美國司法部發布「防止受關注國家或個人近用美國敏感個人資料與政府相關資料」之最終規則，以因應國家安全威脅

　　為了報復美國非法補貼國內棉花業者，造成巴西的損失，巴西先是在3月初公布一份含102項美國產品之關稅調高名單，將在4月7日生效；在3月中旬又提出另外一份含21個項目的名單，包括中止（suspend）美國化學、醫藥、軟體、書籍和電影方面的專利權和智慧財產權，這份新的名單在公布後的未來20天，任何人都可以提出意見。 　　巴西的制裁措施是依據去年8月世界貿易組織（WTO）針對巴西和美國的貿易糾紛所作出的決定，WTO認為美國在1999年到2002年違法補貼其國內棉花業者，違反作為WTO成員所應遵守的義務，而給予巴西對美國進行8.29億美元的跨業報復（cross-sector retaliation）權利。 　　巴西政府估計3月初的調高進口關稅總值可達5.91億美元，3月中旬的智慧財產權報復行動可產生2.39億美元的衝擊。此外，如果3月中旬的制裁措施最後真的付諸實行，將會是WTO糾紛中第一次成功地利用智慧財產權作為報復手段的案例。 　　巴西政府希望藉由最新的報復手段可以迫使美國正視這個問題，美國貿易代表團則認為巴西此舉會帶來負面的先例影響，並且希望能和巴西政府協商共同解決這項議題，盡可能不使報復行動發生。

　　日本數位市場競爭本部（デジタル市場競争本部）於2020年6月發布了「數位市場競爭中期展望報告」（デジタル市場競争に係る中期展望レポート案），該報告認為大型數位平台業者透過龐大的用戶資料，不斷地（1）擴大並連結用戶、（2）垂直整合上下游產業並（3）從虛擬鎖定實體的銷售，對市場形成動態競爭（ダイナミック競争）結果。此一結果將導致數位市場極易形成掠奪性定價或併購的風險、資料集中的風險、資料可靠性的風險，甚至是個人價值判斷的風險。 　　為促進數位市場的治理與信任，該報告提出了以下短期與中長期的政策方向： 鼓勵企業數位轉型以增加數位市場的多樣性：推廣數位轉型指標、擴大沙盒制度適用、加速數位政府戰略。 建立數位市場競爭制度：運用經濟分析強化競爭管制、推動《數位平臺交易透明法》（デジタルプラットフォーム取引透明化法）法制化、建立大型數位平台調查機制。 建構去中心化的資料治理技術：透過資料持有、交換的「去人工干預」，形成一個可信任的網路世界。 　　該報告已於2020年8月7日完成公眾意見募集，預計於2020年年底前提出最終報告。目前日本新經濟聯盟認為，高頻率的競爭策略以及智慧化交易模式下的反壟斷政策，除了不正競爭的禁止外，政府更應著重在透明化檢視機制的建立。此外報告目前並未處理到平台資料治理的課題，聯盟對此認為政府應更積極地從資料壟斷的概念，調整數位市場准入的障礙。

歐盟資料保護工作小組修正通過「個人資料侵害通報指引」 資訊工業策進會科技法律研究所 法律研究員　李哲明 2018年3月31日 壹、事件摘要 　　因應歐盟「通用資料保護規則」（The General Data Protection Regulation，或有譯為一般資料保護規則，下簡稱GDPR）執法即將上路，針對個人資料侵害之通報義務，歐盟資料保護工作小組（Article 29 Data Protection Working Party, WP29）特於本（2018）年2月6日修正通過「個人資料侵害通報指引」（Guidelines on Personal data breach notification under Regulation 2016/679），其中就GDPR所規範個資侵害之定義、對監管機關之通報、與個資當事人之溝通、風險及高風險評估、當責與紀錄保存及其他法律文件所規定之通報義務等，均設有詳盡說明與事例。 貳、重點說明 一、何謂個資侵害？個資侵害區分為哪些種類？ 　　依據GDPR第4條（12）之定義，個資侵害係指：「個人資料因安全性之侵害所導致意外或非法之毀損、喪失、修改、未經授權之揭露、存取、個資傳輸、儲存或其他處理。」