商傳媒|吳承岳/台北報導
隨著各項數位法規在歐盟境內陸續生效,境外企業在拓展歐洲市場時,除了廣為人知的《通用資料保護規則》(GDPR)外,還可能需要遵守《數位服務法》(DSA)、《數據法》(Data Act)及《人工智慧法》(AI Act)等相關規範。日本網路基礎建設供應商 Internet Initiative Japan(IIJ)於去(2025)年 12 月舉辦研討會,針對歐盟最新的政策動向及執法重點進行解析,提醒企業留意選任代理人的相關規定,避免觸法。
IIJ 商務風險諮詢部部長堀江浩司指出,歐盟執法機構近年來特別重視境外企業在歐盟境內的活動,以確保公平競爭。即使企業並未在歐盟設立據點,仍可能因違反 GDPR 而受到制裁。選任代理人的要求不僅限於 GDPR,也擴及至其他數位法規,成為歐盟強化執法的重要手段。
GDPR 代理人規定
根據 GDPR 第 3 條第 2 項,若歐盟境外的管理者或處理者,針對歐盟境內提供商品或服務,或監控歐盟境內人士的行為,原則上必須以書面形式指定代理人。除非屬於「臨時性」且不涉及敏感資料,以及對權利和自由風險較低的情況,才可豁免此規定。若境外業者違反 GDPR 相關規定,歐盟主管機關可直接對其代理人採取法律行動。違反代理人選任義務的企業,最高可被處以 1,000 萬歐元或全球營業額 2% 的罰款,以金額較高者為準。
《數位服務法》 (DSA) 代理人規定
《數位服務法》第 2 條規定,無論仲介服務提供者的所在地為何,只要在歐盟境內提供服務,就受到該法規範。所謂仲介服務,指的是單純的傳輸服務、快取服務和託管服務。《數位服務法》第 13 條規定,未在歐盟設立據點,但於歐盟境內提供服務的業者,必須在提供服務的成員國中,指定一名代理人,並以書面形式委任。該代理人將對業者未能履行 DSA 義務負責。業者必須將代理人的姓名、地址、電子郵件和電話號碼通知代理人居住或設立所在成員國的數位服務協調機構,並公開相關資訊。若業者未選任代理人,所有成員國或歐盟執委會有管轄權。違反 DSA 義務的最高懲罰為全球營業額的 6%。
《人工智慧法》 (AI Act) 代理人規定
《人工智慧法》也對代理人的選任做出規範,適用對象為高風險 AI 系統和通用 AI 模型。將高風險 AI 系統從歐盟境外導入的業者,必須透過書面授權,在歐盟境內指定一名代理人。代理人有義務應主管機關要求,提供授權書副本。若代理人認為業者違反 AI 法,應終止委任,並將終止委任及理由告知主管機關。供應商或代理人有義務將自身及其系統註冊到歐盟資料庫中。違反 AI 法的罰款,高風險 AI 系統和通用 AI 模型最高可達 1,500 萬歐元或全球營業額的 3%,以金額較高者為準。若使用全面禁止的 AI 系統,罰款最高可達 3,500 萬歐元或全球營業額的 7%,以金額較高者為準。若向監管機構提供不正確、不完整或誤導性資訊,最高罰款為 750 萬歐元或全球營業額的 1%,以金額較高者為準。
《數據法》 (Data Act) 代理人規定
《數據法》規定,在歐盟境內提供連接產品或服務,但未在歐盟設立的業者,必須在任一成員國選任一名歐盟代理人,並服從代理人所在成員國的管轄。在選任代理人之前,業者將受到所有成員國的管轄。主管機關有權要求代理人提供必要的資訊,以確認業者是否遵守《數據法》。各成員國將自行決定具體的懲罰方式。
