機制 ↑回議程表 本活動因場地容量有限，如報名人數超出限制，將以報名優先順序決定，不便之處，尚請見諒。

● 欲參與【台北場1】通訊傳播事業實務專題講座的通傳會人員與轄管通訊傳播業者，可改至以下連結報名：https://stli.iii.org.tw/news-event.aspx?no=16&d=1336 〈時間：2025年11月21日（五）下午14:00-17:00，地點：台北集思交通部國際會議廳〉 ● 欲參與【台北場3】通訊傳播事業實務專題講座的通傳會人員與轄管通訊傳播業者，可改至以下連結報名：https://stli.iii.org.tw/news-event.aspx?no=16&d=1338 〈時間：2025年11月27日（四）下午14:00-17:00，地點：台北集思台大蘇格拉底廳〉 1.如願收到本所電子報等訊息，惠請與會來賓點擊會員報名按鈕，以會員身分報名本活動。 2.如不願收到本所電子報等訊息，惠請與會來賓點擊非會員報名按鈕，以非會員身分報名。 3.因部分系統仍在調整中，可能會跳出電子報訂閱回函之確認信。如您並未訂閱電子報而仍跳出通知，請您不用擔心，本所不會以此寄送電子報。 近年隨著科技迅速的發展與3C產品使用習慣的改變，通訊傳播業者所蒐集、處理、利用的個人資料也隨之增加，所面臨的個資保護風險也因此上升。為避免個資事故的發生並遏止我國民眾遭受非法侵害，從業者個資保護與資安防護能力與意識的提升，對於個資保護採取管理，為降低個資風險的重要方式。我國所訂定之個資相關法律，要求通訊傳播業者採取適當之個資保護措施，使其具備與法相符之個資保護能力。依據個資法第27條第1項及同法施行細則第12條規定，非公務機關保有個人資料檔案者，應採行適當之安全措施，以防止個人資料被竊取、竄改、毀損、滅失或洩漏。 國家通訊傳播委員會為協助業者瞭解通訊傳播事業適用之個人資料保護法規之內容，特別於2025年11月21日、2025年11月24日、2025年11月27日舉辦「通訊傳播事業個資保護實務專題講座」。藉由個資保護實務專題講座課程，協助通傳會與轄管通訊傳播事業人員瞭解有關個資保護實務管理機制(含個資盤點)、案例說明(含裁罰案例及消費者個資爭議案例)、個資告知事項範本內容、跨境隱私保護管理機制等議題，以強化通傳事業對於個資實務的認識。 主辦單位：國家通訊傳播委員會 執行單位：財團法人資訊工業策進會科技法律研究所 時　　間：2025/11/24（一）14：00 - 17：00 議　　程： 時間 議題 講師 13:30-14:00 來賓報到 14:00-14:10 開幕致詞 國家通訊傳播委員會長官 14:10-15:00 個資保護實務管理機制 資策會科技法律研究所講師 觀看簡報 15:00-15:10 休息時間 15:10-16:00 案例解析 資策會科技法律研究所講師 16:00-16:10 休息時間 16:10-16:50 國際隱私法遵趨勢分享 資策會科技法律研究所講師 16:50-17:00 交流討論 個資保護實務管理機制 ↑回議程表 本活動因場地容量有限，如報名人數超出限制，將以報名優先順序決定，不便之處，尚請見諒。

在經濟部商業發展署指導下，本所執行「114年度商業發展署主管業別之非公務機關個人資料管理制度推動服務計畫」，並舉辦「零售業個資安全宣導暨安全維護計畫說明會」，協助業者落實法遵要求，提升零售業環境之個資保護。 112年5月通過《個人資料保護法》修正後，已提高企業對個資外洩之罰責；113年11月商發署修正《零售業個人資料檔案安全維護管理辦法》（下稱：零售業安維辦法），進一步加強相關業者資訊安全管控措施，並擴大零售業安維辦法至各類專賣零售業者，以從加強義務與擴大管制主體之方式加強對消費者隱私之保護。 為提升業者法遵意識並推動整體產業健全發展，本所在經濟部商業發展署指導下，請擔任安維計畫及行政檢查委員的本所同仁與資安所專家作為講師，於本次「零售業個資安全宣導暨安全維護計畫說明會」分享：零售業個人資料檔案安全維護管理辦法之規範、如何制定個資安全維護計畫。 期望透過本次宣導說明會促進業者於業務蓬勃發展之時，亦能落實保護消費者個人資料之安全。 簡報線上閱覽 商發署零售業法遵實務與資訊安全說明會

