美國衛生部門公布個人健康資訊外洩責任實施綱領
美國健康與人類服務部(Secretary of Health and Human Services;以下簡稱HHS),於2009年4月17日公布「個人健康資訊外洩通知責任實施綱領」(Guidance Specifying the Technologies and Methodologies That Render Protected Health Information Unusable, Unreadable, or Indecipherable to Unauthorized Individuals for Purposes of the Breach Notification Requirements under Section 13402 of Title XIII (Health Information Technology for Economic and Clinical Health Act) of the American Recovery and Reinvestment Act of 2009; Request for Information;以下簡稱本綱領)。本綱領為美國迄今唯一聯盟層級之資料外洩通知責任實施細則,並可望對美國迄今四十餘州之個資外洩通知責任法制,產生重大影響。
本綱領之訂定法源,係依據美國國會於2009年2月17日通過之經濟與臨床健康資訊科技法(Health Information Technology for Economic and Clinical Health Act;以下簡稱HITECH),HITECH並屬於2009年「美國經濟復甦暨再投資法」(America Recovery and Reinvestment Act;簡稱ARRA)之部分內容。
HITECH將個人健康資訊外洩通知責任的適用主體,從「擁有」健康資訊之機構或組織,進一步擴大至任何「接觸、維護、保留、修改、紀錄、儲存、消除,或以其他任何形式持有、使用或揭露安全性不足之健康資訊」的機構或組織。此外,HITECH並規定具體之資料外洩通知方法,即必需向當事人(資訊主體)以「即時」(獲知外洩事件後60天內)、「適當」(書面、或輔以電話、網站公告形式)之方式通知。不過,由於通知之範圍僅限於發生「安全性不足之健康資訊」外洩,故對於「安全性不足」之定義,HITECH即交由HHS制定相關施行細則規範。
HHS本次通過之實施辦法,將「安全」之資料定義「無法為第三人使用或辨識」,至於何謂無法使用或辨識,本綱領明定有兩種情形,一是資料透過適當之加密,使其即使外洩亦無法為他人辨識,另一則是該外洩資訊之儲存媒介(書面或電子形式)已被收回銷毀,故他人無法再辨識內容。
值得注意的是,有異於美國各州法對於加密標準之不明確態度,本綱領已指明特定之技術標準,方為其認可之「經適當加密」,其認可清單包含國家標準與技術研究院(National Institute of Standards and Technology)公布之Special Publication 800-111,與聯邦資訊處理標準140-2。換言之,此次加密標準之公布,已為相關業者提供一可能之「安全港」保護,使業者倘不幸遭遇資料外洩事件,得主張資料已施行適當之加密保護,即無需承擔龐大外洩通知成本之衡平規定。
本文為「經濟部產業技術司科技專案成果」
英國通訊管理局(Ofcom)於2021年7月26日提出「非同步衛星系統之執照更新」報告(Non-geostationary satellite systems: Licensing updates),表示若未能積極管理Amazon、OneWeb、SpaceX及Telesat等業者之低地球軌道衛星星座(satellite constellation)的通訊服務,後續恐會有局部干擾的疑慮,降低既有網路的通訊品質及可靠性,以及產生限制競爭的問題。 因此,Ofcom規劃調整衛星執照之許可制度,並向各界徵求諮詢意見。有關新的衛星執照修正重點包括: 1.衛星執照細部項目:將再細分成「終端設備」(user terminals)及「系統閘道站」(gateway)兩種許可證。 (1)衛星終端設備許可證:允許使用非同步衛星系統之終端設備,例如在用戶端安裝碟型天線及設備,但必須係衛星營運商所有。 (2)衛星系統閘道站許可證:授權設置地面閘道站,以作為衛星網路連結到網際網路、專用網路或雲端服務的大型樞紐(hub)。 2.執照申請審查程序:Ofcom將確保系統間可以共存而不會降低服務品質;避免執照取得者會對後續各方進入市場產生競爭限制;以及提供利害關係人評論期間,以便反映有關干擾或競爭之潛在風險。 3.附加許可條件:要求營運商之間進行技術合作;讓行政機關在必要時介入管理干擾案件,以確保英國消費者權益。
