“Cookies”—餅乾或是毒藥？

日本經濟產業省下之貿易經濟安全保障局，於2024年9月公布「建立強化技術管理之新官民對話框架」文件（技術管理強化のための新たな官民対話スキームの構築について），指出在目前複雜的地緣政治情勢下，企業難以獨自進行技術管理，故須透過強化官民對話，讓雙方可共享現況及問題，俾利政府檢討管理措施。 經產省為強化技術管理，擬修正依《外匯與外國貿易法》（外国為替及び外国貿易法，以下簡稱外為法）授權制定之省令及告示，要求業者於技轉「重要技術」時，須依外為法第55條第8項進行事前報告，以利後續透過官民對話達成共識。經產省強調，上述規定目的不是禁止技術移轉，而是進行適當之技術管理，故原則希望能透過官民對話來解決問題。惟若在雙方對話後，經產省認為有技術外流之虞時，仍會要求業者申請許可。 根據經產省於2024年9月6日公布之省令及告示修正案，以下4大領域10項技術被列為「重要技術」： 1.電子元件：積層陶瓷電容（積層セラミックコンデンサ（MLCC））、SAW和BAW濾波器（SAW及びBAWフィルタ）、電解銅箔、介電質薄膜（誘電体フィルム）、鈦酸鋇粉末（チタン酸バリウム粉体）。 2.纖維：碳纖維（炭素繊維）、碳化矽纖維（炭化ケイ素繊維）。 3.半導體：光阻劑（フォトレジスト）、非鐵金屬材料（非鉄金属ターゲット材）。 4.電子顯微鏡：掃描式電子顯微鏡（走査型電子顕微鏡（SEM））、穿透式電子顯微鏡（透過型電子顕微鏡（TEM））。

　　歐盟執委會（The EU Commission）於2022年2月3日發布了一項研究，其繪製並預估歐盟27個成員國以及冰島、挪威、瑞士和英國等國家彼此之間的主要雲端基礎設施的資料流量。該研究概述了各級產業、位置、企業規模和雲端服務類型的雲端資料流入和流出的流量和類型。政策、決策者、商業領袖與公共行政部門可以將其作為參考，以支持對未來貿易協定、工業決策和雲端投資的決策。 　　在歐盟的歐洲資料戰略中，認識到獲取有關資料流的經濟情報的戰略重要性，因此提出了資料流戰略分析框架的發展。為了實現這一關鍵行動，歐盟執委會開展了上述關於繪製資料流的研究，首次開發和測試了一種全新、自我維持與可複製的方法，從而產生了資料流可視化工具，用於測量、映射和分析歐洲31個國家與地區的各級產業、地理和企業規模的雲端資料流。而該資料流可視化工具中顯示的資料預計將每年更新一次。使用的資料收集來源從官方統計資料等主要來源到調查和訪談等次要來源。 　　該工具得以讓歐盟執委會： 一、繪製和估計歐盟27個成員國（即歐盟內部資料流）和冰島、挪威、瑞士和英國（即歐盟外資料流）的雲端計算領域主要資料流的數量 二、預測至2030年的資料流出 三、分析各產業、公司規模和雲端服務類型的資料流量 　　該研究顯示2020年最大的資料流來自醫療衛生產業，而德國的資料流入量最大。該報告還估計，到2030年，來自歐洲企業的資料流量將是2020年的15倍。 　　作為資料流市場關鍵層面之一，透過進一步調查資料趨勢，將協同即將出現的資訊法案打造一個更加生動、動態和流動的雲端市場。

美國商務部（Department of Commerce）、財政部（Department of Treasury）以及司法部（Department of Justice）於2024年3月6日發布出口管制與制裁法令遵循指引，以避免邪惡政權（malign regimes）與其他不法人士試圖濫用商業與金融管道，取得有危害美國國家安全與外交政策利益、全球和平與繁榮風險的貨品、技術以及服務，特別提供「非美國公司」（non-U.S. companies），降低相關風險的遵循指引。 該指引分享3則違反制裁法規的案例，重點如下： （1）某家總部位於澳洲的國際貨運代理和物流公司，運送貨品至北韓、伊朗以及敘利亞（皆為被制裁之目的地），且透過美國金融系統發起或收受交易款項，導致美國金融機構與被制裁之對象交易，並向受制裁的司法管轄區輸出金融服務。該公司最終繳納6,131,855美元罰款。 （2）某阿聯酋公司與杜拜以及伊朗公司共謀，透過在出口文件中將一家杜拜公司錯誤地列為最終使用人，然後從一家美國公司出口「儲槽清洗裝置」（storage tank cleaning units）到伊朗，構成違反出口管制規定行為。後與主管機關達成行政和解，繳納415,695美元罰款。 （3）某家總部位於瑞典的國際金融機構的子公司，因其客戶從被制裁的司法管轄區的IP位址，使用子公司的網路銀行平台，透過美國代理銀行向位於被制裁司法管轄區的交易對象付款，因此繳納3,430,900美元罰款。

　　英國資訊委員會（Information Commissioner’s Office, 以下簡稱ICO）最近對於2014年「巨量資料與個資隱私保護報告」（Big Data and Data Protection）進行公眾意見徵集。其中有意見認為ICO過度聚焦於以取得資料當事人同意為前提，才得以進行巨量資料統計分析技術應用；且未充分認知當資料控制者（企業或組織）具合法權益（legitimate interest）時，可能得以處理個人資料的可能。意者並進一步建議當資料控制者（企業或組織）符合合法權益時，應可將個人資料用於新用途，強調這種依據合法權益所進行之資料處理，應著重於該資料控制者（企業或組織）對於個人資料的責任（accountability），而非各別取得資料當事人的同意。 　　對此，ICO回覆，認為巨量資料統計分析技術的應用，應在資料控制者（企業或組織）的合法權益、與資料當事人的權利、自由與合法權益間，取得平衡。依據歐盟資料保護指令（Data Protection Directive）與英國資料保護法（Data Protection Act）的規定，資料控制者（企業或組織）得於具法定依據時，處理個人資料，例如取得個資當事人的同意處理其個人資料，或資料控制者（企業或組織）具法定義務處理個人資料（例如法院命令）。除此之外，企業或組織還可以主張於其對於個人資料具合法權益（legitimate interest），主張進一步處理個人資料（新用途），除非資料處理對於資料當事人的權利、自由與合法權益造成過份偏頗（unduly prejudice）的損害。ICO亦同意，資料的應用應著重監督資料控制者（企業或組織）與加強其責任（accountability）。 　　ICO除再度闡明在「巨量資料與個資隱私保護報告」，資料控制者（企業或組織）必須公平且通透（transparent）地處理個人資料，對於當資料控制者（企業或組織）發現個人資料的新用途時，亦明列出得依據先前所取得之資料當事人的同意進行個人資料的各種情況。 　　ICO建議，資料控制者（企業或組織）應當先行檢視資料當事人是否確實同意其個人資料的處理，或該資料控制者具處理個人資料之其法定依據。再者，如果不具上述二者之一，資料控制者（企業或組織）若需將使用個人資料於新用途，則必須另行取得資料當事人的同意，始得為之。此時，必須同時評估為了新用途所為之個人資料處理，是否與資料蒐集之特定目的相容（compatible）。 　　至於，判斷新用途是否與個人資料蒐集與處理之特定目的相容，部分取決於個人資料處理是否公平（fair）。這意味著資料控制者（企業或組織）必須對於為新用途所為之個資處理，提出對於資料當事人隱私影響之評估，以及該個資的使用與處理，是否仍合於資料當事人的合理期待。