英國實行個人健康和社會照護資訊連結服務(care.data)
隨著英國國家健康服務(National Health Service, NHS)的改革,英國於去(2012)年3月27日通過衛生和社會照護法(The Health and Social Care Act 2012)。當中一項主要的變革即是成立衛生與社會照護資訊中心(The Health and Social Care Information Centre, HSCIC)作為醫療健康資料的專責機構。而這樣的變革,也影響過去病歷資料的蒐集、分享和分析方式。依據衛生和社會照護法的規定,HSCIC若受到衛生部長(Secretary of State for Health)指示、或來自照護品質委員會(Care Quality Commission, CQC)、英國國家健康與臨床卓越研究院(National Institute for Health and Clinical Excellence, NICE)、醫院監管機構Monitor的命令要求時,在這類特定情況之下,可以無需尋求病患同意,而從家庭醫師(GP Practice)處獲得病患的個人機密資料(Personal Confidential Data, PCD)。
今(2013)年3月獲NHS授權, 由HSCIC於6月開始執行的care.data服務,即是依據前述立法所擬定之方案。care.data藉由定期蒐集醫療照護過程中的相關資料,對病患於國內所為的各項健康和社會照護資訊(例如病患的住院、門診、意外事故和緊急救護記錄)進行具延續性之連結。以提供即時、正確的NHS治療和照護資訊給民眾、門診醫師和相關部門之官員,進而達到care.data所設定的六項目標,支援病患進行治療的選擇、加強顧客服務、促進資訊透明性、優化成果產出、增加問責性,並驅動經濟成長。
然而,由於care.data是以英國民眾就醫行為中,屬於基礎醫療的家庭醫師(General Practitioner, GP)系統為基礎,所提取的資料包括家族歷史、接種疫苗、醫師診斷、轉診記錄、生理指標,以及所有NHS處方。其次,care.data在進行初級和次級資料連結時,將會透過NHS號碼、生日、性別和郵遞區號,這四項可識別資料的比對。因此雖然care.data在涉及敏感性資料時會加以排除,但此項服務仍引起社會上相當大的爭議。包括部分醫師、隱私專家和的社會團體皆提出質疑,質疑care.data是否有充分告知病人、HSCIC所宣稱的匿名性是否足夠、此項服務對醫病關係的衝擊、該服務所宣稱的資料分享退出機制(opt-out)並未妥善等。
care.data是NHS所推出的創新資料現代化服務,但同時也涉及病患隱私權保護之議題。反觀我國近來所推動的醫療健康資訊加值再利用政策,英國的案例值得我們持續觀察其發展。
- Data and information, NHS England
- Care.data – modern data service for the NHS, NHS England
- Rebecca Todd, Care.data extract needs explanation, EHEALTH INSIDER, Feb. 20, 2013
- Rebecca Todd, Care.data IG reconsidered, EHEALTH INSIDER, Mar. 27, 2013
- Rebecca Todd, Care.data approved, EHEALTH INSIDER, Apr. 10, 2013
- Rebecca Todd, Care.data implemented this month, EHEALTH INSIDER, June 3, 2013
- Rebecca Todd, GP group does care.data campaign, EHEALTH INSIDER, Agu 2, 2013
於2025年,Parallel Advisors的理財顧問Nicole Amore(下稱Nicole)向其前雇主Falcon Wealth(下稱Falcon)提起訴訟,請求法院停止Falcon提起的仲裁程序。 本案源自於2025年2月,Nicole自Falcon離職後隨即加入Parallel Advisors,而同年4月,Falcon向仲裁機構申請仲裁,主張Nicole違反合約中關於離職後禁止招攬公司現有或者潛在客戶的規定,指稱Nicole除了下載或截圖公司客戶資訊至其個人設備外,更在尚未離職時即與客戶聯繫,通知客戶其即將轉任新公司之事。 對此,Nicole則援引《加州商業與職業法》第16600條和第16600.5條規定,主張該等競業禁止及限制招攬的條款為違法。 此類因為顧問移轉任職所引發之客戶資訊移轉爭議,在顧問產業中時有所聞,惟目前法院尚未對本案作出裁定,後續發展值得持續關注。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
