歐盟執委會(European Commission)於2023年10月3日公布「關於歐盟經濟安全關鍵技術領域之建議」(Recommendation on Critical Technology Areas for the EU’s Economic Security),以便與各會員國進行經濟安全關鍵技術之風險評估。該建議源自於歐盟於6月發布之「歐盟經濟安全戰略」(European Economic Security Strategy)目的在於地緣政治緊張之局勢下,將最大限度的減少經濟流動所帶來之風險,為歐盟經濟安全制定全面的戰略方針。此「建議」列出十大關鍵技術領域的清單,係根據以下標準進行風險評估:
(1)技術是有促成及轉型之本質(Enabling and Transformative Nature of the Technology)。
(2)民用與軍用融合技術之風險(The Risk of Civil and Military Fusion)。
(3)科技可能被用於侵害人權之風險(The Risk the Technology Could Be Used in Violation of Human rights)。
根據上述標準所列出十個關鍵技術領域後,其中有四個領域項目被認定是最敏感之技術領域,分別有半導體、人工智慧技術、量子技術及生物技術四大類別。
歐盟積極制定此計畫,以確保先進技術不落入敵國手中,減少對於如中國等國家單一供應商之依賴;歐盟預計於今年年底與會員國進行廣泛的風險評估,以確保下一步可能所採取的措施,可能包含出口管制及對外之審查投資,預計於2024年初提案。
本文為「經濟部產業技術司科技專案成果」
美國於2018年10月11日正式簽署通過《音樂現代化法》(Orrin G. Hatch-Bob Goodlatte Music Modernization Act, MMA),該法搭起時代鴻溝的橋樑。《音樂現代化法》囊括三個從2017年分別通過的子法,並成為《音樂現代化法》中的三個大標題: 第一部份:音樂授權現代化(Music Licensing Modernization) 音樂作品本身的著作權、重製權是「大權利」(Grand Right),而公開傳輸權則是「小權利」(Small Right)。前者是恢復市場機制、自由議價,愈自由愈好;後者則是愈方便、愈能夠使音樂作品被世人看見愈好。《音樂現代化法》實踐了這個理想。《音樂現代化法》成立職司音樂著作授權的非營利組織「音樂機械灌錄集體授權組織」(The Mechanical Licensing Collective, MLC)。該組織是針對「數位音樂串流業者」量身打造,進行音樂數位使用(Digital Uses)的概括式授權(Blanket License)。再者,根據舊法,授權金是法定的,但《音樂現代化法》予以音樂創作人對其作品的授權金額保有協商權(Authority to Negotiate)。同時透過音樂資料庫的建立和免費線上檢索系統,方便音樂使用人查詢與媒合。 第二部份:經典音樂法(CLASSICS Act) 溯及賦予1923年1月1日至1972年2月14日之間的音樂,就未經授權而進行「數位錄音傳輸」(Digital Audio Transmissions)之行為,使之有從首次公開發行後95年的著作權保護。這裡授權的客體所會得到的權利相近於1972年後錄音著作「非互動式數位串流服務」所得到的保護。 第三部份:音樂製作人分潤(Allocation for Music Producers) 在科技世代,一個偉大的音樂創作,並非作曲人獨力完成的,《音樂現代化法》以分潤制度,讓音樂製作人、混音師及音訊工程師首次獲得法律上的權利。
美國聯邦巡迴上訴法院判決美國專利法第271條(f)項不適用於方法專利繼美國最高法院於Microsoft Corp. v. AT&T Corp. 做出與專利法治外法權有關的判決後,美國聯邦巡迴上訴法院於2009年8月19日再次做出限縮解釋專利法第271條(f)項於美國境外的效力。 美國專利法第271條(f)項規定未經許可提供或使人提供專利產品之元件,將之由美國供應(“supply”)至美國境外完成組合,亦視為侵害該專利產品之專利權。此項規定為美國國會為防範企業藉由在美國境內製造非專利保護之零組件後再運送之海外進行組合以規避專利侵權責任而制定。之後,在實物案例中,關於第271條(f)項之解釋與適用範圍產生諸多爭議。美國最高法院於其在2007年Microsoft Corp. v. AT&T Corp. 中強調不應擴張解釋第271條(f)項之文字。 於Cardiac Pacemakers Inv. V. St. Jude Medical Inc. 