舉例來說，個人資料之喪失包括含有控制者（controller）顧客資料庫的備份設備之遺失或遭竊取。另一例子則為整份個資的唯一檔案遭勒索軟體加密，或經控制者加密，但其金鑰已滅失。依據資訊安全三原則，個資侵害之種類區分為： 機密性侵害（Confidentiality breach）：未經授權、意外揭露或獲取個人資料。 完整性侵害（Integrity breach）：未經授權或意外竄改個人資料。 可用性侵害（Availability breach）：在意外或未經授權之情況下，遺失個人資料存取權限或資料遭銷燬。 二、何時應為通知？ 　　按GDPR第33條（1）之規定，當個資侵害發生時，在如果可行之情況下，控制者應即時（不得無故拖延）於知悉侵害時起72小時內，依第55條之規定，將個資侵害情事通報監管機關。但個資侵害不會對自然人之權利和自由造成風險者，不在此限。倘未能於72小時內通報監管機關者，應敘明遲延之事由。 三、控制者「知悉」時點之判斷標準為何？ 　　歐盟資料保護工作小組認為，當控制者對發生導致個人資料侵害的安全事件達「合理確信的程度」（reasonable degree of certainty）時，即應視為其已知悉。以具體事例而言，下列情況均屬所謂「知悉」： 在未加密個人資料的情況下遺失USB密鑰（USB Key），通常無法確定是否有未經授權者將獲致存取資料權限。即使控制者可能無法確定是否發生機密性侵害情事，惟仍應為通知，因發生可用性侵害之情事，且已達合理確信的程度。 　　故應以控制者意識到該密鑰遺失時起為其「知悉」時點。 第三人通知控制者其意外地收到控制者的客戶個人資料，並提供該揭露係未經授權之證據。當侵害保密性之明確證據提交控制者時，即為其「知悉」時點。如：誤寄之電子郵件，經非原定收件人通知寄件者之情形。 當控制者檢測到其網路恐遭入侵，並針對其系統進行檢測以確認個人資料是否遭洩漏，嗣後復經證實情況屬實，此際即屬「知悉」。 網路犯罪者在駭入系統後，聯繫控制者以索要贖金。在這種情況下，控制者經檢測系統並確認受攻擊後，亦屬「知悉」。 　　值得注意的是，在經個人、媒體組織、其他來源或控制者自我檢測後，控制者或將進行短暫調查，以確定是否發生侵害之事實。於此調查期間內所發現之最新侵害情況，控制者將不會被視為「知悉」。然而，控制者應儘速展開初步調查，以形成是否發生侵害事故之合理確信，隨後可另進行更詳盡之調查。 四、共同（聯合）控制者之義務及其責任分配原則 　　GDPR第26條針對共同控制者及其如何確定各自之法遵義務，設有相關規定，包括決定由哪一方負責遵循第33條（對主管機關通報）與第34條（對當事人通知）之義務。歐盟資料保護工作小組建議透過共同控制者間之契約協議，約明哪一方係居主要地位者，或須負責盡到個資侵害時，GDPR所定之通知義務，並載於契約條款中。 五、通報監管機關與提供資訊義務 　　當控制者通報監管機關個資侵害情事時，至少應包括下列事項 （GDPR第33條（3）參照）： 敘述個人資料侵害之性質，包括但不限於所涉之相關個資當事人、個資紀錄及其類別、數量。 傳達資料保護長（DPO）或其他聯絡人之姓名與聯絡方式，俾利獲得進一步資訊。 說明個資侵害可能之後果。 描述控制者為解決個資侵害業已採取或擬採行之措施，在適當情況下，酌情採取措施以減輕可能產生之不利影響。 　　以上乃GDPR要求通報監管機關之最基本事項，在必要時，控制者仍應盡力提供其他細節。舉例而言，控制者如認為其處理者係個資侵害事件之根因（root cause），此時通報並指明對象即可警示委託同一處理者之其他控制者。 六、分階段通知 　　鑒於個資事故之性質不一，控制者通常需進一步調查始能確定全部相關事實，GDPR第33條（4）爰設有得分階段通知（notification in phases）之規定。凡於通報時，無法同時提供之資訊，得分階段提供之。但不得有不必要之遲延。同理，在首次通報後之後續調查中，如發現該事件業已受到控制且並未實際發生個資侵害情事，控制者可向監管機關為更新。 