歐盟發布新版「向第三國傳輸個人資料標準契約條款」

法國國家資訊自由委員會（Commission Nationale de l'Informatique et des Libertés, CNIL）於2025年9月18日作成裁罰決定，認定巴黎百貨公司SAMARITAINE SAS（La Samaritaine）（莎瑪麗丹百貨公司，下稱該公司）於職場內設置「偽裝成煙霧偵測器」的隱藏攝影機，該設備具備錄音功能且未適當評估風險與內部控制紀錄，並涉及個資事件通報義務未即時履行等多項違反《一般資料保護規則》（General Data Protection Regulation, GDPR）規定，最終遭裁處10萬歐元（約新台幣355萬元）的行政罰鍰。 本次事件係因該公司聲稱庫房商品失竊率增加，遂於2023年8月在兩處庫房安裝5台外觀形似煙霧偵測器但可錄音的攝影機，但員工並未事前知悉。然而，攝影機於裝設後數週即被員工發現，並在2023年9月被拆除而停止運作。CNIL之所以介入，係因2023年11月經媒體報導及後續申訴事件引發關注，進而啟動稽查程序。以下為CNIL認定本案的主要違規事項： 1.違反公平、透明與可歸責性（GDPR Art. 5(1)(a)、5(2)）：隱藏式攝影機設計使員工難以察覺且未予以告知；該公司未完成事前分析或影響評估、未妥善文件化紀錄，因此難認有以公平且透明方式處理個資。 2.違反資料最小化（GDPR Art.5(1)(c)）：攝影機具備「收音」功能，導致員工私領域對話等資料被蒐集，與所稱之防竊等特定目的未有相符，屬過度蒐集行為。 3.未建立個資侵害通報與紀錄（GDPR Art. 33(1)、33(5)）：員工拆除設備時留存載有錄影錄音內容的SD卡，公司在知悉後未於法定時限內通報並建檔紀錄；CNIL指出此類「失去對載體控制」情形並無任何模糊空間，且因其中內含員工影音資料，對自由權具有風險，依法應通報。 4.個人資料保護長（Data Protection Officer, DPO）未及時參與（GDPR Art. 38(1)）：DPO直至該攝影機拆除後才被告知，未能於事前提供風險控管與審酌是否符合法規範建議，而違反應「適時、適當參與」之要求。 本案可視為CNIL對職場監視劃出的紅線警告，雇主即使基於特定目的而採用不易察覺的監視措施，仍須在保護財產和人身安全的目標，與保護員工隱私間取得合理平衡，例如：蒐集期間具有「暫時性」；蒐集範圍最小化，無不必要收音等較小侵害手段；並應讓組織的DPO事前參與把關，完成比例性分析與風險評估，否則可能構成對員工基本權利與自由的重大干預。同時，內部也應建立事故應變流程，避免因誤判或延誤而使單一事件擴大成多重違規與裁罰風險。

由於日本近年研發品質、數量停滯不前，加上企業研發效率亦落後於外國，經濟產業省（簡稱經產省）於2024年6月21日從三個面向提出政策建議，期能打造成功創新模式。重點如下： 1.發揮新創企業與大企業優勢，促進研發投資 由於研發投資具有回收期間長、獲利不確定等特徵，短時內難以看到成效，故為鼓勵企業持續投入研發，經產省擬制定研發投資效率評價指標，並將透過「新創培育五年計畫」（「スタートアップ育成5カ年計画）下之「新創推動框架」（スタートアップ推進枠），將科研預算優先分配予重點項目，以建立友善研發環境。 2.透過新創資源流動，促進商業化和創造附加價值 新創企業初期往往受限於人力、技術和設備等資源不足問題，難以快速成長及擴張。為解決上述問題，經產省擬制定「跨領域學習」指引及案例集，期能促進新創資源流動，打造創新生態系統。 3.以需求為導向之前瞻技術研發 部份具有高度發展潛力之前瞻技術，如量子和核融合等，因研發風險較高且市場需求不明，將由新能源‧產業技術綜合開發機構（新エネルギー・産業技術総合開発機構）、產業技術綜合研究所（產業技術綜合研究所）等法人進行研發。

　　美國國家安全局（National Security Agency, NSA）於2022年11月10日發布「軟體記憶體安全須知」（“Software Memory Safety” Cybersecurity Information Sheet），說明目前近70%之漏洞係因記憶體安全問題所致，為協助開發者預防記憶體安全問題與提升安全性，NSA提出具體建議如下： 　　1.使用可保障記憶體安全之程式語言（Memory safe languages）：建議使用C#、Go、Java、Ruby、Rust與Swift等可自動管理記憶體之程式語言，以取代C與C++等無法保障記憶體安全之程式語言。 　　2.進行安全測試強化應用程式安全：建議使用靜態（Static Application Security Testing, SAST）與動態（Dynamic Application Security Testing, DAST）安全測試等多種工具，增加發現記憶體使用與記憶體流失等問題的機會。 　　3.強化弱點攻擊防護措施（Anti-exploitation features）：重視編譯（Compilation）與執行（Execution）之環境，以及利用控制流程防護（Control Flow Guard, CFG）、位址空間組態隨機載入（Address space layout randomization, ASLR）與資料執行防護（Data Execution Prevention, DEP）等措施均有助於降低漏洞被利用的機率。 　　搭配多種積極措施增加安全性：縱使使用可保障記憶體安全之程式語言，亦無法完全避免風險，因此建議再搭配編譯器選項（Compiler option）、工具分析及作業系統配置等措施增加安全性。

　　聯合國於哥本哈根舉行之氣候變遷綱要公約（UNFCCC）第15次締約國會議（COP15）會議後，對於較未有嚴格的管制工廠分布與二氧化碳排放（此情形又稱之為碳洩漏風險，risk of carbon leakage）的國家，由於該些國家的貨品進入，將對歐盟境內工業造成不公平競爭（unfair competition）結果，歐盟因而就如何保護會員國內工業生產者的措施進行討論。 　　近來像中國等未有過多法律規範以落實減少碳排放的國家，爲抵制此類國家貨品的進口影響歐盟境內工業生產者，歐盟正重新審視討論法國所提出的對進口至歐盟的貨品實施碳關稅（carbon tariff）的政策。 　　法國總統薩科奇曾表示，對於不尊重京都議定書（Kyoto Protocol）的國家，歐盟應對其進口產品課徵碳關稅，以保護歐盟境內因執行碳排放交易機制（Emission Trading Scheme, ETS）而必須額外負擔成本之工業生產者經濟利益，並消除國外貨品進口所導致的不公平競爭。 　　碳關稅在歐盟之實行，非只有法國提出，其實早在哥本哈根會議之前，法國與德國即共同向聯合國秘書長潘基文以書面（joint letter）表達於歐盟實施稅捐調整機制（border-adjustment measure）的想法，以抵制其他未落實國際環境保護規範國家。 　　今年（2010）三月，歐盟機構重新對於法國所提出的碳關稅進行討論，由於此措施將影響WTO對關稅之調降，身為歐盟最大工業國的德國，基於保護國內工業生產者，仍對碳關稅政策表示支持，惟WTO所制定的關稅相關規定，身為WTO會員國的德國也認為應遵循，以避免引起損失更大的貿易爭端。 　　在強調綠色經濟的時代，各國要作的不只是落實國際環保規範，對於國內業者的利益也應適當關注。現今歐盟刻正討論的碳關稅，因我國非為京都議定書締約國，一旦實施對我國衝擊不小，所以此政策發展值得我們持續觀察。