勢在必行的全球企業最低稅負制

歐盟於2024年4月26日通過重型車輛二氧化碳排放性能標準（Regulation （EU）2019/1242）修正案，加速交通運輸部門的脫碳進程，以實現2050年淨零排放目標。修法重點如下： （1）擴大適用範圍：除了現有的卡車外，亦納入市區公車、長途巴士（7.5噸以上）、拖車等車型，如垃圾車等特種車輛也將從2035年起納入管制。而歐盟執委會將於2027年評估是否將5噸以下小型貨車也納入規範。 （2）明確減排目標：要重型車輛的二氧化碳排放量在2030年、2035年和2040年分別較2019年減少45%、65%和90%。求2030年起，90%的新售市區公車必須為零排放車輛，並在2035年達到100%零排放。 （3）技術中立原則：允許製造商選擇電動化、氫燃料電池或氫內燃機等不同技術路線來達成減排目標。 （4）豁免及彈性條款：針對礦業、林業和農業用車，以及軍用、緊急救災和醫療用途車輛等特殊用途車輛，或年產量低於100輛的小型製造商，新法將不強制納管。且為確保產業公正轉型，歐盟也提供相關培訓和資金援助，協助產業轉型和勞工技能提升。 歐盟執委會將於2027年評估這項規範的實施成效，並考慮納入更多車型、制定全生命週期碳排放計算方法，以及評估可再生燃料在交通運輸部門脫碳進程中的作用。

歐盟GDPR保護適足性審核與因應作為 資訊工業策進會科技法律研究所 法律研究員　吳柏凭 2018年04月10日 壹、事件摘要 　　歐盟於 1995 年頒布個人資料保護指令(95/46/EC)[1]，對歐洲各國甚至全世界個人資料保護法制發展有極大影響力。然隨著資通訊技術發展變化迅速，網際網路與各項應用興起，既有歐盟個人資料保護指令面對這些變化已經難以為繼，歐盟執委會(European Commission) 出新的資料保護規則（General Data Protection Regulation, GDPR），於2016年4月27日通過，5月4日公布，正式成為歐盟第2016/679號規則（Regulation (EU) 2016/679）[2]。由於歐盟原則上禁止個人資料跨境傳輸，只有在被認可具有保護適足性(Adequate level of protection)的國家或地區才能例外許可傳輸，因此如何獲得歐盟保護適足性認可，就成為能否跨境傳輸歐盟個資的關鍵。 貳、重點說明 一、個人資料保護指令保護適足性審查規定 　　1995年的個人資料保護指令，就有禁止會員國將個人資料跨境傳輸至對資料保護不具有保護適足性之國家[3]。在第25條第2項中，對於保護適足性的審查，包括資料的性質、處理目的和期間、資料的發生地及最終目的地、該國家施行的普通法及特別法規範、以及安全措施等，透過個案綜合判斷是否具有保護適足性[4]。而關於具體的判斷標準，則依照第29條規定資料保護工作小組（Article 29 Data Protection Working Party）的指導文件[5]，其中對於法律規範審查，除了內容外，更重視個資保護的執行面。 二、GDPR保護適足性審查規定 　　GDPR延續了個人資料保護指令的規定，原則上禁止資料跨境傳輸至對資料保護不具有適足性之國家[6]。根據第45條第2項規定，適足性的評估包括以下要素： 法治、對人權與基本自由之尊重、一般與部門之相關立法，包括有關公共安全、防衛、國家安全及刑法、公務機關對個人資料之接近使用權、及該等立法、資料保護規則、專業規則及安全措施之執行。 有一個或以上獨立監管機關之存在及有效運作，或對象為國際組織時，確保及執行資料保護規則之遵守，包括充足之執行權，以協助及建議資料主體行使其權利，並與會員國之監管機關合作； 個人資料向其他第三國或國際組織進一步移轉，該其他第三國或國際組織之規則、判例法、及有效且可執行之資料主體權利及個人資料受移轉之資料主體有效之行政與司法救濟；第三國或國際組織所加入之國際協定，或其他因具法律拘束力之合約或辦法、及從其參與多邊或區域體系而生之義務，尤其關於個人資料保護者。 　　以上規定與個人資料保護指令最大不同在於將保護適足性的判斷標準明文化，同時補充個人資料向第三地再傳輸應注意的規範、具有獨立性監管機關等規定，填補原本個人資料保護指令的漏洞。 三、保護適足性認可程序與現況 　　保護適足性認可的程序[7]為： 來自歐盟執委會的提案。 得到由歐盟各國資料保護機關組成之作業會議(European Data Protection Board)的意見。 得到歐盟各國代表的承認。 歐盟執委會合意認可。 　　縱然取得認可，之後也會每四年檢驗一次[8]，如果被判定不具保護適足性，則仍會取消原本的認可[9]。 　　現階段已通過保護適足性審核的國家地區包括：安道爾、阿根廷、加拿大（民間機構）、法羅群島、根西島、以色列、馬恩島、澤西島、紐西蘭、瑞士及烏拉圭，另有美國限於「隱私盾」框架(Privacy Shield framework)方可傳輸。 參、事件評析 （一）保護適足性認可的效益 　　除了取得適足性認可外，個別企業可以透過1.標準契約條款(Standard Contractual Clauses, SCC)；2.拘束企業準則(Binding Corporate Rules, BCR)；或3.取得同意方式進行跨境傳輸[10]。但是取得適足性認可不但可以節省企業在個資跨境傳輸的成本，減輕企業負擔，同時也有助於整體產業突破歐盟貿易壁壘。 （二）通過保護適足性審核的困難 　　雖然現行通過適足性審核的國家地區有11個，惟需注意的是，根西島、馬恩島、以及澤西島都是英國屬地，法羅群島是丹麥屬地，而安道爾和瑞士都是在歐洲境內，這些國家地區的法規範本來就與歐盟差距不大，加上美國及加拿大國家本身不被認可具適足性，實際上不屬於歐盟法體系而通過適足性審核的國家地區非常有限。