『採購單位執行下單評估與廠商智慧財產管理要件之關連性』研究調查

　　隨著英國國家健康服務（National Health Service, NHS）的改革，英國於去（2012）年3月27日通過衛生和社會照護法（The Health and Social Care Act 2012）。當中一項主要的變革即是成立衛生與社會照護資訊中心（The Health and Social Care Information Centre, HSCIC）作為醫療健康資料的專責機構。而這樣的變革，也影響過去病歷資料的蒐集、分享和分析方式。依據衛生和社會照護法的規定，HSCIC若受到衛生部長（Secretary of State for Health）指示、或來自照護品質委員會（Care Quality Commission, CQC）、英國國家健康與臨床卓越研究院（National Institute for Health and Clinical Excellence, NICE）、醫院監管機構Monitor的命令要求時，在這類特定情況之下，可以無需尋求病患同意，而從家庭醫師（GP Practice）處獲得病患的個人機密資料（Personal Confidential Data, PCD）。 　　今(2013)年3月獲NHS授權， 由HSCIC於6月開始執行的care.data服務，即是依據前述立法所擬定之方案。care.data藉由定期蒐集醫療照護過程中的相關資料，對病患於國內所為的各項健康和社會照護資訊（例如病患的住院、門診、意外事故和緊急救護記錄）進行具延續性之連結。以提供即時、正確的NHS治療和照護資訊給民眾、門診醫師和相關部門之官員，進而達到care.data所設定的六項目標，支援病患進行治療的選擇、加強顧客服務、促進資訊透明性、優化成果產出、增加問責性，並驅動經濟成長。 　　然而，由於care.data是以英國民眾就醫行為中，屬於基礎醫療的家庭醫師（General Practitioner, GP）系統為基礎，所提取的資料包括家族歷史、接種疫苗、醫師診斷、轉診記錄、生理指標，以及所有NHS處方。其次，care.data在進行初級和次級資料連結時，將會透過NHS號碼、生日、性別和郵遞區號，這四項可識別資料的比對。因此雖然care.data在涉及敏感性資料時會加以排除，但此項服務仍引起社會上相當大的爭議。包括部分醫師、隱私專家和的社會團體皆提出質疑，質疑care.data是否有充分告知病人、HSCIC所宣稱的匿名性是否足夠、此項服務對醫病關係的衝擊、該服務所宣稱的資料分享退出機制（opt-out）並未妥善等。 　　care.data是NHS所推出的創新資料現代化服務，但同時也涉及病患隱私權保護之議題。反觀我國近來所推動的醫療健康資訊加值再利用政策，英國的案例值得我們持續觀察其發展。

　　美國亞利桑那州曾於2014年通過違反本人意願散布隱私內容之條文（泛稱為情色報復法Revenge Porn Law），構成要件未涵蓋行為人需有傷害的主觀不法構成要件，只要未經本人同意散布隱私內容即有可能觸犯本法而被判重罪（Felony），最高將可處三年又九個月之有期徒刑。然而，因構成要件過於廣泛，甚至未排除具新聞、藝術、教育價值之內容，未考慮本人之隱私期待性和傷害有無，美國公民自由聯盟遂代表出版業、媒體業和攝影業等，以該條文侵害言論自由有違憲之虞，於同年9月向亞利桑那州提告。該案於2015年7月10日達成和解，亞利桑那州地方法院宣告該條文將不會生效施行。 　　在經過漫長的修法後，亞利桑那州參議院最終於2016年3月7日無異議通過情色報復法之最新修法法案（House Bill 2001），待州長簽署核准後便立即生效施行。本次修法與2014年的版本不同處為，檢察官需證明隱私內容之本人具有合理的隱私期待，若被害人曾將自拍的影像寄送與他人，更需證明被害人未有分享的意思。此外，檢察官需證明行為人具有意圖傷害、騷擾、威脅或迫使他人之主觀意思。在此條文尚未通過前，實務上已有檢察官多次反應現行法無從對違反本人意願散布隱私內容之行為論罪，至多僅能以網路跟蹤或霸凌法等追究，對受害人保護甚為不周。

　　澳洲隱私保護辦公室(Office of the Australian Information Commissioner, OAIC)於2019年9月發布「健康隱私指引」（Guide to health privacy）協助健康服務提供者了解及實踐相關規範所制定之隱私義務以確保個人資料安全。依據1988年澳洲隱私法（Privacy Act 1988）規定，健康服務指所有評估、維持、改善或管理個人健康狀況；或是診斷、治療或紀錄個人疾病或健康狀況之行為。而健康服務提供者除了醫院及醫療人員，更包含其他專業人員例如健身房及減肥診所、私立學校及托兒所、遠端醫療服務等所有涉及健康資料並提供健康服務之單位及人員。由於澳洲隱私法要求服務提供者必須積極建立、實施及維護隱私合法處理程序，為了協助所有健康服務提供者確實遵守法定義務，以減少健康資料之隱私風險問題，OAIC制定「健康隱私指引」提出八大步驟要求健康服務提供者確保遵守義務並保障所持有之個人資料： 制定並實施隱私管理計畫，確保遵守澳洲隱私原則（Australian Privacy Principles, APPs）。 制定明確的責任制以進行隱私管理，並及時提供員工幫助與指導。 建立個人資料檔案紀錄，以確認持有之個人資料。 了解法律規範之隱私義務並實施法定流程以履行義務。 定期舉辦員工隱私培訓課程以強化團隊基礎知識。 建立隱私權政策並於網頁上呈現或是提供手冊說明相關內容。 保護所持有之資料不被濫用、遺失或未經授權的修改及揭露等。 制定資料外洩因應措施，針對資料外洩進行危機處理。