資通安全法律案例宣導彙編 第1輯

　　於2000年基因圖譜解碼後，「基因歧視」議題成為各界關注焦點，而在電子通訊技術之配合下，更加速了包括基因資訊之個人醫療資訊的流通。在此時空背景下，如何能在善用相關技術所帶來的便捷同時，也對於相關資訊不甚外流時，得以有適切的因應措施以保障患者之隱私，成為了必須處理的問題。 　　美國國會甫於今年(2009年)2月所通過的「經濟與臨床健康資訊科技法」 (The Health Information Technology for Economic and Clinical Health Act, HITECH) 之相關修正中，強化了對醫療資訊之保護，其中要求美國衛生暨福利部(the Department of Health and Human Service, HHS )，針對受保護之醫療資訊未經授權而取得、侵入、使用或公開外洩之情形擬定「暫行最終規則」(interim final rule)進行管理，該項規則亦於今年(2009年)8月24日公布。值得注意的是，HITECH之規範主體(適用主體、商業夥伴)與保護客體(未依法定方式做成保護措施之健康資訊)皆沿用「1996醫療保險可攜性與責任法案」（the Health Insurance Portability and Accountability Act of 1996, HIPAA）之定義。然而，與HIPPA最大的不同在於， HIPAA中僅以私人契約之隱私權政策間接地管理醫療資料外洩事件，但於暫行最終規則中直接課以相關主體一項明確且積極的法定通知義務。HITECH之規範主體，基於其注意義務，應於得知或可得而知之日起算，60日內完成通知義務；視醫療資訊外洩之嚴重程度，其通知之對象亦有所不同，必要時應通知當地重要媒體向外發布訊息，HHS也將會以表單方式公布於其網站中。 　　整體而言，HITECH首次課以規範主體主動向可能受影響個人通知醫療資訊外洩事件之義務，此為HIPPA過去所未規範者；其次HITECH也突破HIPAA過往基於契約關係執行相關隱私權及安全規定之作法，於法規上直接對於洩露醫療資訊之相關主體課以刑責，強化了違反HIPAA隱私權與安全規定之法律效果。惟值得注意的是，受限於美國國會對HHS提出最終規則之期限要求，HHS現階段所提出的版本僅屬暫行規定，最終規定之最終確切內容仍有待確定，也值得我們持續觀察。

　　藥品專利聯盟（Medicines Patent Pool，下簡稱MPP）2021年2月宣布將和世界智慧財產權組織（World Intellectual Property Organization，下簡稱WIPO）加強合作，因應COVID-19及推動《聯合國2030永續發展議程》（United Nations 2030 Agenda for Sustainable Development）。MPP是聯合國支援的公衛組織，透過與政府、國際組織、企業、患者團體等對象合作，對所需藥品進行排序，並和藥品專利權人簽署協議，將其授權之智財權納入專利庫，以鼓勵製造學名藥和開發新配方，促進中低收入國家的救命藥品取得與研發。 　　雙方將在以下領域共同合作： 一、探索促進以中低收入國家為主的COVID-19醫療技術創新及對應之智財管理策略，並在網頁上共享資訊與工具。 二、和各國專利局合作，透過連結PATENTSCOPE、Pat-INFORMED及MedsPaL等資料庫，提高關鍵藥品的專利透明度和收集資訊，並在各論壇呈現合作成果。 三、安排授權和技術移轉相關活動，包含為WIPO成員國提供的技術支援、WIPO中小企業暨創業支助司（WIPO’s SMEs and Entrepreneurship Support Division）和WIPO學術機構（WIPO Academy）執行的活動和計劃等。 四、在專利法常設委員會（Standing Committee on the Law of Patents，SCP）共享資訊：應WIPO成員國要求，介紹MPP的業務、專利和授權資料庫MedsPaL。 五、為支持被忽視的熱帶疾病（neglected tropical diseases，NTDs）、瘧疾和肺結核的早期研發，將定期協商並在網頁提供相關連結。 六、探索能進一步納入MPP協議中的爭端解決條款。 　　近來MPP更邀請WIPO以無表決權的觀察員身份參與理事會，雙方期望本次合作能為大眾帶來更多的利益。 「本文同步刊登於TIPS網站（https://www.tips.org.tw）」

　　繼2012年最高法院認為警方在無搜索令的情況下，以GPS追蹤裝置查探犯罪嫌疑人之位置資訊違反憲法第四修正案。最高法院於2017年6月5日，認為警方未持搜索票，而向電信公司取得犯罪嫌疑人過去127天共計12,898筆之行動通信基地台位置資訊（cell-site data）之行為，違反憲法第四修正案。 　　由於個人利用行動通訊服務時，必須透過基地台進行通訊，因而可藉由該基地台位置，得知每個人所在之區域位置，而此一通訊紀錄過去被電信公司視為一般的商業資訊，因為得知通訊基地台的位置資訊，無法直接得知個人所在的精準位置，僅能得知其概略所在地區。 　　因此，犯罪調查機關基於1979年 Smith v. Maryland案所建立之原則，即只要該個人資訊屬於企業的一般商業紀錄（normal business record），警方可以在無搜索令的情況下，向企業取得個人資訊， 此一原則又稱為第三方法則（third-party doctrine）。過去在地方法院或上訴法院的審理中，法院對此多持正面見解，認為只要該資料與進行中之犯罪偵查活動有實質關聯（relevant and material to an ongoing criminal investigation），警方即可向業者取得。大法官Sonia Sotomayor早在前述2012年GPS追蹤裝置案的協同意見書中表示，第三方法則不應適用在數位時代，例如用戶撥電話給客服人員，或以電子郵件回覆網路購物的賣方等，無數的日常活動已經大量的向第三方揭露許多資訊。 　　在數位時代，大量的個人資訊以電磁紀錄的形式掌握在第三方手中，本案最高法院的見解，將會對美國的犯罪調查機關在未持搜索令的情況下，更慎重的判斷向業者取得個人資訊做為犯罪偵查使用時，是否與憲法第四修正案有所違背。