英國實行個人健康和社會照護資訊連結服務(care.data)
隨著英國國家健康服務(National Health Service, NHS)的改革,英國於去(2012)年3月27日通過衛生和社會照護法(The Health and Social Care Act 2012)。當中一項主要的變革即是成立衛生與社會照護資訊中心(The Health and Social Care Information Centre, HSCIC)作為醫療健康資料的專責機構。而這樣的變革,也影響過去病歷資料的蒐集、分享和分析方式。依據衛生和社會照護法的規定,HSCIC若受到衛生部長(Secretary of State for Health)指示、或來自照護品質委員會(Care Quality Commission, CQC)、英國國家健康與臨床卓越研究院(National Institute for Health and Clinical Excellence, NICE)、醫院監管機構Monitor的命令要求時,在這類特定情況之下,可以無需尋求病患同意,而從家庭醫師(GP Practice)處獲得病患的個人機密資料(Personal Confidential Data, PCD)。
今(2013)年3月獲NHS授權, 由HSCIC於6月開始執行的care.data服務,即是依據前述立法所擬定之方案。care.data藉由定期蒐集醫療照護過程中的相關資料,對病患於國內所為的各項健康和社會照護資訊(例如病患的住院、門診、意外事故和緊急救護記錄)進行具延續性之連結。以提供即時、正確的NHS治療和照護資訊給民眾、門診醫師和相關部門之官員,進而達到care.data所設定的六項目標,支援病患進行治療的選擇、加強顧客服務、促進資訊透明性、優化成果產出、增加問責性,並驅動經濟成長。
然而,由於care.data是以英國民眾就醫行為中,屬於基礎醫療的家庭醫師(General Practitioner, GP)系統為基礎,所提取的資料包括家族歷史、接種疫苗、醫師診斷、轉診記錄、生理指標,以及所有NHS處方。其次,care.data在進行初級和次級資料連結時,將會透過NHS號碼、生日、性別和郵遞區號,這四項可識別資料的比對。因此雖然care.data在涉及敏感性資料時會加以排除,但此項服務仍引起社會上相當大的爭議。包括部分醫師、隱私專家和的社會團體皆提出質疑,質疑care.data是否有充分告知病人、HSCIC所宣稱的匿名性是否足夠、此項服務對醫病關係的衝擊、該服務所宣稱的資料分享退出機制(opt-out)並未妥善等。
care.data是NHS所推出的創新資料現代化服務,但同時也涉及病患隱私權保護之議題。反觀我國近來所推動的醫療健康資訊加值再利用政策,英國的案例值得我們持續觀察其發展。
- Data and information, NHS England
- Care.data – modern data service for the NHS, NHS England
- Rebecca Todd, Care.data extract needs explanation, EHEALTH INSIDER, Feb. 20, 2013
- Rebecca Todd, Care.data IG reconsidered, EHEALTH INSIDER, Mar. 27, 2013
- Rebecca Todd, Care.data approved, EHEALTH INSIDER, Apr. 10, 2013
- Rebecca Todd, Care.data implemented this month, EHEALTH INSIDER, June 3, 2013
- Rebecca Todd, GP group does care.data campaign, EHEALTH INSIDER, Agu 2, 2013
美國參議院於2015年4月底針對抗衡美國patent troll提出法案,該法案名為the Protecting American Talent and Entrepreneurship (PATENT) Act。希望能制止美國近年來濫用美國專利系統制度,造成許多不必要之專利訴訟案件等情形。 該法案指出,許多濫用之專利訴訟案不僅發生在大公司,許多中小公司也受到patent troll的侵擾,也許即使不著名的專利訴訟案也會花費被告方非常大筆之金額。法案內容指出,提起專利訴訟方需要清楚定義該專利的聲明(claim)及何種產品或是過程侵權,及其侵權之方法等。另外,勝訴方可以提出敗訴方在訴訟過程中所花費的費用並不客觀上合理等聲明。美國政府於2015年5月初表示支持該項提案,且認為該法案是合理且可理解的法案(common-sense legislation),並希望能於今年簽訂通過該法案於國家專利法中,讓美國專利法系統不受到patent troll的氾濫使用。 美國眾議院於2015年5月底又針對PATENT Act法案做出修正,希望在打擊專利蟑螂時,又不至於過度保護AIA,而造成專利權人泛濫使用AIA保護而矯枉過正。主要的法案修正內容包括: 1.限制PTAB過度檢視專利有效性的範圍。PTAB為了防止過多的專利訴訟,對於專利的有效性較謹慎檢視,因而相對的判定許多專利無效。此法案要求PTAB的審查標準需與地方法院檢視專利有效性的標準相同,以避免過度不合理的專利無效決定。 2.專利權人若要聲訴原告的專利無效需具有大量且具體的證明,證明專利的無效性。若專利權人提出無理由的專利訴訟,即造成濫用專利權人權利的情形,該法案規定,其可對其律師相關的懲罰。 3.若專利權人像PTAB提出對方的專利無效,PTAB僅需一個成員來決定是否構成審視該專利有效性的決定。 提出這些修改法案,主要希望在打擊專利訴訟濫用的同時,又不會過度的保護專利權人而可能夠成不中立的結果。
