IBM Watson Health與FDA合作研究區塊鏈技術之醫療運用

GDPR跨國執法新程序帶來的變革 資訊工業策進會科技法律研究所 2025年12月10日 隨著2025年12月12日歐盟官方公報（Official Journal, OJ）正式發布《一般資料保護規則》（General Data Protection Regulation, GDPR）跨境執法補充程序規則[1]（Regulation (EU) 2025/2518），表彰歐盟立法者在協調GDPR跨境執法邁出關鍵的一步。新規則規範各成員國個資監管機關（Supervisory Authorities, SAs）於執行跨境GDPR投訴與進行案件調查的應遵守程序規則。 壹、立法背景 個資監管機關在其成員領土範圍享有管轄權，惟控制者或處理者於多成員國設立據點或處理資料時，各監管機關必須合作並共享決策，此種方式稱為一站式機制（one-stop-shop mechanism）。營運者主要據點的個資監管機關應負責協調監督任務，該主責之個資監管機關稱為主導監督機關（Lead Supervisory Authority, LSA），與此相對的個資監管機關被稱為相關監督機關（Supervisory Authorities Concerned, CSA），兩者需合作過程中交換相關資訊。此種合作模式偏向分散式執法，而導致個人救濟的遲延、如企業主要據點變更須移轉SA管轄權導致執法程序延宕等諸多功能性缺陷，減損GDPR希望達到的執法一致性[2]。 於此背景下，歐盟執委會（European Commission）便提出了一項補充性規則提案[3]，企圖提高各盟成員個資監管機關跨境執法效率與一致性。這項提案於2025年6月16日達成協議[4]，於2025年10月21日由歐盟議會（European Parliament）宣布通過最終文本，並後續於同年11月17日由歐盟理事會（Council of the European）正式宣布通過，於同年12月12日正式發布於歐盟官方公報（Official Journal, OJ）。 貳、重點概覽 一、 統一的申訴規則 新補充規範適用之前提涉及跨境執法，其具體適用範圍主要有兩類，其一是基於申訴之調查（complaint-based）；第二類是基於職權之調查（ex officio）。此外，涉及跨境處理之案件進行申訴處理與調查，亦包括判定該案件是否屬於跨境處理。 新補充規則進一步調整以往各國不協調的申訴受理標準，建構統一的跨國申訴受理標準。依據新補充規則，提起跨境資料處理的申訴案件，應包含： 1.申訴人之姓名與聯絡資訊； 2.有助於識別被申訴對象（資料控制者或處理者）的資訊； 3.涉及違反GDPR行為之描述。 除前述資訊外，不得要求提供其他額外資訊作為其可受理之要件。監管機關應於2周內評估申訴是否可受理，受理申訴之個資監管機關如認定該申訴未包含前述資訊，應於收到該申訴之兩週內，宣告其為不可受理，並將其理由告知申訴人。 二、程序保障－意見陳述與行政檔案的資訊近用 對於受調查的組織，新補充規則提供相對應的程序保障，以確保個資監管機關做出最終決定前，組織能有意見陳述的機會，也就是意見陳述權（The right to be heard）。 當主導監督機關（Lead Supervisory Authority, LSA）初步認為存在違反GDPR的行為時，必須先擬定「初步調查結果」（preliminary findings）給受調查組織。該初步調查結果必須包含事實、證據和法律評估，以及擬採取的糾正措施（例如罰款）。 初步調查結果通知後，受調查的組織有少至三週時間，至多有六週時間以書面回應或申請聽證。 陳述意見權的配套是對行政檔案之近用權，被調查當事人與申訴人均有權近用行政檔案，但須排除： 1.監管機關內部資訊； 2.商業機密或其他機密資訊。 三、提升案件決策效率的機制 目前對GDPR執法的常見批評之一是決策速度緩慢。新補充規引入較嚴格的決策期限限制和提高效率的機制。 （一） 決策期限 原則上，主導監管機關應於其管轄權獲確認之日起十五個月內提出決定草案；該期間僅得於例外情形下延長一次。 （二） 早期解決程序 引入一套機制來快速處理申訴。如果GDPR違法行為已得到糾正，且投申訴不成立，在申訴人不提出異議的情況下，個資監管機構得逕行結案。 （三） 簡化合作程序 對於「情節明確、無合理疑義」之案件，個資監管機關得選擇採行簡化之合作程序，以避免行政官僚程序所造成之延宕。 參、結語 跨境執法補充程序規則，旨在解決過去跨境個資案件中程序延宕、不一致等長期性問題。具體而言，其措施包含進一步細化申訴可受理標準、明確化調查程序的陳述意見權、行政檔案近用與商業機密保護並提高決策效率。 這套補充規則透過更詳細的規範，補足既有一站式機制的不足，有機會使跨境資料處理申訴案件能更有效率且同時以兼顧透明度與正當程序之方式獲得解決。 [1] Regulation (EU) 2025/2518, O.J. L, 2025/2518, 12.12.2025, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:L_202502518 [2] European Parliament [EP], Newly proposed GDPR procedural rules: Improving efficiency and consistency 4(2024). [3] COM(2023)0348 – C9-0231/2023 – 2023/0202(COD). [4] European Council [EC], Data protection: Council and European Parliament reach deal to make cross-border GDPR enforcement work better for citizens, https://www.consilium.europa.eu/en/press/press-releases/2025/06/16/data-protection-council-and-european-parliament-reach-deal-to-make-cross-border-gdpr-enforcement-work-better-for-citizens/ (last visited Dec.8, 2025)