日本獨立行政法人情報處理推進機構（下稱IPA）於2025年10月發布美國第二次川普政權數位政策現狀報告（下稱現狀報告），內文聚焦於美國政權輪換後數位政策之變動與解讀，同時提及在推動AI發展的同時，亦應注重其安全性。 日本觀測美國數位政策的現狀報告指出，隨著社會數位化程度日益增加，除了雲端數位資料的累積，以及提升對於AI的依賴程度外，亦會造成釣魚信件難以識別，透過可自動生成程式碼的惡意攻擊型AI進行攻擊行為等AI濫用之風險。 準此，美國為確保AI與資料的安全性，並維持其領域之競爭優勢，於2025年7月23日發布AI行動計畫，並提出三大方針，包括加速AI創新、建構AI基礎設施，以及透過國際性的AI外交與安全保障發揮領導能力。此外，內文亦提及為確保競爭優勢，需要建立作為AI發展基礎的科學資料集，並建置資料中心，同時確保其具備高度安全性，以避免AI使用者輸入AI之資料遭到竄改或外洩。 此外，現狀報告內文提及日本企業Softbank與OnenAI、Oracle等公司共同參與規模達5000億美元的Stargate計畫，並已於德州著手建設AI資料中心，顯示日本在美國的AI基礎建設中扮演重要角色並佔有一席之地。然而，內文亦指出美國數位政策具備不透明性而有潛在風險，須持續留意與關注。 我國企業如欲深耕AI領域，並透過AI進行技術研發，可由建立科學資料集開始著手，以作為訓練AI模型的基礎，以達到運用AI輔助及縮短研發週期、減少研發過程中的試錯成本等效益。此外，為確保安全性，科學資料集建置過程中所需之數位資料，可參考資訊工業策進會科技法律研究所創意智財中心所發布之《重要數位資料治理暨管理制度規範》，建立貫穿數位資料生命週期之資料治理機制。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

在勒索軟體攻擊快速進化、供應鏈弱點成為主要攻擊途徑的背景下，英國於10月24日發布「全球性供應鏈勒索軟體防護指引」（Guidance for Organisations to Build Supply Chain Resilience Against Ransomware），該指引係由英國與新加坡共同領導的「反勒索軟體倡議」（Counter Ransomware Initiative, CRI）框架下推動，旨在協助各國企業降低勒索軟體事件的發生率與衝擊。該指引獲得CRI 67個成員國與國際組織的支持，標誌國際社群在供應鏈資安治理上的最新進展。 英國內政部（UK Home Office）指出，勒索軟體已成全球關鍵基礎設施與企業最主要的威脅之一。根據IBM發布之2025年資料外洩報告（Cost of a Data Breach Report 2025）估計，單一勒索攻擊的全球平均成本高達444萬美元。隨著攻擊手法演進，勒索攻擊已由單點入侵擴大為透過供應鏈滲透，攻擊者常以第三方服務供應商為跳板，一旦供應商遭入侵，即可能向上或向下影響整體產業鏈。英國2024年醫療檢驗服務供應商Synnovis遭勒索軟體攻擊事件，即造成數千次門診與手術延誤，凸顯供應鏈風險的實質衝擊。 該指引從供應鏈角度提出四大防護方向，英國政府與CRI強調，企業應在營運治理、採購流程與供應商管理中系統性導入相關措施，包括： 一、理解供應鏈風險的重要性 在高度互聯的數位環境中，供應鏈已成為勒索軟體攻擊的主要目標，企業應將供應鏈資安視為營運韌性與組織治理的核心要素。 二、辨識關鍵供應商與其資安成熟度 企業應建立完整的供應商清冊，評估其資安控管措施、過往資安事件紀錄、營運與備援能力、保險安排，以及其可存取之系統與資料範圍。 三、在採購與合約中落實資安要求 企業應要求供應商具備基本資安控制措施，包括多因素驗證、系統更新與修補管理、網路分段、安全設定及惡意程式防護等。 同時，合約中應納入資安事件通報義務、稽核權限、營運復原計畫及違規處置機制，並鼓勵供應商採用國際資安標準，例如Cyber Essentials與ISO/IEC27001。 四、持續檢討並更新防護措施 企業應與供應商共同檢討已發生事件及未實際造成損害但已暴露潛在風險之情形（Near Miss，即近乎事故），不論是否構成正式資安事件，均應納入檢討範圍；並定期進行資安演練、共享威脅情資，依攻擊趨勢滾動修正合約與內部規範。 指引同時指出，供應鏈常見弱點包括過度依賴少數供應商、缺乏供應鏈可視性，以及資安稽核與驗證機制不足。英國政府與CRI亦強調，雖然網路保險可作為風險管理工具之一，但無法取代基本且持續的資安防護措施。 該指引適用範圍涵蓋科技、資訊服務、能源、公用事業、媒體與電信等多個產業，顯示供應鏈資安已成全球營運安全的共同課題。英國與新加坡呼籲企業及早建立制度化的供應鏈資安治理架構，以強化全球數位經濟的整體韌性，降低勒索軟體攻擊帶來的系統性風險。

