外籍專業人士來台法規將放寬

美國監管醫療用基因檢驗之法制與實務趨勢 資訊工業策進會科技法律研究所 2020年03月25日 壹、事件摘要 　　精準醫療多搭配基因檢驗技術的研發與應用，以幫助醫師針對個體提供精確的診斷及治療服務。以美國現況而言，許多新的醫學檢驗技術在各實驗室中研發，且迅速發展至臨床應用，但必須經過醫療器材上市許可後，始得於實驗室外運用。 　　美國國會於1976年修正《聯邦食品藥物與化妝法（Federal Food, Drug, and Cosmetic Act）》後，將「體外診斷醫療器材」納入醫療器材的規範，同年美國食品藥物管理署（Food and Drug Administration, FDA）便宣佈對實驗室自行研發之檢驗技術（Laboratory Developed Tests, LDTs）行使「自由裁量權」（Enforcement Discretion），排除於《聯邦食品藥物與化妝法》的管理之外，讓實驗室內LDTs的應用可享較為寬鬆的空間[1] 。 　　換句話說，由於典型之LDTs僅為實驗室內部使用，且測試方式簡易，需求量亦不高，可由「醫療保險與醫療補助服務中心」（The Center for Medicare & Medicaid service, CMS）依據《臨床實驗室改進修正案（Clinical Laboratory Improvement Amendments, CLIA）[2]》之規範，施行臨床實驗室的品質管理。臨床實驗室於通過CLIA認證後，即可將開發的LDTs進行臨床應用。 　　然而，1976年迄今，LDTs的發展已經有許多的變化，運作LDTs的實驗室往往獨立於醫療服務機構（Healthcare Delivery Entity）之外，而依賴於許多高科技的儀器、軟體來產生結果及解釋，增加了許多以往沒有的風險；其商業模式也已經大幅的改變，已經大量製造、用於直接的臨床診斷決策上[3]。因此，美國FDA認為有必要引進一個全面性的監管架構管理LDTs，而非像過去一樣，將其排除於《聯邦食品藥物與化妝法》的管理之外。 貳、重點說明 　　FDA近年來加強基因檢驗風險監管之具體行動，包括LDTs監管架構之研擬以及加強實務取締，以保障病人的權益。 一、LDTs監管架構指引草案 　　美國FDA曾於2014年公布兩項指導文件，分別為「實驗室自行研發檢驗方法監管架構指引草案[4]」以及「實驗室自行研發檢驗技術須執行通知上市與不良事件通報之草案[5]」（以下統稱LDTs監管架構指引草案）。LDTs監管架構指引草案希望提升LDTs的規管密度，並規劃將LDTs分為數個不同的類別，依據其風險程度的高低，分別要求其進行包含取得上市前許可、符合品質系統規範等不同程度之要求。 　　該指引草案公布後，受到各臨床實驗室、醫療單位、病人與傳統體外診斷試劑製造商、政府部門等熱烈討論。特別是業界擔憂監管密度的提高，會扼殺臨床實驗室的創新意願，使得實驗檢驗技術、方法與應用停滯，並耗費大量的人力與金錢成本。 　　美國FDA最後於2017年1月13日說明，短期內不會執行該指引草案內容，但會尋求更加全面的立法解決方案[6]。歸納各界對指引草案之看法，顯示對LDTs的額外監督是必要的，但對於如何監管則有不同看法，未來主管機關應基於下列原則，提出符合科學證據、經濟效益並兼顧臨床安全性之管理方案，重點摘述如下： （一）以風險等級為基礎，並分階段實施監督 　　之後的四年內將分階段要求LDTs逐步進行上市前審查，第一年實驗室必須回報LDTs所有的嚴重不良反應；第二年將要求與第三級高風險醫療器材具有相同用途的新型或改良LDTs，必須經過一致的上市前審查；第三年要求與第二級中風險醫療器材具有相同用途的新型或改良LDTs，必須經過一致的510(k)上市前通知；第四年則完成LDTs全面性的監督，並且原則上與醫療器材採取一致標準。 （二）以檢驗之分析效能與臨床有效性，作為核准基礎 　　目前CMS已有實驗室檢驗之臨床效用（clinical utility）審查，但與FDA上市前審查所需之分析效能與臨床有效性有所差異。是故，FDA將制定適合的審查標準，以減輕實驗室提交審查的負擔，並加速上市前審查的審核時間。 （三）不良反應通報系統 　　將參考既有醫療器材上市後監督機制（postmarket surveillance），監控LDTs在真實世界的效能及臨床結果（real-world performance and clinical outcomes）。 （四）健全實驗室之品質系統 　　FDA將會密切與CMS合作加強實驗室的品質系統要求，但會與既有CLIA等認證制度相互調和、不會重複監督。 （五）公開檢驗性能資訊供大眾取得 　　實驗室必須將LDTs檢驗的分析效度及臨床有效性等相關資訊，公開讓民眾可取得。 （六）免除特定類型檢驗之上市前審查 　　對於特定類型的LDTs可免除上市前審查、品質系統及註冊登記之義務，如：對健康影響較低者、罕見疾病使用之LDTs等。 