而且包括以色列、烏拉圭或紐西蘭在申請認可都花超過三年的時間，因此也不能作為短期的因應措施。 　　此外，在要件方面，規範上雖然我國個資保護規範與GDPR未有極大歧異，但只要存有差異，要取得認可就有極高困難度，這些都需要與歐盟執委會溝通。而在監管機關要求方面，雖然沒有要求單一機關，但對於機關的「獨立性」仍有要求。關於機關的獨立性目前歐盟並沒有明確的標準，但在歐盟法院判決中，有因為德國的州對州層級的資料監管機關進行調查的權力，而被認為不具獨立性[11]。 （三）通過適足性審核的具體作為 　　以日本為例，為了取得歐盟適足性認可，在2015年9月就其個人資料保護法（個人情報保護法）進行修正，其中設立個人資料保護委員會（個人情報保護委員会）即是為了符合適足性要求中「獨立監管機關」規定，而第24條跨境傳輸的規定更是重要。 　　日本個人資料保護委員會在2016年就與歐盟執委會溝通三次[12]，同時在2017年發出共同聲明[13]。在不修正法律的狀況下，日本個人資料保護委員會頒布一指導方針來消除差異，並於於2018年2月9日先揭示調適方向[14]，包括： 將歐盟視為敏感性個人資料而日本未明文規定者，解釋上一律視為敏感性個人資料。 歐盟不管個人資料保管期間，一律可以主張權利，而日本則限保管期間6個月以上方可主張權利。指導方針對於歐盟跨境傳輸的個資，不管保管期限一律許其主張權利。 對歐盟跨境傳輸的個資將要求揭露特定利用目的。 對於歐盟跨境傳輸的個資再移轉，必需要透過契約等規制，確保資料受保護水準。 關於歐盟跨境傳輸的個資，在去識別化一定要確認無法再識別，以與歐盟去識別化資料定義相符。 肆、結語 　　歐盟GDPR已施行在即，如何因應以突破其跨境傳輸的限制將不只是單純避免業者受罰，更是跨越歐盟貿易壁壘的重要關鍵，而在眾多例外許可跨境傳輸的方法中，又以取得保護適足性認可為最根本因應之道。雖然現在取得認可的難度極高，但仍有許多能努力的空間，目前我國也著手申請適足性認可的準備，未來能得到何種程度的回應，值得後續觀察。 [1] Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with regard to the Processing of Personal Data and on the Free Movement of Such Data. [2] Reform of EU data protection rules, European Commission, http://ec.europa.eu/justice/data-protection/reform/index_en.htm (last visited Apr.10, 2018). [3] Data Protection Directive, art. 25(1). [4] Data Protection Directive, art. 25(2). [5] European Commission, Working Party on Protection of Individuals with regard to the Processing of Personal Data, Working Documents Transfers of personal data to third countries: Applying Articles 25 and 26 of EU data protection directive, July 24, 1998. [6] General Data Protection Regulation, art. 45. [7] Adequacy of the protection of personal data in non-EU countries, https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en (last visited Apr.10, 2018). [8] General Data Protection Regulation, art. 45(3). [9] General Data Protection Regulation, art. 45(5). [10] General Data Protection Regulation, art. 46. [11]European Commission v. Federal Republic of Germany(C-518/07). [12]個人情報保護委員会，個人情報保護委員会の国際的な取組について，https://www.kantei.go.jp/jp/singi/keizaisaisei/miraitoshikaigi/4th_sangyokakumei_dai2/siryou3.pdf (last visited Apr.10, 2018). [13]JETRO，個人データ保護の「十分性認可」取得の好機に－日EU首脳が共同声明－，https://www.jetro.go.jp/biznews/2017/07/845f14ec50674c94.html (last visited Apr.10, 2018). [14]個人情報保護委員会，EU 域内から十分性認可により移転を受けた個人データの取扱いに関するガイドラインの方向性について ，https://www.ppc.go.jp/files/pdf/300209_siryou1.pdf (last visited Apr.10, 2018).

