為促進健康資通訊科技之創新,美國嘗試立法重新定義健康軟體
美國參議院認為健康資通訊科技(Healthy Information Technology)的創新與快速發展已經漸使現行法制不合時宜,美國食品藥物管理局(The US Food and Drug Administration)過度嚴格管制健康資通訊科技產品,甚至以法律強加健康資通訊業者不必要的負擔,恐抹殺新產業的創新能量,因此有必要對相關管制法規予以鬆綁。遂立法提案重新定義健康相關軟體,稱為「防止過度規範以促進照護科技法案」(The Prevent Regulatory Overreach To Enhance Care Technology Act of 2014,以下簡稱PROTECT Act)。
健康資通訊科技是目前創新與發展最快的美國產業。單以健康資通訊科技產業中,與健康相關的手機應用程式(application,APP)之開發,在全球經濟已創造數億美金的產值,在美國一地更提供了將近50萬份的工作機會。然而,在現行法制中食品藥物管理局認為健康相關的手機應用程式等軟體被廣泛應用於醫療行為的資訊蒐集,因此應當被視為醫療行為的一環。依據聯邦食品藥物及化妝品法(The Federal Food, Drug and Cosmetic Act,FD&C Act)之規定,健康資通訊科技產品被界定為醫療器材(Medical Devices),而健康管理APP、行事曆APP、健康紀錄電子軟體等低風險產品亦包含在內,都必須嚴格遵守醫療器材相關行政管制。在PROTECT Act中將風險較低的健康資通訊科技產品重新定義為臨床軟體(Clinic Software)與健康軟體(Healthy Software)兩種態樣,其共通點在於明白區分出單純提供市場使用,不影響人體或動物醫療的健康資訊蒐集與直接提供實際臨床診斷,如放射線影像或醫療器材軟件的差異,PROTECT Act所定義之臨床軟體與健康軟體即屬於前者,故排除適用FD&C Act中醫療器材之定義範圍,得免除相關行政管制。
本文為「經濟部產業技術司科技專案成果」
林冠宇
主任 編譯整理
The Prevent Regulatory Overreach To Enhance Care Technology Act of 2014, S. 2007, 113th Cong. (2014), http://beta.congress.gov/bill/113th/senate-bill/2007/text?q={%22search%22:[%22The%20Prevent%20Regulatory%20Overreach%20To%20Enhance%20Care%20Technology%20Act%22]} (last visited Feb. 18, 2014).
King, Fischer Introduce Legislation to Protect Jobs, Prevent Overregulation in Growing Health IT Industry, UNITED STATES SNEATOR ANUGUS KING NEWSROOM, Feb. 10, 2014, http://www.king.senate.gov/newsroom/press-releases/king-fischer-introduce-legislation-to-protect-jobs-prevent-overregulation-in-growing-health-it-industry(last visited Feb. 18, 2014).
美國聯邦貿易委員會(Federal Trade Commission, FTC)於2014年間以路由器(Router)與雲端服務的安全漏洞,導生消費者面臨資安與隱私風險之虞,而依據《聯邦貿易委員會法》第5條(Federal Trade Commission Act, 15 U.S.C. § 45(a))委員會防止不公平競爭違法手段(unfair methods of competition unlawful ; prevention by Commission)之規定,即華碩涉嫌行使不公平或詐欺的手段致影響商業活動之公平競爭為由,對我國知名全球科技公司華碩電腦股份有限公司(ASUSTeK Computer, Inc.)進行起訴 。 本案歷經FTC近二年的調查程序後,華碩公司於2016年2月23日同意FTC的和解條件,即華碩公司應針對部分存在資安疑慮的產品依計畫進行改善,並且於未來20年期間內須接受FTC的獨立稽核(independent audits)。 FTC於該案的起訴報告中指出,華碩於銷售其所生產的路由器產品時,曾對消費者強調該產品具許多資安保障措施,具有得以防止使用者不受駭客攻擊等效果;然而,該產品實際上卻具有嚴重的軟體設計漏洞,使駭客得以在使用者未知的情況下,利用華碩路由器的網頁控制面板(web-based control panel)之設計漏洞,任意改變路由器的安全設定;更有專家發現駭客於入侵華碩製造之路由器產品後,得以強佔使用者的網路頻寬。 此外,華碩允許使用者沿用路由器產品的預設帳號密碼,再加上華碩所提供的AiCloud與AiDisk雲端服務功能,讓使用者得以隨身硬碟建立其私有的雲端儲存空間,使得駭客得藉由上述華碩路由器的設計漏洞直接竊取使用者於隨身硬碟內所儲存的資料。FTC並於起訴聲明中指出,駭客利用華碩路由器產品與相關服務的漏洞,於2014年間成功入侵超過12,900多位產品使用者的雲端儲存空間。除此之外,使華碩更加備受譴責的是,當該漏洞被發現之後,其並未主動向產品的使用者強調產品存在該資安問題,更未告知使用者應下載更正該設計漏洞的軟體更新,因此FTC始決定對華碩進行起訴。
