哈佛研究者以私募基金展開人類胚胎複製

美國伊利諾州伊利諾最高法院（Illinois Supreme Court）於2023年11月30日對Mosby v. The Ingalls Memorial Hospital et al.案做出判決：認定符合聯邦法規健康保險流通與責任法（Health Insurance Portability and Accountability Act, HIPAA）規定，基於「治療、付款或健康照護運作」之前提下，除病患外即使是醫療服務提供者的生物識別資訊被蒐集、利用或揭露，同樣不受伊利諾州生物資訊隱私法（Biometric Information Privacy Act, BIPA）的保護。 伊利諾州現行以BIPA對蒐集或保留任何個人的生物識別資訊（如虹膜、聲紋、指紋或生物樣本等）做了較為嚴格的限制，原則上這些資訊不能在未經當事人同意的情況下被蒐集、利用或揭露。除非是1.由醫療保健機構從患者身上蒐集的生物識別資訊；或2.根據HIPAA規定，基於進行治療、付款或健康照護運作的前提來蒐集、使用或儲存的生物識別資訊，才可例外免經當事人同意（biometric identifiers do not include information captured from a patient in a health care setting or information collected, used, or stored for health care treatment, payment, or operations under the federal HIPAA.）。然而，基於進行治療、付款或健康照護運作的前提，資料主體除接受治療或健康照護的病患外，是否涵蓋醫療服務提供者（如醫護人員），則有疑義。 本案因醫院的護理人員認為醫療院所未經同意，使用帶有指紋掃描功能的藥品櫃，來蒐集、使用或儲存了他們的生物識別資訊，因此提起訴訟。伊利諾州的地方法院和巡迴上訴法院於本案均支持原告提出的主張。然而，伊利諾州最高法院審理時則透過文義解釋以及條文結構分析之方式，認為立法者係有意於例外規定中重複使用「資訊」一詞，兩次「資訊」之內涵應有不同。故前段的資訊係指患者的資訊，而後段的資訊來源則應包含了醫療照護提供者，方符合立法者真意。 生物識別資訊風險較高，過去被認為需要取得當事人積極同意授權；於本案中伊利諾州最高法院權衡認為基於「治療、付款或健康照護運作」情境下，如本案情形係用來確保醫藥品被正確分配給需要的患者，因此對患者以外的醫療人員隱私權做出限制符合例外規定。本案揭示了個資隱私得為合理利用的情境之一，然而HIPAA對於資料傳輸較寬鬆的規範會否又與資料保護的趨勢有所違背，仍須持續關注相關案例發展。

　　為鼓勵金融產業之創新，同時使其遵循應有之責任，並讓歐盟金融消費者與商業機構享有更多之利益，歐盟執委會於2020年10月24日提出數位金融包裹法案（Digital Finance Package），並提出以下2項數位金融立法提案： 一、加密資產立法提案（Proposal for Markets in Crypto-assets） 　　為促進金融創新並同時保有金融穩定性與保護投資人，歐盟執委會提出加密資產管制框架立法提案，並將加密資產分為已受監管與未受監管兩類，前者將持續依據既有規範進行管理。而針對尚未管制之加密資產，該提案針對加密資產發行人與加密資產服務供應商建立嚴格限制，要求取得核准後始可提供服務。具體而言之，立法提案包含以下項目： （一）針對加密資產、加密資產發行人等金融商品名詞進行定義。並建立加密資產服務供應商與發行人營運上、組織架構與資產發行程序之透明度與揭露制度。 （二）針對向公開市場提供加密資產進行管制，例如，依據提案第4條，供應商應為法人，第5條則要求供應商應製作加密資產白皮書，並將其提供給主管機關後始可於公開市場提供相關服務。 （三）針對代幣資產發行人以及其加密資產之審核程序，依據提案第15條，代幣發行者必須為歐盟境內之法律實體。另外，該法要求加密資產發行人應誠實、公平且專業，並完成加密資產白皮書之出版與制定市場溝通規則。 （四）針對加密資產之收購，該法第4章亦設有相關規範，於第37條及38條規定收購之評估機制。 （五）針對加密資產服務供應商之授權與營運條件，該法第5章規定歐盟證券及市場管理局應建立加密資產服務供應商之登記制度。 （六）針對市場秩序維護之部分，該法於第6章規範相關預防市場濫用之禁止事項與要求，並於第7章賦予歐盟成員國各主管機關相關權力，例如第94條之監督與懲處權限。 二、歐盟數位營運韌性管制框架立法提案（Proposal for Digital Operational Resilience） 　　數位化總伴隨資安風險，歐盟執委會於包裹法案內亦提出歐盟數位營運韌性管制框架立法提案，以確保相關企業可應對所有與通訊技術有關之干擾與威脅，另外，銀行、證券交易所、票據交換所以及金融科技公司將需遵循嚴格之標準以預防並降低ICT資安事件所產生之衝擊，另外亦將針對金融機構雲端運算服務供應商進行監管。具體規範包含： （一）ICT風險管理要求：該立法提案參照相關國際標準，於第5至第14條制訂相關ICT風險管理要求，惟未要求應遵循具體國際標準。 （二）ICT相關事件報告：該提案於第15至20條規範相關報告義務，將整合歐盟金融機構之ICT相關事件報告與監測程序。 （三）數位運作韌性測試：該提案於第21至第24條要求ICT風險管理框架應定期進行測試，惟具體方法可依據組織之規模、風險側寫與商務模式進行調整。 （四）第三方單位風險：該提案於第25至39條規範組織應對ICT第三方供應商風險進行監測，例如，第25條要求金融機構委外執行業務仍應隨時遵循所有金融服務規範，另外，ICT風險管理框架之內容亦應包含第三方ICT風險之監督策略。

