美國通過最新的電子醫療紀錄之隱私與安全標準
美國衛生部隸屬之醫療資訊科技標準委員會(Health IT Standards Committee)為了因應「2009年經濟復甦暨再投資法」(America Recovery and Reinvestment Act, “ARRA”)的通過,制定了新的電子醫療紀錄的隱私、安全標準,以擴大保護電子醫療紀錄的使用安全。
這次制定的電子醫療紀錄的隱私、安全標準,將透過具有足夠防護能力的醫療資訊科技系統標準,來保護電子醫療紀錄的交換,並且擴大適用範圍到醫療照護廠商與提供者,要求其必須在2011年前達到幾項資訊的使用控制標準,包括「醫療保險可攜與責任法」(Health Insurance Portability and Accountability Act, “HIPAA”)與「加密促進標準」(Advanced Encryption Standard)之相關規定,以完備個人電子醫療資訊的保護網。
在此次訂立的標準之下,任何人員或是應用程式欲使用與接近電子醫療紀錄,應符合法律所授予的接近與使用之要件。同時,處理個人醫療資訊的系統,也必須具備對個人醫療資訊加密與解密的能力,以保障個人醫療資訊的安全與完整。除了以上的要求,這些標準也要求相關的適用機構,必須在2013年以前完成符合病歷交換格式(HL7)的使用接近控制、安全宣示標記語言(Security Assertion Mark-up Language, “SAML”)、網路服務認證(Web Service Trust, “WS-Trust”)以及促進資訊標準建置組織(Organization for the Advancement of Structured Information Standards, “OASIS”)的機制,以保障醫療資訊的安全。
本文為「經濟部產業技術司科技專案成果」
宋佩珊
資深管理師 編譯整理
Healthcare IT News,2009年09月16日,http://www.healthcareitnews.com/news/federal-panel-approves-ehr-security-privacy-standards,最後瀏覽日:2009年09月28日
日本依據2013年6月發布之「智慧財產政策願景」,目前正由智慧財產戰略本部所屬之「檢證/評價/企畫委員會」,著手制定2015年度之智慧財產推進計畫。 此外,委員會並針對產業財產權領域下的「地方智財活用促進」和「智財紛爭處理」兩項課題設置專案小組,將分別就促進地方中小企業的智財活用、管理工作,以及創造有利於妥善設定、保護、活用專利權之專利紛爭處理機制等議題進行集中的檢討,作為智財戰略本部制定2015年度智財推進計畫之參考和依據。 而依日本智慧財產基本法第29條之規定,組成智財戰略本部之本部員,除包括總理大臣在內之內閣全體均為當然成員外,還將另由總理大臣任命對智財創造、保護和活用有優秀見識之民間專門人士擔任成員。就此,日本於2015年3月19日已公布2015年度之智財戰略本部成員名單,十位民間專門人士當中除了前日本專利師會會長奧山尚一、東京大學理事長五神真等人外,同時納入身兼京都精華大學校長身份的漫畫家竹宮惠子、總合科學技術創新會議議員原山優子、專精於智財及競爭法的律師宮川美津子以及東北電子產業股份有限公司總經理山田理惠等四位女性部員,成員背景囊括產業財產權和內容著作權之產業、學研、實務界專門人士。
歐盟資料保護工作小組修正通過GDPR個人資料當事人同意指引因應歐盟「通用資料保護規則」(The General Data Protection Regulation,或譯為一般資料保護規則,下簡稱GDPR)執法之需,針對個人資料合法處理要件之一當事人「同意」,歐盟資料保護工作小組(Article 29 Data Protection Working Party, WP29)特於本(2018)年4月10日修正通過「當事人同意指引」(Guidelines on consent under Regulation 2016/679),其中就有效同意之要件、具體明確性、告知、獲得明確同意,獲有效同意之附加條件、同意與GDPR第6條所定其他法定要件之競合、兒少等其他GDPR特別關切領域,以及依據指令(95/46/EC)所取得之當事人同意等,均設有詳盡說明與事例。 GDPR第4條第11項規定個人資料當事人之同意須自由為之、明確、被告知,及透過聲明或明確贊成之行為,就與其個人資料蒐集、處理或利用有關之事項清楚地表明其意願(unambiguous indication)並表示同意。