美國衛生部門公布個人健康資訊外洩責任實施綱領
美國健康與人類服務部(Secretary of Health and Human Services;以下簡稱HHS),於2009年4月17日公布「個人健康資訊外洩通知責任實施綱領」(Guidance Specifying the Technologies and Methodologies That Render Protected Health Information Unusable, Unreadable, or Indecipherable to Unauthorized Individuals for Purposes of the Breach Notification Requirements under Section 13402 of Title XIII (Health Information Technology for Economic and Clinical Health Act) of the American Recovery and Reinvestment Act of 2009; Request for Information;以下簡稱本綱領)。本綱領為美國迄今唯一聯盟層級之資料外洩通知責任實施細則,並可望對美國迄今四十餘州之個資外洩通知責任法制,產生重大影響。
本綱領之訂定法源,係依據美國國會於2009年2月17日通過之經濟與臨床健康資訊科技法(Health Information Technology for Economic and Clinical Health Act;以下簡稱HITECH),HITECH並屬於2009年「美國經濟復甦暨再投資法」(America Recovery and Reinvestment Act;簡稱ARRA)之部分內容。
HITECH將個人健康資訊外洩通知責任的適用主體,從「擁有」健康資訊之機構或組織,進一步擴大至任何「接觸、維護、保留、修改、紀錄、儲存、消除,或以其他任何形式持有、使用或揭露安全性不足之健康資訊」的機構或組織。此外,HITECH並規定具體之資料外洩通知方法,即必需向當事人(資訊主體)以「即時」(獲知外洩事件後60天內)、「適當」(書面、或輔以電話、網站公告形式)之方式通知。不過,由於通知之範圍僅限於發生「安全性不足之健康資訊」外洩,故對於「安全性不足」之定義,HITECH即交由HHS制定相關施行細則規範。
HHS本次通過之實施辦法,將「安全」之資料定義「無法為第三人使用或辨識」,至於何謂無法使用或辨識,本綱領明定有兩種情形,一是資料透過適當之加密,使其即使外洩亦無法為他人辨識,另一則是該外洩資訊之儲存媒介(書面或電子形式)已被收回銷毀,故他人無法再辨識內容。
值得注意的是,有異於美國各州法對於加密標準之不明確態度,本綱領已指明特定之技術標準,方為其認可之「經適當加密」,其認可清單包含國家標準與技術研究院(National Institute of Standards and Technology)公布之Special Publication 800-111,與聯邦資訊處理標準140-2。換言之,此次加密標準之公布,已為相關業者提供一可能之「安全港」保護,使業者倘不幸遭遇資料外洩事件,得主張資料已施行適當之加密保護,即無需承擔龐大外洩通知成本之衡平規定。
本文為「經濟部產業技術司科技專案成果」
日前有新聞報導,google將推出「+1」按鈕功能,用戶可以點擊該按鈕,向好友推薦特定的搜尋結果,市場上普遍預測google新增此「+1」按鈕功能,主要是用來跟facebook「讚」按鈕(Like Button)競爭。facebook「讚」按鈕功能已成為時下潮流新用語,諸如「給你一個讚」;而且還可以將facebook「讚」按鈕安裝在個人的部落格網頁、文章中。惟facebook的這項功能,一直以來也存在著侵害用戶個人隱私之疑慮。 德國柏林地方法院於今年(2011)03月14日針對facebook「讚」按鈕功能作出一則判決(LG Berlin, Beschluss vom 14.03.2011 - 91 O 25/11)。本案被告經營一項與原告相同的電子商務業務,並在其線上商店網頁中,安裝facebook「讚」按鈕(Gefällt-mir-Button)功能。判決中指出,安裝facebook「讚」按鈕,須運用facebook內建框架(iframe)語法,一旦安裝後,只要是登錄facebook的用戶,同時瀏覽被告網頁時,即使未點擊被告網頁上的「讚」按鈕,用戶的使用記錄都會回傳至facebook。但被告網頁上並未刊登任何有關提醒用戶注意該項資料蒐集、回傳之訊息。 原告因而主張,被告未盡到告知用戶有關個人資料蒐集、加工資訊之義務,已經違反電信服務法(Telemediengesetz,以下簡稱TMG)第13條規定,因而構成不正競爭防止法(Gesetz gegen den unlauteren Wettbewerb,以下簡稱UWG)第4條第11款規定之不允許交易行為。UWG第4條第11款規定「違反本質上涉及交易相對人(Marktteilnehmer)之利益的市場行為(Marktverhalten)有關之法律規定,亦屬於不允許的交易行為(unlautere geschäftliche Handlungen)。」 柏林地方法院認為,TMG第13條本質上係與個人資料保護有關之規定,與涉及交易相對人之利益的市場行為無關,故本案無UWG第4條第11款規定之情形,與不正競爭行為無關,原告之主張因欠缺請求權基礎而敗訴。 然而,值得注意的是,本案法院並未進一步針對被告行為是否違反TMG第13條「有關個人資料保護」之規定提出其見解。TMG第13條係依據「歐盟1995年個人資料保護指令」轉換而來,TMG第13條規定,若網站涉及個人資料的蒐集、加工行為,電信服務提供者(Diensteanbieter)有義務明確告知用戶相關訊息(包括明確告知用戶其可隨時撤回許可相關資料蒐集之表示等)。 爰此,被告於個人網頁安裝facebook「讚」按鈕功能,卻未告知用戶個人資料蒐集、加工之相關訊息,是否違反TMG第13條規定之告知義務,尚有待上級審加以定奪。而判決出爐後,也有專家建議,為避免有侵害個人資料之虞,在社群網站安裝facebook「讚」按鈕時,宜加註個人資料處理、保護之相關聲明。
