英國提出通訊資料法之草案

　　陸軍上尉連長孫吉祥殉職後，未婚妻李幸育終於順利取精，不過能否接受人工受孕則仍有變數。由於 目前人工生殖法草案尚未過關，法律上尚無明確規範，且由於此種案件勢將引發若干後續問題，情理法難以兼顧，故衛生署國民健康局長吳浚明表示，目前擬採取專案審查方式，於週一﹙ 9月13日﹚邀集律師、醫學倫理、婦女團體、不孕症代表等專家，共同討論是否同意李幸育進行人工受孕。 　　在正式同意人工受孕之前，如果有醫師私下協助進行，衛生署將得以「其醫療行為違反醫學倫理」為由﹙醫師法第二十五條﹚，依同法二十五條之一予以懲戒。至於衛生署長侯勝茂先前表示，要檢討人工生殖法草案之具體內容，放寬「不孕夫妻而且雙方健在」的限制，吳浚明則坦承，此項指示的難度很高，因為目前連草案都還在等待立法院審查，如果等草案過了再行修正，退案修正一來一往間，將耗費相當時日，更何況死後取精可否進行人工生殖之情形更屬複雜，預期難在短期之間獲得定論。

　　現今生殖醫學進步相當快速，透過諸如胚胎殖入前之基因診斷（ PGD ）、組織配對（ tissue match ）等新興生物技術，人們將有能力選擇未來孩子的外表、智力、健康甚至性別等，故就現今的科技發展而言，篩選具有某種特徵之嬰兒的技術能力早已具備，反而是相關的倫理、道德及社會共識等等卻是最難的部分，這也是有關「訂製嬰兒」（ design babies ）之爭議焦點。 　　近幾年，訂製嬰兒的討論在英國非常熱烈，在英國，人工生殖之進行應依人工生殖與胚胎學法規定，獲得 「人類生殖與胚胎管理局」 （ Human Fertilization and Embryology Authority, HFEA ）之許可，至於進行人工生殖之同時，父母親是否得附加進一步的條件以「訂製嬰兒」，則一直有爭議。英國高等法院在 2002 年 12 月 20 日的一項判決中曾認為，國會制訂人工生殖與胚胎學法之目的，乃是在協助不孕婦女能夠生兒育女，至於組織配對的行為，則不在該法授權目的之內，因此 HFEA 無權就此等行為給予准駁。惟 2003 年 4 月 8 日 ，上訴法院推翻了高等法院的判決結果，但也進一步指出，這並不代表未來所有在進行 PGD 的同時加做組織配對之行為都是被允許的，想要施行這項技術之任何人，仍然需於事前取得 HFEA 的許可，新近 HFEA 已放寬管制規範，准許對更多種遺傳性疾病進行篩檢。 　　英國泰晤士報最近報導，一名英國女子已獲得英國 HFEA 同意 ，讓醫師將其透過體外受精方式培養出來的胚胎，利用基因篩檢技術，選擇出健康之胚胎植入其子宮內，以避免將她所罹患的遺傳性眼癌「視網膜母細胞瘤」基因傳給下一代。 　　本案婦女雖經 HFEA 同意「訂製嬰兒」，但仍會使「胚胎殖入前之基因診斷」（ PGD ）程序的爭議加劇，反對人士堅稱，基因篩檢的過程中勢必摧毀部分胚胎，且 為了某些目的而製造胚胎，將使人類被商品化，被訂製之嬰兒在長大成人後，若得知其出生之目的乃是在於治療其它親人，其心裡會對自己產生懷疑，並影響對自己人格的認同與其心理狀態。隨著生物技術發展飛快，許多可能背離社會良俗的行為恐將不斷出現，而法規能否隨之跟上則是生技產業能否興盛與倫理道德可否兼顧之重要關鍵。

歐盟GDPR保護適足性審核與因應作為 資訊工業策進會科技法律研究所 法律研究員　吳柏凭 2018年04月10日 壹、事件摘要 　　歐盟於 1995 年頒布個人資料保護指令(95/46/EC)[1]，對歐洲各國甚至全世界個人資料保護法制發展有極大影響力。然隨著資通訊技術發展變化迅速，網際網路與各項應用興起，既有歐盟個人資料保護指令面對這些變化已經難以為繼，歐盟執委會(European Commission) 出新的資料保護規則（General Data Protection Regulation, GDPR），於2016年4月27日通過，5月4日公布，正式成為歐盟第2016/679號規則（Regulation (EU) 2016/679）[2]。由於歐盟原則上禁止個人資料跨境傳輸，只有在被認可具有保護適足性(Adequate level of protection)的國家或地區才能例外許可傳輸，因此如何獲得歐盟保護適足性認可，就成為能否跨境傳輸歐盟個資的關鍵。 貳、重點說明 一、個人資料保護指令保護適足性審查規定 　　1995年的個人資料保護指令，就有禁止會員國將個人資料跨境傳輸至對資料保護不具有保護適足性之國家[3]。在第25條第2項中，對於保護適足性的審查，包括資料的性質、處理目的和期間、資料的發生地及最終目的地、該國家施行的普通法及特別法規範、以及安全措施等，透過個案綜合判斷是否具有保護適足性[4]。而關於具體的判斷標準，則依照第29條規定資料保護工作小組（Article 29 Data Protection Working Party）的指導文件[5]，其中對於法律規範審查，除了內容外，更重視個資保護的執行面。 二、GDPR保護適足性審查規定 　　GDPR延續了個人資料保護指令的規定，原則上禁止資料跨境傳輸至對資料保護不具有適足性之國家[6]。根據第45條第2項規定，適足性的評估包括以下要素： 法治、對人權與基本自由之尊重、一般與部門之相關立法，包括有關公共安全、防衛、國家安全及刑法、公務機關對個人資料之接近使用權、及該等立法、資料保護規則、專業規則及安全措施之執行。 