智慧局：台灣將立法保護藥品資料專屬權

　　人工智慧（Artificial Intelligence, AI）的應用，已逐漸滲透到日常生活各領域中。為提升AI運用之效益，減少AI對個人與社會帶來之負面衝擊，英國資訊委員辦公室（Information Commissioner’s Office, ICO）於2019年3月提出「AI稽核框架」（Auditing Framework for Artificial Intelligence），作為確保AI應用合乎規範要求的方法論，並藉機引導公務機關和企業組織，評估與管理AI應用對資料保護之風險，進而建構一個可信賴的AI應用環境。 　　AI稽核框架主要由二大面向所構成—「治理與可歸責性」（governance and accountability）以及「AI特定風險領域」（AI-specific risk areas）。「治理與可歸責性」面向，係就公務機關和企業組織，應採取措施以遵循資料保護規範要求的角度切入，提出八項稽核重點，包括：風險偏好（risk appetite）、設計階段納入資料保護及透過預設保護資料（data protection by design and by default）、領導管理與監督（leadership management and oversight）、政策與程序（policies and procedures）、管理與通報架構（management and reporting structures）、文書作業與稽核紀錄（documentation and audit trails）、遵循與確保能力（compliance and assurance capabilities）、教育訓練與意識（training and awareness）。 　　「AI特定風險領域」面向，則是ICO特別針對AI，盤點下列八項潛在的資料保護風險，作為風險管理之關注重點： 一、 資料側寫之公平性與透明性（fairness and transparency in profiling）； 二、 準確性（accuracy）：包含AI開發過程中資料使用之準確性，以及應用AI所衍生資料之準確性； 三、 完全自動化決策模型（fully automated decision making models）：涉及人類介入AI決策之程度，歐盟一般資料保護規則（General Data Protection Regulation, GDPR）原則上禁止無人為介入的單純自動化決策； 四、 安全性與網路（security and cyber）：包括AI測試、委外處理資料、資料重新識別等風險； 五、 權衡（trade-offs）：不同規範原則之間的取捨，如隱私保護與資料準確性； 六、 資料最少化與目的限制（data minimization and purpose limitation）； 七、 資料當事人之權利行使（exercise of rights）； 八、 對廣泛公共利益和權利之衝擊（impact on broader public interests and rights）。 　　ICO將持續就前述AI特定風險領域，進行更深入的分析，並開放公眾討論，未來亦將提供相關技術和組織上之控制措施，供公務機關及企業組織進行稽核實務時之參考。

　　日本政府於2016年6月2日經內閣議決「再興戰略2016」，為提升國民健康、提高平均壽命，以「世界最先進的健康國家」大篇幅宣布未來政策。其中，在「醫療、長照等領域徹底ICT化」方面之具體新措施如下： (1)醫療等領域中導入ID制度 　　日本厚生勞動省於2015年11月18日召開第10次「醫療等領域利用識別號碼制度之研究會」(医療等分野における番号制度の活用等に関する研究会)，並於次月公布相關研究報告書，其內容包含導入「醫療保險線上資格審查」以及「醫療ID制度」，上述制度預計自2018年開始階段性運用，並於2020年正式實施，因此，本年度工作目標設定為，著手勾勒具體之應用系統機制，並針對實務面相關議題進行討論，自明年開始落實系統開發，整體而言，日本現階段最重要的目標就是促使醫療領域徹底數位化及標準化。 (2)透過巨量資料之利用，增進相關領域之創新 　　「次世代醫療ICT基礎設施協議會」(次世代医療ICT基盤協議会策定)將延續2016年3月由其所策定之「醫療領域資料利用計畫」(「医療等分野データ利活用プログラム」，意即加強各資料庫(例如醫療資訊資料庫MID-NET)之交流並擴大相關應用。 　　此外，在現行法規範下，為達成促進醫療領域資訊利用、醫藥相關研發之目標，應成立「代理機關（暫稱）」，以便於擴大收集醫療、檢驗等數據資料，並妥善管理與去識別化，日本政府於「再興戰略2016」中將此機關之設置列為次世代醫療ICT基礎設施協議會之重要工作項目，期望透過協議會對相關制度之討論，能在明年訂定出具體的法律措施。 (3)個人醫療和健康資訊之綜合利用 　　日本政府期望透過不同終端設備收集關於醫療、健康等資料，並鼓勵民間依此開發新市場，但在此之前，政府必須先行建構一個能良性發展的環境。首先，為實現針對個人需求量身打造的「個別化健康服務」，保險業者、握有病歷的機構、健檢中心及可穿戴式終端設備等，得經當事人同意後收集、分析其日常健康資訊，該「個別化健康服務」之實證計畫將於本年度啟動，由地區中小企業開始。 　　為強化醫療保險業者去整合運用相關資源並應用於預防、健康醫學上，政府機關應訂定一些獎勵措施，鼓勵業者將ICT技術活用於預防、健康醫學領域上。 　　此外，今年度「次世代醫療ICT基礎設施協議會」還有一項重要的工作項目，即建立可記錄患者所有就醫過程資訊之系統(Peronal Health Recaord，簡稱PHR)，讓相關醫療資料得以流通運用。同時，日本政府希望能在2018年達成「地區性醫療情報聯結網路」，並普及到全國各地，這麼做的目的在於，過往因為醫療資訊不流通，以及重症照護上的斷層，使身心障礙者往往難以離開長期利用的醫療環境，新政策希望讓這些患者無論遷居何處，在全國各地皆能安心接受醫療服務，而不受限於地區限制。