美國白宮管理與預算辦公室（Office of Management and Budget，以下簡稱OMB）在2025年12月11日發布M-26-04備忘錄（以下簡稱本指引），目標是落實第14319號行政命令「防止聯邦政府中的覺醒AI」（Preventing Woke AI in the Federal Government）。本指引闡述「追求真相」（Truth-seeking）、「意識型態中立」（Ideological Neutrality）兩大「無偏見AI原則」（Unbiased AI Principles），並強制要求聯邦機構在採購大型語言模型（LLM）時，必須將此二原則納入合約條款。 為確保符合規定，本指引要求聯邦機構在進行採購時，應避免強制供應商揭露過於敏感的技術資料（如模型權重），而是採取以下兩層級的資訊揭露架構： 1. 基本透明度要求（Minimum Threshold for LLM Transparency） 各機構於招標階段，應要求供應商提供以下資訊： (1) 可接受的使用政策：界定產品適當與不適當用途的文件。 (2) 模型、系統和/或資料的摘要卡（Model, System, and/or Data Cards）：包含訓練摘要、風險緩解措施及基準測試評分。 (3) 終端用戶資源與意見回饋機制：包含用戶教程及針對違反無偏見原則產出的回報管道。 2. 強化透明度門檻（Threshold for Enhanced LLM Transparency） 若機構擬將模型整合至其他軟體或服務中，則需獲取更深入的開發與運作資訊，例如： 1. 預訓練和後訓練（Pre-Training and Post-Training）：如影響產出事實性（factuality）的活動、系統提示詞（System Prompts）、以及內容審查過濾器的具體運作。 2. 模型評估：針對政治議題的偏見測試結果與方法論。 3. 模型中嵌入的企業控制（Enterprise-Level Controls）: 如可客製化的系統指令或來源引用功能。 4. 第三方對模型的修改：非原廠開發者所施加的額外控制層。 本指引對聯邦行政機構具有行政拘束力。機構必須於2026年3月11日前更新採購政策，並將上述要求納入新舊合約中。值得注意的是，本指引引入了「實質性要求」（Materiality Requirement），即若供應商拒絕針對違反無偏見原則的產出採取糾正措施，將構成合約違約之重要事由，機構得據此終止合約。 觀察美國OMB此次發布的內容，係透過將「意識形態中立」轉化為具體的採購合規要件，OMB利用聯邦政府龐大的購買力，在採購合約中確立供應商的「透明度義務」，OMB指引不僅建立了明確的法遵標竿，更可能發揮示範效應，將政府端的無偏見規範逐步推廣至私營部門，轉化為產業的最佳實踐標準。

中華人民共和國第十四屆人民代表大會常務委員會第十九次會議，於2025年12月27日通過《中華人民共國對外貿易法》的修訂，本次修訂將自2026年3月1日起實行。《中華人民共國對外貿易法》於1994年施行，並經歷2004年、2016年及2022年三次修訂。2025年《中華人民共國對外貿易法》的修訂（以下稱2025修訂版本），除應對中國擴大的對外貿易規模與數位貿易、綠色貿易等新型態的貿易模式之外，2025修訂版本提高中國於國際貿易規則及協議參與程度，同時加強了中國回應他國關稅、進出口等貿易限制時，可運用的反制措施，企圖達到提升中國對外貿易影響力之目標。 2025年的修訂重點如下： 1.於立法目的說明，除推動國家發展及貿易之外，亦要求強化國家安全、維護國家主權。 2.新增有關強國貿易建設推動、國際貿易制度參與提升、對境外個人、組織實施貿易與服務限制、新型態的貿易模式應對等條文。 3.針對跨境服務貿易實行負面清單管理，於侵害中國主權、安全、發展利益之個人或組織，可透過進出口限制等方式作為反制手段。 4.擴大貨物與技術進出口限制事由（如增加概括條款），及對外貿易經營者增設資料安全、海關監管等義務。 5.提升法律責任的彈性，取消部分罰款最低金額門檻，但同時提高罰款上限至50萬人民幣，並增加海關、外匯、金融機構等管制措施，以加強執法力度。

2025年11月，韓國公共行政安全部（Ministry of the Interior and Safety，下稱MOIS）於新聞稿宣布制定《公部門AI倫理原則》草案，追求公益、公平無歧視、透明、問責明確、安全性及隱私保護等六大核心價值，旨於促進創新、提升民眾對公部門應用AI之信任。 一、適用範圍 《公部門AI倫理原則》草案適用對象為公部門，包含中央、地方政府機關等，其性質為不具強制力的指引。 二、檢核表分三階段漸進式管理 《公部門AI倫理原則》草案依AI 應用的複雜程度分為三階段漸進式管理，設計最高達90個細項的檢核表（Checklist），惟目前尚未公開詳細內容： （一）第一階段：基礎導入（AI基礎應用） 針對技術引進的初步活用階段，共包含31個檢核項目，旨在建立基礎的倫理合規防線。 （二）第二階段：進階應用（AI決策支援） 適用於AI提供資料分析與建議以輔助人員進行行政決策的情境。隨著影響力提升，檢核項目擴增至74個，強化透明性與責任性的審查。 （三）第三階段：深度融合（AI自主決策） 針對AI具備高度自主決策權的高風險情境（如自主化服務或複雜判斷），執行最嚴密的倫理檢查，共達90個檢核項目。 建議公部門依檢核表自行檢查，並依結果建立「調整與回饋」的循環機制，以因應不斷變化的技術環境。 MOIS部長指出，未來將進一步蒐集學界意見以完備倫理原則，並開發一套AI倫理原則之培訓課程，確保一線能落實執行這90個檢核項目，保障人權與基本權利。 由於目前未見90個檢核項目內容，值得持續追蹤後續進展。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

