德國放寬胚胎幹細胞之研究限制，允許進口2007年5月以前所製造的胚胎幹細胞進行研究

GDPR跨國執法新程序帶來的變革 資訊工業策進會科技法律研究所 2025年12月10日 隨著2025年12月12日歐盟官方公報（Official Journal, OJ）正式發布《一般資料保護規則》（General Data Protection Regulation, GDPR）跨境執法補充程序規則[1]（Regulation (EU) 2025/2518），表彰歐盟立法者在協調GDPR跨境執法邁出關鍵的一步。新規則規範各成員國個資監管機關（Supervisory Authorities, SAs）於執行跨境GDPR投訴與進行案件調查的應遵守程序規則。 壹、立法背景 個資監管機關在其成員領土範圍享有管轄權，惟控制者或處理者於多成員國設立據點或處理資料時，各監管機關必須合作並共享決策，此種方式稱為一站式機制（one-stop-shop mechanism）。營運者主要據點的個資監管機關應負責協調監督任務，該主責之個資監管機關稱為主導監督機關（Lead Supervisory Authority, LSA），與此相對的個資監管機關被稱為相關監督機關（Supervisory Authorities Concerned, CSA），兩者需合作過程中交換相關資訊。此種合作模式偏向分散式執法，而導致個人救濟的遲延、如企業主要據點變更須移轉SA管轄權導致執法程序延宕等諸多功能性缺陷，減損GDPR希望達到的執法一致性[2]。 於此背景下，歐盟執委會（European Commission）便提出了一項補充性規則提案[3]，企圖提高各盟成員個資監管機關跨境執法效率與一致性。這項提案於2025年6月16日達成協議[4]，於2025年10月21日由歐盟議會（European Parliament）宣布通過最終文本，並後續於同年11月17日由歐盟理事會（Council of the European）正式宣布通過，於同年12月12日正式發布於歐盟官方公報（Official Journal, OJ）。 貳、重點概覽 一、 統一的申訴規則 新補充規範適用之前提涉及跨境執法，其具體適用範圍主要有兩類，其一是基於申訴之調查（complaint-based）；第二類是基於職權之調查（ex officio）。此外，涉及跨境處理之案件進行申訴處理與調查，亦包括判定該案件是否屬於跨境處理。 新補充規則進一步調整以往各國不協調的申訴受理標準，建構統一的跨國申訴受理標準。依據新補充規則，提起跨境資料處理的申訴案件，應包含： 1.申訴人之姓名與聯絡資訊； 2.有助於識別被申訴對象（資料控制者或處理者）的資訊； 3.涉及違反GDPR行為之描述。 除前述資訊外，不得要求提供其他額外資訊作為其可受理之要件。監管機關應於2周內評估申訴是否可受理，受理申訴之個資監管機關如認定該申訴未包含前述資訊，應於收到該申訴之兩週內，宣告其為不可受理，並將其理由告知申訴人。 二、程序保障－意見陳述與行政檔案的資訊近用 對於受調查的組織，新補充規則提供相對應的程序保障，以確保個資監管機關做出最終決定前，組織能有意見陳述的機會，也就是意見陳述權（The right to be heard）。 當主導監督機關（Lead Supervisory Authority, LSA）初步認為存在違反GDPR的行為時，必須先擬定「初步調查結果」（preliminary findings）給受調查組織。該初步調查結果必須包含事實、證據和法律評估，以及擬採取的糾正措施（例如罰款）。 初步調查結果通知後，受調查的組織有少至三週時間，至多有六週時間以書面回應或申請聽證。 陳述意見權的配套是對行政檔案之近用權，被調查當事人與申訴人均有權近用行政檔案，但須排除： 1.監管機關內部資訊； 2.商業機密或其他機密資訊。 三、提升案件決策效率的機制 目前對GDPR執法的常見批評之一是決策速度緩慢。新補充規引入較嚴格的決策期限限制和提高效率的機制。 （一） 決策期限 原則上，主導監管機關應於其管轄權獲確認之日起十五個月內提出決定草案；該期間僅得於例外情形下延長一次。 （二） 早期解決程序 引入一套機制來快速處理申訴。如果GDPR違法行為已得到糾正，且投申訴不成立，在申訴人不提出異議的情況下，個資監管機構得逕行結案。 （三） 簡化合作程序 對於「情節明確、無合理疑義」之案件，個資監管機關得選擇採行簡化之合作程序，以避免行政官僚程序所造成之延宕。 參、結語 跨境執法補充程序規則，旨在解決過去跨境個資案件中程序延宕、不一致等長期性問題。具體而言，其措施包含進一步細化申訴可受理標準、明確化調查程序的陳述意見權、行政檔案近用與商業機密保護並提高決策效率。 這套補充規則透過更詳細的規範，補足既有一站式機制的不足，有機會使跨境資料處理申訴案件能更有效率且同時以兼顧透明度與正當程序之方式獲得解決。 [1] Regulation (EU) 2025/2518, O.J. L, 2025/2518, 12.12.2025, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:L_202502518 [2] European Parliament [EP], Newly proposed GDPR procedural rules: Improving efficiency and consistency 4(2024). [3] COM(2023)0348 – C9-0231/2023 – 2023/0202(COD). [4] European Council [EC], Data protection: Council and European Parliament reach deal to make cross-border GDPR enforcement work better for citizens, https://www.consilium.europa.eu/en/press/press-releases/2025/06/16/data-protection-council-and-european-parliament-reach-deal-to-make-cross-border-gdpr-enforcement-work-better-for-citizens/ (last visited Dec.8, 2025)

　　美國環境保護署（Environmental Protection Agency，以下簡稱EPA）於2010年9月17日聯邦政府公報中，依據毒性物質管制法（Toxic Substances Control Act，以下簡稱TSCA）section 5(a)(2)授權，發布了顯著新種使用規則（Significant New Use Rules，以下簡稱SNURs）的最終規則（final rule）。此項規則於2010年10月18日生效，任何想要製造、輸入以及加工單壁奈米碳管（single-walled carbon nanotubes，以下簡稱SWCNTs）及多壁奈米碳管（multi-wall carbon nanotubes，以下簡稱MWCNTs）兩項化學物質者，必須依照TSCA section 5(a)(1)要求，在進行上述利用活動的至少90天前，報經EPA核准，否則不得使用。 　　事實上，EPA曾於前（2009）年6月24日發布上述SNURs的直接最終規則（direct final rule），徵詢公眾意見，並在同年8月21日撤回該規則。在重新提案的規則中，主要是新增SWCNTs、MWCNTs釋放於水中的顯著新種使用態樣，並將已完全反應、結合或嵌入已完全反應之聚合物基（polymer matrix）以及嵌入不再進行機械加工外其他處理之永久硬性聚合物形式（permanent solid polymer form）之SWCNTs、MWCNTs物質，排除在新SNURs適用範圍之外。 　　目前，依照TSCA section 5(e)之規定，若系爭之化學物質已列名於TSCA section 8(b)所建立之現存(existing)化學物質目錄(INVENTORY)中，其他化學物質生產者欲生產該種化學物質時，並不需再向EFA進行通報程序。然而，若EFA對該列名之化學物質曾發出TSCA section 5(e)下之具風險性命令(risk-based order)，則相關之化學物質生產者須於生產前依據TSCA section 5(a)(2)規範中之SNURs規定通報EFA，使得EFA於生產前仍有再次檢驗該系爭化學物質的機會。 　　這一次，EPA以制訂SNURs之方式，要求所有製造、輸入、加工該項化學物質者，有義務通報任何與原同意命令所定條款不同的使用活動。這樣的規範變動，預計將對奈米材料的製造及運用活動造成不小的影響。

