美國衛生部門公布個人健康資訊外洩責任實施綱領
美國健康與人類服務部(Secretary of Health and Human Services;以下簡稱HHS),於2009年4月17日公布「個人健康資訊外洩通知責任實施綱領」(Guidance Specifying the Technologies and Methodologies That Render Protected Health Information Unusable, Unreadable, or Indecipherable to Unauthorized Individuals for Purposes of the Breach Notification Requirements under Section 13402 of Title XIII (Health Information Technology for Economic and Clinical Health Act) of the American Recovery and Reinvestment Act of 2009; Request for Information;以下簡稱本綱領)。本綱領為美國迄今唯一聯盟層級之資料外洩通知責任實施細則,並可望對美國迄今四十餘州之個資外洩通知責任法制,產生重大影響。
本綱領之訂定法源,係依據美國國會於2009年2月17日通過之經濟與臨床健康資訊科技法(Health Information Technology for Economic and Clinical Health Act;以下簡稱HITECH),HITECH並屬於2009年「美國經濟復甦暨再投資法」(America Recovery and Reinvestment Act;簡稱ARRA)之部分內容。
HITECH將個人健康資訊外洩通知責任的適用主體,從「擁有」健康資訊之機構或組織,進一步擴大至任何「接觸、維護、保留、修改、紀錄、儲存、消除,或以其他任何形式持有、使用或揭露安全性不足之健康資訊」的機構或組織。此外,HITECH並規定具體之資料外洩通知方法,即必需向當事人(資訊主體)以「即時」(獲知外洩事件後60天內)、「適當」(書面、或輔以電話、網站公告形式)之方式通知。不過,由於通知之範圍僅限於發生「安全性不足之健康資訊」外洩,故對於「安全性不足」之定義,HITECH即交由HHS制定相關施行細則規範。
HHS本次通過之實施辦法,將「安全」之資料定義「無法為第三人使用或辨識」,至於何謂無法使用或辨識,本綱領明定有兩種情形,一是資料透過適當之加密,使其即使外洩亦無法為他人辨識,另一則是該外洩資訊之儲存媒介(書面或電子形式)已被收回銷毀,故他人無法再辨識內容。
值得注意的是,有異於美國各州法對於加密標準之不明確態度,本綱領已指明特定之技術標準,方為其認可之「經適當加密」,其認可清單包含國家標準與技術研究院(National Institute of Standards and Technology)公布之Special Publication 800-111,與聯邦資訊處理標準140-2。換言之,此次加密標準之公布,已為相關業者提供一可能之「安全港」保護,使業者倘不幸遭遇資料外洩事件,得主張資料已施行適當之加密保護,即無需承擔龐大外洩通知成本之衡平規定。
本文為「經濟部產業技術司科技專案成果」
巴西國家衛生監督局(Agência Nacional de Vigilância Sanitária, Anvisa)為強化國際監管機構間信任,並促進具有臨床效益的健康產品快速流通,於2022年8月通過第741號合議理事會決議(Resolução da Diretoria Colegiada - RDC N° 741),宣布若已透過等效外國監管機構(Autoridade Reguladora Estrangeira Equivalente, AREE)–即具有與 Anvisa一致之監管方式的外國監管機構–認定符合公認之品質、安全性和有效性標準之醫療產品,可利用AREE的註冊或授權證明相關文件,於巴西當地申請上市註冊的過程中,獲得簡化審查的優惠措施。在此框架下,Anvisa於2024年4月4日通過第290號規範性指令 (Instrução Normativa - N° 290),內文指出醫療器材及體外診斷醫材產品可於2024年6月3日起,於註冊上市的過程中提交AREE之證明文件以進入簡審程序。 第290號規範性指令明確指出,目前獲巴西政府認可之醫療器材AREE及對應之註冊或授權證明,包含以下機構:(1)美國食品及藥物管理局(U.S. Food and Drug Administration, FDA)之上市前批准(PMA)、510(k)或De Novo;(2)加拿大衛生部(Health Canada, HC) 之醫療器材許可證;(3)澳洲醫療用品管理局(Therapeutic Goods Administration, TGA)之澳洲治療用品登記冊 ;(4)日本厚生勞動省(Ministry of Health, Labour and Welfare, MHLW)之上市前批准。另外,欲適用簡化程序的註冊產品,則需與AREE頒發授權證明之產品具有「本質上相同性」(Dispositivo Médico Essencialmente Idêntico),具體包含產品之技術規格、適應症、預期用途、製造商、製造流程,以及安全與性能上的一致性。 此政策透過值得信賴的監管單位把關,不僅可促進國際間醫療器材之貿易流通,更可能有效減少巴西當局於審查過程的行政成本,進而提升國內的產品審查效率。然值得注意的是,在各國醫療器材監管法規與行政裁量基準不完全一致的現況下,各國政府對於醫療器材之分類、臨床數據及健康風險的解釋與判斷結果也不見得相同,Avisa未來在醫療器材上市審核的過程中,將如何看待及利用來自AREE之證明文件,有待未來持續觀察其實施成效。
金融穩定委員會報告指出金融領域採用AI之模型、資料品質與治理風險.Pindent{text-indent: 2em;} .Noindent{margin-left: 2em;} .NoPindent{text-indent: 2em; margin-left: 2em;} .No2indent{margin-left: 3em;} .No2Pindent{text-indent: 2em; margin-left: 3em} .No3indent{margin-left: 4em;} .No3Pindent{text-indent: 2em; margin-left: 4em} 金融穩定委員會(Financial Stability Board, FSB)於2024年11月14日發布《人工智慧對金融穩定的影響》報告,探討人工智慧(Artificial Intelligence, AI)在金融領域的應用進展及對全球金融穩定的影響,分析相關風險並提出建議。 報告指出AI具有提升效率、加強法規遵循、提供個人化金融產品及進階資料分析等益處,但同時可能加劇某些金融部門的脆弱性(Vulnerability),進而構成金融穩定風險。報告特別提出之脆弱性包括:「第三方依賴及服務供應商集中化」、「市場相關性」、「資安風險」,以及「模型風險、資料品質和治理」。 在模型風險、資料品質與治理中,廣泛應用AI可能導致模型風險上升,因某些模型難以驗證、監控及修正,且模型的複雜性與透明性不足將增加尋找具獨立性和專業知識的驗證者的挑戰。此外,在大型語言模型(Large Language Model, LLM),大規模非結構化資料的使用及訓練資料來源的不透明性,使資料品質評估更加困難。特別是在預訓練模型(Pre-trained Model)中,金融機構對眾多資料來源的評估方式不熟悉,進一步增加管理難度。 若金融機構未建立健全的治理架構以審查AI的使用及其資料來源,模型風險與資料品質問題將難以控制。金融機構有責任應對與AI相關的模型風險和資料品質挑戰,包含對模型進行驗證、持續監控、執行結果分析和評估資料品質的預期要求。 報告呼籲各國金融主管機關加強對AI發展的監測,評估現行金融政策框架是否充分,並增強監管能力。建議可定期或不定期調查AI應用情形,並透過報告及公開揭露制度獲取相關資訊。此外,主管機關可考慮利用監督科技(SupTech)及監管科技(RegTech)等AI驅動工具強化監管效能,以應對AI在金融領域帶來的挑戰與風險。
淺析企業如何善用無形資產獲取商業利基