世界衛生組織發布歐洲區域人工智慧於醫療系統準備情況報告，責任規則為最重要之關鍵政策因素 資訊工業策進會科技法律研究所 2025年12月18日 世界衛生組織（World Health Organization, WHO）於2025年11月19日發布「人工智慧正在重塑醫療系統：世衛組織歐洲區域準備情況報告」（Artificial intelligence is reshaping health systems: state of readiness across the WHO European Region）[1]，本報告為2024年至2025年於WHO歐洲區域醫療照護領域人工智慧（AI for health care）調查結果，借鑒50個成員國之經驗，檢視各國之國家戰略、治理模式、法律與倫理框架、勞動力準備、資料治理、利益相關者參與、私部門角色以及AI應用之普及情況，探討各國如何應對AI於醫療系統中之機會與挑戰。其中責任規則（liability rules）之建立，為成員國認為係推動AI於醫療照護領域廣泛應用之最重要關鍵政策因素，因此本報告建議應明確開發者、臨床醫生、資料提供者與醫療機構之責任，透過救濟與執法管道以保護病患與醫療系統之權益。 壹、事件摘要 本報告發現調查對象中僅有8%成員國已發布國家級醫療領域特定AI策略（national health-specific AI strategy），顯示此處仍有相當大之缺口需要補足。而就醫療領域AI之法律、政策與指導方針框架方面，46%之成員國已評估於現有法律及政策相對於醫療衛生領域AI系統不足之處；54%之成員國已設立監管機構以評估與核准AI系統；惟僅有8%之成員國已制定醫療領域AI之責任標準（liability standards for AI in health），更僅有6%之成員國就醫療照護領域之生成式AI系統提出法律要求。依此可知，成員國對於AI政策之優先事項通常集中於醫療領域AI系統之採購、開發與使用，而對個人或群體不利影響之重視與責任標準之建立仍然有限。於缺乏明確責任標準之情況下，可能會導致臨床醫師對AI之依賴猶豫不決，或者相反地過度依賴AI，從而增加病患安全風險。 就可信賴AI之醫療資料治理方面（health data governance for trustworthy AI），66%成員國已制定專門之國家醫療資料戰略，76%成員國已建立或正在制定醫療資料治理框架，66%成員國已建立區域或國家級醫療資料中心（health data hub），30%成員國已發布關於醫療資料二次利用之指引（the secondary use of health data），30%成員國已制定規則，促進以研究為目的之跨境共享醫療資料（cross-border sharing of health data for research purposes）。依此，許多成員國已在制定國家醫療資料戰略與建立治理框架方面取得顯著進展，惟資料二次利用與跨境利用等領域仍較遲滯，這些資料問題仍需解決，以避免產生技術先進卻無法完全滿足臨床或公衛需求之工具。 就於醫療照護領域採用AI之障礙，有高達86%之成員國認為，最主要之障礙為法律之不確定性（legal uncertainty），其次之障礙為78%之成員國所認為之財務可負擔性（financial affordability）；依此，雖AI之採用具有前景，惟仍受到監管不確定性、倫理挑戰、監管不力與資金障礙之限制；而財務上之資金障礙，包括高昂之基礎設施成本、持續員工培訓、有限之健保給付與先進AI系統訂閱費用皆限制AI之普及，特別於規模較小或資源有限之醫療系統中。 就推動AI於醫療照護領域廣泛應用之關鍵政策因素，有高達92%之成員國認為是責任規則（liability rules），其次有90%之成員國認為是關於透明度、可驗證性與可解釋性之指引。依此，幾乎所有成員國皆認為，明確AI系統製造商、部署者與使用者之責任規則為政策上之關鍵推動因素，且確保AI解決方案之透明度、可驗證性與可解釋性之指引，也被認為是信任AI所驅動成果之必要條件。 貳、重點說明 因有高達9成之成員國認為責任規則為推動AI於醫療照護領域廣泛應用之關鍵政策因素，為促進AI應用，本報告建議應明確開發者、臨床醫生、資料提供者與醫療機構之責任，並建立相應機制，以便於AI系統造成損害時及時補救與追究責任，此可確保AI生命週期中每個參與者都能瞭解自身之義務，責任透明，並透過可及之救濟與執法管道以保護病患與醫療系統之權益；以及可利用監管沙盒，使監管機構、開發人員與醫療機構能夠在真實但風險較低之環境中進行合作，從而於監管監督下，於廣泛部署前能及早發現安全、倫理與效能問題，同時促進創新。 此外，WHO歐洲區域官員指出，此次調查結果顯示AI於醫療領域之革命已開始，惟準備程度、能力與治理水準尚未完全跟進，因此呼籲醫療領域之領導者與決策者們可考慮往以下四個方向前進[2]： 1.應有目的性地管理AI：使AI安全、合乎倫理與符合人權； 2.應投資人才：因科技無法治癒病人，人才是治癒病人之根本； 3.需建構可信賴之資料生態系：若大眾對資料缺乏信任，創新就會失敗； 4.需進行跨國合作：AI無國界，合作亦不應受限於國界。 參、事件評析 AI於醫療系統之應用實際上已大幅開展，就歐洲之調查可知，目前雖多數國家已致力於AI於醫材監管法規與資料利用規則之建立，據以推動與監管AI醫療科技之發展，惟由於醫療涉及患者生命身體之健康安全，因此絕大多數國家皆同意，真正影響AI於醫療領域利用之因素，為責任規則之建立，然而，調查結果顯示，實際上已建立醫療領域AI之責任標準者，卻僅有8%之成員國（50個國家中僅有4個國家已建立標準），意味著其為重要之真空地帶，亟待責任法制上之發展與填補，以使廠商願意繼續開發先進AI醫療器材、醫療從業人員願意利用AI醫療科技增進患者福祉，亦使患者於受害時得以獲得適當救濟。亦即是，當有明確之責任歸屬規則，各方當事人方能據以瞭解與評估將AI技術應用於醫療可能帶來之風險與機會，新興AI醫療科技才能真正被信任與利用，而帶來廣泛推廣促進醫療進步之效益。由於保護患者之健康安全為醫療領域之普世價值，此項結論應不僅得適用於歐洲，對於世界各國亦應同樣適用，未來觀察各國於AI醫療領域之責任規則發展，對於我國推廣AI醫療之落地應用亦應具有重要參考價值。 [1] Artificial intelligence is reshaping health systems: state of readiness across the WHO European Region, WHO, Nov. 19, 2025, https://iris.who.int/items/84f1c491-c9d0-4bb3-83cf-3a6f4bf3c3b1 (last visited Dec. 9, 2025). [2] Humanity Must Hold the Pen: The European Region Can Write the Story of Ethical AI for Health, Georgia Today, Dec. 8, 2025,https://georgiatoday.ge/humanity-must-hold-the-pen-the-european-region-can-write-the-story-of-ethical-ai-for-health/ (last visited Dec. 9, 2025).

