秘魯提出基因護照提案簡化基因資源跨境交換之程序

GDPR跨國執法新程序帶來的變革 資訊工業策進會科技法律研究所 2025年12月10日 隨著2025年12月12日歐盟官方公報（Official Journal, OJ）正式發布《一般資料保護規則》（General Data Protection Regulation, GDPR）跨境執法補充程序規則[1]（Regulation (EU) 2025/2518），表彰歐盟立法者在協調GDPR跨境執法邁出關鍵的一步。新規則規範各成員國個資監管機關（Supervisory Authorities, SAs）於執行跨境GDPR投訴與進行案件調查的應遵守程序規則。 壹、立法背景 個資監管機關在其成員領土範圍享有管轄權，惟控制者或處理者於多成員國設立據點或處理資料時，各監管機關必須合作並共享決策，此種方式稱為一站式機制（one-stop-shop mechanism）。營運者主要據點的個資監管機關應負責協調監督任務，該主責之個資監管機關稱為主導監督機關（Lead Supervisory Authority, LSA），與此相對的個資監管機關被稱為相關監督機關（Supervisory Authorities Concerned, CSA），兩者需合作過程中交換相關資訊。此種合作模式偏向分散式執法，而導致個人救濟的遲延、如企業主要據點變更須移轉SA管轄權導致執法程序延宕等諸多功能性缺陷，減損GDPR希望達到的執法一致性[2]。 於此背景下，歐盟執委會（European Commission）便提出了一項補充性規則提案[3]，企圖提高各盟成員個資監管機關跨境執法效率與一致性。這項提案於2025年6月16日達成協議[4]，於2025年10月21日由歐盟議會（European Parliament）宣布通過最終文本，並後續於同年11月17日由歐盟理事會（Council of the European）正式宣布通過，於同年12月12日正式發布於歐盟官方公報（Official Journal, OJ）。 貳、重點概覽 一、 統一的申訴規則 新補充規範適用之前提涉及跨境執法，其具體適用範圍主要有兩類，其一是基於申訴之調查（complaint-based）；第二類是基於職權之調查（ex officio）。此外，涉及跨境處理之案件進行申訴處理與調查，亦包括判定該案件是否屬於跨境處理。 新補充規則進一步調整以往各國不協調的申訴受理標準，建構統一的跨國申訴受理標準。依據新補充規則，提起跨境資料處理的申訴案件，應包含： 1.申訴人之姓名與聯絡資訊； 2.有助於識別被申訴對象（資料控制者或處理者）的資訊； 3.涉及違反GDPR行為之描述。 除前述資訊外，不得要求提供其他額外資訊作為其可受理之要件。監管機關應於2周內評估申訴是否可受理，受理申訴之個資監管機關如認定該申訴未包含前述資訊，應於收到該申訴之兩週內，宣告其為不可受理，並將其理由告知申訴人。 二、程序保障－意見陳述與行政檔案的資訊近用 對於受調查的組織，新補充規則提供相對應的程序保障，以確保個資監管機關做出最終決定前，組織能有意見陳述的機會，也就是意見陳述權（The right to be heard）。 當主導監督機關（Lead Supervisory Authority, LSA）初步認為存在違反GDPR的行為時，必須先擬定「初步調查結果」（preliminary findings）給受調查組織。該初步調查結果必須包含事實、證據和法律評估，以及擬採取的糾正措施（例如罰款）。 初步調查結果通知後，受調查的組織有少至三週時間，至多有六週時間以書面回應或申請聽證。 陳述意見權的配套是對行政檔案之近用權，被調查當事人與申訴人均有權近用行政檔案，但須排除： 1.監管機關內部資訊； 2.商業機密或其他機密資訊。 三、提升案件決策效率的機制 目前對GDPR執法的常見批評之一是決策速度緩慢。新補充規引入較嚴格的決策期限限制和提高效率的機制。 （一） 決策期限 原則上，主導監管機關應於其管轄權獲確認之日起十五個月內提出決定草案；該期間僅得於例外情形下延長一次。 （二） 早期解決程序 引入一套機制來快速處理申訴。如果GDPR違法行為已得到糾正，且投申訴不成立，在申訴人不提出異議的情況下，個資監管機構得逕行結案。 （三） 簡化合作程序 對於「情節明確、無合理疑義」之案件，個資監管機關得選擇採行簡化之合作程序，以避免行政官僚程序所造成之延宕。 參、結語 跨境執法補充程序規則，旨在解決過去跨境個資案件中程序延宕、不一致等長期性問題。具體而言，其措施包含進一步細化申訴可受理標準、明確化調查程序的陳述意見權、行政檔案近用與商業機密保護並提高決策效率。 這套補充規則透過更詳細的規範，補足既有一站式機制的不足，有機會使跨境資料處理申訴案件能更有效率且同時以兼顧透明度與正當程序之方式獲得解決。 [1] Regulation (EU) 2025/2518, O.J. L, 2025/2518, 12.12.2025, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:L_202502518 [2] European Parliament [EP], Newly proposed GDPR procedural rules: Improving efficiency and consistency 4(2024). [3] COM(2023)0348 – C9-0231/2023 – 2023/0202(COD). [4] European Council [EC], Data protection: Council and European Parliament reach deal to make cross-border GDPR enforcement work better for citizens, https://www.consilium.europa.eu/en/press/press-releases/2025/06/16/data-protection-council-and-european-parliament-reach-deal-to-make-cross-border-gdpr-enforcement-work-better-for-citizens/ (last visited Dec.8, 2025)

