美國眾議院通過爭議性的GMO產品標示草案

GDPR跨國執法新程序帶來的變革 資訊工業策進會科技法律研究所 2025年12月10日 隨著2025年12月12日歐盟官方公報（Official Journal, OJ）正式發布《一般資料保護規則》（General Data Protection Regulation, GDPR）跨境執法補充程序規則[1]（Regulation (EU) 2025/2518），表彰歐盟立法者在協調GDPR跨境執法邁出關鍵的一步。新規則規範各成員國個資監管機關（Supervisory Authorities, SAs）於執行跨境GDPR投訴與進行案件調查的應遵守程序規則。 壹、立法背景 個資監管機關在其成員領土範圍享有管轄權，惟控制者或處理者於多成員國設立據點或處理資料時，各監管機關必須合作並共享決策，此種方式稱為一站式機制（one-stop-shop mechanism）。營運者主要據點的個資監管機關應負責協調監督任務，該主責之個資監管機關稱為主導監督機關（Lead Supervisory Authority, LSA），與此相對的個資監管機關被稱為相關監督機關（Supervisory Authorities Concerned, CSA），兩者需合作過程中交換相關資訊。此種合作模式偏向分散式執法，而導致個人救濟的遲延、如企業主要據點變更須移轉SA管轄權導致執法程序延宕等諸多功能性缺陷，減損GDPR希望達到的執法一致性[2]。 於此背景下，歐盟執委會（European Commission）便提出了一項補充性規則提案[3]，企圖提高各盟成員個資監管機關跨境執法效率與一致性。這項提案於2025年6月16日達成協議[4]，於2025年10月21日由歐盟議會（European Parliament）宣布通過最終文本，並後續於同年11月17日由歐盟理事會（Council of the European）正式宣布通過，於同年12月12日正式發布於歐盟官方公報（Official Journal, OJ）。 貳、重點概覽 一、 統一的申訴規則 新補充規範適用之前提涉及跨境執法，其具體適用範圍主要有兩類，其一是基於申訴之調查（complaint-based）；第二類是基於職權之調查（ex officio）。此外，涉及跨境處理之案件進行申訴處理與調查，亦包括判定該案件是否屬於跨境處理。 新補充規則進一步調整以往各國不協調的申訴受理標準，建構統一的跨國申訴受理標準。依據新補充規則，提起跨境資料處理的申訴案件，應包含： 1.申訴人之姓名與聯絡資訊； 2.有助於識別被申訴對象（資料控制者或處理者）的資訊； 3.涉及違反GDPR行為之描述。 除前述資訊外，不得要求提供其他額外資訊作為其可受理之要件。監管機關應於2周內評估申訴是否可受理，受理申訴之個資監管機關如認定該申訴未包含前述資訊，應於收到該申訴之兩週內，宣告其為不可受理，並將其理由告知申訴人。 二、程序保障－意見陳述與行政檔案的資訊近用 對於受調查的組織，新補充規則提供相對應的程序保障，以確保個資監管機關做出最終決定前，組織能有意見陳述的機會，也就是意見陳述權（The right to be heard）。 當主導監督機關（Lead Supervisory Authority, LSA）初步認為存在違反GDPR的行為時，必須先擬定「初步調查結果」（preliminary findings）給受調查組織。該初步調查結果必須包含事實、證據和法律評估，以及擬採取的糾正措施（例如罰款）。 初步調查結果通知後，受調查的組織有少至三週時間，至多有六週時間以書面回應或申請聽證。 陳述意見權的配套是對行政檔案之近用權，被調查當事人與申訴人均有權近用行政檔案，但須排除： 1.監管機關內部資訊； 2.商業機密或其他機密資訊。 三、提升案件決策效率的機制 目前對GDPR執法的常見批評之一是決策速度緩慢。新補充規引入較嚴格的決策期限限制和提高效率的機制。 （一） 決策期限 原則上，主導監管機關應於其管轄權獲確認之日起十五個月內提出決定草案；該期間僅得於例外情形下延長一次。 （二） 早期解決程序 引入一套機制來快速處理申訴。