西班牙隱私保護專責機構對Google發動刑事制裁程序
西班牙隱私保護專責機構「資料保護專員」(Data Protection Commissioner;一般多以其西班牙文縮寫AEPD簡稱之 ),針對Google街景服務(Street View)攝影過程中不當蒐集網路用戶資訊一事,於2010年10月18日對Google發動刑事制裁程序(criminal sanction procedure)。AEPD於其網站上發表聲明,其已經掌握Google涉及五項犯罪活動的證據,其中包括蒐集Wi-Fi用戶資訊並將相關資料傳送回美國等,AEPD已將相關證據資料提交馬德里法院。
Google街景服務提供全球諸多地區的地理圖片,但此一服務也引發人們對於侵犯個人隱私之擔憂。儘管Google先前已多次針對街景攝影車攫取Wi-Fi用戶未經加密訊息之行為進行道歉,但仍有諸多國家對於Google是否違反內國隱私保護法規展開調查。
此次AEPD採取法律行動前,事實上西班牙網路用戶權利協會已就相同問題Google提起訴訟,而西班牙法院亦於今年8月展開調查。AEPD對外表示,一旦法院認定Google犯罪情事屬實,各個犯罪行為將可處以6萬至60萬歐元之罰金。無獨有偶,加拿大政府亦於10月19日認定Google收集Wi-Fi用戶資料之舉動,屬於違法行為。
郭戎晉
副主任兼應研組組長 編譯整理
Yahoo! News,2010年10月18日,http://news.yahoo.com/s/afp/20101018
/tc_afp/spaininternetitcourtrightsgoogle,最後瀏覽日:2010年10月31日Deutsche Welle,2010年10月19日,http://www.dw-world.de/dw/
article/0,,6125830,00.html,最後瀏覽日:2010年10月31日
PhysOrg.com,2010年10月18日,http://www.physorg.com/news/2010-10-spanish-agency-sues-google-street.html,最後瀏覽日:2010年10月31日
歐盟《人工智慧法》(Artificial Intelligence Act, AIA)自2024年8月1日正式生效,與現行的《醫療器材法》(Medical Devices Regulation, MDR)及《體外診斷醫療器材法》(In Vitro Diagnostic Medical Devices Regulation, IVDR)高度重疊,特別是針對用於醫療目的之人工智慧系統(Medical Device AI, MDAI)。為釐清三法協同適用原則,歐盟人工智慧委員會(Artificial Intelligence Board, AIB)與醫療器材協調小組(Medical Device Coordination Group, MDCG)於2025年6月19日聯合發布常見問答集(Frequently Asked Question, FAQ),系統性說明合規原則與實務操作方式,涵蓋MDAI分類、管理系統、資料治理、技術文件、透明度與人為監督、臨床與性能驗證、合規評鑑、變更管理、上市後監測、資安與人員訓練等面向。 過去,MDR、IVDR與AIA雖各自對MDAI有所規範,但始終缺乏明確的協同適用指引,導致製造商、監管機關與醫療機構在實務操作上常面臨混淆與困難。本次發布的指引透過36題問答,系統性釐清三法在高風險MDAI適用上的關聯,重點涵蓋產品分類原則、合規評鑑流程以及技術文件準備要點,具高度實務參考價值。此外,傳統醫療器材的上市後監測,難以有效因應AI系統持續學習所帶來的風險。AIA因此要求高風險MDAI建立強化的上市後監控系統,並評估AI系統與其他系統交互作用可能產生的影響。 整體而言,該指引的發布不再僅限於MDAI技術層面的合規審查,而是進一步擴展至資料正當性、系統可控性、使用者能力與整體風險治理等層面,體現歐盟對AI倫理、透明與責任的制度化落實。此文件亦為歐盟首次系統性整合AI與醫療器材監管原則,預期將成為MDAI產品研發與上市的重要參考依據。 本文同步刊載於stli生醫未來式網站(https://www.biotechlaw.org.tw)