七、免通報事由 　　依據GDPR第33（1）條規定，個資侵害不會對自然人之權利和自由造成風險者，毋庸向監管機關通報。如：該遭洩露之個人資料業經公開使用，故並未對個人資料當事人構成可能的風險。 　　必須強調的是，在某些情形下，未為通報亦可能代表既有安全維護措施之缺乏或不足。此時監管機關將可能同時針對未為通報（監管機關）或通知（當事人），以及安全維護措施之缺乏或不足，以違反第33條或（及）34條與第32條等獨立義務規定為由，而依第83條4（a）之規定，併予裁罰。 參、事件評析 一、我國企業於歐盟設有分支機構或據點者，宜指派專人負責法遵事宜 　　揆諸GDPR前揭規定，當個資侵害發生時，控制者應即時且不得無故拖延於知悉時起72小時內，將個資侵害情事通報監管機關。未能履踐義務者，將面臨最高達該企業前一會計年度全球營業額之2%或1千萬歐元，取其較高者之裁罰。我國無論金融業、航運業、航空運輸業、電子製造業及進出口貿易業者等，均或有於歐盟成員國境內或歐洲經濟區（European Economic Area）當地設立子公司或營業據點。因此，在GDPR法遵衝擊的倒數時刻，指派具瞭解GDPR規定、當地個資隱私法遵規範、擅長與隱私執法機構溝通及充要語言能力者專責法遵業務實刻不容緩。蓋此舉可避免我國企業母公司鞭長莫及，未能及時處置而致罹法典之憾。 二、全面檢視個資業務流程，完備個資盤點與風險評鑑作業，掌握企業法遵現況 　　企業應全面檢視業務流程，先自重要核心業務中析出個資作業流，搭配全面個資盤點，並利用盤點結果進行風險評鑑，再針對其結果就不同等級之風險採行相對應之管控措施。此外，於全業務流程中，亦宜採行最小化蒐集原則，避免蒐集過多不必要之個人資料，尤其是GDPR所定義之敏感個資（如：種族、民族血統、政治觀點、宗教信仰、哲學信仰、工會會員資格等個人資料，及遺傳資料的處理，用於識別特定自然人之生物識別資料、健康資料、性生活、性取向等）或犯罪前科資料，俾降低個人資料蒐集、處理、利用、檔案保存及銷燬之全生命週期流程中的風險。此舉亦契合我國個人資料保護法第5條所揭櫫之原則。 三、立法要求一定規模以上之企業須通過個資隱私法遵第三方認（驗）證，並建置認證資訊公開平台 　　鑒於國際法遵衝擊以及隱私保護要求之標準線日漸提升，我國企業除自主導入、建置並維運相關個資保護與管理制度以資因應，更有賴政府透過法令（如：修正個人資料保護法）強制要求一定規模以上之企業通過第三方專業驗證，俾消弭風險於日常準備之中。蓋我國具一定規模以上企業，無論其係屬何種業別，一旦違反國際法遵要求，遭致鉅額裁罰，其影響結果將不僅止於單一企業，更將嚴重衝擊該產業乃至於國家整體經貿發展。職是，採法律強制要求企業定期接受獨立、公正及專業第三方認（驗）證，咸有其實益性與必要性。

太空經濟浪潮下的太空製造零組件出口策略 資訊工業策進會科技法律研究所 2025年05月06日 2025年上半，隨太空研發實戰活動開跑，新年度的太空供應鏈整備工作及人培活動承接過往成果，開始積極推動[1]。隨近年各國搶進太空經濟領域，我國政府亦善用台灣現有晶片元件技術優勢及民間製造業能量，協助我國太空製造業及衛星射頻零組件製造廠商參進國際太空產業供應鏈，期許創造出口順差並提升台灣的國際經濟地位。惟與其他傳統產業相較，太空產業高速發展之時間尚短，尚未形成完善的國際貿易網絡及相關協定，且所屬市場受各國技術及進出口法制整備情況所限，推動相關產品進出口時，仍有眾多議題待處理和釐清。 壹、推動太空射頻零組件出口策略 我國太空製造業者、衛星射頻零組件製造廠商於晶片元件領域具有明顯技術優勢。近年來，我國業者為搶占國際市場，積極發展與重要衛星營運商、各國業者間之貿易關係。然目前各國對於射頻器材進口，多設有審驗管控及品項限制規定，使我國衛星射頻零組件製造廠商於出口、貿易過程中，負擔繁重程序成本。 前揭情況下，政府若期許協助我國廠商將產品輸出他國，或協助我國廠商切入各大衛星營運商供應鏈，透過國際協定、約定及類似貿易機制，降低我國廠商將產品輸出他國之驗測、程序成本，應為第一要務。