二、加強基因檢驗之執法 （一）23 and Me遺傳健康風險個人基因體服務 　　雖然在LDTs規範上，美國FDA暫時未有全盤性的改變；但在個案上，開始有逐步的調整。美國FDA在2013年11月時，發函警告生技公司「23 and Me」，認為其銷售的「個人基因體服務」（personal genome service, PGS）應該屬於《聯邦食品藥物與化妝法》所規定的第三級醫療器材（風險程度最高的醫療器材），但由於其未取得美國FDA的上市前許可，因此應該立刻停售；其後，23 and Me將其旗下的「遺傳健康風險個人基因體服務」（PGS Genetic Health Risk）向美國FDA申請並取得第二級醫療器材許可[7]。 （二）Inova藥物反應基因檢驗 　　2019年另外一起案例，亦顯示美國FDA從嚴限制LDTs在實驗室外應用之決心。美國FDA於2019年4月4日向Inova基因體實驗室（Inova Genomics Laboratory）寄發通知函，表示其自行研發之MediMap Plus基因檢驗產品，用於預測病人對藥品的反應與接收度，必須先完成FDA上市前審查程序，始得進行商業販售[8]。 　　Inova基因體實驗室雖回覆表示，MediMap Plus基因檢驗產品屬於LDTs的範疇，所以不應該受到FDA上市前審查或任何標示要求之拘束。嗣後，FDA則直接寄發警告函，申明其並未針對LDTs創設任何責任免除條款，且為了促進公眾安全，FDA對於LDTs保留裁量權[9]。對於FDA的警告，Inova決定停止執行MediMap Plus之販售，也不會申請上市前審查[10]。 三、小結 　　由於基因檢驗之安全及確效涉及面向十分廣泛，美國監管體系主要係以《聯邦食品藥物與化妝法》之醫療器材規範，搭配行之多年的CLIA實驗室品質管理制度，以完備各環節之風險管理。申言之，即便基因檢驗技術僅屬實驗室內應用，並未在外流通，亦屬實驗室品質管理之範疇，必須依據CLIA實驗室分類進行能力測試或實地查核。 　　其次，美國對於LDTs的監管雖然認為不宜貿然與醫療器材規範一致，但未來仍將參考醫療器材的風險等級基礎，並盡量提高審查的效率，此趨勢與歐盟新的醫療器材法規[11]一致。 參、事件評析 　　我國近年來政府與民間在基因檢驗的監管上亦有所討論，特別是LDTs之管理方向、管制密度之取捨、實驗室品質標準等[12]。從美國醫療用基因檢驗監管趨勢觀之，建議我國未來或可釐清不同目的之基因檢驗，如商業用、實驗用、醫療用等，進而明確醫療用基因檢驗之監管密度，並依不同風險程度採取分級監理，以在新技術應用與病人權益保護之間取得平衡。 [1]Center for Devices and Radiological Health, Food and Drug Administration, Draft Guidance for Industry, Food and Drug Administration Staff, and Clinical Laboratories: Framework for Regulatory Oversight of Laboratory Developed Tests (LDTs), Oct. 03, 2014, https://www.fda.gov/media/89841/download (last visited Jan. 07, 2020), at 6-7. [2]42 USC 263a, available at https://www.govinfo.gov/content/pkg/USCODE-2011-title42/pdf/USCODE-2011-title42-chap6A-subchapII-partF-subpart2-sec263a.pdf (last visited Dec. 26, 2019). [3]呂雅情，〈實驗室自行研發檢驗技術(LDTs)的發展與法規管理現況〉，當代醫藥法規月刊，2018/02/09，https://www.cde.org.tw/Content/Files/Knowledge/cc18e890-c1e3-4e6e-8bbd-45d7afd6cee9.pdf（最後瀏覽日：2020/01/07），頁17。 [4]Supra note 1, at 7-8. [5]id. at 30. [6]Food and Drug Administration, Discussion Paper on Laboratory Developed Tests (LDTs), Jan. 13, 2017, https://www.fda.gov/media/102367/download (last visited Jan. 07, 2020), at 1. [7]何建志，〈精準醫學趨勢下基因檢驗與消費者保護法律問題〉，《月旦醫事法報告》，第25期，頁44-45（2018）。 [8]Food and Drug Administration, Inova Genomics Laboratory, Apr. 04, 2019, https://www.fda.gov/inspections-compliance-enforcement-and-criminal-investigations/warning-letters/inova-genomics-laboratory-577422-04042019 (last visited Dec. 19, 2019). [9]Food and Drug Administration, Laboratory Developed Tests, Sep. 27, 2018, https://www.fda.gov/medical-devices/vitro-diagnostics/laboratory-developed-tests?fbclid=IwAR3gOzax6O0eUx67IpZBNpmvPrW6ynuP0P99Dlt4AGKZtxvwGSoYOx5EmFA (last visited Dec. 19, 2019). [10]GenomeWeb, Inova Decides to End PGx Test Offerings in Response to FDA Warning Letter, Apr. 15, 2019, https://www.genomeweb.com/regulatory-news/inova-decides-end-pgx-test-offerings-response-fda-warning-letter#.XNkp0hQzbIU (last visited Dec. 19, 2019). [11]歐盟2017年5月25正式生效新版醫療器材法規（Medical Devices Regulations, MDR； Regulation (EU) 2017/745）以及體外診斷醫療器材法規（In Vitro Diagnostic Devices Regulations, IVDR；Regulation (EU) 2017/746）。 [12]蔡雅雯、林工凱、黃品欽、謝文祥，〈基因檢驗法規監管方向初探〉，《台灣醫界》，第62卷第12期，2019/12，https://www.tma.tw/ltk/108621207.pdf（最後瀏覽日：2020/02/06）。

　　歐盟有毒物質禁用指令（ RoHS ）已自今年 7 月起上路，國際間陸續有其他國家跟進：目前為止，美國約有半數的州已通過相關法令，加州從明年起亦將開始實施；至於亞洲的日本已與歐盟同步實施、韓國將於明年 7 月上路；澳洲草案也已經出爐，至於實施日期則未定。 　　為與國際接軌，環保署也正積極推動國內版 RoHS ，目前法案名稱尚未確定，不過內容將會與國際接軌，除限制電子電機等產品，不得含有鉛、汞、鎘、六價鉻、聚溴聯苯和聚溴二苯醚等六種有毒化學物質或限制其比率外，檢驗標準亦將比照歐盟，採用事後市場管理機制，亦即先放行產品進口，並採事後抽測方式檢驗，因為採事前市場管理，將造成貿易障礙，實施檢驗亦有困難。至於罰責方面則仍須商榷，環保署表示目前我國要先合併「廢棄物清理法」與「資源回收再利用法」的法源，預定在年底前召開公聽會並送行政院審查，最快也要等明年立法院第一會期通過後才會實施。

　　英國知名巧克力品牌Cadbury2004年10月向英國智慧財產局提出商標申請，欲將其招牌包裝用色(Pantone 2685C紫色)註冊為商標，指定使用於巧克力相關產品的包裝上，產品包含巧克力條、巧克力片、巧克力糖、包有內餡的巧克力、可可亞飲料、巧克力飲料、巧克力蛋糕。 　　自此，單一顏色是否可註冊成為商標之爭議不斷出現，努力長達將近8年，Cadbury終於今年4月在英國獲准將該紫色註冊成為商標。 　　註冊公告後Cadbury最大競爭對手Nestle(雀巢)旋即提出異議，其認為該紫色不具有識別性，且即便有識別性被核准註冊，其被賦予的商標權範圍亦過寬大(該紫色註冊商標指定使用之產品種類眾多)。 　　此顏色商標註冊爭議戰火持續燃燒，直至今年本月(10月)，由英國高院(High Court)判決確認。法官首先說明單一顏色能做為商標保護標的，只要商標申請人明確定義清楚顏色色號(Pantone number)及顏色使用方式。此外，單一顏色註冊成為商標，商標權保護範圍應特別注意，僅限於使用該顏色時具有識別性之特定產品或服務上。 　　回到本案，法官提及Cadbury從1914年起即使用此紫色於牛奶巧克力棒(Dairy Milk bars)，且Cadbury已提出足夠證據證明Pantone 2685C紫色具由識別性，相關消費者看到該紫色會聯想到Cadbury。然而，法官亦同時指出，對相關消費者而言，該紫色使用於牛奶巧克力及飲品時，方具有識別性，使用在其他巧克力相關產品上時，並不具有識別性，故法官就紫色註冊商標保護範圍進行了限縮。 　　針對判決結果，Cadbury高興地表示取得顏色商標對於品牌識別性及維護有正面作用，除了文字商標外，對品牌又多了一層保護。 　　此判決出爐後，似乎可預見日後將有更多品牌企業申請註冊顏色商標，加強品牌保護。

