歐洲資料保護監督官12月7日發表正式意見,針對歐盟執委會就AFSJ大型資訊技術系統設立作業管理機構之立法計畫,提出隱私保護法律要求
歐洲資料保護監督官(European Data Protection Supervisor, EDPS)於2009年12月7日,針對歐盟執委會(European Commission)近年所提出關於設立歐盟「自由、安全及司法領域」(area of freedom, security and justice, AFSJ)大型資訊技術系統(IT System)作業管理機構之立法計畫,基於個人資料保護之立場提出正式法律意見。如此一立法計畫順利通過,該機構預計將擔負起包括「申根資訊系統」(Schengen Information System, SIS II)、「簽證資訊系統」(Visa Information System, VIS)、「歐洲指紋系統」(European Dactylographic System, Eurodac)及其他歐盟層級之大規模資訊技術系統之作業管理(operational management)任務。
根據EDPS首長Peter Hustinx表示,由於前述各項系統之資料庫中均包含諸如護照內容、簽證及指紋等大量敏感個人資料,因此儘管設立單一之作業管理機構,可以在相當程度上釐清歐盟各部門職責歸屬及準據法適用之問題,但如此一機構欲取得合法性,其活動範圍及相關責任即必須在立法中獲得明確界定,否則即可能產生個人資料濫用(misuse of personal data)及資料庫「功能潛變」(function creep)之風險。而基於此一分析,Hustinx認為目前執委會之機構立法計畫尚未符合個人資料保護要求。
此外,針對後續立法進程,EDPS建議除應確實釐清該管理機構之活動範圍是否包括整體AFSJ,亦或僅限於邊境檢查及難民與移民事務;執委會與該機構之關聯性與責任等重要問題外,是否可在缺乏相關經驗及實證評估下,即直接將所有歐盟層級之大型資訊技術系統與資料庫歸入該機構管轄,顯然亦有商榷餘地。EDPS就此認為,透過立法界定「大型資訊系統」之範圍,並且採取資料庫分次進入該管理機構責任範圍之方式,應係日後執委會可以努力之方向。
陸軍上尉連長孫吉祥殉職後,未婚妻李幸育終於順利取精,不過能否接受人工受孕則仍有變數。由於 目前人工生殖法草案尚未過關,法律上尚無明確規範,且由於此種案件勢將引發若干後續問題,情理法難以兼顧,故衛生署國民健康局長吳浚明表示,目前擬採取專案審查方式,於週一﹙ 9月13日﹚邀集律師、醫學倫理、婦女團體、不孕症代表等專家,共同討論是否同意李幸育進行人工受孕。 在正式同意人工受孕之前,如果有醫師私下協助進行,衛生署將得以「其醫療行為違反醫學倫理」為由﹙醫師法第二十五條﹚,依同法二十五條之一予以懲戒。至於衛生署長侯勝茂先前表示,要檢討人工生殖法草案之具體內容,放寬「不孕夫妻而且雙方健在」的限制,吳浚明則坦承,此項指示的難度很高,因為目前連草案都還在等待立法院審查,如果等草案過了再行修正,退案修正一來一往間,將耗費相當時日,更何況死後取精可否進行人工生殖之情形更屬複雜,預期難在短期之間獲得定論。
美國聯邦巡迴上訴法院就Myriad案判決人體基因具可專利性2011年7月29日美國聯邦巡迴上訴法院針對Myriad Genetics公司之單離去氧核糖核酸(isolated DNA)專利無效上訴案作出判決,認定人體基因具有可專利性。 本案緣起於Myriad Genetics公司利用單離DNA BRCA1及BRCA2兩項基因,發展出一套乳癌風險檢測技術,並成功取得7項專利。未料2009年時,美國公民自由聯盟(American Civil Liberties Union,ACLU)及美國公共專利基金會(Public Patent Foundation,PUBPAT)以「授予單離DNA專利權係違反專利法第101條規定」為由,向紐約南區聯邦地方法院提起確認專利無效之訴,並獲致勝訴判決後,全案便上訴至聯邦巡迴法院。 美國專利法第101條(35 U.S.C §101)雖規定:「任何人發明或發現新而有用的方法、設備、製品或物之組合,或新而有用的改良,皆可依本法所定條件取得專利。」但標的若屬自然產物(product of nature)者,則不應授予專利。因此,本案關鍵問題在於:單離DNA是否屬於自然產物? 針對此一問題,巡迴法院以1887年聯邦最高法院於Hartranft v. Wiegmann案中所闡明的「人為介入(human intervention)是否已賦予發明物與自然產物明顯不同的特質」原則為判斷標準,認定單離DNA雖取自於原生DNA(native DNA),但其經化學處理後可釋放出特定分子,已與人體內之原生DNA有顯著不同,故具有可專利性。此外,法院更指出,美國專利局(The US Patent and Trademark Office,USPTO)自80年代迄今已釋出40,000件以上與DNA分子相關之專利,其中有20%為人類基因,此種長年行政慣例即便有誤,亦應由國會加以變更,而非法院。 本案受矚目之處,在於Myriad公司上訴時,美國司法部即透過法庭之友建議書(friend of the court briefs),向巡迴法院表明其否認人類基因具有可專利性的立場,因此本案判決結果等同於對司法部見解之否決。美國生技業者則認為單離基因專利(isolated gene patent)是生技產業的基石,此判決結果符合專利局一貫的專利政策,而此政策正是過去催生美國生技產業的推手;惟外界預料本案極可能再上訴至聯邦最高法院,屆時將對美國生技產業造成何種影響,值得持續觀察。
印第安那州對違反個資外洩通報義務之保險公司提起訴訟印第安那州首席檢察官Greg Zoeller對Wellpoint保險公司提起訴訟標的金額30萬美元之損害賠償訴訟,主張該公司因遲延向首席檢察署及超過32,000萬因個人資料外洩影響所及之客戶通報個資外洩事件,而違反印第安那州通報法〈Indiana notification laws〉中通報及揭露規定〈Chapter 3. Disclosure and Notification Requirements及Chapter 3. Disclosure and Notification Requirements〉,依法各得請求15萬美元罰金,此為印第安那州提起之首件違反通報義務之訴訟。 前述法令於2009年7月生效,新法規定個人資料擁有者〈database owners〉負有「通報義務」,其於個資外洩事件發生後,必須在「合理期間」〈within a reasonable period of time〉內,對「潛在受影響之個人」〈both the individuals potentially affected by a data breach〉,以及檢察署通報,惟經調查,該公司未於合理時間內通報前述應通報之對象。 經查該公司於今〈2010〉年2、3月間即發現客戶個資外洩,卻6月18日始通知客戶,檢察署展開調查後認定其遲延通報無正當理由,故代表印地安那州向其提起民事賠償。 前述所指外洩之個人資料包括:提出投保申請者之個人資料內容,諸如「社會安全碼」〈social security number〉、「財務資訊」〈financial information〉、「健康記錄」〈health records〉,因該保險公司網頁之照管者〈siteminder〉未能實行安全防護,使盜竊身分之人〈identity thief〉得以改變統一資源定址器〈URL〉而窺見申請者的個人資訊。 除印第安那州客戶外,該保險公司因客戶個資外洩亦使其他州投保申請者資訊曝露,包括:美國加州、科羅拉多、康乃迪克、肯特基、密蘇里、內華達、新罕布夏、俄亥俄及威思康辛等九個州,約有47萬個客戶可能因此受影響。