義大利發布最新全國性AI法案,預計設立醫療AI用平臺,並強化權利保護與病患福利壹、義大利最新AI法案簡介 義大利於2025年9月17日通過《人工智慧規範與政府授權》立法法案(Disposizioni e delega al Governo in materia di intelligenza artificiale,下稱1146‑B法案),為該國首次針對AI全面立法,亦為歐盟成員國內AI專法先驅。義大利將歐盟《人工智慧法》(AI Act,下稱AIA)框架轉化為國內法,並設立獨立窗口與歐盟對接。為確保落地效率並兼顧國家安全與資料治理,本法採「雙主管機關制」,由隸屬於總理府(Presidenza del Consiglio dei Ministri)之數位局(Agenzia per l’Italia Digitale,AgID)及國家網路安全局(Agenzia per la Cybersicurezza Nazionale,ACN)共同執行。AgID 負責AI技術標準、互通性與公共行政實務執行;ACN則負責資安韌性、事故通報與高風險AI安全性。 目前該法案已由參議院(Senato della Repubblica)審議並表決通過,2025年9月25日已載於義大利《官方公報》(Gazzetta Ufficiale),再經過15天緩衝期後,預計於2025年10月10日正式生效。然截至2025年10月27日為止,未有官方宣布該法案正式生效之證明,故法案是否依該版本內容正式施行仍待確認。其中醫療為AIA顯示之高風險領域之一,亦涉及資料隱私與病患權益等敏感法益,可謂本法落地機制中具代表性之政策面向,故本文特以醫療AI應用為分析重點。 貳、設立醫療AI應用平臺,輔助專業醫護及強化醫療服務取得 1146‑B法案第10條規定,將由義大利衛生服務局(Agenzia nazionale per i servizi sanitari regionali,AGENAS)主導設立該國家醫療AI應用平臺。該平臺定位為全國級資料治理與AI導入審查機制工具,主要功能為對醫療專業人員提供照護病患與臨床實踐時無法律約束力之建議,並對病患提供接觸社區醫療中心AI服務之管道與機會。該平臺僅得依「資料最小化原則」(dati strettamente necessary)蒐集以上醫療服務所需之必要資料,經向衛生部(Ministero della salute)、資料保護局(Garante per la protezione dei dati personali)及CAN徵詢意見後,由 AGENAS 負責資料處理,並經地方常設協調會議同意後,得以公告方式制定符合歐盟《一般資料法規》(General Data Protection Regulation,GDPR)之風險控管與敏感健康資料處理細則。 在確保資料安全合規後,法案強調對醫療保健之服務可及性(accesso ai servizi)進行改善,病人能透過此平臺更便利地接觸到社區醫療中心所提供之各類AI健康醫療服務,如診斷輔助、數位健康檔案調閱等,亦符合AIA強調AI發展應確保社會公益等權利之宗旨。 參、醫療用AI之限制與目標 法案第7條第5項規定AI僅能作為醫療決策輔助工具提供無拘束力之建議,重申前述醫療平臺相關規定;AI亦不得根據歧視性標準選擇或限制病人獲取醫療服務。病人享有「知情權」(diritto di essere informato),即有權知悉診療過程中是否使用有使用AI、使用方式(如僅為輔助)及其限制。針對健康資料之隱私處理方面,如病歷、基因資料、診斷紀錄等,要求醫用AI系統須持續監測、定期驗證與更新,以降低錯誤風險,維護病人健康安全,亦明文強調醫療AI之使用應以改善身心障礙者生活為目標。 四、總結 1146-B法案在醫療 AI 治理上,透過雙主管機關制平衡歐盟對接、技術發展與風險控管,符合AIA要求並避免權責衝突。建立由 AGENAS 主導的醫療 AI 應用平臺,在相關部門意見下運作,確保資料處理與服務推動合規與安全。病人權利方面,強調知情權、健康資料隱私與地方醫療AI普及,符合資料最小化與 GDPR 規範,展現義大利在醫療 AI 上兼顧創新、透明與權益保障之立場,往後應持續關注AGENAS釋出之關於該平臺使用之相關細則。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