如果GDPR違法行為已得到糾正，且投申訴不成立，在申訴人不提出異議的情況下，個資監管機構得逕行結案。 （三） 簡化合作程序 對於「情節明確、無合理疑義」之案件，個資監管機關得選擇採行簡化之合作程序，以避免行政官僚程序所造成之延宕。 參、結語 跨境執法補充程序規則，旨在解決過去跨境個資案件中程序延宕、不一致等長期性問題。具體而言，其措施包含進一步細化申訴可受理標準、明確化調查程序的陳述意見權、行政檔案近用與商業機密保護並提高決策效率。 這套補充規則透過更詳細的規範，補足既有一站式機制的不足，有機會使跨境資料處理申訴案件能更有效率且同時以兼顧透明度與正當程序之方式獲得解決。 [1] Regulation (EU) 2025/2518, O.J. L, 2025/2518, 12.12.2025, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:L_202502518 [2] European Parliament [EP], Newly proposed GDPR procedural rules: Improving efficiency and consistency 4(2024). [3] COM(2023)0348 – C9-0231/2023 – 2023/0202(COD). [4] European Council [EC], Data protection: Council and European Parliament reach deal to make cross-border GDPR enforcement work better for citizens, https://www.consilium.europa.eu/en/press/press-releases/2025/06/16/data-protection-council-and-european-parliament-reach-deal-to-make-cross-border-gdpr-enforcement-work-better-for-citizens/ (last visited Dec.8, 2025)

　　德國聯邦議會通過電力市場發展法(Gesetze zur Weiterentwicklung des Strommarktes)和能源轉型的數位化法(Gesetze zur zur Digitalisierung der Energiewende)。 　　本次新制定之電力市場法，是90年代後德國電力市場重大發展。目的在於調適電力市場，以配合當今德國快速成長的再生能源發電比例。為使電力供應繼續保持合理價格和電力供應可靠安全，在確認未來電力市場發展繼續朝向增加越來越多風力發電和太陽能發電之路線的同時，預先架構法制環境，為將來配合運用發電端的彈性、需求端彈性與電力儲存技術，確定電力市場發展方向和框架條件。在上述等規範之下，電力交易商有義務，亦即售電者應該設法建構自身電量儲備作為因應，在電網需要時饋入電網，為供電安全提供必要準備。另外在注重必要容量儲備上之投資外，亦強調電力批發市場上的自由定價原則，維持整體市場所需容量在均衡、平衡之穩定電力供應狀態。 　　另外，能源轉型數位化法則是使電力部門成為創新之有效制度工具。蓋其作為基礎建設，使新創業模式，例如藉由與消費者持有之再生能源發電設備之連結，發展出新商業獲利模式。修法核心內容係引入智慧量測系統，功能在於作為安全的通訊平台，使電力供應系統能夠配合能源轉型發揮最大功用。 　　最後，為配合巴黎協定後德國環境政策，在遏止溫室效應氣體的實施具體作為，電力市場法一部份重要內容在於暫時停止褐煤電力電廠發電運轉。配合電網安定的調度需求，僅在指定時間內，使其成為電力安全預備，並最終不再使用褐煤發電，以實現到2020年德國在電力部門的氣候目標。 　　德國完成電力市場法，結束由“綠皮書”和“白皮書”開始的進程，與鄰國經過廣泛的公眾諮詢和協調會議之後，最終選擇電力市場2.0與市場自由定價的機制，而反對所謂的容量市場。決定性的因素在於，如此一來政策所需花費的成本較另一選項來得低，且更容易使德國融入歐洲電力單一市場架構。依據本法新創建的容量儲備，將與電力市場中其他電力嚴格區分，專門作為應對突發事件額外的安全網。 　　在「區域合作聯合聲明」中，德國經濟與能源部長於2015年6月8日與11鄰國商討後決定，保證在電力短缺和高電價時，德國側將提供電力的自由定價和跨境交易，如此一來可用更低成本以生產電力，德國和周邊國家的內部單一市場在此看到了巨大的經濟優勢。 　　與歐洲各國相較，德國在電力供應安全議題上處於領先地位。再加上新的電力市場法，預計未來幾年電力市場能夠達到持續健全發展之目標。

