從英國 NHS 國家 IT 計畫看電子病歷之推動：以病患個人資訊隱私保護為中心

　　2022年2月23日，歐盟委員會（European Commission，以下簡稱委員會）公開資料法案草案（Data Act，以下簡稱草案），基於促進資料共享的目的，草案其中一個目標是使不同規模的企業、用戶在資料利用上有著更加平等的地位，內容包含確保用戶資料可攜性、打破資料存取限制、推動大型企業的資料共享，扶植微/小型企業等幾大方向。 　　以下就草案對大型企業要求的義務切入，說明草案所帶來的影響： 確保用戶訪問資料的權利： 基本資訊的告知，包含所蒐集資料性質以及訪問方式、使用資料的目的；用戶可在不同產品/服務提供者（以下簡稱提供者）之間切換，且提供者須有技術支援；提供者需要有合理技術，避免資料在未經授權被查閱。 對於提供者的限制： 提供者不得將所蒐集的資料用於取得用戶的經濟地位、資產、使用喜好；具守門人性質的企業不得採取獎勵措施以鼓勵用戶提供自其他提供者處所取得的資料；提供者提供資料可以收取補償，但必須以公平、合理、非歧視、透明的方式為之，需要提供補償計算方式與基礎。 對於微/小/中型企業的保護 提供者對於微/小型企業所收取的資料補償，不得超過提供資料所需的成本；提供者利用市場優勢，對於微/小/中型企業的不合理/公平的約定無效（如單方面免除一方的重大過失/故意行為的責任）。 　　該資料法案草案須經歐盟議會（European Parliament）通過後才會生效，目前草案規定只要有在歐盟提供物聯網產品或服務之企業，就須遵守草案內容規範，考量到網路服務可跨國提供服務，草案規範與進度仍值得國內企業關注。 「本文同步刊登於TIPS網站（https://www.tips.org.tw ）」

　　英國上議院科學及科技委員會(The House of Lords, Science and Technology Committee)於2016年9月15日對於自動駕駛車(Autonomous Vehicles)的運作環境與應備法制規範展開公眾諮詢，委員會邀請利害相關的個人和團體提交書面文件來回應此公眾諮詢。書面意見提交的最後期限是2016年10月26日。 　　英國政府一向對發展自動駕駛車的潛力十分積極，其在2015年建立了一個新的聯合政策單位－聯網與自動駕駛車中心（Centre for Connected and Autonomous Vehicles, CCAV），並在2015年財政預算案中提供CCAV一億英鎊的智慧行動研發基金聚焦於無人駕駛車技術。CCAV還公佈現有與車輛交通相關立法的調查報告，其結論是：「英國現有的法律架構和管制框架並不構成自動駕駛車在公路上測試的阻礙。」此外，CCAV還出版了無人駕駛汽車測試的實務守則。在2016年英國女王的演講中，政府宣布將制訂現代運輸法案(Modern Transport Bill)：「確保英國處在最新運輸科技的尖端，包括自動駕駛和電動車。」 2016年7月，CCAV舉辦了英國的聯網與自動駕駛車的測試生態系統的公眾諮詢，以及於2016年9月發佈個人和企業對於在英國使用自動駕駛車技術和先進輔助駕駛系統的公眾意見徵詢。 　　本次公眾諮詢將調查政府所採取的行動是否合適，是否有兼顧到經濟機會和潛在公共利益。在影響與效益方面，本次諮詢將收集自動駕駛車的市場規模與潛在用途、對用戶的益處與壞處、自動駕駛車對不同產業的潛在衝擊以及公眾對於自動駕駛車的態度等相關證據。在研究與開發的方面，自動駕駛車目前的示範計畫與規模是否足夠、政府是否有挹注足夠的研發資金、政府研發成果的績效以及目前研發環境是否對中小企業有利等面向，找尋傳統道路車輛是否有和自動駕駛車輛並存的過渡轉型方法。最後，布署自動駕駛車是否需要提升軟硬體基礎設施、政府是否有建立資料與網路安全的方法、是否需要進一步的修訂自動駕駛車相關法規、演算法及人工智慧是否有任何道德問題、教育體系是否能提供自動駕駛車相關技能、政府制訂策略的廣度；以及退出歐盟是否對英國研發自動駕駛車產業有不利之影響；而英國政府是否應在短期內做出保護該產業之相關措施，或是待Brexit條款協商完成之後再視情況決定等等。 　　上述議題在書面意見徵集完成之後，將於2016年11月召開公聽會再度徵集更廣泛的相關意見，科學及科技委員會希望能在2017年初做成調查報告並提交給國會，在得到政府回應之後，可能將進行辯論以決定未來英國自動駕駛車產業的發展方向。

