不是公司設在哪裡，是公司的服務對象是誰：臺灣中小企業的跨境法遵現實

歐洲資料保護委員會（EDPB）在2026年2月發布的刪除權調查報告，給我一個很難忽視的數字：他們聯合調查了將近8,000家企業，回應率不足一成。

這個數字不只是個資法遵落差的指標，它更像是一個訊號：當監管機關開始大規模橫向調查，沒有回應不代表豁免，代表的是還沒輪到你。

更讓我在意的，是這場調查背後的制度性涵義。EDPB首次明確將備份系統納入刪除義務範圍，這意味著企業不能再把「刪除」當成一個資料庫指令的問題，而必須把它理解成一個系統架構問題。這一步看起來是資料保護法的問題，但它實際上開始觸碰AI系統設計的核心：一個以個人資料訓練的模型，要怎麼「刪除」某一筆資料的影響？

這正是我想在這篇文章討論的事：三個原本分開運作的監管領域——競爭法、資料保護、人工智慧監管——在近年間，已經開始彼此滲透，形成臺灣中小企業難以用過去的法遵邏輯應對的複合壓力。

競爭法：從行為合謀到架構審查

全球反壟斷執法在過去一年發生了一個根本性的轉變，而它的影響遠比多數企業意識到的更廣。

過去的競爭法問題大多有一個清楚的前提：企業之間是否彼此溝通、達成協議。現在這個前提正在鬆動。美國加州的反壟斷法在2026年1月修訂後，正式將「競爭對手共同使用同一定價演算法」納入審查範圍，即使業者之間沒有任何直接溝通，只要共享了同一套系統的輸出結果，就可能被認定為形成協同定價的制度環境。

這個轉變的理論基礎來自稍早的RealPage租金案：多家房東將非公開的即時租金資訊提交給同一平臺，平臺以演算法生成建議租金。法院的判斷是，不需要租東彼此達成共識，這個「共同使用同一個資訊中介」的架構本身，已經可能構成協同定價的條件。

紐約州對Instacart演算法定價機制的調查，和歐盟對Google AI內容抓取的反壟斷調查，都在同一個方向上進一步延伸。歐盟這個案子格外值得注意：Google被指控在未取得授權的情況下，以爬取網路出版商內容的方式訓練AI模型並生成搜尋摘要。這是競爭法第一次正面觸及AI訓練資料取得的合法性問題——從反壟斷法的角度，不是從著作權法。

對臺灣企業的直接影響在這裡：如果你的公司使用第三方定價工具、需求預測平臺或市場分析服務，你需要知道這些服務是否同時服務你的競爭對手，以及這些系統是如何處理競爭敏感資訊的。這不再是IT部門的採購決策，而是一個具有競爭法風險的經營選擇。

歐盟《數位市場法》（DMA）和英國《數位市場、競爭及消費者法》（DMCCA）的生效，讓這個問題多了另一個維度。2025年歐盟對大型平臺的裁罰總額超過新臺幣900億元，2026年2月英國CMA也首度援引DMCCA新法裁罰不配合調查的業者。這波規則重整對臺灣中小企業是雙向的：高度依賴單一平臺的業者，過去很難挑戰平臺的定價或排名邏輯，這些法規正在改變這個結構；但如果自身成為資料蒐集或分析平臺的參與者，也同樣可能進入執法視野。

資料保護：刪除義務升格為系統設計問題

EDPB的刪除權報告，是我在寫這篇文章時花最多時間思考的部分。

報告揭示的核心問題不是某幾家企業的疏失，而是一個制度性缺口：大多數企業根本沒有流程來處理資料主體的刪除請求。部分企業用匿名化技術替代實質刪除，而EDPB明確認定這不符合GDPR第17條的要求。更重要的是，備份系統也被納入刪除義務的適用範圍。

這個要求的難度，在大量使用AI工具的企業裡會被放大到另一個層次。當個人資料已經被用於訓練或微調模型，「刪除」這筆資料的請求，在技術上要怎麼被履行？目前沒有統一的技術標準，但監管機關已經明確說「匿名化不等於刪除」，剩下的問題由企業自己解決。

同一時期，法國監管機關裁罰了一家零售企業350萬歐元，原因是這家公司將超過千萬名會員的聯絡資訊傳輸給社群媒體平臺用於投放廣告，且這個行為持續了七年。這個案例揭示一個在臺灣企業中普遍存在的誤解：蒐集資料時取得的同意，並不自動涵蓋後續所有的使用方式，包括傳輸對象與用途。

