本文為「經濟部產業技術司科技專案成果」
一、緣起與目標 「依賴制度(reliance)」指一國有效利用他國的審查結果,而減少重複作業、提升效率,並促進病人更快取得安全、有效產品的政策。為此,國際醫療器材法規管理論壇(International Medical Device Regulators Forum, IMDRF)於2025年3月提出《醫療器材監管依賴計畫操作手冊》(Playbook for Medical Device Regulatory Reliance Programs)草案,協助各國建立與管理依賴制度。惟此制度並非「無條件接受他國決策」或「國際換證」,而須由各國自行決定如何利用依賴制度,並承擔最終監管責任。 二、應用範圍 該手冊適用於所有醫療器材(含體外診斷器材)或輔具,並涵蓋產品生命週期各階段(如技術文件審查或品質管理系統驗證等)。 三、依賴機制的類型 手冊歸納三類依賴機制並舉例說明: 1.工作共享(Work-sharing):指多國協作進行監管任務,可為聯合評估、聯合檢查,或共同推出監管標準等。如IMDRF推出的「醫療器材單一稽查計畫」,訂定多國之驗證機構對製造商的統一稽核標準,使廠商受稽後所作成的稽查報告可一次性符合數國法規。 2.簡化審查(Abridged Review):以他國完整的審查成果作為基礎,僅針對當地「特有」及「新增」的風險進行審查。如新加坡健康科學局已實施簡審制度。 3.承認(Recognition):正式接受他國監管決策結果作為判斷依據,可分為單、雙、多邊的承認。如CE標誌的醫材可在歐盟27個成員國內通行。 四、結語 IMDRF並非藉由該手冊推行「最佳模式」,而是協助各國依需求發展適合的監管依賴策略,加強協作與資源共享,進而促進全球監管上的一致性與產品流通性。近年世界衛生組織及區域組織(如歐盟、東協、非洲聯盟發展署)越加重視各國監管法規的一致性,並將審查資源移向人工智慧或高風險醫材的監管探索中,此監管趨勢值得我國持續關注。
美國明尼蘇達州制定《明尼蘇達消費者個人資料保護法》(Minnesota Consumer Data Privacy Act, MNCDPA),將於2025年7月31日生效美國明尼蘇達州通過的《明尼蘇達消費者個人資料保護法》(Minnesota Consumer Data Privacy Act, MNCDPA)規範組織應如何合規蒐集、處理及利用個人資料。主要內容有: 一、 適用對象:於明尼蘇達州內經營商業之營利組織(下簡稱企業或資料控制者),或生產製造商品、提供服務予該州居民之企業,且符合下列情形之一者: 1. 在前一年度控制或處理超過10萬筆消費者個人資料。 2. 控制或處理超過25,000筆消費者個人資料,且總營收超過百分之二十五係源自於銷售個人資料者。 3. 高等教育機構(postsecondary institutions)、非營利組織則自2029年7月31日起適用。 二、 消費者權利:賦予明尼蘇達州居民對個人資料的基本權利,且強調消費者不應因行使權利而受歧視。分別為: 1. 近用權:請求瀏覽企業對其所蒐集個人資料,但如導致企業商業機密洩露之虞者除外。 2. 修正權:請求企業修正不正確或不完整的個人資料。 3. 刪除權:請求企業刪除其個人資料。 4. 請求製給複製本:採取可便利取用格式,或資料可攜(Data Portability) 之方式。 5. 選擇退出權(opt out):就個資利用行為,消費者得行使退出權: (1) 為精準行銷之目的(Targeted Advertising); (2) 銷售個人資料; (3) 為資料剖析之目的處理個人資料。 6. 取得企業揭露或提供個資利用之對象清單。 7. 消費者得向企業請求基於特定決策所作成剖析結果之原因,以及消費者未來得據以採取確保不同決策之作為。 三、 企業主要責任與義務: 1. 企業應履行之義務除告知義務、透明度、資料最小化、安全維護措施外,尚須: (1) 依法回應當事人之請求:資料當事人向企業請求查詢、修改及刪除自己的資料,企業接到請求後,應於45天之期限內准駁其請求;必要時得於通知當事人合理事由後,展延一次。 (2) 保存所有申訴與回覆之紀錄至少24個月;除此之外,企業須建立並採行合規政策,包括識別主要負責人,如:首席隱私長(Chief Privacy Officer)。 明尼蘇達州《明尼蘇達消費者資料隱私法》的通過顯示社會對於資料隱私保護方面的重視,除了加強對消費者個人資料的保護,也賦予消費者的權利,使消費者不再屬於被動方,而能夠主動捍衛自己的個人資料隱私。