瑞士洛桑管理學院發布2020世界競爭力評比報告瑞士洛桑管理學院(International Institute for Management Development, IMD)於2020年6月發布2020世界競爭力評比報告(IMD’s 2020 World Competitiveness Ranking 2020 results)。此份報告共評比 63 個經濟體,全球競爭力前5名依序為新加坡、丹麥、瑞士、荷蘭與香港;其他重要經濟體之排名包含加拿大為第8、美國第10、臺灣第11、中國第20、南韓第23與日本第34。 2020世界競爭力評比以有「經濟表現」(Economic Performance)、「政府效能」(Government efficiency)「企業效能」(Government Efficiency)和「基礎建設」(Infrastructure)四大評比指標,旗下再細分為340個子標,例如人均GDP、對外直接投資佔GDP比例、國際貿易、國際投資、財政、勞動力市場、顧客滿意度受企業重視程度、健康與環境基礎建設、研發人力比例、研發總支出占GDP比例等。此次評比中,可以看出小型經濟體(如新加坡、香港、丹麥等)因容易凝聚社會共識,表現較為優異。而排名退步的國家如中國和美國,乃因兩國之間貿易戰損害經濟表現(美國從2019年第3掉至今年第10,中國自14掉至20)。香港亦從2019年的第2排到第5,其經濟表現下降乃因社會動盪以及中國貿易戰影響。 我國在此次評比中表現優異,綜合排名第11名,較2019年上升 5 名;且我國在亞太地區中高居第 3名,僅次於新加坡和香港,為 2016 年以來最佳成績。評比指標之政府效能、企業效能、基礎建設排名均有進步,其中政府效能排名全球第9,首次進入世界前10名。
歐盟發布人工智慧法、醫療器材法與體外診斷醫療器材法協同適用問答集歐盟《人工智慧法》(Artificial Intelligence Act, AIA)自2024年8月1日正式生效,與現行的《醫療器材法》(Medical Devices Regulation, MDR)及《體外診斷醫療器材法》(In Vitro Diagnostic Medical Devices Regulation, IVDR)高度重疊,特別是針對用於醫療目的之人工智慧系統(Medical Device AI, MDAI)。為釐清三法協同適用原則,歐盟人工智慧委員會(Artificial Intelligence Board, AIB)與醫療器材協調小組(Medical Device Coordination Group, MDCG)於2025年6月19日聯合發布常見問答集(Frequently Asked Question, FAQ),系統性說明合規原則與實務操作方式,涵蓋MDAI分類、管理系統、資料治理、技術文件、透明度與人為監督、臨床與性能驗證、合規評鑑、變更管理、上市後監測、資安與人員訓練等面向。 過去,MDR、IVDR與AIA雖各自對MDAI有所規範,但始終缺乏明確的協同適用指引,導致製造商、監管機關與醫療機構在實務操作上常面臨混淆與困難。本次發布的指引透過36題問答,系統性釐清三法在高風險MDAI適用上的關聯,重點涵蓋產品分類原則、合規評鑑流程以及技術文件準備要點,具高度實務參考價值。此外,傳統醫療器材的上市後監測,難以有效因應AI系統持續學習所帶來的風險。AIA因此要求高風險MDAI建立強化的上市後監控系統,並評估AI系統與其他系統交互作用可能產生的影響。 整體而言,該指引的發布不再僅限於MDAI技術層面的合規審查,而是進一步擴展至資料正當性、系統可控性、使用者能力與整體風險治理等層面,體現歐盟對AI倫理、透明與責任的制度化落實。此文件亦為歐盟首次系統性整合AI與醫療器材監管原則,預期將成為MDAI產品研發與上市的重要參考依據。 本文同步刊載於stli生醫未來式網站(https://www.biotechlaw.org.tw)
冰島政府對英國同名Iceland Foods 採取法律行動冰島政府日前對自1970年成立至今,已擁有8百多間超市的英國連鎖食品超市「Iceland Foods」,向歐盟智慧財產局(European Union Intellectual Property Office)提起註冊無效之訴訟。該超市為創辦人Malcolm Walker)與南非投資集團Brait共同擁有,以銷售冷凍肉類、乳製品、乾貨及微波食品為主要業務。 冰島政府指稱英國Iceland Foods企業使用「Iceland」於歐洲註冊商標,而該文字商標含蓋範圍廣泛且定義模糊。多數冰島企業於商品或商標中使用英文「冰島」一詞,除與英國Iceland Foods無販賣相似性質之產品,也無存在競爭關係,但卻使冰島企業無法將(Iceland)做為產品之描述用。對此,Iceland Foods發出聲明希望冰島政府可以直接與Iceland Foods聯繫,並強調該企業以Iceland名稱經營已經46年,並不認為未來消費者或一般社會大眾在商標上會有混淆。 目前若要在歐洲的任一個國家獲得商標權的保護,可分別在不同的國家提出註冊申請或向歐盟內部市場協調局(The Office of Harmonization for the Internal Market,簡稱OHIM)提交歐盟商標申請(Community Trade Mark,簡稱CTM)。商標註冊申請人並不限於歐盟成員國的國民,而商標獲准註冊後即可在27個成員國內享有商標權的保護。