美國發布防止特定國家存取大量敏感個人資料與政府相關資料之行政命令美國總統拜登於2024年2月28日簽署了防止特定國家存取美國人大量敏感個人資料與美國政府相關資料之第14117號行政命令(Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern,E.O. No. 14117),目的是為了防止敏感個人資料與政府資料大規模轉移至「受關注國家」或其所涉人員,主要以「受關注國家」、「受規範對象」、「資料類型」、「禁止行為」與相關豁免規定等項目,進一步授權司法部訂定規範,而美國司法部已於2024年3月5日在〈聯邦公報〉公布行政命令之擬制法規制定預告(Advance Notice of Proposed Rulemaking,下稱ANPRM),並於公布後45日內蒐集意見,內容簡述如下: 1.受關注國家:中國(包括香港及澳門)、俄羅斯、伊朗、北韓、古巴、委內瑞拉等可能造成美國國家安全重大風險之國家。 2.受規範對象:由受關注國家所掌控之實體及具有契約關係之人或實體,或以該等國家為主要居住地之外國人等皆屬之。 3.資料類型:本次ANPRM定義了大量敏感個人資料與政府相關資料,並公布「大量」(bulk)之參考值,將受規範個人識別指標、地理位置和相關感測器數據、生物特徵識別指標、基因組資料、個人健康資料、個人金融資料等6大類資料,用以詮釋敏感個人資料;而資料涉及美國聯邦政府(含軍方)所控制之敏感位置皆屬政府相關資料。 4.禁止行為:涉及受關注國家、受規範對象以及符合上述資料類型之資料交易行為,皆被列為禁止行為,例如:透過簽訂服務或投資協議、供應或僱傭契約而進行之資料交易行為等情形,但也由於適用範圍較廣,因此訂有豁免規定,例如:美國政府為履行公務而由僱員、承包商因公務所為之資料交易行為則可受豁免。 我國作為全球重要的高科技產業供應鏈之一員,因地緣關係與部分受關注國家進行產品製造供應或貿易往來,故可能受此行政命令之影響,ANPRM未來修訂方向值得我國持續關注其後續發展。
美國發表網路安全框架2014年2月12日,美國發表「網路安全框架(Cybersecurity Framework)」,該框架係由美國政府、企業及民間機構花費一年的時間共同發展而成,其蒐集了全球現有的標準、指引與最佳實務作法,最後由國家標準技術局(National Institute of Standard and Technology, NIST)彙整後所提出。 本框架主要可分成三大部份: 1.框架核心(Framework Core) 框架核心包括辨識(Identify)、保護( Protect)、偵測( Detect)、應變( Respond)、與復原( Recover)等五項功能。這五項功能組成網路安全管理的生命週期,藉由這五項功能的要求項目與參考資訊的搭配運用,可使組織順利進行網路安全管理。 2. 框架實作等級(Framework Implementation Tiers) 共分成局部(Partial)、風險知悉(Risk Informed)、可重複實施(Repeatable)、合適(Adaptive)四個等級。組織可以透過對風險管理流程、整合風險管理計畫以及外部參與等三個面向的觀察,瞭解組織目前的安全防護等級。 3. 框架側寫(Framework Profile) 框架側寫係組織依照本框架實際操作後所產出的結果,可以協助組織依據其企業需求、風險容忍度,決定資源配置的優先順序,進一步調整其網路安全活動。 此一安全框架旨在提供整體規劃藍圖予尚未建立網路安全架構的組織參考,而針對已有建立網路安全架構者,該框架並未意圖取代組織原先的風險管理程序和網路安全計畫,而係希望協助公、私部門改善資通訊科技和工業控制系統風險管理的能力。
中國通過網路安全法中國人大常委會於11月7日通過了備受爭議的網路安全法(以下簡稱本法),將於2017年6月1日開始施行。本法分為7章,共計79條。 本法立法目的係為了保障網路安全,維護網路空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會資訊化健康發展(第1條)。本條賦予了管理部門極大的管理權能,引發了「中國將建立國家互聯網」的聯想。本法適用範圍包括在中華人民共和國境內建設、運營、維護和使用網路,以及網路安全的監督管理(第2條)。本法相關重點,摘要如次: 一、本法第21條將「網路實名制」明文化。規定網路營運者在為用戶辦理上網、電話等入網手續,或為用戶提供信息發布、即時通訊等服務,在與用戶簽訂契約時,應當要求用戶提供真實身份資訊。若用戶不提供真實身份資訊,網路營運者不得為其提供相關服務。 二、本法強化對個人資料之規範,例如:規定個人資料不得出售(第44條)。 三、嚴厲禁止任何網路詐騙行為(第46、67條)。 四、重大突發社會安全事件可在特定區域採取「網路通信限制」等臨時措施(第58條)。 五、境外的機構、組織、個人從事攻擊、侵入、干擾、破壞等危害中國的關鍵資訊基礎設施的活動,造成嚴重後果者,將依法追究法律責任;國務院公安部門和有關部門並可以決定對該機構、組織、個人採取凍結財產或者其他必要的制裁措施。(第75條)