　　根據Ponemon Institute的調查，2011年至2012年中，英國企業資料侵害事故平均成本增加了15%。賽門鐵克指出，若企業備有正式的事故應變計畫，每件資料侵害事故的平均成本會降低至13英磅左右。除此之外，雇用外部顧問來協助應變，每件資料侵害事故的平均成本也會節省4英磅。 　　依據新的資料保護法律架構，歐盟委員會日前已開始擬訂新的資料侵害事故通知制度。同時，根據不同委員會的需求，未來將針對特定產業，制定新的網路與資訊安全管理規範。。 　　專家評估未來責任保險將成為確保資訊安全的新潮流。企業藉由事先擬定事故應變計劃來降低資料侵害的風險，同時也進行風險轉移的處置措施。各項事故應變計劃之中，保險制度是企業目前較感興趣的措施之一。保險制度除了可用於風險轉移之外，企業還可以從中取得資料侵害事故的專家網絡。這些專家包含事故鑑定專家、公共關係專家、風險管理專家，信用監測提供者或是資料侵害事故的事務處理公司，例如：協助發送事故通知的公司。保險業建置的專家網絡，未來將可以幫助要保人，以最快最省成本的方式處理相關事故。

日本修正施行藥機法與醫療法以強化藥品供應韌性 資訊工業策進會科技法律研究所 2026年03月10日 日本政府為因應後疫情時代全球供應鏈失衡，以及國內學名藥產業因品質違規（GMP）引發的結構性缺藥危機，徹底解決國內藥品供應鏈之脆弱性，於 2025 年（令和 7 年）5 月 14 日國會表決通過《確保藥品及醫療器材等之品質、有效性及安全性法》（下稱《藥機法》）與《醫療法》等之修正法（令和7年法律第37號），並自同年 11 月 20 日起分階段施行。此項歷史性改革象徵日本為了確保藥品供應韌性，從藥事管制與確保醫療提供體制之觀點，將企業的自主遵從正式躍升為國家經濟安全保障之核心位階。管理手段亦從過往的行政上通知，轉向具備法律強制力之「韌性監控體系」。 壹、立法背景 2020 年底，日本因日醫工、小林化工等學名藥龍頭發生大規模 GMP 違規，引發震驚全國的缺藥潮，徹底暴露日本醫藥產業的四大結構性危機：首先是「少量多品目」特徵與惡性低價競爭導致產業結構失衡，使企業陷入收益低且產線缺乏彈性的惡性循環；其次是每年藥價改訂持續壓縮利潤，致使醫療必需藥品難以維持生產成本；再者是 API 原藥料高度依賴中、韓、印等海外市場，造成嚴重的供應鏈脆弱性；最後則是產銷資訊不透明與總價議價機制導致流通失靈，誘發恐慌性囤貨。厚勞省體認到單靠市場機制與行政指導已難以為繼，遂決定修訂《藥機法》與《醫療法》，將供應安全提升至法律位階，建立國家主導的「強韌性監控體系」，從根本強化藥品供應韌性。 貳、立法重點說明 本次修法首要戰略係建立由廣入深之金字塔監控體系。 一、特定藥品（處方藥）的基礎監控 （一）特定藥品之申報義務 依據修正後《藥機法》新設「特定藥品」定義，將絕大多數處方藥納入監控，確立「常態性申報義務」。製造販賣業者負有定期申報製造、進口及銷售流量數據之法定義務，旨在消除資訊黑洞並實現供應鏈可視化。 （二）供應不穩之報告與公開 製造販賣業者若發生出貨停止或限制出貨情形，或預見 6 個月內有發生之虞，應向厚勞大臣報告。大臣應將該申報內容公開，並得要求相關業者（含批發商）就製造、銷售、授與狀況提出報告，以利掌握替代藥品之供應現狀。 （三）請求相關業者協力（醫療法權限） 大臣針對特定藥品供應不足或具極大可能性（蓋然性）時，得要求供應端（藥廠、批發商）增產或調整銷售；針對使用端（藥局、醫院），得要求在調劑或處方上採取適當配慮（如節約使用）。 （四）設置供應體制管理責任者 藥廠必須指定專門負責人，其法律地位與品質負責人對等，專職負責供應鏈風險管理。若違反義務，行政機關可命強制撤換該負責人。 二、戰略保衛層：醫療法上「供給確保藥品」之計畫管理 針對前述特定藥品中，大臣得指定「醫療上不可或缺」且「供需風險顯著」之品項為「供給確保藥品」或「重要供給確保藥品」。 （一）藥品分類標準與指定 厚勞大臣衡量疾病嚴重性、有無替代療法及供應鏈狀況等，綜合考量後進行指定，並將藥品依重要性分為三類： 1. A類： 斷貨將直接危及生命且無替代藥（如全麻劑、碳青黴烯類抗生素）。 2. B類： 臨床必需，替代藥切換具高度挑戰（如抗癲癇藥、窄治療窗口藥品）。 3. C類： 臨床常用藥，替代容易且供應來源分散（如一般血壓藥）。 厚勞省於2025年11月10日公告（厚生勞動省告示第292號）供給確保藥品及重要供給確保藥品清單，並自同年月20日起實施。供給確保藥品共762成分，其中重要供給確保藥品清單75成分（A+B）[1]，其管制強度由強至弱。A類與B類之差異為相對性之結果，其因指定所產生之法律效果相同。 （二）上游管理與強化義務 指定對象包含「製造該藥品不可或缺之原料或材料」，將管理延伸至活性成分（API）及關鍵賦形劑。業者負有強化義務，包括遵循「穩定供應確保指針」、配合平時監測及遵循行政機關之協力要請。 （三）平時監測配合義務，接受政府針對供應鏈穩定性之常態化檢查與壓力測試。 （四）.協力要求之遵循，當供應不足出現徵兆時，行政機關可發布正式之「協力要求」，要求業者調整出貨計畫或優先供給特定醫療機構。 三、重要供給確保藥品之強制義務 針對「重要供給確保藥品」，厚勞大臣擁有兩階段強大權限： （一）預防階段：發布「未然防止措置指示」 若合理判斷存在供應不足之蓋然性，大臣得指示業者擬定並申報「供給不足未然防止措置計畫」。業者負有法定義務執行預防措施，如原料多軌化或增加庫存儲備。 （二）危機階段：發布「增產等指示」 當「現已供應不足」或不足之蓋然性特別高時，大臣得指示業者擬定並申報「製造或輸入計畫」。此機制賦予政府在市場失靈時直接介入，將企業計畫轉化為法律強制義務。 參、立法評析與建議 日本此次修正施行之核心在於使藥品供應韌性具備強制性法律基礎。將通報門檻提前至「預見風險之虞」，並擴大監控範圍至關鍵原料，確保行政機關得以早期介入。並建立法治化的管制手段，賦予主管機關下達「強制增產指令」與「流向調控指令」的法源，並將批發商納入義務對象，確保調度實效性。 我國115年3月4日公布修正《藥事法》，核心為確立必要藥品「常態性申報義務」，要求藥商定期回報產銷數據並於六個月前預警缺藥（§27-2）；授權主管機關得限制供應流向及專案核准替代品（§27-3）（以上兩條另訂施行日期）；並擴大緊急專案核准之要件（§48-2）。違者最高可處200萬元罰鍰。此舉標誌著我國由被動通報正式轉向主動監控機制。 相較於日本將監控觸角延伸至上游原料（API）並賦予政府下達「強制增產指令」的剛性權力，臺灣新法雖強化了監控與流向限制，但管理深度仍侷限於成品藥。日本的「分級管理」與「專職管理員」制度，相較臺灣現行的必要藥品申報，展現出更具層次感的精準干預能力與法律規範力。 [1]2021年厚勞省以「安定確保藥品」名稱，公布第一次關鍵藥品清單共506成分，其中A成分21種、B成分29種。本次藥機法法律明文定為「供給確保藥品」清單增加約1/3成分。