親愛的讀者 隨著AI技術快速發展，全球各國積極調整相關政策，以因應技術所帶來的機會與挑戰。在AI治理方面，美國德州通過《負責任的人工智慧治理法》，白宮亦發布《AI行動計畫》，展現美國促進創新、提升公共信任的政策方向；歐盟近期則公布《禁止AI行為指引》，並提出《對外投資建議》，顯示其對高風險AI應用與關鍵技術保護的重視。 除AI政策外，本期亦收錄多篇與產業發展密切相關的觀察，包括新加坡A*STAR透過產研合作強化企業研發能量，以及探討我國6G頻率釋出政策展望。同時也以日本新技術實證制度為例，探討醫療監理沙盒之可能設計方向，盼為台灣推動醫療創新帶來新的思考。 期盼本期內容能陪伴您在科技與法制快速變動的時代，獲得新的觀察與啟發。 編輯部

親愛的讀者 行政院於114年8月28日通過《人工智慧基本法》草案，以「鼓勵創新、兼顧人權」為核心，參考歐盟、美國與韓國的AI治理經驗，確立人工智慧研發、應用及治理之基本原則，期望將臺灣打造為「人工智慧島」。近期賴總統亦於「2025台灣創投年會」中指出，政府將透過人才培育、資金挹注、法規鬆綁、延攬國際人才及提升市場流動性等措施，全力推動新創發展。 在推動AI法制與促進新創的背景下，本期特別規劃專文探討日本對生成式AI著作權之規範，以及英國公部門衍生新創政策與激勵措施，希冀為我國未來AI治理框架與創新生態系之發展，提供可資參考的國際經驗。 編輯部

親愛的讀者 近期立法院已著手審查《人工智慧基本法》草案，朝野立委陸續提出十餘個版本，討論聚焦主管機關、資料治理與開放機制、訓練資料透明與可溯源性等關建議題，為我國AI治理藍圖奠定方向。與此同時，立法院亦同步審議《資通安全管理法》部分條文修正草案，強化資安事件通報義務，並加強資通安全產品使用規範。 面對全球AI法制浪潮與資安威脅挑戰，本期特別規劃專文研析美國近年AI法制政策發展，以及歐盟資通訊產品安全性規範，並收錄多篇近期重要立法趨勢，期能為建立我國AI治理與資安防護體系，提供可資借鏡的他山之石。 編輯部

親愛的讀者 近年來，AI、機器人及資料治理持續受到國際關注。我國於2024年底舉辦第12次全國科學技術會議，聚焦「多功能機器人」、「無人機」等議題，後續國家科學及技術委員會將推動「智慧機器人科技方案」，以促進相關產業發展。在資料治理方面，數位發展部規劃推動《促進資料創新利用發展條例》立法、建置臺灣主權AI訓練語料庫，以支援國內AI技術發展與應用落地。 本期除探討AI、機器人及資料相關法制趨勢外，亦關注線上平臺經營者是否透過資訊共享行為，濫用其市場優勢地位，並安排專文研析加拿大於2023年12月修正施行之《競爭法》及其配套措施，期協助建構完善之數位競爭法制。 編輯部

