美國總統簽署行政命令，為數位資產帶來全面的管制框架

法國國家資訊自由委員會（Commission Nationale de l'Informatique et des Libertés, CNIL）於2025年7月15日指出近年來詐騙案件快速增加，詐欺行為人假冒銀行人員，以電話引導受害者自行完成轉帳或新增收款人等操作。為降低受騙風險，部分銀行在行動應用程式中設計機制，能偵測到使用者操作較高風險的交易時若同時處於通話狀態，便可即時跳出警示或暫停交易。此等做法雖有助於阻詐，惟因涉及個人資料存取，故須符合《歐盟一般資料保護規則》（General Data Protection Regulation, GDPR）之規範。 CNIL提醒銀行蒐集通話資訊須取得使用者明確同意，不能僅依賴行動裝置的「電話」權限，亦不得因使用者拒絕同意而限制應用程式之基本使用，僅在如新增收款人、大額轉帳、或轉帳至高風險國家等異常活動操作中才能要求同意，並須提供網站、電話或分行等替代辦理方式。又相關權限請求應在交易操作過程中提出，而非在應用程式安裝時統一要求，安裝前亦應向使用者充分說明。若使用者不同意，仍必須使其能正常查詢帳戶資訊。 此外，在資料處理上須遵循資料最小化原則，僅得蒐集是否進行通話及通話時長之資訊，不得恣意擴大資料蒐集範圍。與此同時，銀行應讓使用者在同意與撤回同意操作上一樣簡便，不得僅引導至手機裝置設定，而應使消費者能在應用程式中直接操作，並清楚告知撤回同意後功能受限範圍及可替代方案。 除利用應用程式進行通話偵測，CNIL建議銀行尚應搭配其他措施，例如在應用程式內定期推送防詐提醒、舉辦宣導活動，或在確認付款時詢問客戶是否正與自稱是「銀行顧問」之人通話。若銀行欲透過應用程式偵測通話狀態來防詐，則須在合法性、必要性、資料最小化以及使用者同意之間取得平衡。

日本網路販售藥品爭議 科技法律研究所 2013年12月31日 壹、事件摘要 　　網路販售藥品的爭議，日本從早期未明文規定，但於2006年時，日本修正藥事法，將藥品區分為第一類、第二類、第三類藥品，並限制得販賣各類藥品之資格；2009年6月，日本厚生勞動省進一步公布修正日本藥事法施行細則，禁止於網路上販售第一類及第二類藥品，此一修正，引起日本網路商家的反對，認為施行細則禁止網路販售第一、二類藥品之規定已超出藥事法之授權範圍，並據以提起行政訴訟。歷經各審級的訴訟後，東京最高法院於2013年1月判決厚生勞動省敗訴確定，確認得於網路販藥品。 　　另一方面，2013年6月，日本內閣所提出的「日本經濟再興戰略」亦確認將網路販售藥品的解禁作為重要原則。在經過一連串的公聽會及檢討會議之後，日本於2013年12月通過新修正的藥事法(下稱新法)，依新法之規定，除經厚生勞動省認定為危險性極高之劇藥或毒藥外，99.8%的一般用藥品已經可以合法於網路上販售。 　　以下，本文首先簡單說明日本2006年藥事法以及2009年厚生勞動省所公布的藥事法施行細則中針對藥品之分類與藥品販售等相關限制規定，並整理東京最高法院判決厚生勞動生敗訴之理由，最後再介紹2013年12月所修正之藥事法內容，盼能透過日本對於網路販售藥品之處理歷程，促使我國能夠重新思考網路販售藥品之管制及其容許性。 貳、重點說明 一、日本藥事法規 （一）藥事法（2006年） 　　2006年所通過之藥事法，對於藥品分類及販售限制等，其規定如下： 1.藥品分類 　　藥品可分為「醫療用藥品」及「一般用藥品」，「醫療用藥品」需有醫師處方箋始可取得；「一般用藥品」則可在一般店鋪或藥局自行購買。