　　2014年7月歐盟法院宣告2006年起施行的「資料保留指令」無效，該指令允許警察機關使用私人通聯記錄，但不允許揭示通訊內容。資料保留指令之所以被歐盟法院廢止，起因於不合乎比例原則及沒有充分的保護措施，該指令規定歐盟成員國必須強制規定電信公司必須保留客戶最近六個月到十二個月的通聯紀錄，不過在歐盟法院廢止指令之前，德國憲法法院在2010年時就已經以違反憲法為由停止執行指令。 　　惟在2015年1月，伊斯蘭激進主義份子的恐怖攻擊事件，共12人被射殺。因此德國總理梅克爾2015年1月在下議院針對該恐怖事件發表演說，雖因美國的史諾登事件，揭露美國政府大量監聽私人通訊和監視網路流量的行動，而引起了德國人對隱私權保護的關注，但梅克爾表示德國各層級的部會首長都同意有使用私人通聯記錄的需要、使嫌疑犯的通聯記錄能夠被警方用來偵查犯罪，但應該由法律規範資料保留的期間限制，她敦促各界向歐盟委員會施加壓力，重新訂定資料保留指令，使各歐盟成員國能修正國內法律。 　　歐盟委員會正在評估此法制議題，並考慮向歐盟議會、各成員國、民間團體、執法部門和個資保護組織間建立開放式對話，決定是否有需要訂定新指令；但德國司法部長並不贊成梅克爾擴大監督人民通訊的想法，認為這是過於倉促的行動，而且除了資訊記錄留存外，德國政府也儲存所有媒體資料並限制媒體自由，他認為這並不合適。 　　目前英國國內保守黨和自由黨現正為新修訂的通訊資料法，為人民隱私權的保護範圍爭論不休，而美國由於近年受到不少駭客攻擊，故美國總統歐巴馬採取與梅克爾相似的立場，希望能擴張執法機關的權力，公開提倡強化美國網路安全相關法規。

　　美國網路購物龍頭業者亞馬遜（Amazon）於2010年3月宣布，肇因於科羅拉多州（Colorado）最新通過的網路稅法，該公司將中止與科羅拉多州當地網路業者之間的合作關係，消息披露後，隨即對4000位以上科羅拉多州民眾之生計產生劇烈影響。   　　亞馬遜於全美各州均推動所謂的「亞馬遜合夥事業」（Amazon Associates），參加此一合作模式的各州網路業者，只要網路使用者透過業者建置的網路連結而於亞馬遜網站進行消費時，業者便可自亞馬遜收取特定之佣金。而亞馬遜此次選擇退出科羅拉多州前，事實上該公司亦曾因網路課稅問題，而陸續退出北卡羅來納州（North Carolina）與羅得島州（Rhode Island）之網路購物市場。   　　然而，相較於先前北卡羅來納州與羅得島州網路營業稅課徵之對象，以設籍於該州的網路業者為主；此次科羅拉多州（Colorado）通過的新法，應被徵收營業稅之網路業者，則不以設籍該州為限，凡與該州居民進行交易而設籍於其他州的網路業者，亦須向該州納稅。同時，科羅拉多州當地居民進行網路購物時，將須繳交2.9％之網路消費稅。   　　亞馬遜表示，新法將使迫使該公司每年上繳約460萬元的稅額，以彌補科羅拉多州現階段13億元之預算赤字。無獨有偶，深受預算赤字所苦的加州，近來亦積極討論應否制定網路稅法，支持者表示新法若順利通過，可望每年為州政府貢獻超過1.5億美元的稅收，有助於彌補該州高達20億美元之預算缺口。