淺談美國行動健康服務應用程式之管理規範

美國明尼蘇達州通過的《明尼蘇達消費者個人資料保護法》（Minnesota Consumer Data Privacy Act, MNCDPA)規範組織應如何合規蒐集、處理及利用個人資料。主要內容有： 一、 適用對象：於明尼蘇達州內經營商業之營利組織（下簡稱企業或資料控制者），或生產製造商品、提供服務予該州居民之企業，且符合下列情形之一者： 1. 在前一年度控制或處理超過10萬筆消費者個人資料。 2. 控制或處理超過25,000筆消費者個人資料，且總營收超過百分之二十五係源自於銷售個人資料者。 3. 高等教育機構（postsecondary institutions）、非營利組織則自2029年7月31日起適用。 二、 消費者權利：賦予明尼蘇達州居民對個人資料的基本權利，且強調消費者不應因行使權利而受歧視。分別為： 1. 近用權：請求瀏覽企業對其所蒐集個人資料，但如導致企業商業機密洩露之虞者除外。 2. 修正權：請求企業修正不正確或不完整的個人資料。 3. 刪除權：請求企業刪除其個人資料。 4. 請求製給複製本：採取可便利取用格式，或資料可攜(Data Portability) 之方式。 5. 選擇退出權（opt out）：就個資利用行為，消費者得行使退出權： （1） 為精準行銷之目的（Targeted Advertising）； （2） 銷售個人資料； （3） 為資料剖析之目的處理個人資料。 6. 取得企業揭露或提供個資利用之對象清單。 7. 消費者得向企業請求基於特定決策所作成剖析結果之原因，以及消費者未來得據以採取確保不同決策之作為。 三、 企業主要責任與義務： 1. 企業應履行之義務除告知義務、透明度、資料最小化、安全維護措施外，尚須： （1） 依法回應當事人之請求：資料當事人向企業請求查詢、修改及刪除自己的資料，企業接到請求後，應於45天之期限內准駁其請求；必要時得於通知當事人合理事由後，展延一次。 （2） 保存所有申訴與回覆之紀錄至少24個月；除此之外，企業須建立並採行合規政策，包括識別主要負責人，如：首席隱私長(Chief Privacy Officer)。 明尼蘇達州《明尼蘇達消費者資料隱私法》的通過顯示社會對於資料隱私保護方面的重視，除了加強對消費者個人資料的保護，也賦予消費者的權利，使消費者不再屬於被動方，而能夠主動捍衛自己的個人資料隱私。

　　歐盟法院於2008年1月29日判決（Az. C-275/06）指出，基於歐盟現行相關指令規範，並未強制或禁止電信服務提供者有提供客戶或使用者之個人資料的義務。 　　本案源起於西班牙著作權人團體Productores de Música de España對電信服務提供者Telefónica提出之著作權侵害訴訟。原告Productores de Música de España主張被告Telefónica有義務提供其網路使用者之身分，因該網路使用者乃透過被告所提供之連線服務，連線至檔案分享平台KaZaA，並提供下載違反著作權之音樂檔案。被告Telefónica 則根據西班牙現行資訊社會及網路使用之相關規範，拒絕提供該客戶之個人資料。根據西班牙法令，僅有在刑事犯罪追訴或有明顯侵害公益之情事下，始允許電信服務提供者提供客戶之個人資料。 　　西班牙法院因此向歐盟法院提出預先決定（Vorabentscheidung)*之請求，請其確認基於現行歐盟法規，各會員國是否應強制民事訴訟程序之當事人，即本案的電信服務提供者，有提供足以確認其使用者身分之資料的義務規定，以達有效遏止著作權侵害之目的。歐盟法院在分析各相關指令如電子商務、隱私權保障等相關規定後，認為歐盟現行法規並未就此議題有強制規定，各會員國應於考量隱私權以及其他權利之保障，且在不違法歐盟規範前提下，自行決定是否在國內制定類似之規定。 　　反觀德國在落實歐盟「儲存通訊資訊指令（Directive 2006/24/EC）」於國內法後，則允許在符合特定情況下，當事人於民事訴訟程序中有提供個人資料之義務。該法令因存有違反隱私權保護之爭議，通過後迄今仍有極大之反對聲浪。 *因歐盟條約規定，若會員國法院對於條約解釋、共同體組織與歐洲中央銀行行為之有效性與解釋以及執委會所設立的機構的章程之解釋有疑問，且會員國法院認為上述問題之決定於判決之作成有其必要，得申請歐洲法院裁決，此為預先決定。

　　歐盟執委會針對未來10年歐洲AI開發與開放資料運用方向等核心議題，於2020年2月19日公布一系列數位化政策提案，其中之一即為提出歐洲資料戰略（European Data Strategy）。本戰略提出資料開放共享政策與法制調適框架，宣示其目標為建構歐洲的資料單一市場（single market for data），視資料為數位轉型的核心，開放至今尚未被使用的資料。歐盟期待商界、研究者與公共部門等社群的公民、企業和組織，得透過跨域資料的蒐集與分析，改善決策的作成基礎或提升公共服務品質，為醫療或經濟等領域帶來額外利益，同時促進歐盟推動人工智慧發展及應用。 　　本戰略揭示了資料單一市場的建構框架，包含資料必須能在歐盟內與跨域流通並使所有人受益、全面遵守如個資保護、消費者保護與競爭法等歐盟相關規範、以及資料取用（access）和使用的規定，應平等實用且明確，並以之建立資料治理機制；同時，為在技術面強化歐洲數位空間之能力，以完善資料共享所需之資料基礎設施，應創建歐洲資料庫（European data pools），預備將來進行巨量資料分析與機器學習。在上述框架下，本戰略同時擬定了數個具體的措施與制度調修方向如下：（1）建構資料跨部門治理與取用之法規調適框架：包括於2020年第4季提出歐洲共同資料空間管理之立法框架，於2021年第1季提出高價值資料集（high-value data-sets），評估於2021年提出資料法（Data Act）以建構企業對政府或企業間的資料共享環境、調適並建立有利於資料取用之智慧財產權與營業秘密保護框架；（2）強化歐洲管理、處理資料之能力與資料互通性：建構資料共享體系結構並建立共享之標準及治理機制、於2022年第4季啟動歐洲雲端服務市場並整合所有雲端服務產品、於2022年第2季編纂歐盟雲端監管規則手冊；（3）強化個人有關資料使用之權利：從協助個人行使其所產出資料相關權利之角度，可能於資料法中優化歐盟一般資料保護規則（General Data Protection Regulation, GDPR）第20條之資料可攜權，如訂定智慧家電或穿戴裝置之資料可讀性格式；（4）建構戰略領域與公共利益領域之歐盟資料空間：針對戰略性經濟領域與攸關公共利益的資料使用需求，開發符合個資保護與資安法令標準之資料空間，主要用於保存製造業、智慧交通、健康、財務、能源、農業、公共管理等領域之資料。