一般用藥品，以對人體之副作用及風險之等級作區分，分為高風險之第一類藥品、風險較次之第二類藥品、以及低風險之第三類藥品（藥事法第36條之3）。 2.藥品販售 　　藥事法第36條之5規定，藥局開設者、店鋪販售業者或配製販售業者，對於一般藥品，應依照厚生勞動省令之規定進行販售或交付，第一類藥品須由藥劑師為之，而第二類及第三類藥品則得由藥劑師或登錄販售者為之。 3.資訊提供義務 　　第一類藥品之販售，須使用記載厚生勞動省所定事項之書面，提供適切服用之必要資訊（藥事法第36條之6第1項）。相對於第一類藥品之情報提供義務，藥事法對於第二類藥品之販售則係課予「努力義務」（藥事法第36條之6第2項）。 4.販售方式限制 　　藥局開設者或店鋪販售業者，不得透過店鋪販售或交付以外的方法，而配置販售業者（配置販售業係日本特有的藥品販賣行業，其業務型態是以將各項藥品裝箱後配送到需求單位，而在經過一段時間後依照需求單位之使用量來計算收費金額）不得透過配置以外方法，販售、交付藥品、或基於販售或交付目的而儲藏或陳列藥品（藥事法第37條）。 （二）藥事法施行細則（2009年） 　　2009年厚生勞動省所公布之藥事法施行細則，對於網路販售藥品之相關限制規定如下： 1. 禁止通信販售 　　藥事法施行細則第15條之4規定，除第三類藥品外，不得進行通信販售，即對於未親臨藥局之消費者，不得以郵寄等方式進行藥品之交付，亦不得以網路販售。 2.面對面販售原則 　　藥事法施行細則第159條之14規定，藥局開設者、店鋪販售業者或配置販售業者，為販賣各類藥品，應設有符合藥事法第36條之5所定資格之藥劑師或登錄販售者，並由其於販售現場與消費者面對面進行販售（面對面販售原則）。但是，如為第三類藥品之通信販售，則不在此限。 3.資訊提供義務的履行方式 　　藥事法第36條各項之情報提供義務或努力義務之履行，須於藥品販售時與消費者面對面進行之（藥事法施行細則第159條之15至第159條之17）。因為施行細則規定了面對面販售之原則，而網路販售藥品因無法符合面對面販售原則，故第一類及第二類藥品被認定為禁止於網路販售。 二、東京最高法院判決 　　2009年藥事法施行細則禁止網路販售第一、二類藥品後，相繼對網路販售藥品之業者開罰，其中二家業者認為藥事法施行細則之規定已超出藥事法所授權的範圍，並據此提起行政訴訟。如前所述，東京最高法院判決厚生勞動省敗訴確定，其理由如下： （一）對於藥品販售方式之限制須遵守法律保留原則 　　為確保藥品安全性，避免不良藥品侵害國民之生命、健康，藥事法對於藥品之製造、販售等設有各種規制，有其必要。對於藥品的販售方式是否限定須於「店舖內為之」或必須符合「面對面販售原則」，涉及到憲法第22條所保障之職業活動自由，若欲為限制，須以法律或授權命令為之。 （二）厚生勞動省所定之施行細則逾越法律授權範圍 　　藥事法第36條之5規定，販售第一類藥品必須由藥劑師，第二類、第三類藥品由藥劑師或登錄販售者進行販售，所限制者為販售藥品之資格，施行細則第159條之14要求藥劑師或登錄販賣者須在藥局、店鋪或配置場所等進行面對面販售，已超出藥事法第36條之5的授權範圍。 藥事法第36條之6規定藥品資訊提供之義務等，而應提供之資訊則由厚生勞動省定之，且藥事法第36條之6並未規定不得以電磁紀錄方式為之；施行細則第159條之15至第159條之17規定必須面對面進行，亦已超出藥事法第36條之6的授權範圍。 （三）立法者無限制網路販售之意 　　從立法體系觀之，藥事法第35條之5規定藥品販售資格；藥事法第36條之6則規定資訊提供義務；而對於藥品販售方式的限制，於藥事法第37條另有規定，故藥事法若對網路販售藥品進行限制，應於藥事法第37條規定。再從立法沿革觀之，藥事法於修正前並未針對網路販售藥品進行限制，而藥事法在2006年修正後亦無此限制。且參考修法討論之部會檢討報告書及厚生勞動大臣於國會審議時之答辯，均未表明禁止網路販售藥品之旨趣。故此，可推知立法者並無限制網路販售之意思，因此，厚生勞動省以施行細則限制網路販售藥品，已逸脫藥事法之立法意旨。 （四）自文義解釋無法得到禁止網路販售之意旨 　　藥事法第37條之文義，並無法看出明文禁止網路販售之意旨，其所稱「店鋪販售」，應指須在營業地點為之，而非僅得於店鋪進行販售。若解為僅得於實體店面交易，則藥事法施行細則第15條之4及第159條之14另規定第三類藥品得網路販售，豈非自相矛盾。 三、新藥事法（2013年） （一）要指導藥品 　　新藥事法第4條第5項增設「要指導藥品」，包括毒藥、劇藥、以及從醫療用藥品轉為一般用藥品後而未超過厚生勞動省所定評估期間之藥品等。對於「要指導藥品」之販售，必須讓藥劑師依面對面販售原則，將相關資訊提供給消費者。 （二）資訊提供義務 　　新藥事法第36條之10亦分別對於第一類及第二類藥品課予資訊提供義務及努力義務，與舊法不同之處在於使用記載厚生勞動省所定事項之書面，提供適切服用之必要資訊時，增設「電磁紀錄」之提供方式。亦即，網路販售藥品，以電磁紀錄方式履行資訊提供義務，只要該電磁紀錄包含厚生勞動省所定之事項及表示方法，亦符合法規範之要求。因此，無論第一、二、三類藥品，自新藥事法施行後，已經可以合法地進行網路販售。 參、事件評析 　　隨著電子商務的蓬勃發展，網路購物對於消費者而言已經從一個新鮮未知的事物變成了日常生活的一部分，而透過網路買賣一般用藥品，在替消費者帶來了莫大便利的同時，也為藥品販售業者帶來極大的商機。然而，在促進生活便利性以及網購商機的同時，國民健康的保護亦為政府所關心之課題。為保障國民服用藥品之安全，藥品販售者應使消費者充分瞭解藥品的正確服用方式、劑量以及服用之注意事項及風險等。 　　網路販售藥品的爭議，日本從早期未明文規定，歷經2006年藥事法修正、2009年厚生勞動省公布藥事法施行細則限制網路販售第一類及第二類藥品、2013年1月東京最高法院判決厚生勞動省敗訴確定、2013年6月「日本再興戰略」確認開放網路販售藥品之原則、一直到2013年12月再度修正藥事法，明文規定除了經厚生勞動省認定之劇藥、毒藥等「要指導藥品」（目前約有28項藥品）需由藥劑師依對面販售原則，面對面向消費者說明藥品資訊外，一般用藥品可藉由網路以電磁紀錄方式履行資訊提供義務。從此，網路販售藥品已成為合法的藥品販售方式之一。 　　網路販售藥品究竟應予開放或禁止，涉及到國民健康、國民生活便利性的保障、以及業者職業自由的限制，如何在三者間找到平衡點。一直為各界所爭執，而我國對於網路販售藥品之問題，一向採取嚴格禁止之作法，新聞時事亦常見到民眾因於網路販售隨處可見之一般藥品而遭受處罰之案例。然而，此種於一般商店亦可販售之藥品，其禁止於網路販售之理由何在？其依據為何？對照日本之處理歷程，我國未來是否仍要全面禁止網路販售藥品，值得吾人重新思考。

