何謂「工業4.1J（Japan Industry 4.1J）」？

　　德國經濟及能源部於2018年3月8日為企業聯網資訊安全保護措施建議及資料保護、資料所有權相關法規提出建議文件，協助中小企業提升對於組織及特別領域中的資安風險之意識，並進一步採取有效防護檢測，包括基本安全防護措施、組織資安維護、及法規，並同時宣導德國資料保護法中對於資安保護的法定要求。 　　資通訊安全及其法規係為企業進行數位化時，涉及確保法的安定性（Rechtssicherheit）之議題。例如：應如何保護處理後的資料？如何執行刪除個人資料權利？各方如何保護營業秘密？如果資料遺失，誰應承擔責任？唯有釐清上述相關等問題時，方能建立必要的信任。而在德國聯邦資料保護法，歐盟一般個人資料保護法、歐盟網路與資訊安全指令等規範及相關法律原則，係為數位創新企業執行資安基礎工作重要法律框架。但是，由於數位化的發展，新的法律問題不斷出現，目前的法律框架尚未全面解決。 　　例如，機器是否可以處理第三方資料並刪除或保存？或是誰可擁有機器協作所產生的資料？因此，未來勢必應針對相關問題進行討論及規範。鑑於日益網路化和自動運作的生產設備，工業4.0的IT法律問題變得複雜。一方面，需要解決中、大型企業的營業祕密，資料所有權和責任主題之實際問題，以促進相關數位化創新。另一方面，為了能夠推導出現實的法律規範，需要更多具體實施案例討論，例如，企業家對產品責任問題，人工智慧使用，外包IT解決方案，及雲端計算等核心等問題，政府應協助為所有公司在安全框架下展開數位計畫合作的機會，並充分利用網路的潛力，而中小企業4.0能力中心也將為中小型公司在數位化目標上提供IT法問題方面的支持。

日本獨立行政法人情報處理推進機構（Information-technology Promotion Agency，下稱IPA）於2026年1月29日發布「2026年10大資訊安全威脅」，呼籲企業應留意自身資訊安全防護對策。 IPA將2026年10大資訊安全威脅區分為「組織」與「個人」兩大面向。在組織面向的威脅中，前三位依序為勒索病毒攻擊、針對供應鏈或委託方的攻擊，以及AI應用所帶來的網路風險。其中，「AI應用所帶來的網路風險」是自2016年IPA開始進行資訊安全威脅調查以來，首度入選前10大威脅，其風險內容主要為使用者對AI技術缺乏充分了解而導致的資訊外洩，或是由於AI遭惡意濫用，進而降低網路攻擊的門檻等風險。 此外，2026年10大資訊安全威脅第四至第十名依序分別為，針對系統漏洞的攻擊、竊取機密資訊的攻擊、由地緣政治風險引起的網路攻擊（包含資訊戰）、內部違規行為導致的資訊外洩、針對遠距工作環境的攻擊、分散式阻斷服務攻擊，以及商務電子郵件詐欺。從10大資訊安全威脅之內涵可知，多數資安威脅均與資訊外洩或惡意攻擊相關，顯見資訊的價值與重要度在現代數位化社會中日益提升。 臺灣企業如欲強化資訊安全防護對策，並針對資料本身進行妥善管理，建議參考資訊工業策進會科技法律研究所創意智財中心（資策會科法所創智中心）發布之《重要數位資料治理暨管理制度規範》，建立涵蓋數位資料生命週期之資料治理機制，同時參考該中心發布之《營業秘密保護管理規範》、《營業秘密管理指針2.0》，建立營業秘密管理措施或相關機制，避免具備機敏性或屬於營業秘密之資訊外洩。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