有一個或以上獨立監管機關之存在及有效運作，或對象為國際組織時，確保及執行資料保護規則之遵守，包括充足之執行權，以協助及建議資料主體行使其權利，並與會員國之監管機關合作； 個人資料向其他第三國或國際組織進一步移轉，該其他第三國或國際組織之規則、判例法、及有效且可執行之資料主體權利及個人資料受移轉之資料主體有效之行政與司法救濟；第三國或國際組織所加入之國際協定，或其他因具法律拘束力之合約或辦法、及從其參與多邊或區域體系而生之義務，尤其關於個人資料保護者。 　　以上規定與個人資料保護指令最大不同在於將保護適足性的判斷標準明文化，同時補充個人資料向第三地再傳輸應注意的規範、具有獨立性監管機關等規定，填補原本個人資料保護指令的漏洞。 三、保護適足性認可程序與現況 　　保護適足性認可的程序[7]為： 來自歐盟執委會的提案。 得到由歐盟各國資料保護機關組成之作業會議(European Data Protection Board)的意見。 得到歐盟各國代表的承認。 歐盟執委會合意認可。 　　縱然取得認可，之後也會每四年檢驗一次[8]，如果被判定不具保護適足性，則仍會取消原本的認可[9]。 　　現階段已通過保護適足性審核的國家地區包括：安道爾、阿根廷、加拿大（民間機構）、法羅群島、根西島、以色列、馬恩島、澤西島、紐西蘭、瑞士及烏拉圭，另有美國限於「隱私盾」框架(Privacy Shield framework)方可傳輸。 參、事件評析 （一）保護適足性認可的效益 　　除了取得適足性認可外，個別企業可以透過1.標準契約條款(Standard Contractual Clauses, SCC)；2.拘束企業準則(Binding Corporate Rules, BCR)；或3.取得同意方式進行跨境傳輸[10]。但是取得適足性認可不但可以節省企業在個資跨境傳輸的成本，減輕企業負擔，同時也有助於整體產業突破歐盟貿易壁壘。 （二）通過保護適足性審核的困難 　　雖然現行通過適足性審核的國家地區有11個，惟需注意的是，根西島、馬恩島、以及澤西島都是英國屬地，法羅群島是丹麥屬地，而安道爾和瑞士都是在歐洲境內，這些國家地區的法規範本來就與歐盟差距不大，加上美國及加拿大國家本身不被認可具適足性，實際上不屬於歐盟法體系而通過適足性審核的國家地區非常有限。而且包括以色列、烏拉圭或紐西蘭在申請認可都花超過三年的時間，因此也不能作為短期的因應措施。 　　此外，在要件方面，規範上雖然我國個資保護規範與GDPR未有極大歧異，但只要存有差異，要取得認可就有極高困難度，這些都需要與歐盟執委會溝通。而在監管機關要求方面，雖然沒有要求單一機關，但對於機關的「獨立性」仍有要求。關於機關的獨立性目前歐盟並沒有明確的標準，但在歐盟法院判決中，有因為德國的州對州層級的資料監管機關進行調查的權力，而被認為不具獨立性[11]。 （三）通過適足性審核的具體作為 　　以日本為例，為了取得歐盟適足性認可，在2015年9月就其個人資料保護法（個人情報保護法）進行修正，其中設立個人資料保護委員會（個人情報保護委員会）即是為了符合適足性要求中「獨立監管機關」規定，而第24條跨境傳輸的規定更是重要。 　　日本個人資料保護委員會在2016年就與歐盟執委會溝通三次[12]，同時在2017年發出共同聲明[13]。在不修正法律的狀況下，日本個人資料保護委員會頒布一指導方針來消除差異，並於於2018年2月9日先揭示調適方向[14]，包括： 將歐盟視為敏感性個人資料而日本未明文規定者，解釋上一律視為敏感性個人資料。 歐盟不管個人資料保管期間，一律可以主張權利，而日本則限保管期間6個月以上方可主張權利。指導方針對於歐盟跨境傳輸的個資，不管保管期限一律許其主張權利。 對歐盟跨境傳輸的個資將要求揭露特定利用目的。 對於歐盟跨境傳輸的個資再移轉，必需要透過契約等規制，確保資料受保護水準。 關於歐盟跨境傳輸的個資，在去識別化一定要確認無法再識別，以與歐盟去識別化資料定義相符。 肆、結語 　　歐盟GDPR已施行在即，如何因應以突破其跨境傳輸的限制將不只是單純避免業者受罰，更是跨越歐盟貿易壁壘的重要關鍵，而在眾多例外許可跨境傳輸的方法中，又以取得保護適足性認可為最根本因應之道。雖然現在取得認可的難度極高，但仍有許多能努力的空間，目前我國也著手申請適足性認可的準備，未來能得到何種程度的回應，值得後續觀察。 [1] Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with regard to the Processing of Personal Data and on the Free Movement of Such Data. [2] Reform of EU data protection rules, European Commission, http://ec.europa.eu/justice/data-protection/reform/index_en.htm (last visited Apr.10, 2018). [3] Data Protection Directive, art. 25(1). [4] Data Protection Directive, art. 25(2). [5] European Commission, Working