美國線上交易方式可能在歐洲行不通由於美國與歐洲國家消費者保護政策以及對定型化契約條款的解讀不同,在美國電子商務應用中所常見的線上契約定型化條款內容,很可能在歐洲被解釋為對消費者不公平 (unfair) 而無效。 一位在法國巴黎執業的律師表示,在 AOL Bertelsmann Online France v. Que Choisir 案件中,許多美國律師常用的定型化契約條款,例如:網際網路服務提供者擁有單方變更契約內容之權;消費者之繼續使用服務等同於默示同意新的付費條款內容;網際網路服務提供者對於網路中斷造成的損害不負任何責任;限制消費者只能依循 AOL 的服務使用約款進行損害賠償之求償;及網際網路服務提供者保有中止服務等權利之條款等,在法國法院都被解釋為不合法而無效。雖然 AOL 這個案子還在進行上訴程序,法國巴黎法院在審理另一個案件時,也將類似的條款視為無效,而該案涉案主角則是義大利網際網路服務提供者。 由於法國對於消費者保護的法規係源自於歐盟指令,而歐盟所有會員國皆須在一定期間內將指令內容納入內國法規範,一位在英國執業的律師表示, AOL 在法國法院所得到的判決,如果發生在英國甚或其他歐盟會員國,也可能得到同樣的結果。
日本發布深化與推動開放科學之建言日本學術會議所屬「深化與推動開放科學檢討委員會(オープンサイエンスの深化と推進に関する検討委員会)」為深化與推動開放科學發展,於2020年5月28日發布建言(原文為提言)。本建言接續國際間提倡的「資料驅動型科學」、與日本Society5.0政策內「資料驅動型社會」構想,目的在於凸顯研究資料共享概念與共享平台的重要性,梳理現行措施下的問題,並提出政策與制度調適建議。 建言提出三項觀察。其一,研究論文投稿至期刊出版機關,論文尚未審查通過並發表前,論文本身與經整理之研究資料的著作財產權雖屬於原作者所有,出版機關原則會另與投稿作者約定,作者不得對外公開其研究成果與研究資料,目的在於避免未經審查通過的成果與資料散布,造成錯誤訊息流通。COVID-19疫情蔓延期間,美國國家衛生研究院(National Institutes of Health, NIH)、國立研發法人日本醫療研究開發機構(AMED)等研究資助機構,則依循過往大規模傳染病發生時的慣例,與期刊出版機關等達成協議並發表聲明,只要作者同意釋出,即允許有關論文發表前得先將研究成果與資料與WHO及外界共享,期待藉資料快速公開流通協助對抗疫情。這些措施體現了資料的重要性與共享可能性,但共享後,利用方新取得的資料應如何繼續以適切方式公開,則有賴資料的數位平台機制完備現行作法的不足。其二,資料本身非著作物,不直接受著作權法保護,各國法例亦較少另外賦予資料庫(database)法定權利。日本則在不正競爭防止法增訂「提供予特定對象資料(限定提供データ)」保護制度,定義非法取用原僅授權特定人使用之資料的行為,將落入不當競爭行為的範疇,強化營業與數位資料利用之法定權利保護。其三,近年來,日本公平交易委員會因應Google、Amazon可能運用資料蒐集達成市場壟斷的疑慮,重新檢討其反托拉斯政策,顯示資料利用亦可能牴觸反托拉斯法;歐盟一般資料保護規則(GDPR)的規範強度與密度較日本國內法為高,則讓資料利用涉及個資時,無法僅以日本個資法為標準。資料利用涉及多部法規,增加資料利用者合法使用的難度,從而降低研究者再利用研究資料的意願。 基於上述觀察,本建言提出以下法制與政策建議:(1)統整不正競爭防止法、個人資料保護法、著作權法等相關法規範,同時考量研究資料本身特性與社會應用途徑,作成指引供外界遵循;(2)國家應資助學術界或進行研發活動之機構,建構得長期蒐整、保存與共享研究資料之平台,協助實現跨領域或跨部門的研究資料融合利用與價值創造;(3)針對研究成果採用的原始樣本(如岩石、土壤、生物、物質等),以及人文社會科學領域研究的原始資料(如文書紀錄、書籍、技術等),建立永久保存之制度。