「歐洲資料保護委員會」（European Data Protection Board, EDPB）於2025年9月12日發布《數位服務法》（Digital Services Act, DSA）與《一般資料保護規則》（General Data Protection Regulation, GDPR）交互影響指引（Guidelines 3/2025 on the interplay between the DSA and the GDPR）。這份指引闡明中介服務提供者（intermediary service providers）於履行DSA義務時，應如何解釋與適用GDPR。 DSA與GDPR如何交互影響？ 處理個人資料的中介服務提供者，依據處理個資的目的和方式或僅代表他人處理個資，會被歸屬於GDPR框架下的控制者或處理者。此時，DSA與GDPR產生法規適用的交互重疊，服務提供者需同時符合DSA與GDPR的要求。具體而言，DSA與GDPR產生交互影響的關鍵領域為以下： 1.非法內容檢測（Illegal content detection）：DSA第7條鼓勵中介服務提供者主動進行自發性調查，或採取其他旨在偵測、識別及移除非法內容或使其無法存取的措施。指引提醒，中介服務提供者為此採取的自發性行動仍須遵守GDPR要求的處理合法性，而此時最可能援引的合法性依據為GDPR第6條第1項第f款「合法利益」（legitimate interests）。 2.通知與申訴等程序：DSA所規定設通報與處置機制及內部申訴系統，於運作過程中如涉及個資之蒐集與處理，應符GDPR之規範。服務提供者僅得蒐集履行該義務所必須之個人資料，並應確保通報機制不以通報人識別為強制要件。若為確認非法內容之性質或依法須揭露通報人身分者，應事前告知通報人。同時，DSA第20條與第23條所規範之申訴及帳號停權程序，均不得損及資料主體所享有之權利與救濟可能。 3.禁止誤導性設計模式（Deceptive design patterns）：DSA第25條第1項規範，線上平台服務提供者不得以欺騙或操縱其服務接收者之方式，或以其他實質扭曲或損害其服務接收者作出自由且知情決定之能力之方式，設計、組織或營運其線上介面，但DSA第25條第2項則宣示，線上平台提供者之欺瞞性設計行為若已受GDPR規範時，不在第25條第1項之禁止範圍內。指引指出，於判斷該行為是否屬 GDPR 適用範圍時，應評估其是否涉及個人資料之處理，及該設計對資料主體行為之影響是否與資料處理相關。指引並以具體案例補充，區分屬於及不屬於 GDPR 適用之欺瞞性設計模式，以利實務適用。 4.廣告透明度要求：DSA第26條為線上平台提供者制定有關廣告透明度的規範，並禁止基於GDPR第9條之特別類別資料投放廣告，導引出平台必須揭露分析之參數要求，且平台服務提供者應提供處理個資的法律依據。 5.推薦系統：線上平台提供者得於其推薦系統（recommender systems）中使用使用者之個人資料，以個人化顯示內容之順序或顯著程度。然而，推薦系統涉及對個人資料之推論及組合，其準確性與透明度均引發指引的關切，同時亦伴隨大規模及／或敏感性個人資料處理所帶來之潛在風險。指引提醒，不能排除推薦系統透過向使用者呈現特定內容之行為，構成GDPR第22條第1項的「自動化決策」（automated decision-making），提供者於提供不同推薦選項時，應平等呈現各項選擇，不得以設計或行為誘導使用者選擇基於剖析之系統。使用者選擇非剖析選項期間，提供者不得繼續蒐集或處理個人資料以進行剖析。 6.未成年人保護：指引指出，為了符合DSA第28條第1項及第2項所要求於線上平台服務中實施適當且相稱的措施，確保未成年人享有高度的隱私、安全與保障，相關的資料處理得以GDPR第6條第1項第c款「履行法定義務」作為合法依據。 7.系統性風險管理：DSA第34與35條要求超大型在線平台和在線搜索引擎的提供商管理其服務的系統性風險，包括非法內容的傳播以及隱私和個人數據保護等基本權利的風險。而指引進一步提醒，GDPR第25條所設計及預設之資料保護，可能有助於解決這些服務中發現的系統性風險，並且如果確定系統性風險，根據GDPR，應執行資料保護影響評估。 EDPB與其他監管機關的後續？ EDPB的新聞稿進一步指出，EDPB正在持續與其監管關機關合作，以釐清跨法規監理體系並確保個資保護保障之一致性。後續進一步的跨法域的指引，包含《數位市場法》（Digital Markets Act, DMA）、《人工智慧法》（Artificial Intelligence Act, AIA）與GDPR的相互影響指引，正在持續制定中，值得後續持續留意。

　　歐盟實施能源標示(Energy Label)制度已屆滿20週年，目前能源標示制度下，主要針對家電產品(house appliances)之能源標示進行管制，共分為七個層級，即A、B、C、D四等級外，另於能源效率表現較好之A等級之上，再行劃分A+、A++、A+++三等級。 　　歐盟執委會於2012年10月下旬公告能源標示市場調查研究，期在目前能源標示制度(Directive 2010/30/EU)下，探究未來二種可導入的模式: 模式一，導入碳足跡(carbon footprint)、水足跡(water footprint)、資源消耗(resource depletion)、水毒性(water eco-toxicity)等四種環境衡量指標；模式二，僅導入碳足跡(carbon footprint)衡量指標。本研究旨在建立是否上述二種模式能鼓勵消費者採購更佳環境友善的產品，其次，測試消費者對於不同節能績效產品之採購意願。 　　本研究報告分為三大面向，第一大面向，檢視當前能源相關標示制度與資料，分析產品的碳足跡和環保標示。第二大面向，擇定三個市場，進行消費者質化研究。第三大面向，擇定九個市場並六千名消費者，就消費者之行為調查。 　　觀歐洲議會已於2012年底就若干產品之能源標示進行審議，與歐盟經貿關係亦屬密切之台灣當持續關注此項議題。