　　英國資訊委員會（Information Commissioner’s Office, 以下簡稱ICO）最近對於2014年「巨量資料與個資隱私保護報告」（Big Data and Data Protection）進行公眾意見徵集。其中有意見認為ICO過度聚焦於以取得資料當事人同意為前提，才得以進行巨量資料統計分析技術應用；且未充分認知當資料控制者（企業或組織）具合法權益（legitimate interest）時，可能得以處理個人資料的可能。意者並進一步建議當資料控制者（企業或組織）符合合法權益時，應可將個人資料用於新用途，強調這種依據合法權益所進行之資料處理，應著重於該資料控制者（企業或組織）對於個人資料的責任（accountability），而非各別取得資料當事人的同意。 　　對此，ICO回覆，認為巨量資料統計分析技術的應用，應在資料控制者（企業或組織）的合法權益、與資料當事人的權利、自由與合法權益間，取得平衡。依據歐盟資料保護指令（Data Protection Directive）與英國資料保護法（Data Protection Act）的規定，資料控制者（企業或組織）得於具法定依據時，處理個人資料，例如取得個資當事人的同意處理其個人資料，或資料控制者（企業或組織）具法定義務處理個人資料（例如法院命令）。除此之外，企業或組織還可以主張於其對於個人資料具合法權益（legitimate interest），主張進一步處理個人資料（新用途），除非資料處理對於資料當事人的權利、自由與合法權益造成過份偏頗（unduly prejudice）的損害。ICO亦同意，資料的應用應著重監督資料控制者（企業或組織）與加強其責任（accountability）。 　　ICO除再度闡明在「巨量資料與個資隱私保護報告」，資料控制者（企業或組織）必須公平且通透（transparent）地處理個人資料，對於當資料控制者（企業或組織）發現個人資料的新用途時，亦明列出得依據先前所取得之資料當事人的同意進行個人資料的各種情況。 　　ICO建議，資料控制者（企業或組織）應當先行檢視資料當事人是否確實同意其個人資料的處理，或該資料控制者具處理個人資料之其法定依據。再者，如果不具上述二者之一，資料控制者（企業或組織）若需將使用個人資料於新用途，則必須另行取得資料當事人的同意，始得為之。此時，必須同時評估為了新用途所為之個人資料處理，是否與資料蒐集之特定目的相容（compatible）。 　　至於，判斷新用途是否與個人資料蒐集與處理之特定目的相容，部分取決於個人資料處理是否公平（fair）。這意味著資料控制者（企業或組織）必須對於為新用途所為之個資處理，提出對於資料當事人隱私影響之評估，以及該個資的使用與處理，是否仍合於資料當事人的合理期待。

　　英國政府於 8 月 16 日宣布，對 1990 年所公布人類生殖及胚胎法案（ the Human Fertilisation and Embryology Act 1990, the HFE Act ）之檢討，展開公眾諮議活動，本項諮議活動將持續至今年 11 月 25 日。 　　本項諮議活動，源自於英國政府意識到該項法案雖然為英國的人類胚胎相關技術的研發提供了穩健的法制基礎，但隨著科技的進步，該項法律早已跟不上時代的腳步，甚至形成阻礙；有鑑於此，英國政府於 2004 年 1 月公布檢討上述法案，這項檢討包括預定在 2005 舉行公眾諮議活動（ consultation ），希望夠過公眾參與獲得各界對上述法案的批評與建言，一方面建立公眾對相關科技的信心，一方面檢視該法是否仍適合英國 21 世紀初期的需求，並其建立一套為社會廣泛所接受的規範架構。本項諮詢的主要議題，包括了為醫療目的而選取胚胎之相關管控規範、供研究目的用之胚胎的定義與 粒線體遺傳疾病（ mitochondrial disease ）研究之規範。 根據英國健康部在其網站上發表的文件指出，這項檢討希望參酌科技的進展、社會態度的轉變、國際相關科技的發展與對可確實有效之法規的需求。 　　這項活動引起了英國下議院科技委員會（ the House of Commons Science and Technology Committee ）對生殖科技（ reproductive technologies ）與相關法律的注意，並對此做出回應。科技委員會建議，未來的修正應不會對胚胎重新定義，而是將焦點放在何種胚胎適合移植，何種胚胎可提供研究。委員會更建議，因粒腺體遺傳疾病研究，而造成基因結構改變之細胞成為胚胎的一部份的情形，應加以禁止。