馬來西亞個人資料保護法之發展仍有諸多不確定因素
馬來西亞於2010年6月即通過個人資料保護法,延宕經年,該法終於自2013年底開始正式施行,而數項配套規範亦同步施行。前個資保護部門首長Abu Hassan Ismail則被任命為新設之個資保護專員,受通訊及多媒體部部長之指揮監督。
從規範內容架構觀察,馬國此部個資法之範疇堪稱恢弘,不但包括了諸多的實質行為規定,例如,在行為規範的面向上,馬國個資法要求其所謂的資料使用者(data user) 必須遵守多項個資保護原則並尊重當事人權利;此外,該法亦有不少與個資保護相關之組織及程序規則,例如,該法設有行政救濟法庭,如對個資保護專員之決定有所不服者,即可在此提出救濟。惜該法之適用對象不包括公部門,且在適用情形方面,除排除了純粹因個人或家庭目的而蒐集、處理、利用個人資料外,亦針對諸多情形分別排除該法所設之不同個資保護原則之適用,且更賦予個資保護專員另行指定排除適用情形之權限,因而除將相當程度限制該法影響範圍外,並使該法之適用與發展增加許多不確定之因素。
印度民航局(Directorate General of Civil Aviation,以下簡稱DGCA)在禁止公眾使用無人機多年後,終於在2017年11月1日發布無人機使用規則(草案),並於網站上公開徵求意見。民航局部長P Ashok Gajapathi Raju表示,草案將於接下來的30日內,與所有利益相關者進行交流,一旦協商完成,將會確定無人機監管框架。預計今年12月底前完成訂定無人機使用管理規範,包含商業用途無人機。 根據規則草案,無人機依照最大起飛重量將其分為五類,分別為: 奈米(nano)無人機:重量小於250克; 微型(micro)無人機:重量在250克和2公斤之間; 迷你無人機(mini):重量介於2公斤至25公斤; 小型無人機:重量25公斤至150公斤; 大型無人機:重量150公斤以上。 除了飛行能力不超過50英尺高度的奈米無人機,所有無人機必須依照DGCA規定取得識別碼(Unique Identification Number)。針對2公斤以上的無人機需有無人機操作員許可證(Unmanned Aircraft Operator Permit),任何無人機的遙控飛行員必須年滿18歲,且需受過規定的培訓。 另,基於安全考量,草案規定禁止飛行無人機之區域,例如:機場範圍半徑5公里內、國際邊界50公里範圍內、戰略區域500公尺以內的國家重地、人口稠密地區、影響公共安全或正在進行緊急行動的地區、移動式平台(如:汽車、飛機或輪船)、及國家公園和野生動物保護區等生態敏感區域(eco-sensitive areas)等,違規者將依印度刑法之規定起訴。
美國商務部修改《出口管制規則》限制華為取得由美國技術及軟體設計製造的半導體產品美國商務部工業及安全局(Bureau of Industry and Security, BIS)於2020年5月15日公告,為防止中國大陸華為取得關鍵技術,修正美國《出口管制規則》(Export Administration Regulations, EAR)第736.2(b)(3)條第(vi)款「外國直接產品規則」(Foreign-Produced Direct Product Rule),限制華為透過國外廠商,取得包含美國技術及軟體設計製造在內的半導體產品,以保護美國國家安全。並於「實體清單」(Entity List)增加註腳一(footnote 1 of Supplement No. 4 to part 744)之規定,使部分出口管制分類編號(Export Control Classification Number, ECCN)第3(電子產品設計與生產)、4(電腦相關產品)、5(電信及資訊安全)類之技術所製造的產品,不能出口給華為與分支企業。 自2019年起,BIS將華為及其114個海外關係企業列入實體清單以來,任何要出口美國產品給華為的企業,必須事先取得美國出口許可證;然而,華為及其海外分支機構透過美國委託海外代工廠商生產產品事業,繞道使用美國軟體和技術所設計的半導體產品,已破壞美國國家安全機制與設置出口管制實體清單所欲達成之外交政策目的。本次為修補規則漏洞調整「外國直接產品規則」,不僅限制華為及其實體清單所列關係企業(例如海思半導體),使用美國商業管制清單(Commerce control list, CCL)內的軟體與技術,設計生產產品。美國以外廠商(例如我國台積電)為華為及實體清單所列關係企業生產代工,使用CCL清單內的軟體與技術,設計生產的半導體製造設備與產品,亦將同受《出口管制規則》之拘束。這代表此類外國生產產品,從美國以外地區,透過出口、再出口或轉讓給華為及實體清單上的關係企業時,皆需取得美國政府出口許可證,影響範圍擴及全球產業供應鏈。
智慧財產權管理標準之建立-由管理系統標準談起(下) 德國聯邦資料保護暨資訊自由官聲明病人資料保護法恐違反GDPR德國聯邦資料保護暨資訊自由官(Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit,BfDI)Ulrich Kelber教授於2020年8月19日指出,2020年7月3日甫由德國議會通過的病人資料保護法(Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur; Patientendaten- Schutzgesetz, PDSG),恐違反歐盟一般資料保護規則(GDPR)。 該法規定自2021年起,健康保險業者必須向被保險人(病人),提供電子病歷(ePA)。而自2022年起,病人有權要求醫生將病人相關資料記錄於電子病歷,包括健檢結果、醫學報告或X光片、預防接種卡、孕婦手冊、兒童體檢手冊、牙科保健手冊等,而被保險人更換健康保險業者時,可要求移轉其電子病歷至新的健保公司。另外,2021年起將可透過手機,下載電子處方並至藥局領取處方藥。2022年1月1日起,將全面強制使用電子處方,病人將可透過智慧手機或平板電腦,決定他人對於電子病歷之近用權限。病人若無手機,可至健保公司查看電子病歷。依照規劃,目前電子病歷的使用仍採自願性。病人可決定保存或刪除哪些資料,以及誰可以近用該文件。自2023年起,被保險人可自願提供電子病歷資料作為研究用途,而因上述研究可處理病人資料之醫師、診所和藥劑師等,有義務確保其資料安全。 BfDI於立法過程中多次強調,在導入電子病歷使用時,病人必須可完全控制自己的資料。而該法規範僅提供病人使用部分設備,例如智慧手機或平板電腦,設定其電子病歷之存取權限,此意謂著將有一段空窗期,病人無法決定其電子病歷中各文件之存取權限。而對於電子病歷中,可否僅開放部分資料供瀏覽或存取,亦受到聯邦資料保護暨資訊自由官質疑。另外,對於無法或不想在手機或平板電腦上使用上述功能的人,本法並未進一步規定,亦即2022年起,上述病人為了能夠檢查或接受醫療,必須強迫病人控制其相關資料,但目前顯然尚缺乏相關配套。此外,以資料保護角度而言,目前電子病歷之認證程序有安全疑慮,尤其是未使用電子健康卡的替代驗證程序尚不夠嚴謹,因此命令相關單位應於2021年5月前完成改善。 電子病歷是對醫療保健改善的重要一步,因此相關健康資料保護需要符合GDPR規範水平。電子病歷雖已逐漸受到認可與重視,惟當前病人資料保護法恐無法完全保護病人資料安全。因此,BfDI將透過監管手段,確保健康保險公司不會因提供電子病歷而違反GDPR。