歐盟提出現行個資保護指令規範之修正草案
科技法律研究所
2013年10月07日
壹、事件摘要
歐盟於1995年所制定之「個人資料保護指令」(Data Protection Directive,95/46/EC,下稱個資保護指令),其基本原則確保了歐盟會員國個人資料基本權利之保障,後續也成為國際相關立法時之參考依據。但由於個資保護指令制定時為框架式立法模式,歐盟各會員國仍須將相關規定內國法化,導致各會員國間對於個人資料保護標準產生差距。
貳、重點說明
一、立法緣起
歐盟現行之「個資保護指令」是第一部解決關於個人資料處理與自由流通保護之指令,主要在於提供歐盟境內關於個人資料及隱私權保護之規定。但由於該指令使各會員國之規範不具統一性,且制定之時科技尚屬發展階段。為解決科技發展與各國形成之保護差距,歐盟執委會(European Commission)在2012年1 月25 日,向歐洲理事會(European Commission)及歐洲議會(European Parliament)正式提出「一般個人資料保護規則」(General Data Protection Regulation)草案共91 條。預計於2015年施行,並取代現行個資保護指令,全面並一致性適用於各會員國。
二、關鍵改變
本次一般個人資料保護規則草案相較於現行個資保護指令,主要有資料當事人權利行使新增與強化、當事人同意要件標準提高、適用主體擴大、申訴權力強化、資料管理人資料保護責任之加重、損害賠償與相關罰則之規定等,並將各項規定更加明確化,以解決長期以來歐盟會員國間因保護水準不一所形成之衝突現象。
參、事件評析
一般個人資料規則草案提出後,歐盟與英國分別針對新規則草案進行評估。歐盟執委會認為,新規則可協助歐盟境內解決長期以來因個資法保護水準不一所形成之衝突,進而為當地企業帶來約23億歐元之效益;但英國當地卻持反面見解,認為新法將使企業提高所需擔負之行政成本,且高規格之法遵要求也使資料管理人陷入難以遵守之情況,進而影響歐盟之競爭力。國際上激烈的討論聲浪與分歧之見解,也使得該規則草案自提出至今已一年多的時間,仍未正式拍板定案。
歐盟於1995年制定之個資保護指令,自1998年生效之後,不僅在各會員國進行個資保護時扮演關鍵性角色,更為國際上個人資料保護或隱私保護之參考依據,其動向更為各國所專注與留意。而隨著時代轉變與科技演進,歐盟期許未來不只是在歐盟境內,更可將個人資料或隱私保護相關資訊與要求,擴及歐盟以外之國家,因而於2012年提出新規則草案,而後續相關發展,更值得我們持續留意跟進。
美國上訴法院於八月於判決中指出,電子郵件服務提供者未經使用者同意對於其傳送、接收之電子郵件加以監視,應為犯罪行為,即使服務提供者僅利用使用者經由其伺服器傳送郵件時的自動暫存過程進行監視,亦構成未經使用者同意的「攔截」 (intercept) 行為,違反監聽法 (Wiretap Act) ,而構成犯罪,推翻該國法院過去所建立「電子郵件服務提供者未經使用者同意監視使用者電子郵件通訊,不屬違反監聽法之犯罪行為」的立場。 被上訴人 Bradford C. Councilman 是從事珍貴與絕版書籍網路建擋列表服務之 Interloc Inc. 的副總裁,該公司給與其顧客含有 "interloc.com" 網域名稱之電子郵件地址作為服務的一部份,並且提供如同電子郵件服務提供者之服務行為,本案起因於 1998 年 Bradford 指示該公司雇員透過修改郵件接收程序之方式,攔截並拷貝所有服務使用者與其競爭對手亞馬遜網路書店 (Amazon.com) 間的電子郵件通訊,亦即,所有來自 Amazon.com 的信件到達伺服器時,由於程式的運作,該信件於寄至使用者信箱前會先行複製,由 Interloc 公司員工加以閱讀。 本上訴法院之判決,乃針對電子郵件的傳送是否屬於監聽法中所謂的電子通訊 (electronic communication) 以及該公司之行為是否構成「攔截」皆作成肯定之解釋,對於電子郵件使用者隱私權之保護有指標性的影響。
美國簽署晶片和科技法案,全球科技業將掀起波瀾美國近日為防堵中國、其他受關注國家如俄羅斯等國掌握半導體等高科技行業關鍵技術,遂致力於加強培養其本土之半導體及高科技通訊產業。於美國時間2022年8月9日美國總統拜登簽署 「2022年晶片和科技法案」 (CHIPS and Science Act 2022),該法案除可作為2021年頒布之「美國電信法案」之補助資金來源,發展開放式無線電接取網路(Open Radio Access Network, ORAN)外,亦有望大幅度提升美國本土晶片生產量。 本法案提高美國聯邦政府對科學技術研究及開發專案之授權,除授權美國商務部(Department of Commerce , DOC)、國防部(Department of Defense, DOD)外,還結合國務院(Department of State, DOS)透過資金補助之方式,發展影響美國競爭力及國家安全至關重要之半導體製造等高科技產業、人工智慧、量子計算等科學研究,本法案整體編列之預算高達2800億美元,至2027年時,授權金額預計將達1740億美元,而其中將挹注超過520億美元之資金用於發展美國本土晶片之生產及研發。 此外,該法案設有靜態限制,禁止接受補助之半導體企業投資以電子設計自動化(Electronic design automation, EDA)工具設計或製造晶片之中國公司,換句話言,即受補助之企業不得於十年內投資或擴大生產中國製低於28奈米之先進晶片。本法案亦提供25%之稅收優惠予於美國建造、裝設晶片廠之業者,以鼓勵企業進駐美國藉以提升美國生產之晶片總量,同時藉由企業之投資帶動美國各地經濟發展,提高就業率。 藉由本法案之制定,有望降低美國對其他國家晶片之依賴,並得藉此發展科技研究,對未來全球高科技產業供應鏈將造成偌大影響,值得持續關注。
