英國正式提出人類組織與胚胎法草案
英國可算是對人類胚胎研究最積極的國家之一,目前其胚胎相關研究係根據「人類受精與胚胎學法」(Human Fertilisation and Embryology Act 1990,HF&E Act)及「人類受精與胚胎學規則」(Human Fertilisation and Embryology (Research Purposes) Regulations 2001,Research Purposes Regulations)之規定,並授權「人類受精與胚胎學管理局」(Human Fertilisation and Embryology Authority,HFEA)加以管理。
然面對胚胎研究日益多樣化,英國健康部於今(2007)年5月正式提出「人類組織與胚胎法草案」(Human Tissues and Embryos (Draft)Bill,以下簡稱草案),期能加強現有管理體系並促進相關技術之發展,而草案特別針對體外受精(in vitro fertilization)及胚胎研究之相關規定,作一徹底檢視及翻修。
進一步觀察,胚胎儲存、胚胎篩選、精卵捐贈及主管機關均屬草案規定範圍,另近來於英國國內討論熱烈的人類動物混合胚胎議題,亦於草案中有所規定,草案准許三種類型之人類動物混合胚胎得以被製造,分別是:將動物細胞注入至人類胚胎中、將動物DNA注入至人類胚胎中及將人類細胞核植入動物卵子中等。至於人類精卵與動物精卵之結合,則是被禁止之行為。
草案後續將送交國會專門委員會審查,但由於草案涉及極為爭議的人類動物混合胚胎議題,社會輿論的壓力及保守派議員會產生何種影響,值得持續關注。
本文為「經濟部產業技術司科技專案成果」
美國平等就業機會委員會(Equal Employment Opportunity Commission, EEOC)於2023年5月18日發布「根據 1964 年《民權法》第七章評估就業篩選程序中使用軟體、演算法和AI之不利影響」(Assessing Adverse Impact in Software, Algorithms, and Artificial Intelligence Used in Employment Selection Procedures Under Title VII of the Civil Rights Act of 1964)之技術輔助文件(下簡稱「技術輔助文件」),以防止雇主使用自動化系統(automated systems)對求職者及員工做出歧視決定。 該技術輔助文件為EEOC於2021年推動「AI與演算法公平倡議」(Artificial Intelligence and Algorithmic Fairness Initiative)計畫的成果之一,旨在確保招募或其他就業決策軟體符合民權法要求,並根據EEOC 1978年公布之「受僱人篩選程序統一指引」(Uniform Guidelines on Employee Selection Procedures, UGESP),說明雇主將自動化系統納入就業決策所應注意事項。 當雇主對求職者與員工做出是否僱用、晉升、終止僱傭,或採取類似行動之決定,是透過演算法決策工具(algorithmic decision-making tool),對特定種族、膚色、宗教、性別、國籍或特定特徵組合(如亞洲女性),做出篩選並產生不利影響時,除非雇主能證明該決策與職位工作內容有關並符合業務需求,且無其他替代方案,否則此決策將違反《民權法》第七章規定。 針對如何評估不利影響,雇主得依UGESP「五分之四法則」(four-fifths rule),初步判斷演算法決策工具是否對某些族群產生顯著較低的篩選率。惟EEOC提醒五分之四法則推導出之篩選率差異較高時,仍有可能導致不利影響,雇主應依個案考量,使用實務常見的「統計顯著性」(statistical significance)等方法進一步判斷。 其次,當演算法決策工具係由外部供應商所開發,或由雇主授權管理人管理時,雇主不得以信賴供應商或管理人陳述為由規避《民權法》第七章,其仍應為供應商開發與管理人管理演算法決策工具所產生之歧視結果負責。 最後,EEOC鼓勵雇主應對演算法決策工具進行持續性自我評估,若發現該工具將產生不利影響,雇主得採取措施以減少不利影響或選擇不同工具,以避免違反《民權法》第七章。
愛爾蘭資料保護委員會發布《控制者資料安全指引》,提供資料控制者關於個人資料安全措施之依循指引愛爾蘭資料保護委員會(Ireland's Data Protection Commission)於今(2020)年2月公布控制者資料安全指引(Guidance for Controllers on Data Security),愛爾蘭資料保護委員會表示本指引亦適用於資料處理者。指引內針對17個面向說明控制者於資料處理時應考量之安全措施,分別為:(1)資料蒐集與留存政策(Data Collection and Retention Policies);(2)存取控制(Access Controls);(3)螢幕保護程式(Automatic Screen Savers);(4)加密(Encryption);(5)防毒軟體(Anti-Virus Software);(6)防火牆(Firewalls)(7)程式修補更新(Software Patching);(8)遠端存取(Remote Access);(9)無線網路(Wireless Networks);(10)可攜式設備(Portable Devices);(11)檔案日誌及軌跡紀錄(Logs and Audit Trails);(12)備份系統(Back-Up Systems);(13)事故應變計畫(Incident Response Plans);(14)設備汰除(Disposal of Equipment);(15)實體安全(Physical Security);(16)人為因素(The Human Factor);(17)認證(Certification)。 此外,愛爾蘭資料保護委員會還強調,歐盟一般資料保護規則(General Data Protection Regulation, GDPR)第25條與第32條有關資料控制者之義務,可透過「從設計與預設機制著手資料保護(Data protection by design and by default)」,與適當的技術及組織措施等方式,並考量現有技術、執行成本、處理之本質、範圍、脈絡及目的與對當事人權利及自由之風險可能性與嚴重性等因素,以確保其安全措施符合相應資料風險之安全等級。 最後,愛爾蘭資料保護委員會表示資料控制者更應確保其組織內員工瞭解該等安全措施並確實遵守,資料控制者應於制定其資料安全政策時考量到本指引所列各項目,以履行其保護資料安全之義務。