為促進健康資通訊科技之創新,美國嘗試立法重新定義健康軟體
美國參議院認為健康資通訊科技(Healthy Information Technology)的創新與快速發展已經漸使現行法制不合時宜,美國食品藥物管理局(The US Food and Drug Administration)過度嚴格管制健康資通訊科技產品,甚至以法律強加健康資通訊業者不必要的負擔,恐抹殺新產業的創新能量,因此有必要對相關管制法規予以鬆綁。遂立法提案重新定義健康相關軟體,稱為「防止過度規範以促進照護科技法案」(The Prevent Regulatory Overreach To Enhance Care Technology Act of 2014,以下簡稱PROTECT Act)。
健康資通訊科技是目前創新與發展最快的美國產業。單以健康資通訊科技產業中,與健康相關的手機應用程式(application,APP)之開發,在全球經濟已創造數億美金的產值,在美國一地更提供了將近50萬份的工作機會。然而,在現行法制中食品藥物管理局認為健康相關的手機應用程式等軟體被廣泛應用於醫療行為的資訊蒐集,因此應當被視為醫療行為的一環。依據聯邦食品藥物及化妝品法(The Federal Food, Drug and Cosmetic Act,FD&C Act)之規定,健康資通訊科技產品被界定為醫療器材(Medical Devices),而健康管理APP、行事曆APP、健康紀錄電子軟體等低風險產品亦包含在內,都必須嚴格遵守醫療器材相關行政管制。在PROTECT Act中將風險較低的健康資通訊科技產品重新定義為臨床軟體(Clinic Software)與健康軟體(Healthy Software)兩種態樣,其共通點在於明白區分出單純提供市場使用,不影響人體或動物醫療的健康資訊蒐集與直接提供實際臨床診斷,如放射線影像或醫療器材軟件的差異,PROTECT Act所定義之臨床軟體與健康軟體即屬於前者,故排除適用FD&C Act中醫療器材之定義範圍,得免除相關行政管制。
本文為「經濟部產業技術司科技專案成果」
林冠宇
主任 編譯整理
The Prevent Regulatory Overreach To Enhance Care Technology Act of 2014, S. 2007, 113th Cong. (2014), http://beta.congress.gov/bill/113th/senate-bill/2007/text?q={%22search%22:[%22The%20Prevent%20Regulatory%20Overreach%20To%20Enhance%20Care%20Technology%20Act%22]} (last visited Feb. 18, 2014).
King, Fischer Introduce Legislation to Protect Jobs, Prevent Overregulation in Growing Health IT Industry, UNITED STATES SNEATOR ANUGUS KING NEWSROOM, Feb. 10, 2014, http://www.king.senate.gov/newsroom/press-releases/king-fischer-introduce-legislation-to-protect-jobs-prevent-overregulation-in-growing-health-it-industry(last visited Feb. 18, 2014).
德國聯邦工業聯盟(Bundesverband der Deutschen Industrie)與Noerr法律事務所於2015年11月共同公布「工業4.0 – 數位化進程面臨之法律挑戰」(Industrie 4.0 – Rechtliche Herausforderungen der Digitalisierung)意見報告。該報告透過德國聯邦工業聯盟與Noerr法律事務所訪談德國數家企業法務部門,以釐清業界在邁入工業4.0轉型下會遇到的法律議題,並對此議題提出法律意見。 此報告針對工業4.0相關法律議題提出以下建議: 1.資料保護:業者可透過技術性設計達到資料保護的目的,例如隱私設計(Privacy by Design)。另,繼歐盟法院針對安全港判決的裁定,業者應積極關注歐盟第29條資料保護工作小組針對跨國資料傳輸的指引或德國聯邦資料保護委員(Datenschutzbeauftragten des Bundes)針對跨境資料保護規範的建議。 2.資料產權:在立法上不應急於規範管制,有恐危及企業資料分享的空間。建議企業間可透過雙方性契約規定資料的使用權 3.資訊安全:雖支持於2015年7月通過之德國資訊系統安全法(IT-Sicherheitsgesetz),強制性業者履行在遭資安攻擊時履行通報義務(Meldepflicht)。但是,若能實施以業者本身主動完成資安保護措施之鼓勵機制,則更能積極性的鼓勵業者履行其資安義務。 4.智慧財產權:標準必要專利的授權及使用係業者在工業4.0體系中,特別在系統的互通性上,非常重要的一環。在法制環境上應讓各個業者,在一定的條件下,均享有標準必要專利授權。 5.產品責任:因智慧工廠下之自治系統(autonome Systeme)有自主決定的能力,而因其所導致的民事糾紛,可透過新民事責任概念的架構所解決,並不一定要將該自治系統視為一獨立的數位法人(ePerson)。