　　歐盟委員會與美國白宮於2022年3月25日發布聯合聲明，宣布雙方已就新的跨大西洋資料傳輸框架達成原則性協議。此舉旨在因應2020年7月歐盟法院（Court of Justice of the European Union）於Schrems II案的判決中宣告「歐盟—美國隱私盾協定」（EU-US Privacy Shield Framework）不符合歐盟一般資料保護規則（General Data Protection Regulation, GDPR）而無效。依照該聯合聲明，新的框架將在雙方間資料流動的可預測性、可監督性、可信賴性以及可救濟性等方面進行補強，以充分維護公民的隱私與自由權利。 　　目前，該框架仍處於原則性協議的階段，具體細節仍有待後續談判。聯合聲明指出，美國在下列三個方面做出了「重大承諾」： 加強控管美國的情報活動，以確保所追求國家安全目的適法，且所採取的手段係在必要範圍內，而未過度侵犯公民的隱私與自由。 建立具有約束力且獨立的多層次救濟機制，其中包含一個由非政府人員所組成的「個人資料保護審查法院」，並賦予該組織完全的審判權。 針對情報活動強化分層且嚴格的行政監督機制，以確保其合乎隱私與自由的新標準。 　　上述原則性協議的達成，表面上無疑是一項好消息，將有助於解決雙方跨境資料傳輸的法源爭議，並避免持續演變成嚴重的歐美貿易爭端。然而，美國政府能否順利將新框架轉化為具有約束力的國內行政命令，仍存在相當多的不確定因素。若結果為否，則最終亦難以達成取得歐盟根據GDPR所為「適足性認定」（adequacy decision）的政策目標。

　　美國白宮為避免由聯邦補助的生物科技研究案，因研究涉及具危險性生物，而不經意製造出生化武器，繼此於2014年9月24日由國家衛生研究院（National Institutes of Health，NIH）和白宮科技政策辦公室（White House Office of Science and Technology）共同提出新規範，即「美國政府對生物科學雙重用途研究與考量的機構監督政策」（United States Government Policy for Institutional Oversight of Life Sciences Dual Use Research of Concern），旨在加強由聯邦預算補助的生物雙重用途研究（Dual Use of Research）安全性。 　　前述生物科技研究中的生物雙重用途研究，意指以增進公共衛生、國家安全、農業、環境等為主旨的生命科學研究之外，尚有其他具殺傷力或致命性的合法研究，例如合成病毒、除草劑等。早於2013年，美國白宮即已開始實施「美國政府對生物科學雙重用途研究與考量的監督政策」（United States Government Policy for Oversight of Life Sciences Dual Use Research of Concern），惟本次另以機構為主要規範對象。而作成新規範之重點分述為三如下： 1.原先以補助單位（通常為國家衛生研究院），為具危險性生物研究案為監督、責成單位，現將該監督責任歸屬移轉至取得相關補助的科學家、大學或研究機構。 2.從事相關具危險性生物研究之科學家，必須通報其所屬機構，並且須召開審查委員會評估相關風險，亦須通知聯邦層級的補助單位。此外，該科學家與其機構必須提交一份風險防範之計畫書，例如建立生物安全等級（biosafety rating）較高的實驗室等。 3.違反相關規範之受補助對象，將面臨中止、限制或終止補助之處分，甚至失去申請未來聯邦補助單位所補助一切與生命科學相關研究補助的機會。