　　在歷經多次談判會議，由包括美國、歐盟、日本、韓國等11個國家共同參與的「反仿冒貿易協定（Anti-Counterfeiting Trade Agreement, 簡稱ACTA）」，終於在雪梨展開的最後談判回合（11月30日-12月4日）中獲得共識，並於日前正式對外發布ACTA協定文本內容。 　　該協定旨在透過跨國境的國際合作，有效打擊日益猖獗的盜版及仿冒問題，全文共計6章45條文，包括民、刑事執行、邊境措施等，且因應數位化時代對智慧財產權保護所帶來的衝擊，針對數位化環境智慧財產權的執行措施，也有相對應的規定（section 5: Enforcement of Intellectual Property Rights in the Digital Environment）。而ACTA協定文本尚須提交各簽約國政府或國會表決同意的程序，方能生效。 　　以歐盟為例，儘管遭受歐盟境內廣大的批評聲浪，歐盟國會於11月24日以驚險的半數通過爭議許久的「反仿冒貿易協定(Anti-Counterfeiting Trade Agreement, ACTA) 」。歐盟國會宣稱，透過ACTA協定的簽署，以國際合作的方式，將有助於解決現今猖獗的侵權問題，以落實智慧財產權的保障。尤其是針對歐盟境內的地理標誌（如Champagner、Spreewald-Gurken），未來將可透過跨國合作，提升對歐洲企業的保護。雖然現階段仍有許多問題未能達成共識，但至少ACTA協定啟動各國合作打擊仿冒的開端。 　　不過，雖然歐盟執委會一直以來對外“消毒“， ACTA協定的簽署前提是在符合歐盟現行法規的基礎上，並且不會對歐盟人民的基本權、個人隱私權保障造成威脅。但包括電子通　訊傳播業者（e-communications providers）、無疆界醫師組織等團體，都發表聲明，要求歐盟國會確保ACTA協定落實於各會員國內，不會影響改變歐盟既有的法制規範。包括是否引進三振條款，透過網路封鎖手段遏止侵權行為、是否以刑事手段制裁侵權人等爭議，勢必在各歐盟會員國提交其國會表決時，將引起極大的討論。

　　加州是全球第十二大製造二氧化碳排放量的地區，也是美國最重視環境立法的一個州。今年八月底，加州通過全美第一個限制人為溫室效應氣體排放法案－ 2006 年全球溫室效應對策法（ Global Warming Solutions Act of 2006 ），希望透過該法在 2020 年以前，將溫室氣體排放量減至 1990 年的水準（約減少 25% ），而諸如發電廠、水泥工廠等溫室效應氣體最大的來源，則將被要求報告它們的排放量。 　　雖然全球溫室效應對策法中並未規定特別的機制（例如歐盟所採取的排放量交易機制）以達到前述目標，不過加州政府仍希望藉由其率先立法的舉動，能引起全美各地效法，進而「由下而上」（ bottom-up ）促使聯邦政府採取必要措施。 　　目前美國聯邦政府以強制減少溫室氣體排放可能損及經濟，並不應將開發中國家排除在外為由，在 2001 年決定退出有 160 國簽署的京都議定書。不過隨著加州通過 2006 年全球溫室效應對策法，加入歐盟置身於對抗氣候變化的最前線，毋寧也將對華府增加壓力，未來聯邦政府仍須審慎考量是否以強制之立法手段，而非布希政府所偏好的自願性手段，來解決全球暖化的問題。

　　賭博事業之經營是否應由政府獨占之議題，已陸續在歐洲國家產生爭議問題。2007年3月，義大利禁止於英國取得經營賭博事業執照之Stanley公司至義大利提供賭博服務，因此，義大利法院請求歐洲法院判決，以確定此一行為是否違反歐盟自由貿易原則。隨後，歐洲法院做出判決，認定義大利法律禁止未於義大利取得經營執照之公司在義大利境內經營賭博之規定，違反歐盟競爭法及歐盟條約第49條之規定。 　　2007年7月中旬，法國最高法院逆轉了過去禁止Malta’s Zeturf於法國經營經營賭博的見解，而遵循歐洲法院之判決結果，認為禁止賭博事業係違反了歐盟競爭法，以及歐盟條約第49條保障境內服務自由流通之規定，並基於上述理由判決Malta’s Zeturf取得於法國經營線上賭博遊戲之權利。法國法學專家Credric Manara以為，最高法院該判決將可能打開原來由政府獨占的賭博市場，而讓賽馬及其他運動賭博遊戲能擴及其他歐洲國家。 　　法國該向判決卻顯示了法國刑法禁止賭博的規定將無法限制歐盟條約中所保障的自由流通原則，然而，這樣的結果，卻也考驗了以刑法禁止賭博的國家對於法規衝突應如何解決以為之因應。