隨著英國國家健康服務(National Health Service, NHS)的改革,衛生和社會照護法(The Health and Social Care Act 2012)第九部分第二章,規範成立英國衛生與社會照護資訊中心(The Health and Social Care Information Centre, HSCIC)作為政府醫療資訊公開、整合與管理單位,此項規定於今(2013)年4月1日生效。
HSCIC並非正式的政府部會,而屬於執行行政法人(Executive Non Departmental Public Bodies),向衛生部長(Secretary of State for Health)負責,其職責除了蒐集、分析和傳播國家資料暨統計資訊以外,同時亦進行國家各層級的醫療資訊基礎設施的整合,作為醫療資訊數據公開的門戶;此外,HSCIC利用其行政法人的特性,將醫療組織視為客戶,提供不同的服務和產品,以協助其達到所需的資訊管理需求。透過HSCIS對於資訊的整合再公開,有助於在增進政府資訊透明性的同時,亦保障了資訊流動的效率和安全性。
其中HSCIC對於敏感性資料之應用,特別設立資料近用諮詢小組(Data Access Advisory Group, DAAG)予以處理。資料諮詢小組是每月定期由HSCIC所主持的獨立運作團體,須向HSCIC委員會負責。當HSCIC面臨敏感性資料或可識別個人資料之應用(包括是為了研究目的,和為了促進病人的醫療照護所需之應用)時,即交由資料近用諮詢小組會議來討論,以確保揭露該項資訊的風險降到最低。
從HSCIC的組織任務能輕易地發現其具有強大整合醫療資訊之功能,其未來發展勢必與過往飽受爭議的醫療資訊應用息息相關,因此相當值得我們持續觀察HSCIC的後續動態。
位於美國紐約州的一家知名藥廠2007年9月初宣佈其已確認大約有34000名員工的個人資料從某位員工的電腦外洩並遭人非法下載。 整起事件係導因於一位藥廠的員工自行於公司配發的筆記型電腦上安裝未經授權的檔案分享軟體,導致大約有34000名員工的個人資料在網路上被人下載流傳。至於因這起事件遭到外洩的個人機密資料包括員工姓名、社會福利號碼、出生日期、電話號碼和銀行信用狀況等等。 美國司法部門目前已針對這起資料外洩事件展開調查,並要求這家藥廠針對他們用來防止資料外洩的處理方式以及事件發生時的所有相關應變措施提出報告。根據調查,事實上早在今年7月10日這家藥廠即已發現這起大量個人資料外洩事件,卻遲至8月24日才以電子郵件通知資料外洩的被害人,反應時間長達六個星期之久,導致損害持續擴大。 由這起藥廠員工個人資料外洩事件正可顯示點對點(P2P)網路分享軟體確實潛藏著嚴重的資訊安全風險。透過此類軟體,網路駭客得以完整地掃描他人電腦硬碟中的檔案,讓不知情使用者的機密資料隨時處於高度的風險當中。 點對點檔案分享軟體(P2P),當初開發的目的在於集合眾人電腦之力,增加網路的連結數量,進而快速傳輸檔案。但以此作為入侵他人電腦的工具,甚至未經允許盜取他人的電腦中檔案資料等之新電腦犯罪型態,值得相關主管機關注意。
少年受好萊塢電影影響,網路詐騙超過25萬英謗電影「神鬼交鋒」(Catch Me If You Can)中,李奧納多飾演的法蘭克阿巴內二世,從16歲開始喬裝為飛機副駕駛、醫師及律師等專業人士,並利用偽造的支票,在數年之間詐取了數百萬美元。電影中所描繪的場景,如今卻在網路世界中真實上演。英國一名現年16歲的青少年,從13歲開始透過網路招搖撞騙,三年來得手的金額高達25萬英鎊。在其落網之後,少年表示之所以從事詐騙,正是受到好萊塢電影的影響。 住在英國的16歲少年,13歲時憑藉著母親遺留的16000英鎊,虛設了第一家網路公司,並對外販售遠低於市場行情甚多的電漿電視。由於網友訂單踴躍,少年還進一步在倫敦市區承租辦公室,並聘請了兩名員工處理訂單。然而大批的買家從未收到訂購的電漿電視,少年除一聲不響地捲走了全部的貨款外,還積欠了所有的辦公室租金及員工薪水。 在食髓知味之下,少年緊接著承租第二間辦公室欲再次如法泡製,但在得手後溜之大吉前為房東報警查獲,不可思議的是少年獲得交保後隨即於網路上開設另一家虛擬文具行繼續詐騙,直到最近終於為警方逮捕。總計少年在這些年來詐騙所得超過25萬英鎊,遭其詐騙者,甚至包括了英國知名的哈洛德百貨(Harrods)。目前少年正面臨詐欺及其他罪名的控訴。
歐盟2014個人資料保護日,倡議資料可攜權及個資規範革新歐盟將2014年1月28日定為「2014個人資料保護日」(Data Protection Day 2014),倡議推動個人資料修法及規範革新,主要係位因應數位化時代,個人資料權利保護越形重要,並且為了強化保護線上隱私權利,歐盟執委會首於2012年1月25日所提出個人資料保護指令的修正草案─「保護個人關於個人資料處理及此等資料自由流通規章(一般資料保護規章)」(Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL(General Data Protection Regulation));該修正草案於2013年6月進入歐洲議會、理事會及執委會的三方協商,同年10月21日歐洲議會公民、司法與內政委員會(Committee on Civil Liberties, Justice and Home Affairs)審議通過,若進程順利預計將於2014年獲得通過,並於2016年生效施行。 