美國將修法全力圍堵政府資料外洩美國國會於今年(2009)11月18日提出「聯邦檔案安全分享法案(Secure Federal File Sharing Act)」,內容主要是限制所有政府部門員工(包含約聘制人員),在未經官方正式同意之前,不得下載、安裝或使用任何點對點傳輸(Peer to Peer, P2P)軟體。期望藉由該法案的通過實施,徹底防堵政府及相關個人機敏資料的外洩。 該法案的制定,最初來自於政府部門對其財務資料保護的要求,早於2004年白宮管理及預算辦公室(The White House Office of Management and Budget)即已建議聯邦政府的各個單位應禁止其職員使用P2P軟體,以防止資料外洩。而於將近一個月前,國會道德委員會取得多位國會議員的財務狀況、經歷及競選贊助金額,並作成調查報告,未料一位新進職員將該份未經加密保護的報告存於自家裝有前述P2P軟體的電腦硬碟中,從而導致該份報告內容全部外洩。此一事件立即對向來注重政府及個人資料保護的美國投下了震撼彈,也促使該法案正式浮出檯面。 歐此項法案的提出毫無意外地得到視聽娛樂產業界的正面支持。主因來自多數人藉由此種軟體在網際網路上分享音樂、影片或其他應用軟體,時常侵害他人的智慧財產權,而法案的內容則是要求政府部門員工無論是在工作或是家中使用P2P軟體都須取得官方授權,無疑是直接限制了上述的分享行為。娛樂業者更進一步指出,P2P軟體對資訊安全的危害在於多數人無法明確知道該軟體的運作方式,而無法對其做正確的設定,使得軟體一旦被啟動,電腦內的所有資料:包含個人的社會安全卡號碼、醫療及退稅紀錄等,就立即暴露於網際網路之中!對此,除了推動此項法案的官員大聲疾呼:「用個人自律的方式防止資料外洩已經失敗,證明國會應該有所行動。 美國錄音產業協會(Recording Industry Association of America)則是預測前述國會調查報告的外洩,將會是資安法案重整的強力催化劑。
EDPS發布「評估限制隱私權和個人資料保護基本權利措施之比例指引」歐盟資料保護監督機關(European Data Protection Supervisor, EDPS)於2019年12月19日發布「評估限制隱私權和個人資料保護基本權利措施之比例指引」(EDPS Guidelines on assessing the proportionality of measures that limit the fundamental rights to privacy and to the protection of personal data),旨在協助決策者更易於進行隱私友善(privacy-friendly)之決策,評估其所擬議之措施是否符合「歐盟基本權利憲章」(Charter of Fundamental Rights of the European Union)關於隱私權和個人資料之保護。 該指引分為三大部分,首先說明指引的目的與如何使用;第二部分為法律說明,依據歐盟基本權利憲章第8條所保護個人資料的基本權利,並非絕對之權利,得於符合憲章第52條(1)之規定下加以限制,因此涉及處理個人資料的任何擬議措施,應進行比例檢驗;指引的第三部份則具體說明決策者應如何評估擬議措施之必要性和比例性之兩階段檢驗: 必要性檢驗(necessity test) (1) 步驟1:初步對於擬議措施與目的為詳細的事實描述(detailed factual description)。 (2) 步驟2:確定擬議措施是否限制隱私保護或其他權利。 (3) 步驟3:定義擬議措施之目的(objective of the measure),評估其必要性。 (4) 步驟4:特定領域的必要性測試,尤其是該措施應有效(effective)且侵害最小(the least intrusive)。 若前述評估認為符合必要性,則接續比例性檢驗,透過以下4步驟評估: 比例性檢驗(proportionality test) (1) 步驟1:評估目的正當性(legitimacy),擬議措施是否滿足並達到該目的。 (2) 步驟2:擬議措施對隱私和資料保護基本權的範圍、程度與強度(scope, extent and intensity)之影響評估。 (3) 步驟3:繼續進行擬議措施之公平對等評估(fair balance evaluation)。 (4) 步驟4:分析有關擬議措施比例之結果。 科技時代的決策者在立法和政策擬定時,面臨的問題愈趨複雜,需要全面性評估,擬議措施限制應符合歐盟法規,且具必要性並合於比例,隱私保護更是關鍵,參酌該指引搭配EDPS於2017年發布之「必要性工具包」(Necessity Toolkit),將使決策者所做出的決策充分保護基本權利。