美國聯邦貿易委員會(FTC)持續開鍘違約揭露用戶個資的業者美國聯邦貿易委員會(Federal Trade Commission,FTC)根據《健康違規通知規則》(Health Breach Notification Rule,HBNR),於2023年2月1日和3月2日分別對GoodRx Holdings Inc.公司和BetterHelp, Inc.公司提出擬議命令(Proposed order)。擬議命令指經由行政機關調查案件後提出的改善建議,且經聯邦法院批准後對被調查公司生效。這兩件案例是FTC於2021年後擴大《健康違規通知規則》適用範圍從傳統的健康產業及於網路行業後的首次執法。GoodRx Holdings Inc.公司提供藥物資訊平台與折扣訊息;而BetterHelp, Inc.公司提供遠距醫療服務。兩者在2017到2020年間均向他們的消費者聲明,將妥善保護所蒐集之個資,然而卻轉手將取得個資揭露給Facebook、Snapchat和Google等第三方公司,用來進行目標式廣告的投放。 FTC對GoodRx的擬議命令要求其停止向第三方揭露使用者的個人資料,並處以支付150萬美元的罰鍰。對BetterHelp, Inc.的命令除要求其停止共享使用者的個人資料外,更要求BetterHelp, Inc.向網站的使用者進行退款,退款總額上限高達780萬美元。FTC在擬議命令中建議:涉及敏感性健康資料的事業負責人,除了需要重新檢視目前持有資料的隱私和安全性外,最好能建立一套完整的資料管理流程。流程包括對當事人充分說明蒐集利用目的、取得當事人完整的知情同意、制定完整的個人資料管理及保存銷毀程序、限制員工對資料的存取權限等等。最後也最重要的是要「信守承諾」,這兩個案例中的業者都是違反了自己當初對使用者的承諾,最終才導致被處罰的結果。
英、美唱片業者控告YouTube-mp3.org侵權2016年9月國際唱片業協會(International Federation of the Phonographic Industry,簡稱IFPI)、美國唱片產業協(Recording Industry Association of America,簡稱RIAA)及英國唱片產業協會(British Phonographic Industry,簡稱BPI)對全球最大的串流音樂翻錄網站「YouTube-mp3.org」展開法律行動,指控該網站違反YouTube的服務準則,且侵害音樂著作權。目前該案件由美國加州聯邦法院審理。 「YouTube-mp3.org」將串流音樂變成可供下載的音樂檔案,使用者只需在該網站(YouTube-mp3.org)複製貼上原YouTube的音樂影片網址,即能將其轉為MP3檔案下載使用。RIAA表示運營商透過該網站已經獲利數百萬美元的廣告收入,卻未支付任何金錢報酬給音樂家或著作權權利持有人,因此控告YouTube-mp3. org及該站負責人Philip Matesanz侵害著作權。BPI則表示,使用者得透過各種串流服務存取合法音樂,若對此非法轉載音樂的業者或行為不提出法律行動,將會影響合法的音樂串流服務。 另一方面,德國聯邦部門(German Federal Ministry ) 早在2011年時曾認定,從Youtube網站複製下載音樂為非商業之私人行為合法。而電子前線基金會(Electronic Frontier Foundation,簡稱EFF)對於英美唱片業協會要求法院消除此類型網站一事持否定看法,認為法律不應賦予著作權人或商標所有人修訂刪除網站的權力。
美國對於智慧聯網 IoT 環境隱私保障展開立法工作有鑒於智慧聯網IoT環境下,許多智慧型手持裝置及行動通訊裝置,大量蒐集消費者資訊之隱私權暨資訊安全考量,美國國會於2013年5月10日提出「應用軟體隱私暨資訊安全保護法草案」(Application Privacy, Protection, and Security Act of 2013, APPS Act of 2013, H.R. 1913)進行審議。「應用軟體隱私暨資訊安全保護法草案」草案針對應用軟體(Application)在蒐集消費者資訊前,如何落實「同意」機制,乃強制行動通訊裝置應用軟體開發商(developer)應:(1)提供使用者個人資料蒐集、使用、儲存及公開之通知(notice),而該通知含括所蒐集個人資料之種類、使用目的、有償公開第三者之類別及資料儲存等;(2)取得使用者之同意(consent);消費者依據該草案亦有權撤銷其「同意」(withdrawal of consent)。此外,草案乃強制要求該行動通訊裝置應用軟體開發商,就非法近取之個人資料及經去識別化應用軟體蒐集之個人資料,應採取合理及適當之防衛措施(security measures on personal data and de-identified data)。 並且,針對網路環境下隱私權保護議題,更早之前,美國國會於2013年2月28日提出「線上禁止追蹤法草案」(Do-Not-Track Online Act of 2013) 進行審議。「線上禁止追蹤法草案」草案乃要求聯邦貿易委員會(FTC),就透過個人線上活動追蹤,以蒐集、使用個人資料之行為態樣,進行管制。該管制模式謹據以要求如下:(1)被搜集資料個人應收到簡單、明確、並載明資料使用目的之通知(clear, conspicuous and accurate notice and use of such information),而個人就該通知應予明白之同意(affirmative consent);(2)FTC未來在訂定標準規範時,應(shall)考量所被搜集之資料,是否在匿(隱)名基礎上處理之,遂該資料無法有效被聯結(指認)到特定個人或裝置上;此外,消費者當享有資料不被蒐集的權利(expressed preference by individual not to have personal information collected)。該草案並就違反之個人,設定最高15,000,000美元損害賠償規定。