歐盟執委會提出《用電資料相互操作性要求及程序實施規則草案》促進電力服務相互操作性歐盟執委會(European Commission)於2022年7月29日提出《近用電錶及用電資料之相互操作性要求及非歧視性與透明性程序實施規則草案》(Commission Implementing Regulation (EU) on interoperability requirements and non-discriminatory and transparent procedures for access to metering and consumption data),於2022年9月5日草案第二階段之公眾意見徵集結束。本草案以進一步落實《內部電力市場指令》(Directive (EU) 2019/944)中賦予用戶近用有關用電及包括行政手續費用、使用輸配電過路費等資料,促進智慧電錶系統(smart metering system)於資料模型階段及應用層面之相互操作性(interoperability),提高市場參與者資料近用與交換之標準,以及未來創新能源服務標準等目標。 為落實上述指令之要求,本草案旨在規定系統相互操作性以及資料近用的非歧視性與透明性要求,其重點如下: (1)本草案適用對象為經認證之歷史計量及用電資料、未經認證的近即時計量(non-validated near-real time metering)、用電資料形式的計量以及用電資料。 (2)確保供應商於用戶同意下能夠以透明且連續性的方式近用用戶資料(包括判讀及使用)。用戶亦得近用其於智慧電錶系統的資料。 (3)根據會員國的實踐,定義歐盟層級在商業模式層面、功能層面及資訊層面等一般性規則與程序規定的「參考模型」(reference model)。參考模型為特定服務及程序所需的基本工作程序,包括: A. 由各種角色、職責及其相互作用組成的「角色模型」,包括計量資料管理員(metered data administrator)、計量站管理員(metering point administrator)、資料近用提供者及權限管理員的角色和職責; B. 由資訊對象、屬性以及該對象間關係組成的「資訊模型」; C. 詳細說明程序步驟的「程序模型」。 (4)為有效確保資料近用程序的透明度,有必要收集會員國提供的國家實踐報告,並報告至歐盟層級,同時協助會員國報告其國家實踐。 (5)適用本草案之個人資料需遵守《歐盟一般資料保護規則》(GDPR);由於智慧電錶符合終端設備的要求,也適用《電子通訊個人資料處理暨隱私權保護指令》(Directive 2002/58/EC)。
因應美國華盛頓州《我的健康我的資料法》施行,受監管對象隱私權政策應更新美國華盛頓州《我的健康我的資料法》(My Health, My Data,以下簡稱該法)於2024年3月31日生效,該法係於2023年4月27日通過。目標在於保護華盛頓州消費者的健康資料,特別是生殖健康相關資料(data related to reproductive healthcare)。所拘束對象並不在HIPAA之監管範圍內,包括穿戴式裝置(wearables)、特定零售購物和非HIPAA 所規範之遠距醫療服務(telehealth services)所蒐集之資料。 該法最繁瑣合規要求之一為,受監管對象必須在其主頁上公佈消費者健康資料相關隱私權政策(下統稱隱私權政策)連結,連結必須為獨立、特定且不得包含該法所未要求之額外資訊。另針對小型企業,則設有三個月之緩衝時間,即應於 2024 年 6 月 30 日前遵循該要求。 隱私權政策必須清楚且醒目地揭露以下內容: 1. 所蒐集之健康資料類別和蒐集目的,包括將如何使用這些資料; 2. 所蒐集健康資料來源及類別; 3. 共享之健康資料類別; 4. 共享消費者健康資料的第三方或相關企業之類別;以及 5. 消費者如何行使該法所賦予之權利,包括撤銷同意和要求刪除之權利。 最重要的是,除特殊情形外(即1.已揭露其他特定目的2.取得消費者對其他特定目的所為蒐集、使用、揭露之明確同意),受監管對象不得基於隱私權政策中未明確揭露之任何其他目的,蒐集、使用或共享消費者健康資料。 若違反該法相關規定,即被視為違反《華盛頓州消費者保護法》(the Washington Consumer Protection Act),可由華盛頓州總檢察長提出強制執行。另該法為美國第一部保護大量健康資料之法律,顯現對消費者資料保護監管逐漸嚴格之趨勢。