歐盟「2014個人資料保護日」會議中,特別提到此次修法,係為歐盟跨時代的個人資料保護規範革新工作,具有特別重要意義,並且倡議應對於資料可攜權(Right to Data Portability),明文法制化加以落實保障,包括加強資料當事人控制及近取個人資料的權利,資料當事人更容易近取(aceess)個人資料(第14、15條);資料當事人有資料可攜的權利(第18條),當資料處理是以電子化方法,且使用結構性、通用的格式時,資料當事人有權利可以取得該結構性、通用格式下的個人資料(第18條(1)),且更容易自不同服務提供者間移轉個人資料。 國際間對於「資料可攜」議題,正反意見均陳,並未達成共識。歐盟執委會提出個人資料保護指令的修正草案第18條,倡議將「資料可攜性」明文法制化,並要求資料蒐集、處理與利用者對以電子化方法持有的個人資料,需使用結構性、通用的格式,以便利並確保後續個人資料可攜性。此修正草案一提出,隨即引發國際間各重要國家的熱烈探討:有反對者認為,此舉無異將形成未來國際間貿易障礙;有贊成者從確保使用者權益觀點,認為未來智慧聯網(IoT)環境下,資料可攜性是不可避免的趨勢,賦予資料當事人法律權利,有助於個人資料的保護。各重要國家對歐盟修正草案立場及意見,值得加以探究,以觀察未來法制發展趨勢。
德國提出反競爭-數位化法草案(GWB-Digitalisierungsgesetz)擬進一步擴大競爭監管機關之職權德國聯邦經濟事務暨能源部(Federal Ministry for Economic Affairs and Energy)於2020年1月24日提出反競爭-數位化法草案(GWB-Digitalisierungsgesetz),主要係針對競爭法相關規範進行修正、調適,意在解決數位經濟中濫用市場地位、權力不平衡之問題。因大型數位公司和營運平台往往擁有大量的用戶資料而居於市場優勢支配地位,將阻礙、影響到其他新進公司的整體競爭和創新發展。 從而,數位經濟時代的競爭政策需要有適當的競爭規則和監管手段,以便強化有效的市場競爭,本草案進一步擴大德國競爭監管機關(Bundeskartellamt)的職權,目的在嚴格監管濫用市場力量之大型數位公司和平台營運商(如FACEBOOK、GOOGLE等),同時增加競爭對手的市場創新和共享資料存取的機會,確保相關規定與執法達到適當平衡。 茲將該草案擬修正之主要內容,重點整理如下: 禁止大型數位公司刻意阻礙用戶將其個人資料移轉至其他數位服務提供者的限制競爭行為-促使用戶更易選擇轉換到其他平台,使德國競爭監管機關在判斷數位公司是否涉及限制競爭行為時,有更明確的介入依據。 提出有關濫用(abuse)的新概念,係針對「在跨市場競爭上具顯著影響」之公司(paramount significance for competition across markets),並賦予德國競爭監管機關新的干預權限-在評估時,德國競爭監管機關不僅會考慮單一市場,也會透過規定的要件檢視整體市場(例如:該公司在一個或數個市場上的主導地位、財力、對資料或其他資源的存取、垂直整合)。若競爭監管機關發現該公司雖尚未在市場上取得主導地位,但依其判斷已經對於跨市場競爭具顯著影響性,除有正當理由外,原則上可以提出命令,並禁止該公司繼續進行特定行為。 提出「中介力量(Intermediation power)」的概念—對於依賴中介者(Intermediaries)(例如多樣化數位平台)提供產品或服務的企業而言,中介者對於控制市場的進入具有一定程度之影響力。由於這種影響力可能遭濫用,因此草案中引入「中介力量」的概念,擴大數位服務提供者市場力量的評估標準,需考量中介者對於市場進入的影響性。 重新定義和擴大關鍵設施原則(Essential Facility Doctrine)之規定—關於是否應強制公司授予對資料的同意存取權及如何規範這種存取權限,存在爭議,為了強化競爭法的存取權,草案擬重新定義和擴大關鍵設施原則的規定,使其他公司可向居於市場優勢地位的企業要求開放資料、網路或其他基礎設施的存取權限以開展業務,否則將阻礙競爭。 濫用相對市場力量(relative market power)原則之擴大適用—現行法雖規範具有相對市場力量之公司不得濫用此地位,但此原則僅適用於對中小型企業的保護。因此,草案希望擴大保護大型公司,避免其受到傳統或數位平台的濫用行為所影響。因為資料的使用對於在數位經濟中提供相關服務、創新和競爭而言相當重要。 賦予競爭監管機關充份權限以避免市場獨占(monopoly)發生—現行法下若已經有一定規模但尚未具主導地位的公司試圖以反競爭行為(anti-competitive manner)引發市場傾銷(tipping of the markets)時,競爭監管機關並無權干預。草案則擬賦予競爭監管機關在公司居於主導優勢地位前介入的權利。又,為因應數位市場變化,並使競爭監管機關可即時介入,草案在程序上擬放寬競爭監管機關為暫時性措施(Interim measures)的要件。 針對企業併購之新規範—擬規範小型公司之連續併購(Successive acquisition)以及「殺手併購」(killer acquisitions)行為,係因現行法對於前者之交易情形並未規範需要通知主管機關,而有致市場壟斷之虞,因此於草案中擬為規範;後者則是考量此惡意的手段係透過阻礙新創公司對其創新產品的研發,以達到避免與收購方自身產品競爭之目的,因此草案擬增訂規範予以限制。 該草案目前預計將於2020年下半年通過,使德國競爭監管機關在數位經濟領域針對數位公司和平台營運商的執法上有所變化,後續值得留意。