親愛的讀者 近年個資外洩事件頻傳，引發社會各界對個資保護的高度關注。我國於112年5月修正《個人資料保護法》，設立專責機關，並於年底成立「個資保護委員會籌備處」，積極推動後續修法工作。此外，國家通訊傳播委員會（NCC）於113年10月4日修訂「國家通訊傳播委員會指定非公務機關個人資料檔案安全維護辦法」，經濟部也於同年11月13日修正「零售業個人資料檔案安全維護管理辦法」，展現各目的事業主管機關對落實個資保護之決心。 本期聚焦個資保護的國際趨勢與實務發展，安排專文解析歐洲法院FTv.DW案及歐盟法院Case C-659/22判決，探討其對個資保護的影響與啟示，期能為我國未來強化個資保護提供有益參考。 編輯部

親愛的讀者 近年詐騙手法不斷翻陳出新，根據報導指出，2023年有多達3.5萬名被害人報案，財損破79億元。隨著詐騙金額和案件數量逐年升高，「打詐」成為民眾最關切的議題之一。為建立民眾安全免遭詐騙之社會，立法院於今年7月三讀通過打詐專法，以及《洗錢防制法》、《詐欺犯罪危害防制條例》及《通訊保障及監察法》部份條文修正案。因應打詐專法通過，本期特安排專文析介歐盟《數位服務法》關於「超大型線上平臺」（very large online platforms, VLOPs），以及「超大型線上搜尋引擎」（very large online search engines,VLOSEs）之透明度報告義務及實務觀察，期能作為我國打詐專法透明度報告之借鏡。 編輯部

2025年11月19日歐盟公佈「數位綜合法案」（Digital Omnibus）草案。該法案旨在簡化人工智慧法案（AIA） 以及資料保護相關規則促進新興科技之產業發展，使企業得以更容易利用歐洲居民之個人資料，其中可能包括企業處理種族或宗教等敏感個資之措施，確保最大限度減少偏見。 今年年初歐盟委員會提出「競爭力指引」（Competitiveness Compass）中表示，歐洲於過去20年間發展速度一直落後於其他主要經濟體。為使歐洲扭轉局勢，提出三大核心行動以及五大橫向競爭力推動因素，其中簡化監管及行政負擔為首要推動因素，目標係簡化歐盟行政決策之審批流程，目標將企業之行政負擔降低25%，尤其是針對中小企業之行政負擔降低至少35%。 基於上述背景，數位綜合法案草案研擬修訂或整併多項現行法規，包括資料法（Data Act）、一般資料保護規則（General Data Protection Regulation，下稱GDPR）及人工智慧法（AI Act，AIA）3部分之修正，其核心是建立數位綜合框架，以簡化人工智慧（AI）、網路安全和數據方面的規則，並輔以資料聯盟戰略，以釋放高品質資料用於人工智慧，並簡化合規流程。其中針對GDPR之修訂更造成了重要變革，相關重點包括： 釐清假名化之於個人資料之定位。該草案針對個人資料定義之規定似乎試圖限縮原GDPR對於個人資料之定義，其引入「相對性」概念，一份資料並不一定被一致性的認定為本法所保護之個人資料，應視該資料控制者是否可識別該資料之特定當時人而定。這意味著是否符合GDPR所規範假名化之標準，會因為不同控制者所處情況，而產生不同的判斷結果，因此雖屬Cookie這類無法直接識別特定個人的資料，亦非絕對不受GDPR之保護。 資料主體權利與自動化決策調整。原GDPR不得限制資料主體權利。然該草案似將資料主體權利限制在「資料保護目的範圍內」，若用於保護其資料以外之目的行使資料存取權、更正或刪除權，則將有可能構成「濫用」而無法行使該權利。 資料外洩通報機制變更。在資料發生外洩時，原於72小時內須向監管機關通報資料外洩之期限延長至96小時。並將通報門檻提升至可能對自然人權利及自由造成高度風險時才需通報監管機關。 本文為資策會科法所創智中心完成之著作，各界基於報導、研究或其他正當目的，在合理範圍內，得轉載、引用本文，並請註明「作者：資策會科法所創智中心，來源出處：中央社訊息平台」。 【新聞來源】Digital Omnibus Regulation Proposal, https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-regulation-proposal, last visited 2025.12.29.