美國FDA擬修法調整臨床實驗知情同意義務之豁免標準美國FDA擬修法調整臨床實驗知情同意義務之豁免標準 資訊工業策進會科技法律研究所 蔡宜臻法律研究員 2018年11月27日 壹、事件摘要 知情同意(informed consent)是人體試驗受試者保護重要的一環,同時也是生物醫學長期以來的研究傳統,然其規範內容卻會因科技與研究方式的改變而略有調整。美國食品藥物管理局(Food and Drug Administration, FDA)於2018年11月15日發布一份法規提案(proposed rule),公開徵求意見評論。該提案目的在於調整FDA知情同意的相關規定,未來FDA希望允許人體試驗倫理委員會(Institutional Review Boards, IRB)在試驗僅有最小風險(minimal risk)的情況下,得以裁決一臨床實驗案可豁免知情同意的責任,或更改某些「告知要項」[1]。本次法規提案徵詢終止日為2019年1月14日,FDA並規劃於本法規命令正式公告施行後,廢止其於2017年7月所發佈之《IRB豁免或變更臨床實驗之知情同意指南》(IRB Waiver or Alteration of Informed Consent for Clinical Investigations Involving No More Than Minimal Risk to Human Subjects)[2] 貳、重點說明 目前FDA僅允許在危及生命[3]或緊急研究(emergency research)[4]的情況下,得以例外不必符合知情同意的一般要求(general requirements)[5]。而根據FDA於2018年11月15日發布於聯邦公報(Federal Register)的法規提案內容,FDA打算新增「試驗僅有最小風險」(The research involves no more than minimal risk to subjects)做為豁免或變更知情同意項目的甄別標準之一。如此一來若是修法通過,FDA對於知情同意豁免與否的認定標準就會跟1991年制訂的《美國聯邦受試者保護通則》(Federal Policy for the Protection of Human Subjects,簡稱the Common Rule)[6]更加接近。換言之,未來修法通過後,由FDA管理的人體臨床實驗將有三種情形得以豁免或變更知情同意義務:危及生命、緊急研究與僅具有最小風險的研究。 所謂最小風險,係指「研究中預期的傷害或不適的概率和程度,不大於在日常生活中或在進行常規身體或心理檢查時通常遇到的傷害或不適」[7],比如:不需新藥研究申請(investigational new drug application, IND)的新藥研究;醫療器材臨床試驗豁免(investigational device exemption, IDE)之醫療器材研究;檢體之取得為無創(受試者之頭髮或指甲)的臨床研究;為研究目的而蒐集聲音、影片、數據或圖像紀錄;研究個體或群體的特徵或行為;個人或焦點團體訪談等質性研究[8]。FDA指出本次法規提案當中所指的最小風險定義與其附隨條件將與《美國聯邦受試者保護通則》自1991年施行以來之規定一致,即該研究只要同時符合以下四點便可望由IRB審查豁免或變更知情同意義務[9]: 僅有最小風險的研究[10]。 若不豁免或變更知情同意義務,則研究無法順利進行[11]。 不造成受試者權利跟福祉之負面影響[12]。 受試者將在適當時機獲悉進一步研究資訊[13]。 此次提案的法源依據是2016年通過的《21世紀治癒法》(21st Century Cures Act)第3024節所修正之《聯邦食品藥物化妝品法》(Federal Food, Drug, and Cosmetic Act)第505(i)(4)、520(g)(3)節。《21世紀治癒法》第3024節賦予FDA權力放寬臨床實驗的知情同意義務,其立法背景是由於目前FDA相關規範對知情同意要求相對嚴格,當研究者無法滿足現有法規對於知情同意的要求,便可能使潛在的有價值的研究被迫停止[14];又或在某些情形下,要求研究者在進行臨床實驗時取得研究對象的知情同意並不切實際[15]。《21世紀治癒法》通過後,FDA隨即於2017年7月發布《IRB豁免或變更臨床實驗之知情同意指南》,當中指出FDA並不打算在僅有最小風險的臨床研究中,反對IRB做出豁免或變更知情同意項目的判定,若本次法規提案後續正式生效,FDA便會廢止此指南,使其轉為FDA規則(regulation)。 