反恐任務　愛爾蘭擬成立DNA資料庫

美國食品藥物管理局（U.S. Food and drug administration, FDA）於2024年1月31日發布《品質管理系統法規最終規則》（Quality Management System Regulation（QMSR）Final Rule），主要內容為修改美國聯邦法規（Code of Federal Regulations, CFR）第21章第820條，品質系統規範（Quality System Regulation, QSR）中現行優良製造規範（Current Good Manufacturing Practice, cGMP, CGMP）內容，以降低美國國內法規與國際醫療器材品質管理系統標準ISO 13485的差異，達到減輕醫材製造商、進口商的監管負擔之效。 與美國QSR相比，ISO 13485對「風險」與「透明度」規範的要求更加嚴格，故此最終規則主要將QSR中風險管理與透明度的規範依照ISO 13485進行補足。並增修QSR中未出現於ISO 13485中或即將取代ISO 13485中同義的名詞或術語的定義，用以降低原先QSR與ISO 13485的差異。同時增設對記錄保存、標籤和資訊可追溯性要求等FDA認為ISO 13485未涵蓋完全的額外規定，用以完善整體規則完整性。 該最終規則預計於2026年2月2日正式實施。FDA預估此次修訂會有效降低醫材製造、進口商的潛在金錢與時間成本，FDA提供近3年的緩衝期，即希望相關工作人員與醫材製造商能熟悉並遵循新的QMSR。未來FDA會追蹤並評估是否應將ISO13485的變更納入QMSR中，以促進醫材監管的一致性，並為病人及時推出安全、有效且高品質的醫材。

　　美國公司Serenex，指控兩位離職的舊員工，竊取實驗用癌症藥物，並賣給中國公司。Serenex控訴先前聘僱的化學家黃雲生是國際商業間諜，黃雲生偷竊Serenex的商業機密，並用偷來的資料來提供給海外尋找專利的公司。員工竊取機密已經是個日趨嚴重的問題，尤其是對全球型的企業，以及智慧財產為主的公司。 　　Serenex擁有30個員工，目前正進行實驗性癌症藥物的人體測試。根據報告Serenex自2001年設立後，所募得的風險資本已從2千6百萬美元提升至8千1百萬美元。為此，Serenex在威克高等法院提起訴訟，同時也將北京國藥龍立科技公司、基爾生物科技公司以及負責人Tongxiang Zhang列為被告。 　　Serenex的律師Jonathan Sasser表示，Serenex以提出訴訟的方式來保護他們的產品，並且希望調查是被百分之百確信，沒有人會去提出偽造的主張，並在起訴書上陳述，黃雲生在竊取機密後，Serenex於二月時將他解雇，但是黃雲生的律師Walter Schmidlin抗辯說明黃雲生自願離職，並且否認有做任何不法情事。Schmidlin同時表示Serenex並不能提出任何證據證明黃雲生拿了商業機密資料。

　　2018年5月，英國資訊專員辦公室（Information Commissioner’s Office, ICO）針對歐盟GDPR有關資料自動化決策與資料剖析之規定，公布了細部指導文件（detailed guidance on automated decision-making and profiling），供企業、組織參考。 　　在人工智慧與大數據分析潮流下，越來越多企業、組織透過完全自動化方式，廣泛蒐集個人資料並進行剖析，預測個人偏好或做出決策，使個人難以察覺或期待。為確保個人權利和自由，GDPR第22條規定資料當事人應有權免受會產生法律或相類重大效果的單純自動化處理決策（a decision based solely on automated processing）之影響，包括對個人的資料剖析（profiling），僅得於三種例外情況下進行單純自動化決策： 為簽訂或履行契約所必要； 歐盟或會員國法律所授權； 基於個人明示同意。 　　英國2018年新通過之資料保護法（Data Protection Act 2018）亦配合GDPR第22條規定，制定相應國內規範，改變1998年資料保護法原則上容許資料自動化決策而僅於重大影響時通知當事人之規定。 　　根據指導文件，企業、組織為因應GDPR而需特別留意或做出改變的事項有： 記錄資料處理活動，以幫助確認資料處理是否符合GDPR第22（1）條單純自動化決策之定義。 倘資料處理涉及資料剖析或重大自動化決策，應進行資料保護影響評估（Data Protection Impact Assessment, DPIA），判斷是否有GDPR第22條之適用，並及早了解相關風險以便因應處理。 提供給資料當事人的隱私權資訊（privacy information），必須包含自動化決策之資訊。 應確保組織有相關程序能接受資料當事人的申訴或異議，並有獨立審查機制。 　　指導文件並解釋所謂「單純自動化決策」、「資料剖析」、「有法律效果或相類重大影響」之意義，另就可進行單純自動化決策的三種例外情況簡單舉例。此外，縱使符合例外情況得進行單純自動化決策，資料控制者（data controller）仍必須提供重要資訊（meaningful information）給資料當事人，包括使用個人資料與自動化決策邏輯上的關聯性、對資料當事人可能產生的結果。指導文件亦針對如何向資料當事人解釋自動化決策處理及提供資訊較佳的方式舉例說明。

　　英國近來透過電子醫療紀錄的應用，以智慧演算法（intelligent algorithms）開發結合數位技術的創新醫療科技，這些成果多是以國民健保署（National Health Service, NHS）的資料做為基礎，因此關於資訊保障等議題也開始受到政府之重視。 　　2018年9月5日，英國衛生部（Department of Health and Social Care）在NHS健康與護理創新博覽會（NHS Health and Care Innovation Expo Conference 2018）中公布「以資料導向的健康照護科技之行為準則」（Code of Conduct for Data-driven Health and Care Technology）。此準則主要鼓勵研發公司在設計產品時，將患者的資訊安全以及新技術的操作品質列入考量。 　　此行為準則的目的主要在於改善整體研發環境，內容包含十項原則，分別為：界定使用者、界定價值（value proposition）、對使用的資料保持合理（fair）、透明（transparent）以及當責（accountable）的立場、符合一般資料保護規則（General Data Protection Regulation, GDPR）的資料最小化原則（data minimisation principle）、利用公開之標準、公開被使用的資料以及演算法的極限、在設計中內建合適的安全性設定、界定商業策略、展示技術使用上的有效性、以及公開演算法的類型、開發原因、與操作過程的監控方式。 　　官方期望接下來能廣納相關人員的建議，以增進此指引在產業運作上的適用性，並預期於2018年12月公布更新的版本。