　　非營利組織EIT Health於2020年2月展開公共人體生物資料庫（Public biobank）再利用之「數位沙盒」（Digital Sandbox）計畫的第二次公開徵求。參與的中小企業於提案後，可於2020年7月底前獲得通過與否的通知，並最快於2020年9月開始參與計畫。 　　EIT Health成立於2015年，是歐洲創新技術研究所（European Institute of Innovation and Technology）下的「知識與創新社群」（knowledge and innovation community）之一，主要資金來自歐盟「展望2020」（Horizon 2020）。有鑑於數位革命創造了大量極具研究價值的醫學生物資料，EIT Health於2019下半年提出公共人體生物資料庫再利用之「數位沙盒」計畫構想，該計劃主要目的在支持中小企業利用該生物資料實施創新服務或開發產品。 　　而依據歐盟一般資料保護規則（General Data Protection Regulation, GDPR）第89條規定，如果生物資料庫之利用係基於科學研究或公共利益之必要，可以在符合「適當的技術和組織措施」（Technical And Organisational Measures）之前提下得到豁免（exemptions）。依此條文，EIT Health之「數位沙盒」計畫參與者得不遵守GDPR第15條（資料主體之接近使用權）、第16條（更正權）、第18條（限制處理權）、第19條（關於更正或刪除個人資料或限制處理之通知義務）、第20條（資料可攜性權利）以及第21條（拒絕權）之規定。透過此計畫，有望幫助中小企業獲得公共人體生物資料庫、研究參與者（Sample holder）和登記冊的近用權限。此外，計畫亦提供最高35,000歐元的資金，以幫助中小型企業在開發創新產品時利用資料。

　　國際藥廠Novartis被指控濫用美國食品藥品管理局（the U.S. Food and Drug Administration，簡稱FDA）為鼓勵藥廠投入研發被忽視疾病治療藥物所設立的一套獎勵制度。 　　這套制度是根據2007年美國國會所通過之美國食品藥品管理法修正案（the Food and Drug Administration Amendments Act of 2007）而創設，主要是給予向FDA申請治療其表列之被忽視熱帶疾病（例如瘧疾、血吸蟲病、利什曼病等）藥品查驗登記並獲通過之申請者一份所謂「藥品優先審查劵」（priority review voucher），讓該申請者可以用於之後所提出的人類藥品查驗登記申請，而得以享有優先審查之權利。 　　這個所謂「藥品優先審查劵」對於藥廠來說可說是價值非凡，因為藥品查驗登記程序正常情況往往超過10個月以上，但是適用優先審查程序之申請案，卻可以有九成左右在6個月內就獲得通過，這對於藥廠的好處在於，其可以比其他競爭者更快地將其所生產藥品上市販售。 　　Novartis於2009年4月獲得FDA通過其就治療瘧疾藥物Coartem之查驗登記申請，而成為適用此獎勵制度之首例並獲得「藥品優先審查劵」。Novartis的行為之所以招致批判，因為其所申請之藥物Coartem並非是針對治療瘧疾所研發出來的新藥，其從1999年起便已在部分國家被許可使用，只是該藥物在美國從未被申請查驗登記而獲准通過。由於上述獎勵制度並未言明是針對新開發之治療熱帶疾病的藥品，所以Novartis的動作可以符合其要件並獲得獎勵，但此舉卻有鑽法律漏洞之嫌。