一案中,原告Cardiac Pacemakers控告被告St. Jude Medical所販賣的植入式心臟整流去顫器 (implantable cardioverter defibrillator)之使用會侵犯原告所擁有的一個利用植入式心臟刺激器治療心律不整的方法專利 (a method of heart stimulation using an implantable heart stimulator)。本案的爭點在於被告銷售可實施原告美國專利方法的產品或裝置讓該專利方法於美國境外被實施的行為是否構成第271條(f)項之侵害。美國聯邦巡迴上訴法院推翻其於2005年之判決(Union Carbide Chemicals Plastics Technology Corp. V. Shell Oil Co.),判定專利法第271條(f)項不適用於方法專利。亦即,被告銷售可實施原告美國專利方法的產品至海外的行為不構成第271條(f)項所規定之侵權行為。 此判決對原告Cardiac Pacemakers之衝擊可能較小,因其專利範圍除方法請求項外,亦包含物品請求項,原告還可藉由其物品請求項獲得侵權損害賠償。但此案可能對僅能以方法申請專利的產業如生技藥業(某些診斷及檢驗僅能以方法申請專利)及軟體業造成較大的影響。
GDPR跨國執法新程序帶來的變革GDPR跨國執法新程序帶來的變革 資訊工業策進會科技法律研究所 2025年12月10日 隨著2025年12月12日歐盟官方公報(Official Journal, OJ)正式發布《一般資料保護規則》(General Data Protection Regulation, GDPR)跨境執法補充程序規則[1](Regulation (EU) 2025/2518),表彰歐盟立法者在協調GDPR跨境執法邁出關鍵的一步。新規則規範各成員國個資監管機關(Supervisory Authorities, SAs)於執行跨境GDPR投訴與進行案件調查的應遵守程序規則。 壹、立法背景 個資監管機關在其成員領土範圍享有管轄權,惟控制者或處理者於多成員國設立據點或處理資料時,各監管機關必須合作並共享決策,此種方式稱為一站式機制(one-stop-shop mechanism)。營運者主要據點的個資監管機關應負責協調監督任務,該主責之個資監管機關稱為主導監督機關(Lead Supervisory Authority, LSA),與此相對的個資監管機關被稱為相關監督機關(Supervisory Authorities Concerned, CSA),兩者需合作過程中交換相關資訊。此種合作模式偏向分散式執法,而導致個人救濟的遲延、如企業主要據點變更須移轉SA管轄權導致執法程序延宕等諸多功能性缺陷,減損GDPR希望達到的執法一致性[2]。 於此背景下,歐盟執委會(European Commission)便提出了一項補充性規則提案[3],企圖提高各盟成員個資監管機關跨境執法效率與一致性。這項提案於2025年6月16日達成協議[4],於2025年10月21日由歐盟議會(European Parliament)宣布通過最終文本,並後續於同年11月17日由歐盟理事會(Council of the European)正式宣布通過,於同年12月12日正式發布於歐盟官方公報(Official Journal, OJ)。 貳、重點概覽 一、 統一的申訴規則 新補充規範適用之前提涉及跨境執法,其具體適用範圍主要有兩類,其一是基於申訴之調查(complaint-based);第二類是基於職權之調查(ex officio)。此外,涉及跨境處理之案件進行申訴處理與調查,亦包括判定該案件是否屬於跨境處理。 新補充規則進一步調整以往各國不協調的申訴受理標準,建構統一的跨國申訴受理標準。依據新補充規則,提起跨境資料處理的申訴案件,應包含: 1.申訴人之姓名與聯絡資訊; 2.有助於識別被申訴對象(資料控制者或處理者)的資訊; 3.涉及違反GDPR行為之描述。 除前述資訊外,不得要求提供其他額外資訊作為其可受理之要件。監管機關應於2周內評估申訴是否可受理,受理申訴之個資監管機關如認定該申訴未包含前述資訊,應於收到該申訴之兩週內,宣告其為不可受理,並將其理由告知申訴人。 二、程序保障-意見陳述與行政檔案的資訊近用 對於受調查的組織,新補充規則提供相對應的程序保障,以確保個資監管機關做出最終決定前,組織能有意見陳述的機會,也就是意見陳述權(The right to be heard)。 當主導監督機關(Lead Supervisory Authority, LSA)初步認為存在違反GDPR的行為時,必須先擬定「初步調查結果」(preliminary findings)給受調查組織。該初步調查結果必須包含事實、證據和法律評估,以及擬採取的糾正措施(例如罰款)。 