英國資訊專員辦公室強調歐盟資訊保護改革成本充滿不確定性

　　網路和數位科技正急速翻轉我們的世界，建立「歐盟單一數位市場」(EU Digital Single Market)為歐盟執委會的首要優先政策項目之一，發展健全的單一數位市場可為歐盟增加4,150億之經濟成長，創造數以萬計的新工作機會，實現一個充滿活力的知識型社會。然服務的「上網」仍存在一定程度尚未跨越之障礙；根據調查，超過90%的歐洲人擔憂他們所使用的行動應用程式(apps)沒有經過他們的同意即蒐集其個人資料。使用者對網路服務欠缺信任，產業以及政府亦無法充分透過數位科技工具獲益，因此如何提升人民對於網路服務的信任成為歐盟官方當前重要議題。 　　為解決此問題，歐盟執委會已著手進行個人資料保護法規的改革，針對現行的資料保護法規提出新修法案，主要目標在加強人民於個人資料保護之相關權益，以降低使用者個人隱私遭洩漏的疑慮，此外也將對企業帶來諸多利多。新修法案針對人民權益保障的加強，包括： 1.被遺忘權(A right to be forgotten)：已明文規定於現行歐盟資料保護法規，新修法案將更進一步強化個人被遺忘權的行使－尤其是青少年。對此歐盟理事會表示贊同，但亦強調被遺忘權並非絕對之權利，不應凌駕於言論自由以及新聞自由之上。 2.資料可攜帶權(A right to data portability)：使用者可更輕易的移轉其個人資料於不同的網路服務提供者之間。 3.個資被駭之被告知權：若網路服務提供者發生嚴重個資洩漏事件必須盡快告知主管機關，讓使用者得採取適當措施。 4.個資保護措施優先：強調在服務或產品早期開發階段就應該優先考量個人資料保護措施的設計，取代事後補救的觀念；尤其社交網路服務或行動apps相關服務的開發，隱私默認的設定應為預設之常態。 　　新修法案也包含多項對相關企業有利之措施，例如： 1.一歐陸一法律：企業在歐盟經濟區域遵行單一之歐盟資料保護法規，而非28國不同法規，預估每年可節省23億歐元之遵法成本。 2.單一監管窗口：整合28國主管機關以建立單一對外監管窗口，讓欲經營歐盟市場的企業與主管機關的交涉能更簡單、有效率。 3.參與歐盟市場之企業皆遵守相同標準法規(European rules on European soil)：依現行歐盟法規，設籍於歐盟境內之企業必須遵守比境外企業更嚴格的法規標準，故新修法案極力建立公平競爭環境，經營歐盟市場之企業不論是否設籍於歐盟皆等同對待。 4.簡化繁文縟節之行政規定：新修法案刪除了企業通知主管機關等不必要之繁文縟節要求，此尤其利於中小企業節省行政成本。 5.免除中小企業進行個資影響評估之責任：除非有明確顯見之風險，始課予中小企業個資影響評估之責任。 　　歐盟執委會、理事會與議會於2015年6月開始針對資料保護法規新修法案進行三邊協商，預計於2015年底完成最終之協議。

　　因為生物科技（Biotechnology）、奈米科技（Nanotechnology）、微（奈）米電子與半導體（Micro- and nanoelectronics, including semiconductor）、光電（Photonics）、及先進材料（Advanced materials）等五大科技，能夠被廣泛的應用在各種產業上，並可協助現有科技作出重大的改善，故在2009年9月歐盟委員會（European Commission）所公布的一份溝通文件（Communication）當中，被認定為是可以加強競爭力，並協助經濟永續發展的關鍵促成技術（Key Enabling Technologies, KETs）。 　　在該份名為「為我們的未來做準備：發展歐洲關鍵促成技術促進總策略」（Preparing for our future: developing a common strategy for key enabling technologies in the EU）的文件中，歐盟委員會指出，KETs的技術外溢效益和其所能產生的加成效果，可以同時提昇其他領域的表現，如通訊技術、鋼鐵、醫療器材、汽車、及航太等領域，故將對歐盟地區未來的經濟永續發展有著重大的影響，也可以協助面對社會與環境的重大挑戰。 　　該文件指出，雖然歐盟擁有許多KETs的相關研發成果，對促進研發成果產業化之措施卻有所不足。在此溝通文件中所規劃的發展策略，配合歐盟持續的在研發作出更多的投資，將會協助歐盟充分應用這些可提高歐盟未來競爭力的KETs。 　　因為KETs的推展須注意系統性的相關聯性，所以數個不同的政策必需被同時考慮。在溝通文件中提出了十項應被考慮的面向，包括（1）將研發政策專注於KETs；（2）促進境內產學研單位間以及產業供應鏈間的技術移轉；（3）促進歐盟與會員國間發展共同的策略方案和操作專案；（4）運用各會員國境內之補助政策；（5）結合KETs的應用與氣候變遷政策；（6）創造市場需求並配合公共採購；（7）與國際間高科技政策相比較並加強國際合作；（8）透過雙邊或多邊貿易談判創造KETs有利的貿易條件；（9）促進歐洲投資銀行（European Investment Bank, EIB）給予高科技產業優惠貸款；以及（10）透過高等教育與在職訓練提昇技術水準。 　　歐盟委員會將會建立一個獨立的高階專家團體，去繪製歐盟有關各KETs的長期策略藍圖，並將於2010年年底向部長會議（Council of Ministers）報告。

　　歐盟為提升網路數位化產品之安全性，解決現有網路安全監管框架差距，歐盟執委會於2022年9月提出《網路韌性法案》（EU Cyber Resilience Act）草案，對網路供應鏈提供強制性網路安全標準，並課予數位化產品製造商在網絡安全方面之義務。該法案亦提出以下四個具體目標： 　　1.確保製造商對於提升產品之網路安全涵蓋整個生產週期； 　　2.為歐盟網路安全之合法性創建單一且明確之監管架構； 　　3.提高網路安全實踐之透明度，以及製造商與其產品之屬性； 　　4.為消費者和企業提供隨時可用之安全產品。 　　《網路韌性法案》要求製造商設計、開發和生產各種硬體、有形及軟體、無形之數位化產品時，須滿足法規要求之網路安全標準，始得於市場上銷售，並應提供清晰易懂之使用說明予消費者，使其充分知悉網路安全相關資訊，且至少應於五年內提供安全維護與軟體更新。 　　《網路韌性法案》將所涵蓋之數位化產品分為三種類別（產品示例可參考法案附件三）：I類別、II類別，以及預設類別。I類別產品之網路安全風險級別低於II類別產品、高於預設類別，須遵守法規要求之安全標準或經由第三方評估；II類別為與網路安全漏洞具密切關連之高風險產品，須完成第三方合格評估始符合網路安全標準；預設類別則為無嚴重網路安全漏洞之產品，公司得透過自我評估進行之。法案另豁免已受其他法律明文規範之數位化產品，惟並未豁免歐洲數位身份錢包、電子健康記錄系統或具有高風險人工智慧系統產品。 　　若製造商未能遵守《網路韌性法案》之基本要求和義務，將面臨高達1500萬歐元或前一年度全球總營業額2.5%之行政罰鍰。各歐盟成員國亦得自行制定有效且合於比例之處罰規則。