參、事件評析 知情同意是生物醫學研究的學術傳統,包含兩大重點,一是令研究對象充分知悉其所參與的研究,包含其研究目的、內容、風險與預期利益;二是確保研究對象在做出同意或不同意之意思表示時,其意思表示之真實性,由此保障受試者的自主權[16]。 知情同意之概念最早源自1947年的紐倫堡法典(Nuremburg Code),其規範內涵在過去數十年間因為生物醫學的研究方法與進行模式的變革而產生變化。早年的臨床研究主要由政府資助、在單一的機構進行,涉及的受試者人數相對有限;而近三、四十年,醫學研究漸漸發展成多機構、多中心甚至跨國的研究案,受試者可能高達數萬甚至數十萬,同時也逐漸形成跨領域的研究轉型,涉及如社會學、心理學、教育、環境、氣候等學科。在此情形下,研究方法與資料取得勢必與過去截然不同,傳統的知情同意的制度漸漸無法滿足現代醫學研究的需要。1978年貝爾蒙特報告(Belmont Report)便強調應評估臨床研究的風險是否超過日常可接受範圍[17],1981年美國據此制定《美國衛生及公共服務部人體研究保護政策最終規則》(Final regulations amending basic HHS policy for the protection of human research subjects)[18]便首次將「不超過日常風險的臨床實驗」[19]納為知情同意之豁免或變更之標準;1991年制定的《美國聯邦受試者保護通則》亦延續此概念並進一步做出更明確定義(見前述),惟當時FDA基於其業務為確保藥品、生物製劑以及醫療器材安全與執照核發,與《美國聯邦受試者保護通則》作為拘束十六個聯邦機關的一般性規範不同,因此未將「僅有最小風險的臨床實驗」納為豁免或變更知情同意義務的標準[20]。 時序進展至今,資通訊技術的進步所累積的巨量資料逐漸成為生醫研究的重要研究資源,面對這項轉變與研究者對於倫理審查委員會專業性的質疑,美國近年再度嘗試調整修法。2016年通過之《21世紀治癒法》便要求FDA將「僅有最小風險的臨床實驗」納為得豁免或變更免除知情同意的標準之一,可被視為是期望FDA向更為寬鬆的《美國聯邦受試者保護通則》靠攏;另方面,2017年修訂《美國聯邦受試者保護通則》之最終規則(final rule,將於2019年1月生效),也新增「若是研究涉及取得可識別的個人資料或可識別的生物標本,需要證明若無這些資料研究將無法進行」[21],作為豁免或變更知情同意義務的要件,許是為避免個人資料因知情同意的放寬而有遭受濫用之虞。不過這項要件在本次FDA法規提案並未提及。 綜上述,本文整理兩大爭點: 一、最小風險判定標準之不確定性。 最小風險之定義雖明確指「研究中預期的傷害或不適的概率和程度,不大於在日常生活中或在進行常規身體或心理檢查時通常遇到的傷害或不適」[22],惟最小風險之判定仍存在不確定空間。FDA雖強調將承繼《美國聯邦受試者保護通則》自1991年施行以來個案累積之最小風險判定標準,但此一不確定性直接影響的是受試者的自主權,侵害美國憲法所保障的人權精神;此外,也有批評指出FDA所援引的《美國聯邦受試者保護通則》對於最小風險的定義文字過於模糊,容易造成誤解或誤判[23][24][25]。 二、本次法規提案並未新增《美國聯邦受試者保護通則》即將於2019年1月生效的項目,或再度造成FDA規定與其他聯邦機構未能一致的情形。 FDA本次法規提案新增「最小風險」的其中一個原因便是希望盡可能與《美國聯邦受試者保護通則》標準一致。然令人困惑的是,其並未新增《美國聯邦受試者保護通則》即將於2019年1月實施的豁免或變更知情同意義務的要件:「若是研究涉及取得可識別的個人資料或可識別的生物標本,需要證明若無這些資料研究將無法進行」[26]。換言之,即便此次修法提案通過,依舊與會與《美國聯邦受試者保護通則》有落差。更甚者,《美國聯邦受試者保護通則》所新增的要件,實意在保障個人資料不會因知情同意的豁免範圍改變而遭到恣意使用或揭露,有助於保護個人隱私與資料自主,而FDA並未將其納入法規提案內容,或可能造成個資保護之漏洞。此項缺失FDA於法規提案當中亦有提及,或可期待後續修正[27]。 肆、結語 FDA原有關於豁免或變更知情同意的規定與《美國聯邦受試者保護通則》存有寬嚴程度落差,FDA此前僅限定在有生命危險與緊急研究的情形方可為之;而《美國聯邦受試者保護通則》由於是一種一般性規範,所以保障程度較為寬鬆。FDA本次修法將使部分僅有最小風險的臨床實驗可以更為順利進行,同時也使FDA知情同意的規範更加接近當前《美國聯邦受試者保護通則》的規定。惟最小風險的認定存在不確定性,其所可能侵害的是受試者自主權,不可不慎。又,《美國聯邦受試者保護通則》即將在2019年1月規定研究蒐集之個人資料必須對研究有絕對必要方可,而本次FDA的法規提案未見跟進此一新增要件。由於本提案仍在意見評論階段,是以FDA後續是否再度更新提案內容,值得後續關注。 [1] Institutional Review Board Waiver or Alteration of Informed Consent for Minimal Risk Clinical Investigation, 83 Fed. Reg. 57378-57386(Nov. 15, 2018) https://www.federalregister.gov/documents/2018/11/15/2018-24822/institutional-review-board-waiver-or-alteration-of-informed-consent-for-minimal-risk-clinical (last visited Nov. 26, 2018) [2] FOOD AND DRUG ADMINISTRATION[FDA], FDA In Brief: FDA takes steps to allow greater flexibility for clinical investigators about informed consent in minimal risk situations.(2018/11/13) https://www.fda.gov/NewsEvents/Newsroom/FDAInBrief/ucm625747.htm (last visited Nov. 26, 2018) [3] 21 CFR 50.23 [4] 21 CFR 50.24 [5] 有關更多FDA豁免告知同意之項目類別與細部說明,可參考https://www.accessdata.fda.gov/scripts/cdrh/cfdocs/cfcfr/CFRSearch.cfm?fr=50.23; https://www.accessdata.fda.gov/scripts/cdrh/cfdocs/cfcfr/CFRSearch.cfm?fr=50.24 (last visited Jan. 8, 2019) [6] 45 CFR 46, subpart A. [7]“the probability and magnitude of harm or discomfort anticipated in the research are not greater in and of themselves than those ordinarily encountered in daily life or during the performance of routine physical or psychological examinations or tests.” (46 CFR 102(i); 21 CFR 50.3(k); 21 CFR 56.102(i)). [8] U.S. DEPARTMENY OF HEALTH & HUMAN SERVICES [HHS], OHRP Expedited Review Categories.(1998) https://www.hhs.gov/ohrp/regulations-and-policy/guidance/categories-of-research-expedited-review-procedure-1998/index.html (last visited Nov. 26, 2018) [9] 45 CFR 46.116 [10] “The research involves no more than minimal risk to subjects” [11] “The research could not be carried out practicably without the waiver or alteration” [12] “The waiver or alteration will not adversely affect the rights and welfare of the subjects” [13] “Where appropriate, the subjects will be provided with additional information about their participation” [14] FOOD AND DRUG ADMINISTRATION[FDA], FDA In Brief: FDA takes steps to allow greater flexibility for clinical investigators about informed consent in minimal risk situations.(2018/11/13) https://www.fda.gov/NewsEvents/Newsroom/FDAInBrief/ucm625747.htm (last visited Nov. 26, 2018) [15] id. [16] 陳子平,〈醫療上「充分說明與同意」之法理在刑法上的效應(上)〉,《月旦法學雜誌》,第278期,頁224(2010)。 [17] THE NATIONAL COMMISSION FOR THE PROTECTION OF HUMAN SUBJECTS OF BIOMEDICAL AND BEHAVIORAL RESEARCH, The Belmont Report—Ethical Principles and Guidance for the Protection of Human Subjects of Research(1978), https://videocast.nih.gov/pdf/ohrp_appendix_belmont_report_vol_2.pdf (last visited Jan. 9, 2019) [18] Final regulations amending basic HHS policy for the protection of human research subjects. 