美國能源部發布「電力資料自願行為守則」保護消費者資料與隱私權利美國能源部(Department of Energy, DOE)所屬之電力傳輸與能源可靠度辦公室(Office of Electricity Delivery and Energy Reliability, OE)與聯邦智慧電網工作小組(Federal Smart Grid Task Force)對於由智慧電網技術所生之資料相關隱私保護問題,經過一系列包括相關業者在內的公眾意見徵集與專家學者討論後,於2015年1月12日所發布之「自願行為守則」(Voluntary Code of Conduct, VCC),係屬美國總統歐巴馬同日宣示政策,公布對於強化消費者安全、處理身分盜用(identity theft)、並促進線上隱私保護之總體策略方向中的重要部份。 「自願行為守則」的適用對象是供電業者與第三方,目的在於保護包括能源使用資訊(energy usage information)在內的電業消費者資料,並提高消費者的隱私意識與相關資料在提供與近用上所須行使的同意與控制。「自願行為守則」揭示其三大目標,包括:(一)於鼓勵創新的同時,適切地保護消費者資料的隱私與機密性,並提供可靠與不致於無法負擔之電業與能源相關服務;(二)提供消費者對其自身資料的適當近用(appropriate access);以及(三)不生違反或取代任何聯邦、州、或地方主管機關之法令或管制措施之效果。 而為求取前揭目標之達成與實現,「自願行為守則」訂有五大步驟。此五大步驟包括:(一)「消費者之注意與意識」:透過相關規定向消費者解釋資料蒐集的相關政策與程序,並聚焦於消費者的選擇與責任,藉以讓消費者了解其所必須行使之同意;(二)「消費者之選擇與同意」:透過相關規定讓消費者能為非原始目的(Secondary Purposes)——例如向數個第三方為差別化之近用授權、限制近用之期間、留存資料釋出之記錄、取消授權、以及於授權終止或不再需要相關資料時之資料處置或去識別化等——對其資料之近用進行相關管控、確認有哪些類型的資料與揭露無須消費者同意、以及要求特定資料應直接由消費者處取得;(三)「消費者資料近用」:透過相關規定允許消費者近用其資料、確認可能的錯誤、以及要求更正的相關程序,其中包括在特定情況下就非常態性要求收取費用的可能性;(四)「資料的完整性與安全性」:透過相關規定規範網路安全管理計畫,以及聚合性資料(Aggregated Data)或匿名性資料的建立方式;(五)「自發性執行、管理、與矯正」:透過相關規定對自願採納本「自願行為守則」之服務提供者的行動作出規範,以確保其遵守行為守則。「自願行為守則」雖屬自律規範,但其制定過程有包括電力業者在內之利害關係人的充分參與,並經充分之專家與公民意見徵集,被預期在公布之後將有相當程度之約束力量,並能令因智慧電網與能源資通訊技術所生之相關隱私權保護問題得到更進一步的解決。
數位模擬分身(Digital Twin)數位模擬分身(Digital Twin)係指將實體設備或系統資訊轉為數位資訊,使資訊科學或IT專家可藉此在建立或配置實際設備前進行模擬,從而深入了解目標效能或潛在問題。 於實際運用上,數位模擬分身除可用於實體設備製造前,先行針對產品進行測試,以減少產品缺陷並縮短產品上市時間外,亦可用於產品維護,例如在以某種方式修復物品前,先利用數位模擬分身測試修復效果。此外,數位模擬分身還可用於自駕車及協助落實《一般資料保護規範》(General Data Protection Regulation, 以下簡稱GDPR)規定。在自駕車方面,數位模擬分身可通過雲端運算(cloud computing)和邊緣運算(edge computing)連接,由數位模擬分身分析於雲端運算中涉及自駕系統操作之資訊,包括全部駕駛週期內之資料,如車輛模型在內之製造資料(manufacturing data)、駕駛習慣及偏好等個人隱私資料、感測器所蒐集之環境資料等,協助自駕系統做出決策;在GDPR方面,數位模擬分身可利用以下5大步驟,建立GDPR法規遵循機制以強化隱私保護:1.識別利害關係人與資產,包括外部服務和知識庫;2.漏洞檢測;3.透過虛擬數值替代隱私資料進行個資去識別化;4.解釋結果資料;5.利用資料匿名化以最大限度降低隱私風險,並防止受試者之隱私洩露。