而電信設備互認協議（Mutual Recognition Agreement）即為目前國際間，降低射頻器材進出口驗測、程序成本之重要協議之一。 一、一般射頻器材進口及審驗機制 我國電信管制射頻器材依據對電波秩序之影響程度，區分為第一級、第二級。第一級包含公眾電信網路設置使用之無線發射或收發設備、供專用電信網路設置使用之無線發射或收發設備等四項，第二級則包含無線電信終端設備、有線電話無線主副機、天線直徑三公尺以下之固定衛星地球電臺、行動衛星地球電臺等八項。依據不同層級，進行進口核准證申請時，應備妥不同文件。惟無論為第一級、第二級電信管制射頻器材，進口我國後皆須進行測試、審驗(認證)。具體流程如圖一。[2] 圖一 電信管制射頻器材測試審驗流程 資料來源:詹中耀，〈淺談電信管制射頻器材審驗及後市場管理〉，《NCC NEWS》，第19卷第1期，頁2-3（2025）。 通常情況下，預估於我國銷售之電信射頻設備，測試、審驗(認證)程序多於我國進行。此慣例亦常見於各國廠商進出口業務，以確保設備符合進口國或銷售國法規要求。惟於廠商而言，於他國推進繁複測試、審驗(認證)程序，所需耗費之倉儲、物流、人力、行政成本高昂。此情況雖有助於電信射頻設備安全與市場管理，惟不利於貿易效率。為調適前揭有礙貿易之困境，眾多國家開始積極促進電信設備互認協議（Mutual Recognition Agreement）關係之建構。 二、電信設備互認協議（Mutual Recognition Agreement）運作機制 1998年亞太經濟合作會議（Asia-Pacific Economic Cooperation, APEC）旗下電信及資訊工作小組通過電信設備合格互認協議（The APEC-TEL Mutual Recognition Arrangement, APEC TEL MRA），並於1999年正式實施。該協議主要目標在於簡化APEC成員國進行電信設備貿易時的測試和核准流程，降低貿易壁壘及市場進入障礙，範圍囊括所有受電信法規規範的設備，包含應用於電信功能的有線與無線設備、地面與衛星設備等。[3] 電信設備互認協議的實施方式，是由各協議簽署國自願約定。由約定國業務主管機關，提出電信設備合格測試實驗室或認證機構名單，並經他方約定國認可。經認可後，若電信設備出口至他方約定國前，已在本國受認可實驗室測試或認證機構認證，出口時，即無需在他方約定國複行測試或認證程序。[4] 考量各國測試、認證機構技術與標準之差異，並因應各國貿易政策限制，目前電信設備互認協議下之相互承認模式區分為二類型。其一是測試結果之相互承認，意即二國有互相認可之測試實驗室，約定互相承認測試報告。電信設備自一國出口至另一國時，若已在出口國受認可實驗室進行測試，設備輸入時，即可直接進行認證程序，不必再行測試。[5] 圖二 Phase I of the MRA 資料來源:Asia-Pacific Economic Cooperation Telecommunications & Information Working Group [APEC TELWG], A Guide for Industry to the APEC TEL Mutual Recognition Arrangement (3rd Edition), 1, 6, APEC#201-TC-01 (2015). 其二為認證結果之相互承認，意即二國不僅有互相認可之測試實驗室，更有互相認可之認證機構。電信設備自一國出口至另一國時，若已在出口國通過受認可認證機構之認證，設備輸入時，即可逕為銷售。[6] 圖三 Phase II of the MRA 資料來源:Asia-Pacific Economic Cooperation Telecommunications & Information Working Group [APEC TELWG], A Guide for Industry to the APEC TEL Mutual Recognition Arrangement (3rd Edition), 1, 6, APEC#201-TC-01 (2015). 