46(16) Fed. Reg. 8366–8391 (Jan. 26, 1981) [19] “those risks encountered in the daily lives of the subjects of the research” (46(16) FR 8373) [20] NATIONAL CENTER FOR BIOTECHNOLOGY INFORMATION[NCBI], Determining Minimal Risk in Social and Behavioral Research(2014), https://www.ncbi.nlm.nih.gov/books/NBK217976/ (last visited Jan. 9, 2019) [21]“if the research involves using identifiable private information or identifiable biospecimens, the research could not practicably be carried out without using such information or biospecimens in an identifiable format” (45 CFR 46.116(f)(3)(iii)) [22] 21 CFR 50.3(k), 56.102(i) [23] Regulations.gov, https://www.regulations.gov/document?D=FDA-2018-N-2727-0010 (last visited Dec. 20, 2018) [24] Shah S, Whittle A, Wilfond B, Gensler G & Wendler D., How do institutional review boards apply the federal risk and benefit standards for pediatric research, JOURNAL OF THE AMERICAN MEDICAL ASSOCIATION, 291(4), 476–482(2004). [25] Lidz C & Garverich S., What the ANPRM missed: Additional needs for IRB reform. JOURNAL OF LAW, MEDICINE AND ETHICS, 41(2), 390–396(2013). [26] 45 CFR 46.116(f)(3)(iii) [27] Supra note No. 1
英國、韓國共同簽署資料適足性協議,以期促進資料經濟商機英國數位文化傳媒和體育部(Department for Digital, Culture, Media & Sport, DCMS)於2022年11月23日發布新聞稿,宣布英國與韓國共同簽署的資料橋接規則(The Data Bridge Regulation)於同年12月19日正式生效。在此之前,英國於2022年7月5日已與韓國個人資料保護委員會(Personal Information Protection Commission, PIPC)簽署資料適足性協議(Data Adequacy Agreement),以促進兩國未來進行資料傳輸。這也是英國在脫歐後,首次與其他國家簽訂的資料協議,而依據過往兩國的數位貿易統計資料,本次協議預估將帶來超過14.8億英鎊的商機。 英國DCMS部長更進一步表示,未來將積極與其他國家的戰略夥伴,開展資料經濟商機。英國於聲明中強調參與全球跨境隱私規則論壇(Global CBPR Forum)的決心,以加速資料共享、促進創新與產學研究,聲明摘要如下: 1、本協議為加強英國與韓國資料共享的里程碑,其宗旨為創建更值得信賴的資料共享環境,以及共創更安全的資料傳輸方式。 2、本協議耗時約一年完成討論與擬訂,並期待能透過該協議,深化並擴展英國與韓國之間的資料夥伴關係。 3、英國與韓國政府承諾將促進資料在國際商業、創新及研究等領域的發展。在加強個人資料保護的前提下,促進資料的合理利用。 4、在資料自由傳輸的基礎上,本協議將提供更完善且可持續推動的全球資料生態系統。雙方政府承諾共同改進數位時代下個資料保護框架,如英國發布國家資料戰略(National Data Strategy)、修訂UK GDPR相關規範,以及韓國PIPC提出個人資料保護法部分條文修正案等具體措施。 英國政府肯認應與其他戰略合作夥伴開展多邊倡議,如參與全球跨境隱私規則論壇(Global CBPR Forum)及經濟合作暨發展組織(OECD),共同推動可信賴之政府存取資料(Trusted Government Access to Data)的目標。