　　在2012年12月19日，歐盟執委會宣布一項決議，該決議認可紐西蘭為已提供相當於歐盟保護層級之個人資料保護的國家；根據1995年歐盟個人資料保護指令（EU Data Protection Directive of 1995），此決議將使位於歐盟會員國（目前為27國）的事業，可以不必採取額外的防護措施，即可將個人資料自歐盟會員國傳輸到紐西蘭。 　　根據歐盟個人資料保護指令，個人資料不許被傳輸至歐盟會員國以外的國家，除非這些國家被歐盟執委會認可為，已提供相當於歐盟保護層級的個人資料保護；或此些國家對上述傳輸已採取額外的防護措施，例如已取得當事人之同意，或已於相關契約內附有經歐盟認可之個人資料保護相關契約條款。歐洲經濟區（EuropeanEconomic Area；簡稱EEA）內的另三個國家，亦即挪威、冰島、列支敦士登，亦因EEA條約（Agreement on the European Economic Area）之約束，而須遵行個人資料保護指令。 　　由於上述認可的過程相當嚴格而繁複，目前已取得歐盟執委會上述認可的非歐洲國家，除了紐西蘭之外，僅有例如，加拿大、阿根廷、以色列、澳洲等少數國家；至於歐洲國家亦僅有例如瑞士、安道爾等數國。

　　美國眾議院（United States House of Representatives）於2021年10月20日通過安全設備法案（Secure Equipment Act）、通訊安全諮詢法案（Communications Security Advisory Act）、資通訊科技戰略法案（Information and Communication Technology Strategy Act）與國土安全部軟體供應鏈風險管理法案（DHS Software Supply Chain Risk Management Act），以提高網路之可信任度、防止採用構成國家安全風險的設備、支持小型通訊網路供應商，並促進產業供應鏈的經濟競爭力。美國總統拜登（Joseph Robinette Biden Jr.）於同年11月11日完成簽署《安全設備法》。 　　《安全設備法》旨在禁止聯邦通訊委員會（Federal Communications Commission, FCC）頒發設備許可予構成美國國家安全風險之公司，其目的係為防止美國的網路系統遭受中國大陸設備的監控，保護美國公民的隱私與安全。近年來，美國以國家安全與技術、隱私保護為由，逐步以政府禁令或動用政府影響力，防堵華為、中興等其認為與中國政府關係密切之中國通訊設備業者。自2019年5月15日美國白宮頒布之第13873號行政命令，至2021年10月20日美國眾議院通過電信設施基礎安全四大法案，並美國商務部於隔日即發布「禁止出售、出口駭客監視工具予曾有侵犯人權紀錄的專制政府及地緣政治之敵人」等規定，各種限制手段展現美國保護國土安全之決心。 　　此外，《通訊安全諮詢法案》、《資通訊科技戰略法案》與《國土安全部軟體供應鏈風險管理法案》分別就通訊網路的安全性、可靠性與操作性；資通訊技術供應鏈報告（例如：定義何謂「對美國經濟競爭力至關重要的資通訊技術」等）」；以及資通訊技術或服務合約之指導方針如何改善國家網路安全等相關事項予以規範。目前，此三大法案皆於參議院二讀後提交至委員會，後續發展應密切關注。

　　2018年06月07日，歐盟執委會對2021年到2027年期間擬定單一市場計畫和預算，該計畫預計支用40億歐元保護歐盟消費者和促進歐洲中小企業（SME）競爭力，同時加強歐盟內部市場管理，促進人類、動植物健康和動物福利，並建立歐洲金融數據統計框架。 　　新的單一市場計劃包括： 1. 增加中小企業競爭力，促進產業升級、擴大產業規模並幫助中小企業有跨境競爭的能力； 2. 落實消費者保護政策，確保產品安全，並在產品和服務有疑義時，確實協助消費者獲得補償； 3. 支持食品安全生產，預防及根除動植物疾病，以及改善歐盟的動物福利，而歐盟公民得以繼續在歐洲單一市場取得安全和優質的食品，同步提高人類和動植物健康之水平； 4. 加強歐盟執委會和會員國之間的合作，確保歐盟法規範得到適當實施和執行； 5. 響應市場發展，幫助歐盟執委會加強運用資訊科技產業工具與知識（例如大數據和演算法等等）。 6. 補助會員國的統計機構，提供資金給政策領域中與數據相關的發展、製作和傳播，提高歐洲統計數據品質。 　　歐洲單一市場讓歐洲人民能自由旅行、工作和生活，同時擁有更多的選擇和更低廉的價格，能在歐盟境內更輕鬆地進行商品服務交易。因此，歐洲單一市場可說是歐洲最佳資產，可以促進歐洲企業成長且在全球化市場中培養競爭力。而2021-2027年計畫將確保當地有效達成單一市場連續性，為歐盟人民和企業提供更好的投資與生活環境。