2025年5月，歐盟執委會發布一項修訂GDPR部分法規之提案（以下簡稱修訂提案），主要包括將原先涉及中小企業（small and medium sized enterprises, SMEs）所賦予的某些規範措施擴展適用於規模較大的中型企業（small mid-cap enterprises, SMCs）。歐盟執委會正在評估一個新的公司類別－SMCs，即員工人數少於750人，且營業額不超過1.5億歐元或總資產不超過1.29億歐元的中型企業。未來這些中型企業將能享受某些現有的中小企業福利，例如GDPR下的特定義務之豁免或簡化規則。 針對執委會提出的修訂提案，2025年7月9日歐洲資料保護委員會（European Data Protection Board，下稱EDPB）與歐洲資料保護監督機關（European Data Protection Supervisor，下稱EDPS）針對歐盟執行委員會關於修訂的部分法規之提案發表聯合意見(EDPB-EDPS Joint Opinion 01/2025)。總體而言，EDPB與EDPS支持以減輕SMEs及SMCs企業之行政負擔為目標評估GDPR的修訂，但必須以符合GDPR核心保護原則及義務。 執委會的修訂提案中簡化了紀錄保存義務，將紀錄保存義務修訂為只有在處理活動可能對資料主體權利和自由造成高風險時才強制保留。EDPB認為，滿足主體資格要件的企業，在資料處理的行為被認定為「可能導致高風險」時，仍應強制要求履行紀錄保存義務。而「可能導致高風險」的判斷標準與資料保護影響評估相同，為「可能導致資料主體之權利及自由之高風險時」。另外，紀錄保存可以協助企業符合GDPR的其他要求，因此包括SMEs及SMCs企業在內，仍可考慮選擇部分紀錄保存以確保及證明自身作為符合GDPR相關規定，並確保不會對資料主體的權益產生負面影響。 EDPB指出，修訂提案中新訂定對SMEs及SMCs的豁免門檻可使歐盟2600萬家SMEs及38000家SMCs因此受惠，但同時可能導致部分歐盟成員國僅有少數資料控制者或處理者必須遵守紀錄保存等相關義務約束，EDPB建議執委會進一步說明將SMC人數門檻設定為750人的理由。EDPB也建議應引入在企業規模門檻設定上SMEs與SMCs的明確定義，避免範圍設置上的矛盾。就組織層面，修正提案僅針對企業，並將公務機關排除在外，EDPB建議應於序言明確說明，所要規範的組織並不包括公務機關，以避免不必要的混淆。 本文為資策會科法所創智中心完成之著作，各界基於報導、研究或其他正當目的，在合理範圍內，得轉載、引用本文，並請註明「作者：資策會科法所創智中心，來源出處：中央社訊息平台」。 【新聞來源】EDPB Strategy 2024-2027, https://www.edpb.europa.eu/our-work-tools/our-documents/strategy-work-programme/edpb-strategy-2024-2027_en,last visited 2025/7/23.

近期世界各國普遍投入AI建設，所推行的政策，無論從資源供應、軟體研發、產業轉型、人才培育乃至規範調適，皆緊密扣合AI議題。「資料」作為AI發展的關鍵燃料，也是AI基礎建設不可或缺的一環。AI在訓練、部署及應用過程中，因有龐大的資料使用需求，所以資料流通與否，往往被視為成功推動AI的關鍵之一。 歐盟在數位議題的領導地位，向來展現在強大的立法與執行力上，並影響全球規範及標準的制定。2016年以來，歐盟通過不少前瞻性法規。在資料方面，除了眾所皆知的一般資料保護規則（General Data Protection Regulation, GDPR）外，為促進政府及高價值資料流通，更制定非個人資料自由流通規則（Free Flow of Non-Personal Data Regulation）、開放資料指令（Open Data Directive）、資料治理法（Data Governance Act）、資料法（Data Act）等規範。在資安方面，則有資安韌性法（Cyber Resilience Act）、NIS 2指令（NIS 2 Directive），以強化事故通報。另為減緩AI帶來的風險，更制定AI法（AI Act）。 眾多規範施行後，執法行政成本增加及企業合規負擔過重等問題也逐漸浮現。為減少歐洲企業合規成本，使企業更專注在AI創新上，歐盟執委會在2025年11月重新檢討相關法規，提出數位綜合（Digital Omnibus）修法草案，整併資料相關規則，導入多部法規共通的資安通報單一入口，並簡化中小市值公司的AI技術文件要求。同時，為滿足歐洲高品質資料的需求，歐盟提出歐洲資料聯盟策略（European Data Union Strategy），以啟動資料實驗室擴大AI資料存取規模、規劃企業合規指導措施、從公平安全角度維護歐盟資料主權作為優先行動，加速歐洲企業AI發展。 圖一：歐盟數位綜合修法草案重點。 圖二：歐洲資料聯盟策略3大優先行動。 據財團法人資訊工業策進會科技法律研究所觀察，歐盟數位綜合修法草案是以維護歐盟核心價值為前提，在不損害規範可預測性的情況下精簡既有規範，並未改變歐盟長期在個資保護、資訊安全、資料共享方面所建立的高標準，僅在程序性規範設計上進行簡化。儘管基本概念及標準未變，但整體修法與策略目標凸顯出保障歐洲中小企業創新及強化歐洲主權的決心。 臺灣社會亦以中小企業為經濟發展核心，且許多企業與歐洲有密切的商務往來，甚至期望開拓歐洲市場。歐盟新修法提案及資料策略，除了間接利於臺灣企業減輕跨境合規負擔，亦值得政府未來持續推動主權AI政策所借鏡。