初步調查結果通知後,受調查的組織有少至三週時間,至多有六週時間以書面回應或申請聽證。 陳述意見權的配套是對行政檔案之近用權,被調查當事人與申訴人均有權近用行政檔案,但須排除: 1.監管機關內部資訊; 2.商業機密或其他機密資訊。 三、提升案件決策效率的機制 目前對GDPR執法的常見批評之一是決策速度緩慢。新補充規引入較嚴格的決策期限限制和提高效率的機制。 (一) 決策期限 原則上,主導監管機關應於其管轄權獲確認之日起十五個月內提出決定草案;該期間僅得於例外情形下延長一次。 (二) 早期解決程序 引入一套機制來快速處理申訴。如果GDPR違法行為已得到糾正,且投申訴不成立,在申訴人不提出異議的情況下,個資監管機構得逕行結案。 (三) 簡化合作程序 對於「情節明確、無合理疑義」之案件,個資監管機關得選擇採行簡化之合作程序,以避免行政官僚程序所造成之延宕。 參、結語 跨境執法補充程序規則,旨在解決過去跨境個資案件中程序延宕、不一致等長期性問題。具體而言,其措施包含進一步細化申訴可受理標準、明確化調查程序的陳述意見權、行政檔案近用與商業機密保護並提高決策效率。 這套補充規則透過更詳細的規範,補足既有一站式機制的不足,有機會使跨境資料處理申訴案件能更有效率且同時以兼顧透明度與正當程序之方式獲得解決。 [1] Regulation (EU) 2025/2518, O.J. L, 2025/2518, 12.12.2025, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:L_202502518 [2] European Parliament [EP], Newly proposed GDPR procedural rules: Improving efficiency and consistency 4(2024). [3] COM(2023)0348 – C9-0231/2023 – 2023/0202(COD). [4] European Council [EC], Data protection: Council and European Parliament reach deal to make cross-border GDPR enforcement work better for citizens, https://www.consilium.europa.eu/en/press/press-releases/2025/06/16/data-protection-council-and-european-parliament-reach-deal-to-make-cross-border-gdpr-enforcement-work-better-for-citizens/ (last visited Dec.8, 2025)
IBM同意中國大陸政府檢視部份產品原始碼近年來中國大陸政府為了資安考量,制訂相關法規要求外國科技公司進入中國大陸市場時必須提供程式原始碼,避免他方非法(例如利用病毒)透過電腦軟體進入中國大陸的系統和資料。 IBM公司近日發表聲明,允許特定國家在其嚴格的監控下,檢視其部份產品的軟體原始碼,確保產品沒有資訊安全的漏洞,中國大陸也在這些特定國家之列。這是美國重要的科技大廠,首次公開同意遵守中國大陸政府對於外國技術的資訊安全審查,然而此舉讓美國政府與其他矽谷科技公司頗有微詞。 IBM開放檢視其程式碼的對象為中華人民共和國工業與信息化部。IBM在聲明中表示,原始碼的檢視必須在IBM公司內,於無網路連線並受IBM安全應用程式監控的環境下進行,並保證這些軟體原始碼不會被釋出、被複製,或以任何方式改作。在嚴格的環境和時間限制下,IBM不會讓中國大陸政府有機會接觸其客戶資料庫,也不會涉及後門程式(back door)。至於會提供哪些產品的原始碼檢視,或中國大陸官方可檢視的時間有多長,IBM尚無明確說明。事實上IBM並非唯一提供程式碼的科技公司,微軟公司早在2003年即允許中國大陸、俄國、英國等國家檢視微軟Windows部分產品的原始碼。 有市場分析公司指出,IBM為降低智慧財產權被複製的風險,所釋出的原始碼可能只涉及基本功能,不包含專有的演算碼,且像IBM此類的公司,應該擁有閉源軟體(closed-source)或特別的軟體以嚴密地維護底層的原始碼,避免中國大陸政府藉由檢視原始碼執行反向工程(Reverse Engineering)。 IBM公司願意提供中國大陸政府檢視部分產品原始碼,目的在於展示其產品安全性,試圖擴展IBM在中國大陸的商業版圖。IBM旗下的雲端運算平台Bluemis未來將與中國大陸的數據中心服務公司—北京世紀互聯寬帶數據中心有限公司合作。該公司同時也是微軟在中國大陸的合作夥伴。