歐盟GDPR保護適足性審核與因應作為 資訊工業策進會科技法律研究所 法律研究員　吳柏凭 2018年04月10日 壹、事件摘要 　　歐盟於 1995 年頒布個人資料保護指令(95/46/EC)[1]，對歐洲各國甚至全世界個人資料保護法制發展有極大影響力。然隨著資通訊技術發展變化迅速，網際網路與各項應用興起，既有歐盟個人資料保護指令面對這些變化已經難以為繼，歐盟執委會(European Commission) 出新的資料保護規則（General Data Protection Regulation, GDPR），於2016年4月27日通過，5月4日公布，正式成為歐盟第2016/679號規則（Regulation (EU) 2016/679）[2]。由於歐盟原則上禁止個人資料跨境傳輸，只有在被認可具有保護適足性(Adequate level of protection)的國家或地區才能例外許可傳輸，因此如何獲得歐盟保護適足性認可，就成為能否跨境傳輸歐盟個資的關鍵。 貳、重點說明 一、個人資料保護指令保護適足性審查規定 　　1995年的個人資料保護指令，就有禁止會員國將個人資料跨境傳輸至對資料保護不具有保護適足性之國家[3]。在第25條第2項中，對於保護適足性的審查，包括資料的性質、處理目的和期間、資料的發生地及最終目的地、該國家施行的普通法及特別法規範、以及安全措施等，透過個案綜合判斷是否具有保護適足性[4]。而關於具體的判斷標準，則依照第29條規定資料保護工作小組（Article 29 Data Protection Working Party）的指導文件[5]，其中對於法律規範審查，除了內容外，更重視個資保護的執行面。 二、GDPR保護適足性審查規定 　　GDPR延續了個人資料保護指令的規定，原則上禁止資料跨境傳輸至對資料保護不具有適足性之國家[6]。根據第45條第2項規定，適足性的評估包括以下要素： 法治、對人權與基本自由之尊重、一般與部門之相關立法，包括有關公共安全、防衛、國家安全及刑法、公務機關對個人資料之接近使用權、及該等立法、資料保護規則、專業規則及安全措施之執行。 有一個或以上獨立監管機關之存在及有效運作，或對象為國際組織時，確保及執行資料保護規則之遵守，包括充足之執行權，以協助及建議資料主體行使其權利，並與會員國之監管機關合作； 個人資料向其他第三國或國際組織進一步移轉，該其他第三國或國際組織之規則、判例法、及有效且可執行之資料主體權利及個人資料受移轉之資料主體有效之行政與司法救濟；第三國或國際組織所加入之國際協定，或其他因具法律拘束力之合約或辦法、及從其參與多邊或區域體系而生之義務，尤其關於個人資料保護者。 　　以上規定與個人資料保護指令最大不同在於將保護適足性的判斷標準明文化，同時補充個人資料向第三地再傳輸應注意的規範、具有獨立性監管機關等規定，填補原本個人資料保護指令的漏洞。 三、保護適足性認可程序與現況 　　保護適足性認可的程序[7]為： 來自歐盟執委會的提案。 得到由歐盟各國資料保護機關組成之作業會議(European Data Protection Board)的意見。 得到歐盟各國代表的承認。 歐盟執委會合意認可。 　　縱然取得認可，之後也會每四年檢驗一次[8]，如果被判定不具保護適足性，則仍會取消原本的認可[9]。 　　現階段已通過保護適足性審核的國家地區包括：安道爾、阿根廷、加拿大（民間機構）、法羅群島、根西島、以色列、馬恩島、澤西島、紐西蘭、瑞士及烏拉圭，另有美國限於「隱私盾」框架(Privacy Shield framework)方可傳輸。 參、事件評析 （一）保護適足性認可的效益 　　除了取得適足性認可外，個別企業可以透過1.標準契約條款(Standard Contractual Clauses, SCC)；2.拘束企業準則(Binding Corporate Rules, BCR)；或3.取得同意方式進行跨境傳輸[10]。但是取得適足性認可不但可以節省企業在個資跨境傳輸的成本，減輕企業負擔，同時也有助於整體產業突破歐盟貿易壁壘。 （二）通過保護適足性審核的困難 　　雖然現行通過適足性審核的國家地區有11個，惟需注意的是，根西島、馬恩島、以及澤西島都是英國屬地，法羅群島是丹麥屬地，而安道爾和瑞士都是在歐洲境內，這些國家地區的法規範本來就與歐盟差距不大，加上美國及加拿大國家本身不被認可具適足性，實際上不屬於歐盟法體系而通過適足性審核的國家地區非常有限。而且包括以色列、烏拉圭或紐西蘭在申請認可都花超過三年的時間，因此也不能作為短期的因應措施。 　　此外，在要件方面，規範上雖然我國個資保護規範與GDPR未有極大歧異，但只要存有差異，要取得認可就有極高困難度，這些都需要與歐盟執委會溝通。而在監管機關要求方面，雖然沒有要求單一機關，但對於機關的「獨立性」仍有要求。關於機關的獨立性目前歐盟並沒有明確的標準，但在歐盟法院判決中，有因為德國的州對州層級的資料監管機關進行調查的權力，而被認為不具獨立性[11]。 （三）通過適足性審核的具體作為 　　以日本為例，為了取得歐盟適足性認可，在2015年9月就其個人資料保護法（個人情報保護法）進行修正，其中設立個人資料保護委員會（個人情報保護委員会）即是為了符合適足性要求中「獨立監管機關」規定，而第24條跨境傳輸的規定更是重要。 　　日本個人資料保護委員會在2016年就與歐盟執委會溝通三次[12]，同時在2017年發出共同聲明[13]。在不修正法律的狀況下，日本個人資料保護委員會頒布一指導方針來消除差異，並於於2018年2月9日先揭示調適方向[14]，包括： 將歐盟視為敏感性個人資料而日本未明文規定者，解釋上一律視為敏感性個人資料。 歐盟不管個人資料保管期間，一律可以主張權利，而日本則限保管期間6個月以上方可主張權利。指導方針對於歐盟跨境傳輸的個資，不管保管期限一律許其主張權利。 對歐盟跨境傳輸的個資將要求揭露特定利用目的。 對於歐盟跨境傳輸的個資再移轉，必需要透過契約等規制，確保資料受保護水準。 關於歐盟跨境傳輸的個資，在去識別化一定要確認無法再識別，以與歐盟去識別化資料定義相符。 肆、結語 　　歐盟GDPR已施行在即，如何因應以突破其跨境傳輸的限制將不只是單純避免業者受罰，更是跨越歐盟貿易壁壘的重要關鍵，而在眾多例外許可跨境傳輸的方法中，又以取得保護適足性認可為最根本因應之道。雖然現在取得認可的難度極高，但仍有許多能努力的空間，目前我國也著手申請適足性認可的準備，未來能得到何種程度的回應，值得後續觀察。 [1] Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with regard to the Processing of Personal Data and on the Free Movement of Such Data. [2] Reform of EU data protection rules, European Commission, http://ec.europa.eu/justice/data-protection/reform/index_en.htm (last visited Apr.10, 2018). [3] Data Protection Directive, art. 25(1). [4] Data Protection Directive, art. 25(2). [5] European Commission, Working Party on Protection of Individuals with regard to the Processing of Personal Data, Working Documents Transfers of personal data to third countries: Applying Articles 25 and 26 of EU data protection directive, July 24, 1998. [6] General Data Protection Regulation, art. 45. [7] Adequacy of the protection of personal data in non-EU countries, https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en (last visited Apr.10, 2018). [8] General Data Protection Regulation, art. 45(3). [9] General Data Protection Regulation, art. 45(5). [10] General Data Protection Regulation, art. 46. [11]European Commission v. Federal Republic of Germany(C-518/07). [12]個人情報保護委員会，個人情報保護委員会の国際的な取組について，https://www.kantei.go.jp/jp/singi/keizaisaisei/miraitoshikaigi/4th_sangyokakumei_dai2/siryou3.pdf (last visited Apr.10, 2018). [13]JETRO，個人データ保護の「十分性認可」取得の好機に－日EU首脳が共同声明－，https://www.jetro.go.jp/biznews/2017/07/845f14ec50674c94.html (last visited Apr.10, 2018). [14]個人情報保護委員会，EU 域内から十分性認可により移転を受けた個人データの取扱いに関するガイドラインの方向性について ，https://www.ppc.go.jp/files/pdf/300209_siryou1.pdf (last visited Apr.10, 2018).