歐盟會員國要求分享DNA資料庫
歐盟十五個會員國為強化對抗恐怖攻擊、跨邊境犯罪及非法遷徙之國際合作,於2007年3月28日提出有關資料分享的立法草案,以期歐盟能夠建立一套資料分享的機制與架構。立法草案明確規範了各成員國就資料保護所應給予的等級,其必須保證個人資料保護必須達到與1980年歐洲理事會(Council of Europe)通過的「保護自動化處理個人資料公約(Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data)」及其於2001年通過的附加議定書相同等級。
該立法草案係根據「Prüm條約」而來,其條約簽署背景為2004年馬德里的恐怖組織炸彈攻擊事件,有鑑打擊恐怖攻擊及跨國犯罪之國際合作,歐盟七個會員國於2005年5月27日在德國、比利時及盧森堡邊境的城市Prüm,簽訂了該條約。條約中規定,簽署國之警察及刑事追訴機關執法於恐怖攻擊及跨邊境犯罪時,得向他簽署國處理相關資料之單位請求有關DNA之分析資料、指紋及相關車籍資料。
目前,歐盟資料保護監督機構(European Data Protection Supervisor)已背書支持建立該機制與架構,並且聲明表示,該架構之建立,仍應注意資料保護的相關事項,在追求資料分享更為便利的同時,應給予人民更為足夠的保護,再者,資料處理的權責單位對於不同的資料類型,也應以不同的方式處理之,越敏感性的資料越應限制其使用目的,並且讓越少人得以接觸。
本文為「經濟部產業技術司科技專案成果」
國際藥廠Novartis被指控濫用美國食品藥品管理局(the U.S. Food and Drug Administration,簡稱FDA)為鼓勵藥廠投入研發被忽視疾病治療藥物所設立的一套獎勵制度。 這套制度是根據2007年美國國會所通過之美國食品藥品管理法修正案(the Food and Drug Administration Amendments Act of 2007)而創設,主要是給予向FDA申請治療其表列之被忽視熱帶疾病(例如瘧疾、血吸蟲病、利什曼病等)藥品查驗登記並獲通過之申請者一份所謂「藥品優先審查劵」(priority review voucher),讓該申請者可以用於之後所提出的人類藥品查驗登記申請,而得以享有優先審查之權利。 這個所謂「藥品優先審查劵」對於藥廠來說可說是價值非凡,因為藥品查驗登記程序正常情況往往超過10個月以上,但是適用優先審查程序之申請案,卻可以有九成左右在6個月內就獲得通過,這對於藥廠的好處在於,其可以比其他競爭者更快地將其所生產藥品上市販售。 Novartis於2009年4月獲得FDA通過其就治療瘧疾藥物Coartem之查驗登記申請,而成為適用此獎勵制度之首例並獲得「藥品優先審查劵」。Novartis的行為之所以招致批判,因為其所申請之藥物Coartem並非是針對治療瘧疾所研發出來的新藥,其從1999年起便已在部分國家被許可使用,只是該藥物在美國從未被申請查驗登記而獲准通過。由於上述獎勵制度並未言明是針對新開發之治療熱帶疾病的藥品,所以Novartis的動作可以符合其要件並獲得獎勵,但此舉卻有鑽法律漏洞之嫌。
英國衛生部提出健康照護科技行為準則,以增進資訊安全以及新技術操作品質英國近來透過電子醫療紀錄的應用,以智慧演算法(intelligent algorithms)開發結合數位技術的創新醫療科技,這些成果多是以國民健保署(National Health Service, NHS)的資料做為基礎,因此關於資訊保障等議題也開始受到政府之重視。 2018年9月5日,英國衛生部(Department of Health and Social Care)在NHS健康與護理創新博覽會(NHS Health and Care Innovation Expo Conference 2018)中公布「以資料導向的健康照護科技之行為準則」(Code of Conduct for Data-driven Health and Care Technology)。此準則主要鼓勵研發公司在設計產品時,將患者的資訊安全以及新技術的操作品質列入考量。 此行為準則的目的主要在於改善整體研發環境,內容包含十項原則,分別為:界定使用者、界定價值(value proposition)、對使用的資料保持合理(fair)、透明(transparent)以及當責(accountable)的立場、符合一般資料保護規則(General Data Protection Regulation, GDPR)的資料最小化原則(data minimisation principle)、利用公開之標準、公開被使用的資料以及演算法的極限、在設計中內建合適的安全性設定、界定商業策略、展示技術使用上的有效性、以及公開演算法的類型、開發原因、與操作過程的監控方式。 官方期望接下來能廣納相關人員的建議,以增進此指引在產業運作上的適用性,並預期於2018年12月公布更新的版本。