根據經濟部於114年6月30日所發布「外銷訂單海外生產實況調查統計（資料時間113年）」資料顯示，臺灣於113年外銷訂單國內生產比率（GDP）占51.4%。臺灣因產業結構驅使，尤其中小微型企業具備靈活、創新而快速因應市場需求之特性，能隨國際市場變化而提供所需品項，並持續以外銷參與全球市場活動。國際行銷多涉及供應決策鏈（B2B）模式，即透過上下游間代工（OEM或ODM）或採購，然而其行銷運作的目的與B2C相同，無不藉由品牌建立採購者或消費者對產品或其服務之信任並期能創造差異化、提升附加價值，以促進產品銷售；因此，當鎖定目標市場、銷售對象後，不可忽視整體國際行銷策略及其相關合規管理。 國際行銷發展大致分為出口行銷、多國行銷與全球行銷等階段，即從參展、電商等模式初步拓展海外市場，接著擴增國別，甚至達到全球規模。隨海內外市場擴展，企業不可忽視前述各國際行銷階段與品牌營運態樣，所對應的品牌合規性─商標風險管理議題。前述國際行銷各階段皆涉及「品牌行銷前置」，應留意品牌命名與商標布局議題，例如跨語言文化進行品牌定位與命名時，避免撞名(商標近似)或缺乏識別性而造成無法取得該特定市場的商標權，而被迫改名或潛藏侵權風險，留意於品牌設計發想階段性檢視確認符合拓展市場之商標法規；在「啟動國際行銷」後，則更需掌握品牌商標使用管理，務必提示與規範海外行銷團隊或經銷代理加盟商，避免連續3年或5年未使用商標恐存有被廢止風險，留意定期商標盤點並確保使用態樣與註冊態樣一致，以及留意各國商標規定；隨著海外市場持續進行與擴展，確保商標使用證據留存與管理，產品銷售證明資料多分散在海外行銷團隊、經銷代理，甚至海外產品物流運送單據等，留意歸檔管理以作為商標延展或主張持續使用的佐證依據；此外，定期監控品牌近似或仿冒品，避免造成品牌混淆而影響品牌識別；若品牌涉及商標授權或聯名，更需留意前述風險點並確保品牌商標合規使用。 品牌商標管理是國際行銷中不可忽視的環節，中小微型企業尤其風險承受度低，更應步步為營。在制定行銷策略時，應將「商標命名布局、使用與監控維權」納入國際行銷的策略規劃中，才能在競爭激烈的全球市場，確保品牌的長期發展。 本文為資策會科法所創智中心完成之著作，各界基於報導、研究或其他正當目的，在合理範圍內，得轉載、引用本文，並請註明「作者：資策會科法所創智中心，來源出處：中央社訊息平台」。

衛生福利部（下稱衛福部）於今（114）年10月20日公布「衛生福利部科技研發成果保護須知」（下稱保護須知），明確要求衛福部及所屬機關（構）在執行科技研發計畫時，如涉及重要研發成果或核心關鍵技術，應依相關法令落實盤點、管理與保護措施。本次文件由資策會科法所協助研擬完成，旨在強化我國科研安全治理基礎，降低關鍵技術外流風險。 落實法規要求　強化核心關鍵技術管理 依保護須知規定，計畫執行單位在研發過程中，如涉及可能屬於國家核心關鍵技術者，應遵循「國家安全法」、「營業秘密法」、「兩岸人民關係條例」、「貿易法」等規範，並於計畫提案、結案、進階性查訪、研發成果運用報部同意等時點進行核心關鍵技術盤點。同時，計畫執行單位之受雇人或相關研發人員若涉意圖在境外不當使用關鍵技術，亦可能面臨刑事或行政責任。 保護須知亦要求計畫執行單位依「國家核心關鍵技術認定辦法」及行政院相關規範，建立內部認定制度，並就研發資料進行分級管理，至少應達到經濟部智慧財產局「學研機構營業秘密管理實作要領」中「強化」程度之保護標準。此外，未經許可輸出涉及戰略性高科技貨品者，亦可能違反「貿易法」相關規定。 建置保密制度　建立教育訓練與稽核機制 為提升研發安全管理能力，保護須知要求計畫執行單位建立研發過程與成果運用的機密保護制度，包括設置盤點紀錄、簽署保密與利益衝突切結書、保存評估會議共識、定期辦理教育訓練及接受查訪與稽核，以確保保護措施持續有效。 倘若計畫執行單位刻意隱匿技術或人員盤點結果，或未依規定採取必要保護措施者，衛福部將視情節輕重，取消補助或追回已撥款項，落實政府科研安全治理之責。 推動科研安全治理　提升國家科技競爭力 本次公布之保護須知，係作為衛福部執行單位於研發階段及成果運用階段，辦理核心關鍵技術管理與保護之實務參考基準，並有助於與國家整體高科技安全政策及跨部會規範相互銜接。相關制度之實際運作情形，後續將配合實務推動經驗滾動檢視與精進。 本文為資策會科法所創智中心完成之著作，各界基於報導、研究或其他正當目的，在合理範圍內，得轉載、引用本文，並請註明「作者：資策會科法所創智中心，來源出處：中央社訊息平台」。