從英國 NHS 國家 IT 計畫看電子病歷之推動：以病患個人資訊隱私保護為中心

　　加利福尼亞州（下簡稱加州）州長Jerry Brown於2018年9月30日簽署了一項新法案，規定在加州註冊成立的上市公司以及總部位於加州並在美國證交所上市的外國公司（如德拉瓦州公司），都必須在2019年底之前，於其董事會安排至少一位女性擔任董事，否則將面臨處罰；而此項新規定，亦使加州成為美國第一個要求上市公司將女性納入董事會的州。 　　此項規定並規定，在2021年年底前，若董事會的規模為6名以上，至少需有3名女性董事，若董事會的規模為5名成員，則至少需有2名女性董事，若董事會規模為4名以下董事，則至少需有1名女性董事。違反此項規定，將受到以下處罰：（1）首次違反處以10萬美元的罰款；（2）再度違反處以30萬美元的罰款，隨後再處以每次違反的罰款。 　　根據統計，日前在美國3000家最大的上市公司的董事會組成中，女性僅占其中18%，於2017年，更有624家上市公司的董事會中根本沒有女性。該法案表明，促進公司董事會性別平等不僅可以改善所有女性的職場機會，同時還能提高生產力，其依據是瑞士信貸（Credit Suisse）於2014年所作出的一項研究，該研究發現，擁有全男性董事會的公司，其平均股本回報率（Return on Equity, ROE）為10.1%，而擁有至少一名女性董事的公司，其平均股本回報率為12.2%。 　　根據彭博社(Bloomberg)於2019年的一項新分析，此項變革可為女性提供692個席次，並足以導致美國公司董事會整體性別平衡產生顯著的變化。此外，新紐澤西州(New Jersey)和馬薩諸塞州(Massachusetts)亦在考慮進行類似的立法，其他州也通過了不具拘束力的準則。根據統計，若其他州採用和加州相同立法，羅素3000(Russell 3000)中的公司需要在幾年內為女性開放3732個董事會席次，全國董事會的女性人數將增加近75%。 　　縱使該法案的反對者認為，這將增加企業改善種族和民族多樣性的難度，並質疑法案的適法性，然該法案的提出者仍認為，此一措施對於提升女性的代表權是必要的，相信當董事會組成多元化，女性的聲音能被聽到時，對整體勞動力的改善會是更好的。

　　日本經濟產業省（以下簡稱經產省）為了落實安倍內閣提出之日本再興戰略，希望透過相關法制規範之調整，促進產業新陳代謝機制，並喚起民間的投資，進一步解決日本國內企業「過多限制、過小投資、過當競爭」現象，前於2013年10月15日將「產業競爭力強化法」提交國會審議。經日本國會審議後，該法已於同年12月6日公布，計有8章、共156條之條文，另有附則45條，並取代原先於2011年修正之產業活力再生特別措施法的功能。因產業競爭力強化法之內容屬政策性規範，搭配之施行細則、施行令等也陸續於2014年1月20日公布。 　　自產業競爭力強化法施行後，對於日本企業預計開發新產品和新技術等放寬限制，讓企業有機會進入與原業務不同之領域，並進行業務整編。舉例而言，依該法第9條第1項之規定：「欲實施新事業活動者依據主務省令規定，可向主務大臣提出要求，確認規定其欲實施之新事業活動及與其相關之事業活動的規範限制之法律和其所根據法律之命令規定的解釋，以及該當規定是否適用於該當新事業活動及與其相關之事業活動」之規定，就相關事業活動是否符合法令與否，向經產省申請解釋。 　　此一制度被稱為「灰色地帶消除制度」，目的在於使日本企業規劃新事業之前，可先洽主管機關瞭解該新事業活動涉及之業務是否合法，在經產省網站上已有SOP與申請表格可供參考。而此制度功能在於透過日本主管機關的闡釋、說明或認定相關計畫，讓有意從事創新活動的業者有如吞下定心丸，得以積極規劃、推動後續作業。

　　英國資訊委員會（Information Commissioner’s Office, 以下簡稱ICO）最近對於2014年「巨量資料與個資隱私保護報告」（Big Data and Data Protection）進行公眾意見徵集。其中有意見認為ICO過度聚焦於以取得資料當事人同意為前提，才得以進行巨量資料統計分析技術應用；且未充分認知當資料控制者（企業或組織）具合法權益（legitimate interest）時，可能得以處理個人資料的可能。意者並進一步建議當資料控制者（企業或組織）符合合法權益時，應可將個人資料用於新用途，強調這種依據合法權益所進行之資料處理，應著重於該資料控制者（企業或組織）對於個人資料的責任（accountability），而非各別取得資料當事人的同意。 　　對此，ICO回覆，認為巨量資料統計分析技術的應用，應在資料控制者（企業或組織）的合法權益、與資料當事人的權利、自由與合法權益間，取得平衡。依據歐盟資料保護指令（Data Protection Directive）與英國資料保護法（Data Protection Act）的規定，資料控制者（企業或組織）得於具法定依據時，處理個人資料，例如取得個資當事人的同意處理其個人資料，或資料控制者（企業或組織）具法定義務處理個人資料（例如法院命令）。除此之外，企業或組織還可以主張於其對於個人資料具合法權益（legitimate interest），主張進一步處理個人資料（新用途），除非資料處理對於資料當事人的權利、自由與合法權益造成過份偏頗（unduly prejudice）的損害。ICO亦同意，資料的應用應著重監督資料控制者（企業或組織）與加強其責任（accountability）。 　　ICO除再度闡明在「巨量資料與個資隱私保護報告」，資料控制者（企業或組織）必須公平且通透（transparent）地處理個人資料，對於當資料控制者（企業或組織）發現個人資料的新用途時，亦明列出得依據先前所取得之資料當事人的同意進行個人資料的各種情況。 　　ICO建議，資料控制者（企業或組織）應當先行檢視資料當事人是否確實同意其個人資料的處理，或該資料控制者具處理個人資料之其法定依據。再者，如果不具上述二者之一，資料控制者（企業或組織）若需將使用個人資料於新用途，則必須另行取得資料當事人的同意，始得為之。此時，必須同時評估為了新用途所為之個人資料處理，是否與資料蒐集之特定目的相容（compatible）。 　　至於，判斷新用途是否與個人資料蒐集與處理之特定目的相容，部分取決於個人資料處理是否公平（fair）。這意味著資料控制者（企業或組織）必須對於為新用途所為之個資處理，提出對於資料當事人隱私影響之評估，以及該個資的使用與處理，是否仍合於資料當事人的合理期待。