Party on Protection of Individuals with regard to the Processing of Personal Data, Working Documents Transfers of personal data to third countries: Applying Articles 25 and 26 of EU data protection directive, July 24, 1998. [6] General Data Protection Regulation, art. 45. [7] Adequacy of the protection of personal data in non-EU countries, https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en (last visited Apr.10, 2018). [8] General Data Protection Regulation, art. 45(3). [9] General Data Protection Regulation, art. 45(5). [10] General Data Protection Regulation, art. 46. [11]European Commission v. Federal Republic of Germany(C-518/07). [12]個人情報保護委員会，個人情報保護委員会の国際的な取組について，https://www.kantei.go.jp/jp/singi/keizaisaisei/miraitoshikaigi/4th_sangyokakumei_dai2/siryou3.pdf (last visited Apr.10, 2018). [13]JETRO，個人データ保護の「十分性認可」取得の好機に－日EU首脳が共同声明－，https://www.jetro.go.jp/biznews/2017/07/845f14ec50674c94.html (last visited Apr.10, 2018). [14]個人情報保護委員会，EU 域内から十分性認可により移転を受けた個人データの取扱いに関するガイドラインの方向性について ，https://www.ppc.go.jp/files/pdf/300209_siryou1.pdf (last visited Apr.10, 2018).

　　雖然歐盟未曾批准基因改造動物所衍生的食品與飼料之市場應用。然生物科技發展迅速，許多歐盟境外的國家已發展許多關於基因改造動物科技之應用。是故，歐盟基於此類基因改造動物所衍生的食品與飼料可能對歐洲整體食品安全及環境帶來影響評估，而由歐盟執委會（European Commission, EC）要求歐洲食品管理局（European Food Safety Authority, EFSA）在歐盟第1829/2003 號規章（Regulation EC No 1829/2003）之架構下，發展關於「基因改造動物所衍生的食品及飼料與相關動物的健康與福利，以及對環境影響之安全評估」的綜合性的指導文件（Guidance），預計發布兩份指導性文件，第一份即為此份指導文件，其係針對「基因改造動物所衍生的食品及飼料」以及「基因改造動物的衛生與福利方面」兩方面的風險評估，在歷經2011所進行的公眾諮詢（Public Consultation）後，EFSA於2012年1月26日正式公布。該份指導文件內容並未包含「基因改造動物衍生之食品與飼料」對於環境所產生的影響之評估，EFSA另行制定第二份指導文件做為評估之依循，目前初稿已制定完成，並進行公眾諮詢，而可能於近期發佈。 　　因畜牧而豢養的動物之健康狀態，向來作為衡量此類農畜食品與飼料的安全之重要指標，本指導文件即以此指標作為整體基本假設。故該指導性文件之發展策略即以傳統飼養的動物健康狀態及其所衍生的食品與飼料作為安全衡量的基底標準（Baseline）；並同時發展合適於「基改動物」與「衍生的食品與飼料」，各自的不同比較尺度的評估方法。其評估重點如下： 1.分子特性之評估，係提供針對動物插入一個穩定基因特徵（Trait）的結構描述之資訊之評估； 2.毒性物質之評估，針對基改動物以及衍生之食品與飼料所可能導致生物上改變之影響； 3.新蛋白質的誘發性過敏評估，係針對所有基改動物所衍生的食品所可能導致過敏之評估； 4.營養性評估，係針對所有的基改動物所衍生的食品與飼料對於人類或傳統飼養動的營養評估。 5.針對基改動物衍生的食品與飼料上市後的監測調查（Post-Market Monitoring, PPM），辨識此類基改食品與飼料在上市後可能的潛在之影響 　　此指導文件另一重點，即對於基因改造動物的健康與福利之評估，這項評估指標之重要性在於： 1.基於動物倫理，即對於動物本身之健康與福利之衡量； 2.動物本身的健康與福利之情形，亦被視為動物衍生產品之安全之重要指標。 　　綜上，此份指導文件建構出關於申請此類「基因改造動衍生食品與飼料」上市前的安全評估所必須提供的特定資料之內容架構，並結合即將發布的第二份關於環境影響評估的指導文件，做為上市前的綜合安全評估之依循。