智慧城市-「智慧城市世界大會展覽」暨歐盟政策今年11月17日到19日為期三天的第五屆「智慧城市世界大會展覽(Smart City Expo World Congress)-都會平台(Urban Platforms):串聯資料數據以及城市之間的連結」於西班牙巴塞隆納舉行。該大會凝聚了世界500個城市、450個參展單位,以及400位講者於一堂,主要觸及了城市如何因應大量成長的數據、從新的管理方式中,要如何以及在哪裡得到價值,以及在加速城市中的都會平台過程中,要付出什麼樣的代價等議題。 今年度的大會展覽令人耳目一新的創新作品包括:綠色環保無人駕駛小公車、提醒視力受損者,道路上有障礙物的智慧應用程式、能夠辨識在範圍內的射擊,並且精準地指出事件發生地點的麥克風系統,還有其他諸如無人飛機、物流和都會區內遞送服務等等創意新點子。 「智慧城市」一詞,意味著一個能夠合於未來發展的都會,同時轉變為一個可以在提升資源以及能源效率的同時,還能夠減少對於生態衝擊的環境。而歐洲的智慧城市發展,主要是在「歐洲2020戰略」(Europe 2020)中,由歐盟執行委員會所實施的「歐洲創新夥伴計畫」(The European Innovation Partnership, EIP)帶領歐洲倡議都會平台於以下三個交互運作的活動以及發展:(一)以城市需求為導向的發展,使得能快速地適應都會平台;(二)由備忘錄(Memorandum of Understanding, MoU)所鞏固的供給導向發展;(三)在信任的基礎上所建立的標準化導向發展。 歐盟於2011年6月公布的「智慧城市與社群歐洲創新夥伴計畫」(The European Innovation Partnership on Smart Cities and Communities, EIP-SCC)目的是為了要將城市、企業與市民結合起來,共同藉由永續的解決方案,來改善都會城市現有的問題,並提升城市的整體生活。此計畫期許以資通訊科技(Information and Communication Technology, ICT)、能源與交通管理的結合,共同提出創新的解決方案,為今日歐洲城市面對來自於環境、社會與健康等挑戰進行解套,計畫發展核心包含開放資料(Open Data)、商業模式(Business Models)、政策與法規(Policy and Regulation)、能源效率與低碳解決方案(Energy Efficiency and Low Carbon Solutions)、財政金融與採購(Finance and Procurement)、都會移動(Urban Mobility)、能源整合網絡(Integrated Energy Networks)等。 從歐盟所發展的大戰略計畫,到今年第五年的「智慧城市世界大會展覽」,明顯嶄露出歐盟在積極推動經濟發展的同時,帶著永續環境的思維,這是之所以歐盟能持續引領歐洲,甚至世界未來發展趨勢的關鍵原因。
國際能源總署發布「二氧化碳封存資源及其開發」手冊,協助能源部門及利害關係人了解地質封存效益、風險及社會經濟相關考量國際能源總署(International Energy Agency, IEA)於2022年12月發布「二氧化碳封存資源及其開發」手冊(CO2 storage resources and their development: An IEA CCUS Handbook),概述地質封存之效益、風險與社會經濟相關考量,並補充2022年度7月份的碳捕捉、利用及封存(Carbon Capture, Utilization and Storage, CCUS)法律和監管框架。該手冊架構可分為九個章節,重要章節包含:碳封存資源概述、碳封存開發生命週期、評估階段開發、風險管理、商業化、以及提供具體建議予決策者或私營部門。 由於CCUS涉及複雜管理及營運模式,IEA為決策者確立五個總體行動,簡述如下:(1)識別封存資源並提供必要資料:現有的地質資料是寶貴的起點,政府可以將現有資料數位化並建置資料庫,便於私部門獲取資訊。(2)確保法律與管制框架符合CCUS需求:政府應全面盤點既有法制體系是否到位,並應解決下列幾個關鍵問題:碳封存特定責任與風險、建立明確與適當的許可流程、地下孔隙空間的所有權、案場管理要求(如監控、關閉等)。(3)制定支持碳封存的政策:如將CCUS納入國家能源及氣候計畫、制定CCUS路線圖以協調發展策略、進行全面資源評估、制定獎勵措施(如獎勵資金、稅收抵免、可交易的憑證、鼓勵降低成本的創新計畫、風險緩解措施、碳定價等)。(4)支持先驅者並促進投資:產業先驅者時常面臨發展尚未成熟的開發環境或法制體系,因此建議政府得給予先驅者特定的獎勵措施。(5)支持發展CCUS的技術、專業能力:鼓勵石化與天然氣產業朝向CCUS轉型,如提供相關知識並培養相關技術,支持持續就業並避免人才流失等。
Facebook粉絲專頁管理者是否負有保護用戶個資隱私之控制者(Data Controller)責任2018年6月5日歐盟法院針對Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein v Wirtschaftsakademie Schleswig-Holstein GmbH訴訟進行先訴裁定,擴大解釋《資料保護指令》(Directive 95/46/EC)之「資料控制者」範圍,認為Facebook和粉絲專頁管理者皆負有保護訪客資料安全的責任。由於「資料控制者」定義在《資料保護指令》與《一般資料保護規則》(GDPR)相同,因此裁定將影響未來使用社群媒體服務和平台頁面的個資保護責任。 本案起因德國Schleswig-Holstein邦獨立資料保護中心要求 Wirtschaftsakademie教育服務公司在Facebook經營之粉絲專頁必須停用,其理由認為Facebook和Wirtschaftsakademie進行之Cookie資料蒐集、處理活動並未通知粉絲成員且因此從中獲利,然Wirtschaftsakademie認為並未委託Facebook處理粉絲成員個資,當局應直接對Facebook要求禁止蒐集處理。歐盟法院認為Wirtschaftsakademie使用Facebook所提供之平台從中受益,即使未實際擁有任何個資,仍被視為負共同責任(jointly responsible)的資料控制者,應依具體個案評估每個資料控制者責任程度。 在原《資料保護指令》並未有「資料控制者需負共同責任」之規定,本案擴大解釋資料控制者範圍,對照現行GDPR屬於第26條「共同控制者」之規範主體,然而本案將資料控制者擴張到未實際處理資料之粉絲專頁管理者,是否過於嚴格?且未來如何劃分責任與義務,皆有待觀察。