殊值注意的是,如果控制者選擇依據當事人同意為任何部分處理之合法要件,須充分慎重為之,並在當事人撤回其同意時,即停止該部分之處理。如表明將依據當事人同意進行資料之處理,但實質上卻附麗於其他法律依據,對當事人而言即顯係重大不公平。 換言之,控制者一旦選擇當事人同意為合法處理要件,即不能捨同意而就其他合法處理的基礎。例如,在當事人同意之有效性產生瑕疵時,亦不允許溯及援引「利用合法利益」(utilise the legitimate interest)為處理之正當化基礎。蓋控制者在蒐集個人資料之時,即應揭露其所依據之法定要件,故必須在蒐集前即決定其據以蒐集之合法要件為何。
澳洲零售業承認雙價廣告具誤導性質寢具零售業者Snooze坦承,其於2008年10月所進行的「雙價標示」廣告活動中,將某些商品的價格以「原價 /現價」的形式加以呈現,此種行為可能誤導或欺騙消費者,而違反了貿易行為法(Trade Practices Act 1974, TPA)。 經澳大利亞公平競爭和消費者委員會(Australian Competition & Consumer Commission, ACCC)稽核Snooze的「雙價」廣告後,Snooze坦承此一活動中所標示之「原價」僅是參考公司內部所設定的建議零售價格,而不是於活動開始前在市場上經過一段合理銷售期間的真實價格。Snooze已同意對所有已知購買產品的客戶提供一封道歉信及50澳幣的購物禮券。 ACCC主委Graeme Samuel指出:「廣告中所出現的原價必須是先前於一段合理期間內實際所出售的真正價格。」基此,ACCC已提供最新的雙價廣告的規範指南,規範之宗旨在於,以此種廣告活動進行優惠行銷時,不得以比較價格之方式傳遞錯誤的訊息,該優惠必須是實質上的確對消費者有利之價格。而依據下列之標準可判斷廣告是否違反貿易行為法: 1.優惠方案必須真正有提供優惠:提供價格比較時,該較高的價格應為實際曾用以銷售之價格,且於考量所有相關因素後,仍得認為該優惠的確存在。而該優惠產品也必須是在高價時也很容易被取得之狀況,才能確保該優惠並非一誤導之行為。 2.優惠價格應為一暫時的價格:以「雙價」方式促銷時,該優惠價格存續之期間不得比原價更長,否則即有誤導消費者之嫌。 3.廣告中的較高價格乃為實際曾於一合理期間內之銷售價格:該較高價格不得從未或於過短期間內作為實際銷售之價格,而判斷何謂合理期間可參考下列三種因素:(1)預期該商品銷售的時間長度(2)商品價格之正常波動情形為何(3)「雙價」促銷活動的時間長短。
英國人體基因資料庫(Biobank)開放給研究者使用為了改善下一世代的健康,資料來源係來自於半數英國人口的英國人類基因資料庫於今年三月底正式開放給所有研究者使用。該資料庫資訊包含二萬六千筆糖尿病患者、五萬筆關節疾病患者、四萬一千筆不飲酒者,以及一萬一千筆心臟病患者的健康資訊。 英國人體基因資料庫係利用四年的時間招募來自蘇格蘭、英格蘭與威爾斯地區,年紀介於四十到六十九歲的自願捐贈者,就其採集檢體、身高、體重、體脂肪、手握力、骨頭密度、心肺功能、血壓、醫療病例、生活習慣、記憶、飲食、生理與心理情狀、聽力與視力等資訊所集結的健康資料庫,其可堪稱是世界上積累大規模人類健康資訊的來源之一。 欲使用英國人體基因資料庫的申請者,不論其係來自英國或是海外,亦不論申請者係來自學界、產業界、公益團體,或是由政府資助的研究機關(機構)、團體或個人,在本於欲從事的研究係基於健康相關與確保公眾利益的前提之下,均可向該資料庫的管理單位提出使用申請。該申請必須於網路上提出,且欲申請使用之研究必須受到英國人類基因資料庫小組的嚴謹審查,且該審查過程亦會受到英國人體基因資料庫委員會轄下的 Access Sub-Committee所監督。除此之外,具有獨立超然特徵的英國人類基因資料庫倫理與管理會議(UK Biobank Ethics and Governance Council)亦將會監督整個審查系統的運作和流程。 英國人類基因資料庫將允許研究者,在基於保障公眾利益的前提下所進行的健康相關研究,來使用該資料庫內的所有資源。該資料庫期許研究者能夠發現特殊疾病發生於人類個體上的差異性,以進而研發出一套新的治療與防範措施。除此之外,該資料庫的資源利用亦期待研究者能在具有慢性、疼痛與生命威脅性特徵的疾病上,例如癌症、心臟疾病、中風、糖尿病、老人痴呆、憂鬱症、關節炎、眼睛、骨頭和肌肉等疾病,能夠就其發生原因、預防方法與治療方式找出新的診斷和解決方法。