2023年11月7日美國消費者金融保護局（Consumer Financial Protection Bureau, CFPB）發布擬議規則制定通知（notice of proposed rulemaking），計劃將一般性數位支付應用程式提供者的「較大參與者」（larger participants）納入監管，基於非銀行支付市場對消費者的日常金融生活日益重要，考量相關消費者保護風險，而有必要將此類支付公司納入《消費者金融保護法》（Consumer Financial Protection Act, CFPA）的監管範圍。 根據擬議規則，「提供一般性數位支付應用程式」是指消費者藉由應用程式的資金轉帳功能和數位錢包功能，進行「一般性」數位支付交易的應用程式。申言之，該數位支付應用程式係用於一般性產品或服務的消費，而非特定供應商所提供，且僅限用於支付其所提供商品或服務之數位交易手段。 此外，「較大參與者」之定義為透過行動通訊或網路應用程式提供數位錢包或個人對個人（person-to-person, P2P）支付的非銀行機構，並每年完成超過500萬筆支付交易，且該機構不屬於《小型企業法》（Small Business Act, SBA）所定義的小型企業（small business），根據CFPB估計，擬議規則將擴大監管於現行17家非銀行支付機構，其全年交易金額將近130億美元。 有鑑於消費者資訊貨幣化（Monetization）之資料治理議題，及數位支付領域的大型科技公司因持續發展而產生市場壟斷疑慮，CFPB擬藉由此項擬議規則擴大監管措施，將美國大型數位支付科技公司納入監管，要求其遵守CFPA的規範，使數位支付領域的非銀行機構及存款機構同步受到監管，一方面維持數位支付市場之公平競爭環境，並同時確保消費者受到CFPA的保障，降低消費者在使用數位支付時的交易風險。 近年我國因疫情的零接觸政策及數位經濟時代來臨，數位支付應用因而蓬勃發展，我國於2023年11月21日三讀通過《金融消費者保護法》修正案，將電子支付業納入金融服務業，逐步加強金融消費者權益保護，我國應持續追蹤外國金融消費者保障動態，在金融消費者保障上持續前進。

　　歐盟委員會與美國白宮於2022年3月25日發布聯合聲明，宣布雙方已就新的跨大西洋資料傳輸框架達成原則性協議。此舉旨在因應2020年7月歐盟法院（Court of Justice of the European Union）於Schrems II案的判決中宣告「歐盟—美國隱私盾協定」（EU-US Privacy Shield Framework）不符合歐盟一般資料保護規則（General Data Protection Regulation, GDPR）而無效。依照該聯合聲明，新的框架將在雙方間資料流動的可預測性、可監督性、可信賴性以及可救濟性等方面進行補強，以充分維護公民的隱私與自由權利。 　　目前，該框架仍處於原則性協議的階段，具體細節仍有待後續談判。聯合聲明指出，美國在下列三個方面做出了「重大承諾」： 加強控管美國的情報活動，以確保所追求國家安全目的適法，且所採取的手段係在必要範圍內，而未過度侵犯公民的隱私與自由。 建立具有約束力且獨立的多層次救濟機制，其中包含一個由非政府人員所組成的「個人資料保護審查法院」，並賦予該組織完全的審判權。 針對情報活動強化分層且嚴格的行政監督機制，以確保其合乎隱私與自由的新標準。 　　上述原則性協議的達成，表面上無疑是一項好消息，將有助於解決雙方跨境資料傳輸的法源爭議，並避免持續演變成嚴重的歐美貿易爭端。然而，美國政府能否順利將新框架轉化為具有約束力的國內行政命令，仍存在相當多的不確定因素。若結果為否，則最終亦難以達成取得歐盟根據GDPR所為「適足性認定」（adequacy decision）的政策目標。