新版個資法與個資保護管理制度

美國商務部產業安全局（Bureau of Industry and Security, BIS）於美東時間2026年1月14日公告修正《出口管制規則》（Export Administration Regulations, EAR）對「特定半導體」出口至中國與澳門的許可簽審政策，將原本自2022年10月7日拜登政府時期的「推定拒絕」（presumption of denial）改為「逐案審查」（case-by-case review），並於美東時間2026年1月15日生效。 本次修正將放寬「特定半導體」原先較難輸往中國的法規障礙，影響的貨品範圍包括先進運算類貨品，即總處理效能（Total Processing Performance）低於21,000，且動態隨機存取記憶體（DRAM）總頻寬低於6,500GB/s的先進晶片（NVIDIA H200、AMD MI325X，或與NVIDIA H200同等級貨品）；以及較前述晶片規格與效能成熟的貨品。 出口人適用本次修正之「逐案審查」許可簽審政策，須滿足以下條件： 1.欲出口之半導體相關貨品在本次公告時，已可在美國商業市場銷售。 2.欲出口之貨品在美國境內具有充足供應。 3.為銷往中國而生產的晶片，不會排擠全球晶圓代工產能，亦不會影響給美國最終使用人相同或更先進貨品的供應情形。 4.出口貨品須在美國境內接受獨立第三方實驗室檢測（testing），加以確認貨品的技術能力與功能，如同出口人許可申請文件所述。 而在中國的收貨方，須已有充分的貨品安全管控程序。BIS此要求並未同步放寬EAR既有的最終用途、最終使用人查核與流向管理標準。建議出口人於交易前、交易中與交易後，積極與供應鏈夥伴建立良好法遵機制。

　　全球最大網路設備業者思科（Cisco）公司在去年1月同意以8.3億美元併購以攔截與過濾垃圾郵件著名的軟體供應商IronPort Systems，以強化思科在資訊安全相關軟體方面的實力。思科購入IronPort公司後，不僅可為其客戶提供包括垃圾郵件過濾軟體和其他資安防護軟體，而此一併購案也象徵思科公司除本業的網路設備（router）外，也跨入資安軟體的領域進而挑戰其他大型防毒軟體業者（如賽門鐵克Symantec）。 　　以併購取得其他公司的商標、專利或人力資源等，在競爭激烈的商場十分常見，本來不足為奇，但此案值得注意的是原本思科公司的併購策略（acquisition strategy）是指派專人，將被併購的公司迅速融入思科體系，除取得原有的資源外，也可以快速地進入市場，此種方式亦是目前大多數廠商所採行的方法。 　　但自2003年後思科公司開始思考採取不同的併購方式：保留被併購公司的商標與行銷團隊，除可避免併購之後所可能產生的文化衝擊、制度磨合等問題，透過新的方式思科公司仍然獲得極大的收益。近來常聽聞國內的廠商積極併購其他公司，除成本或智慧財產等，管理制度亦是考量的重點之一，或許思科公司的策略可以提供給國內廠商參考。

世界衛生組織發布歐洲區域人工智慧於醫療系統準備情況報告，責任規則為最重要之關鍵政策因素 資訊工業策進會科技法律研究所 2025年12月18日 世界衛生組織（World Health Organization, WHO）於2025年11月19日發布「人工智慧正在重塑醫療系統：世衛組織歐洲區域準備情況報告」（Artificial intelligence is reshaping health systems: state of readiness across the WHO European Region）[1]，本報告為2024年至2025年於WHO歐洲區域醫療照護領域人工智慧（AI for health care）調查結果，借鑒50個成員國之經驗，檢視各國之國家戰略、治理模式、法律與倫理框架、勞動力準備、資料治理、利益相關者參與、私部門角色以及AI應用之普及情況，探討各國如何應對AI於醫療系統中之機會與挑戰。其中責任規則（liability rules）之建立，為成員國認為係推動AI於醫療照護領域廣泛應用之最重要關鍵政策因素，因此本報告建議應明確開發者、臨床醫生、資料提供者與醫療機構之責任，透過救濟與執法管道以保護病患與醫療系統之權益。 壹、事件摘要 本報告發現調查對象中僅有8%成員國已發布國家級醫療領域特定AI策略（national health-specific AI strategy），顯示此處仍有相當大之缺口需要補足。