Google被遺忘權近期歐洲法院判決趨勢德國聯邦最高法院(Bundesgerichtshof, BGH)於今(2020)年7月「VI ZR 405/18」」案中拒絕當事人請求Google刪除有關其健康個資之主張,為2018年歐盟通過一般資料保護規則(General Data Protection Regulation, GDPR)後,德國聯邦最高法院第一件與被遺忘權相關之判決。本案當事人曾為德國一慈善團體之負責人,該團體於2011年陷入財務危機,而當時有報導指稱當事人作為團體負責人,竟稱病不回應媒體訪談。當事人認為上述報導資料有損其名譽,請求Google刪除與其健康個資相關之搜尋結果。德國聯邦最高法院於判決中強調,網路搜尋結果是否須被移除,應衡量相關之基本權利,個案分別認定。本案中大眾知的權利(right to information)優於當事人被遺忘權,故駁回原告之請求,判決Google勝訴。 被遺忘權首見於2014年歐盟判決(Google Spain v. AEPD and Mario Costeja Conzalez),賦予人民要求搜尋引擎移除對自身造成負面影響資訊之權利。GDPR進一步於第17條明文化此一權利之內涵,於個資依原本蒐集之目的已不具必要性、當事人撤回同意、當事人反對個資自動化處理、當事人個資遭不法侵害、依照法律規定應刪除個資及青少年與兒童個資等六種情形,當事人得請求資料控制者刪除個資。 法國近期亦有被遺忘權相關法院判決。法國最高行政法院(Conseil d’État)於今(2020)年3月撤銷法國國家資訊自由委員會(Commission nationale de l’informatique et des libertés, CNIL)於2016年3月對Google作出十萬歐元之裁罰,因其僅刪除存在於法國網域內之當事人個資,而未及於全球網域。法國最高行政法院於本判決重申2019年歐盟法院(European Court of Justice)於Google v. CNIL之立場,認定Google履行被遺忘權之網域範圍僅適用於歐盟地區,而不及於全球,撤銷CNIL於2016年對Google作出之裁罰。
法國資料保護機關要求Clearview AI刪除非法蒐集的個人資料法國國家資訊自由委員會(Commission nationale de l’informatique et des libertés, CNIL)自2020年5月起陸續收到民眾對臉部辨識軟體公司Clearview AI的投訴,並展開調查。嗣後,CNIL於2021年12月16公布調查結果,認為Clearview AI公司蒐集及使用生物特徵識別資料(biometric data)的行為,違反《一般資料保護規範》(General Data Protection Regulation,GDPR)的規定,分別為: 非法處理個人資料:個人資料的處理必須符合GDPR第6條所列舉之任一法律依據,始得合法。Clearview AI公司從社群網路蒐集大量全球公民的照片與影音資料,並用於臉部辨識軟體的開發,其過程皆未取得當事人之同意,故缺乏個人資料處理的合法性依據。 欠缺保障個資主體的權利:Clearview AI公司未考慮到GDPR第12條、第15條及第17條個資主體權利之行使,特別是資料查閱權,並且忽視當事人的個資刪除請求。 因此,CNIL要求Clearview AI公司必須於兩個月內改善上述違法狀態,包括:(1)在沒有法律依據的情況下,停止蒐集及使用法國人民的個資;(2)促進個資主體行使其權利,並落實個資刪除之請求。若Clearview AI公司未能於此期限內向CNIL提交法令遵循之證明,則CNIL可依據GDPR進行裁罰,可處以最高 2000萬歐元的罰鍰,或公司全球年收入的4%。