貳、協議關係建構流程 通常情況下，與一國約定實施電信設備互認協議之程序分為三大階段。其一，是確認雙方皆為APEC會員國，並曾簽署電信設備互認協議。該協議為多邊協議，非與特定國簽署，而是多國共同承諾參與。於此階段，該協議僅為形式承諾，對各簽署國並無實際執行效力。而待確認兩國同為簽署國後，即可進一步商討雙方是否有意願在電信設備互認協議框架下，約定實施實質上的測試報告、認證結果互認約定。 其二，兩國先依一般國際協議簽訂程序與雙方外交主管機關接觸，確定雙方合作意向。確定意向後，接洽兩國電信設備產業主管機關接觸，進入具體之約定流程。如兩國需協商、起草具體之約定內容，包含互相承認測試報告之細節、兩國實驗室申請認可標準等。 於此階段，兩國電信設備產業主管機關不僅需彼此協商，更需彙整本國利害關係人意見，如相關政府部門、業者與產業公會、消保團體、測試或認證機構、專家之建議，以確保在起草具體之約定內容時，為本國爭取最大利益[7]。同時，兩國主管機關亦將開放各方單位申請為受認可實驗室或認證機構，並將申請通過之名單，提請對方國家之主管機關認可。一旦對方國家認可，未來該實驗室或認證機構出具之結果，將受對方國家承認。 申請為受認可實驗室或認證機構之時點，不必然限於電信設備互認協議關係協商建構期間。依我國目前申請機制，但凡有意願成為受認可實驗室之單位，可隨時函請NCC協助辦理，以成為任一我國電信設備互認協議約定國認可之實驗室[8]。依目前辦理流程，應備文件包含APEC TEL MRA符合性評鑑機構（測試實驗室）指派聲明書、認證證書測試範圍異動前後對照表、財團法人全國認證基金會中英文認證證書等。而若欲申請美國、加拿大認可，則另須提供經全國認證基金會案件承辦人簽註之技術查檢表。[9] 其三，為最終之外交談判與約定，意即與對方國家談判，確定是否認可彼此提出之實驗室、認證機構名單，並確定所有互認協議約定細節，包含約定囊括之設備種類、約定生效時間等。待雙方皆無疑義，達成約定並通過各國國內立法程序，整體約定程序即完備。未來兩國設備出口對方國家前，已於本國通過受認可實驗室測試、認證機構認證者，即不需於對方國家再行測試或認證，可直接銷售。 參、協議排除情境 若欲免除約定電信設備互認協議之繁雜程序，並期許設備出口他國時免除測試、認證等流程，以降低成本，應可考察設備輸入國是否有豁免特定設備測試、認證之規範或政策。各國之規範、政策各有其差異。如加拿大對於供研發測試、組裝後專供輸出之電信設備、低功率射頻設備、無線電話家庭系統設備有豁免之規定。韓國對於供研發測試、組裝後專供輸出之電信設備亦有豁免規定。日本則規定除了非商用設備外，電信設備進口一律需經認證。[10] 肆、政策建議 近年衛星通訊成為電信產業發展之新興趨勢之一，衛星通訊領域電信設備之進出口，亦成為各國約定實施電信設備互認協議時關注的重點。我國作為科技製造產品之重要出口國，近年積極促進衛星通訊設備輸出，並同時已與部分國家為電信設備互認協議之約定[11]。惟目前互為約定之國別尚少，為趕上衛星通訊網路帶來的新一波經濟浪潮。我國應可在徵集各方利害關係人意見後，持續建構我國與其他友好國家之電信設備互認協議約定。 而為進一步強化電信設備互認協議之效益，我國應可進一步積極鼓勵有能力進行衛星電信射頻設備測試之實驗室，申請成為電信設備互認協議關係下之受認可實驗室，或鼓勵業界廠商持續發展衛星電信射頻設備領域之驗測能力。期許透過前揭建議，得以降低我國衛星電信射頻設備製造商出口產品前之驗測成本和驗測排程壓力，為我國廠商創造更多參進他國市場、切入國際供應鏈的可能性。 [1]訊息公告，太空產業供應鏈暨網通產業新星飛揚計畫，https://www.satcom.org.tw/zh-tw/bulletin （最後瀏覽日: 2025/04/21）。 [2]詹中耀，〈淺談電信管制射頻器材審驗及後市場管理〉，《NCC NEWS》，第19卷第1期，頁2-3（2025）。 [3]APEC-TEL MRA, Asia-Pacific Economic Cooperation, https://www.apec.org/groups/som-steering-committee-on-economic-and-technical-cooperation/working-groups/telecommunications-and-information/apec_tel-mra (last visited Apr. 21, 2025)；Asia-Pacific Economic Cooperation [APEC], A Guide for Conformity Assessment Bodies to the APEC TEL Mutual Recognition Arrangement (3rd Edition), at 1, 3, APEC#201-TC-03(2015). [4]Asia-Pacific Economic Cooperation Telecommunications & Information Working Group [APEC TELWG], Mutual Recognition Arrangement for Conformity Assessment of Telecommunications Equipment (1st Edition), 1, 7-15, 22-31, APEC#202-TC-01 (2002). [5]Asia-Pacific Economic Cooperation Telecommunications & Information Working Group [APEC TELWG], A Guide for Industry to the APEC TEL Mutual Recognition Arrangement (3rd Edition), 1, 6, APEC#201-TC-01 (2015). [6]id. [7]APEC-TEL MRA, Asia-Pacific Economic Cooperation, https://www.apec.org/groups/som-steering-committee-on-economic-and-technical-cooperation/working-groups/telecommunications-and-information/apec_tel-mra (last visited Apr. 21, 2025). [8]我國目前已與五國(或地區)為約定，分別為美國、加拿大、澳洲、新加坡、香港。 [9]林怡萱，〈我國參與亞太經濟合作電信設備符合性評鑑相互承認協定(APEC TEL MRA)之緣起與發展〉，《NCC NEWS》，第19卷第1期，頁15（2025）。 [10]財團法人台灣經濟研究院，〈國際上對非成品射頻器材管理規定及國內廠商對進口研發測試或組裝後輸出器材類別意見委託研究採購案-期末報告〉，國家通訊傳播委員會委託研究，頁312-365（2019）。 [11]Asia-Pacific Economic Cooperation ICT Conformity Assessment and Interoperability Steering Group Meeting, Mutual Recognition Arrangement for Conformity Assessment of Telecommunications Equipment Participation and Implementation Chart, 1, 2023/SOM2/TEL68/CISG/003 Agenda Item: 2 (2024).