而就醫療領域AI之法律、政策與指導方針框架方面，46%之成員國已評估於現有法律及政策相對於醫療衛生領域AI系統不足之處；54%之成員國已設立監管機構以評估與核准AI系統；惟僅有8%之成員國已制定醫療領域AI之責任標準（liability standards for AI in health），更僅有6%之成員國就醫療照護領域之生成式AI系統提出法律要求。依此可知，成員國對於AI政策之優先事項通常集中於醫療領域AI系統之採購、開發與使用，而對個人或群體不利影響之重視與責任標準之建立仍然有限。於缺乏明確責任標準之情況下，可能會導致臨床醫師對AI之依賴猶豫不決，或者相反地過度依賴AI，從而增加病患安全風險。 就可信賴AI之醫療資料治理方面（health data governance for trustworthy AI），66%成員國已制定專門之國家醫療資料戰略，76%成員國已建立或正在制定醫療資料治理框架，66%成員國已建立區域或國家級醫療資料中心（health data hub），30%成員國已發布關於醫療資料二次利用之指引（the secondary use of health data），30%成員國已制定規則，促進以研究為目的之跨境共享醫療資料（cross-border sharing of health data for research purposes）。依此，許多成員國已在制定國家醫療資料戰略與建立治理框架方面取得顯著進展，惟資料二次利用與跨境利用等領域仍較遲滯，這些資料問題仍需解決，以避免產生技術先進卻無法完全滿足臨床或公衛需求之工具。 就於醫療照護領域採用AI之障礙，有高達86%之成員國認為，最主要之障礙為法律之不確定性（legal uncertainty），其次之障礙為78%之成員國所認為之財務可負擔性（financial affordability）；依此，雖AI之採用具有前景，惟仍受到監管不確定性、倫理挑戰、監管不力與資金障礙之限制；而財務上之資金障礙，包括高昂之基礎設施成本、持續員工培訓、有限之健保給付與先進AI系統訂閱費用皆限制AI之普及，特別於規模較小或資源有限之醫療系統中。 就推動AI於醫療照護領域廣泛應用之關鍵政策因素，有高達92%之成員國認為是責任規則（liability rules），其次有90%之成員國認為是關於透明度、可驗證性與可解釋性之指引。依此，幾乎所有成員國皆認為，明確AI系統製造商、部署者與使用者之責任規則為政策上之關鍵推動因素，且確保AI解決方案之透明度、可驗證性與可解釋性之指引，也被認為是信任AI所驅動成果之必要條件。 貳、重點說明 因有高達9成之成員國認為責任規則為推動AI於醫療照護領域廣泛應用之關鍵政策因素，為促進AI應用，本報告建議應明確開發者、臨床醫生、資料提供者與醫療機構之責任，並建立相應機制，以便於AI系統造成損害時及時補救與追究責任，此可確保AI生命週期中每個參與者都能瞭解自身之義務，責任透明，並透過可及之救濟與執法管道以保護病患與醫療系統之權益；以及可利用監管沙盒，使監管機構、開發人員與醫療機構能夠在真實但風險較低之環境中進行合作，從而於監管監督下，於廣泛部署前能及早發現安全、倫理與效能問題，同時促進創新。 此外，WHO歐洲區域官員指出，此次調查結果顯示AI於醫療領域之革命已開始，惟準備程度、能力與治理水準尚未完全跟進，因此呼籲醫療領域之領導者與決策者們可考慮往以下四個方向前進[2]： 1.應有目的性地管理AI：使AI安全、合乎倫理與符合人權； 2.應投資人才：因科技無法治癒病人，人才是治癒病人之根本； 3.需建構可信賴之資料生態系：若大眾對資料缺乏信任，創新就會失敗； 4.需進行跨國合作：AI無國界，合作亦不應受限於國界。 參、事件評析 AI於醫療系統之應用實際上已大幅開展，就歐洲之調查可知，目前雖多數國家已致力於AI於醫材監管法規與資料利用規則之建立，據以推動與監管AI醫療科技之發展，惟由於醫療涉及患者生命身體之健康安全，因此絕大多數國家皆同意，真正影響AI於醫療領域利用之因素，為責任規則之建立，然而，調查結果顯示，實際上已建立醫療領域AI之責任標準者，卻僅有8%之成員國（50個國家中僅有4個國家已建立標準），意味著其為重要之真空地帶，亟待責任法制上之發展與填補，以使廠商願意繼續開發先進AI醫療器材、醫療從業人員願意利用AI醫療科技增進患者福祉，亦使患者於受害時得以獲得適當救濟。亦即是，當有明確之責任歸屬規則，各方當事人方能據以瞭解與評估將AI技術應用於醫療可能帶來之風險與機會，新興AI醫療科技才能真正被信任與利用，而帶來廣泛推廣促進醫療進步之效益。