　　美國聯邦通訊傳播委員會(Federal Communications Commission, FCC)主席Kevin Martin於今年(2008)7月11日表示，就Free Press、Public Knowledge、ConsumersUnion等消費者權益促進團體向FCC投訴有線電視系統業者Comcast故意阻擋BitTorrent之流量違反FCC之網路開放原則一案，他將建議FCC要求Comcast揭露其相關行為，並提醒用戶其過濾流量之行為與方式。 　　2007年11月時，Free Press、Public Knowledge、ConsumersUnion等消費者權益促進團體向FCC投訴有線電視系統業者Comcast故意阻擋P2P流量的行為已經違反FCC於2005年時發佈之網路開放原則。該網路開放原則包括消費者有權透過網路接近任何合法內容；消費者可透過網路自由使用任何合法之應用服務；消費者可自由將任何合法之設備與網路連接；消費者有權在各網路、應用服務或內容提供者間自由選擇。 　　針對前述投訴，一開始Comcast矢口否認有任何阻擋P2P資料流量之行為，隨後Comcast則改口其對於P2P資料流量之「延遲」乃是一種合理的網路管理(reasonable network management)，並不違反FCC之原則。 　　嗣後，FCC於今年(2008)1月份公開徵求公眾意見，並持續就此一申訴進行調查。Comcast亦在6月份公布新的網路管理政策，其表示未來將不再針對特定伺服器進行網路管理，而是改以網路流量使用較高之用戶為目標，以過濾垃圾郵件、偵測惡意程式或流量以防止病毒散佈、限制或暫時延遲P2P資料流量等方式以控制或限制網路使用。

　　日本國家網路安全中心（内閣サイバーセキュリティセンター，或稱National Information Security Center, NISC）於2020年3月2日發布「網路安全相關法令問答集」（サイバーセキュリティ関係法令Q&Aハンドブック），以回應日本內閣在2017年7月27日通過的「網路安全戰略」（サイバーセキュリティ戦略）中所提及應整理相關法制，以利企業實施網路安全措施與對策之決定。因此，內閣網路安全戰略本部（サイバーセキュリティ戦略本部）普及啟發‧人才培育專門調查會（普及啓発・人材育成専門調査会）於同年10月10日成立工作小組，針對網路安全相關法令進行推動與調查工作。 　　本問答集內容涉及13項法律議題，包括議題如下： 說明網路安全基本法（サイバーセキュリティ基本法）網路安全之定義與概要； 以公司法為核心，從經營體制觀點說明董事義務，例如建立內部控制機制，以確保系統審核與資料揭露之適當性； 以個人資料保護法為核心，例如說明個人資料的安全管理措施； 以公平交易法（不正競争防止法）為核心，說明在營業秘密的保護範圍內，利用提供特定資料與技術手段，來實施迴避行為係屬無效； 以勞動法規為核心，說明企業採取網路安全措施之組織與人為對策； 以資通訊網路、電信業者等為中心，說明IoT相關法律問題； 以契約關係為中心，說明電子簽章、資料交易、系統開發、雲端應用服務等議題； 網路安全相關證照制度，例如資訊處理安全確保支援人員； 說明其他網路安全議題，例如逆向工程、加密、訊息共享等； 說明發生網路安全相關事故之因應措施，例如數位鑑識； 說明當網路安全糾紛有涉民事訴訟時應注意之程序； 說明涉及網路安全之刑法規範； 描述日本企業在實施網路安全措施時，應注意之相關國際規範，例如歐盟一般資料保護規則（General Data Protection Regulation, GDPR）與資料在地化（Data Localization）等議題。 　　此外，隨著網路與現實空間的融合，各產業發展全球化，相關法規也日益增加，惟網路安全相關法規，在原無網路安全概念與相關法制的日本法上，卻鮮少有較為系統化的概括性彙編與解釋文件。因而盤點並釐清網路安全相關法令則成為首要任務，故研究小組著手進行調查研究，並將調查結果—「網路安全法律調查結果」（サイバーセキュリティ関係法令・ガイドライン調査結果）與「第四次關鍵基礎設施資訊安全措施行動計畫摘要表」（重要インフラの情報セキュリティ対策に係る第４次行動計画）作為本問答集之附錄文件以資參酌。最後，NISC期待透過本問答集，可作為企業實施具體網路安全對策之實務參考。