亞洲方面，中國《網路安全法》修訂案在2026年1月施行，一般企業最高罰款提升至年營業額5%，域外管轄範圍擴大至任何危害中國網路安全的境外行為，並首度以法律形式將AI安全治理義務納入框架。新加坡同月裁罰一家人力資源公司，因欠缺基本資安防護導致近十萬筆個資外洩。

對臺灣出口商或在亞太多個市場運營的中小企業，跨境資料保護的法遵壓力已不限於歐盟，而是在多個法域同步升溫。

人工智慧監管：多重法域同步收緊，台灣在哪裡

全球AI法制在2026年初進入我稱之為「爆發期」的階段。各法域的路徑不同，但共享一個核心要求：使用AI的企業，必須對AI系統的決策結果承擔可說明的責任。

歐盟《人工智慧法案》是目前全球最完整的AI法律框架。高風險系統的強制合規期限因技術標準制定延遲，從2026年8月延後至2027年底，但核心要求沒有改變——就業招募、信用評估、關鍵基礎設施等領域的AI應用，必須建立可解釋的技術文件、風險管理機制與人工監督架構，最高罰款達全球年營收7%。域外適用的設計，使臺灣企業只要服務觸及歐盟市場，就需要受其規範。

南韓《AI基本法》在2026年1月22日生效，是繼歐盟後全球第二部完整的AI綜合立法，同樣明定域外管轄：凡影響南韓使用者的AI產品或服務，無論提供者設於何處，均須遵守透明度義務並指定當地代理人。

美國的方向相反。川普政府以「創新優先」試圖建立聯邦AI最低負擔框架，限制各州立法；但加州、科羅拉多州、德州等州的AI法規仍在2026年陸續生效。對在美國多州運營的企業，這製造了一個聯邦鬆綁與州級嚴管並行的碎片化格局，法遵挑戰實際上更為複雜。

臺灣目前的狀態是什麼？從我的觀察來看，台灣在AI監管的制度建設上仍處於「原則宣示」的階段，與歐盟和南韓已進入「執法實施」階段之間存在明顯落差。這個落差本身不是問題，問題是臺灣企業若服務歐盟或南韓市場，不能用「台灣還沒有相應法規」作為法遵依據。執法的地點不是企業設立地，而是服務影響所在地。

三道交叉後的制度壓力地帶

三個領域並非各自獨立，在執法實踐中它們已經開始形成複合壓力。

歐盟對Google AI內容抓取的反壟斷調查，同時涉及競爭法、著作財產權與AI訓練資料合法性三個面向。中國修訂後的《網路安全法》將AI安全治理嵌入資料保護框架，企業無法將AI法遵與資料法遵分開處理。EDPB的刪除權執法，對大量使用AI工具處理個資的企業，直接意味著AI系統設計本身必須具備刪除個資的技術能力。

這種交叉在製造業裡有一個具體的表現形式，我認為目前被低估的程度：製造業日常運營早已將跨境資料共享內建為常態——產能協調、庫存共享、即時報價、人力資源管理，每個環節都可能跨越歐盟、美國或亞洲法域的監管邊界。大型品牌客戶開始要求供應商提交法遵聲明，這件事正在悄悄從品牌稽核延伸到資料治理和AI使用規範的審查。能否拿出這份文件，已經開始影響訂單保留的機會。

臺灣中小企業目前面對的這三道壓力，最危險的不是最嚴苛的那道，而是最容易被誤解為「跟我沒關係」的那道。AI監管的域外管轄已經明確，資料保護的備份刪除義務已經確立，競爭法對演算法架構的審查已經啟動。

這三件事的共同點是：觸發條件都不是「企業設立在哪裡」，而是「服務影響到誰」。

臺灣多家中小企業，其中出口導向、使用第三方數位工具、或服務跨境客戶的，規模都遠超過一般人的認知。這不是「將來要注意的問題」，而是今天的合約、今天的資料架構、今天使用的訂價系統，是否已經置身於這三道監管的交叉範圍之內。

參考資料來源：

1. EU Commission: Google AI content scraping investigation
2. California's Algorithmic Pricing Antitrust Amendments to the Cartwright Act Take Effect
3. Attorney General James Demands Answers from Instacart about Algorithmic Pricing
4. UK CMA proposes measures to improve Google search services, 
5. EDPB identifies challenges hindering the full implementation of the right to erasure
6. Transfer of data to a social network for advertising purposes: the CNIL imposed a fine of €3.5 million
7. EU AI Act Implementation Timeline
8. South Korea: Comprehensive AI Legal Framework Takes Effect, 
9. Revisions to China's Cybersecurity Law
10. Singapore: PDPC Fines Several Organizations 

本文資料截至2026年2月，法規資訊僅供參考，不構成法律建議。