由於保護患者之健康安全為醫療領域之普世價值，此項結論應不僅得適用於歐洲，對於世界各國亦應同樣適用，未來觀察各國於AI醫療領域之責任規則發展，對於我國推廣AI醫療之落地應用亦應具有重要參考價值。 [1] Artificial intelligence is reshaping health systems: state of readiness across the WHO European Region, WHO, Nov. 19, 2025, https://iris.who.int/items/84f1c491-c9d0-4bb3-83cf-3a6f4bf3c3b1 (last visited Dec. 9, 2025). [2] Humanity Must Hold the Pen: The European Region Can Write the Story of Ethical AI for Health, Georgia Today, Dec. 8, 2025,https://georgiatoday.ge/humanity-must-hold-the-pen-the-european-region-can-write-the-story-of-ethical-ai-for-health/ (last visited Dec. 9, 2025).

　　2019年1月22日，歐盟執委會（European Commission）、歐洲議會（European Parliament）與歐盟理事會（Council of the EU）就修正「公部門資訊再利用指令」（The Directive on the re-use of public sector information，PSI Directive）的提案達成協議。歐洲議會則於4月4日通過提案，待歐盟理事會簽署正式的指令。 　　PSI Directive經過2003年制定（Directive 2003/98/EC）、2013年修正（Directive 2013/37/EU），於2017年為了履行指令規定的定期審查義務，召開了公眾線上諮詢，之後歐盟執委會根據諮詢結果及對指令的影響評估，於2018年4月25日通過修訂指令的提案，並於2019年1月達成協議。 　　此次修正將該指令更名為「開放資料與公部門資訊指令」（The Directive on the Open Data and Public Sector Information，以下稱新指令），預計能排除目前仍存在的公部門資訊取得障礙，並且要求將政府資助研究所產出的研究資料（publicly funded research data）也開放給公眾。此次修正的重點內容如下： 1、所有依據國家取用文件規定（national access to documents rules）下可取用的公部門資訊，原則上可以免費再利用，或者公部門可以收取為了提供、傳播資料所產出的費用，但該費用以不超過邊際成本（marginal costs）為限。這項改變，將使更多的中小企業和新成立公司能順利進入資料經濟市場。 2、新指令特別指出統計資料或地理空間資料屬於高價值資料集（high-value datasets），這些資料集具有高商業潛力，可以加速各種資訊產品或增值服務的產出，例如人工智慧。而新指令特別要求這些資料集應免費提供、使機器可讀，且透過應用程式介面（APIs）使他人能取用。但經評估後發現免費提供會造成市場競爭扭曲時，則不在此限。 3、關於公營事業及公共運輸所產生的有價值資料，不在現行PSI Directive規範範圍內，而各國對於是否必須提供資料有著不同的規定，但現在都必須依照新指令的規定使公眾可以免費再利用，不過仍可設定合理規費來收回相關行政費用。 4、有些公部門與私人企業制定了複雜的資料協定，導致公部門資訊被壟斷，新指令則要求各會員國應落實資訊透明，以及限制公部門與私部門訂立排除其他人可再利用公部門資訊的協定。 5、促進公部門資訊以動態即時資料方式發布，並透過使用者介面(APIs)使更多動態即時資料能被使用。而這也將使企業發展創新產品或服務，例如行動APP。 6、關於政府資助的研究，新指令將促進「政府資助研究而產出的研究資料」能更容易的被再利用，故各成員國被要求建立一致的再利用政策，使這些研究資料能透過資料庫（repository）被開放取用（open access），包含先前已經存入該資料庫的資料。 　　總而言之，本次修正將能夠降低中小企業進入市場的障礙，並增加公部門資訊的透明度和即時流通，也使公營事業資訊及政府出資研究所產出的研究資料能納入開放資料的範疇。