淺談美國行動健康服務應用程式之管理規範

　　日本在2019年6月14日正式施行「確保表演入場券流通正當性之禁止不當轉賣特定表演入場券相關法律」（特定興行入場券の不正転売の禁止等による興行入場券の適正な流通の確保に関する法律），簡稱票券不當轉賣禁止法（チケット不正転売禁止法），其以訂立專法之方式，來防止黃牛業者先大量取得票券，再以賺取高額差價之方式牟利。其重點包括： 禁止行為：(1)不當轉賣票券；(2)以不當轉賣為目的而讓售票券。 適用範圍：在日本國內所舉行，且得為不特定多數人得共聞共見之電影、歌劇、舞台劇、音樂、舞蹈及其他藝術或體育活動。 票券應記載事項： (1)發行人在販售時明確表示，禁止未經發行人同意而進行買賣轉讓，並應將禁止事項記載於票券上；(2)舉行表演之時間、地點及具入場資格者之指定座位；(3)發行人在販售時，需採取確認入場者或購票者之姓名和聯繫方式等必要措施，並應將確認事項記載於票券上。 不當轉賣定義：以有償轉賣未得票券發行人事前同意轉讓之票券為業，並以超過售價之價格進行販賣。 　　日本政府並針對2019年9月份在日本所舉辦之橄欖球世界杯及2020年在東京所舉辦之奧運會加強宣導該法令。我國熱門活動、演唱會也常面臨黃牛掃票，再高額轉售之問題。日本之立法模式，不失為我國參考借鏡之對象。

　　歐洲資料保護委員會（European Data Protection Board, EDPB）於2021年1月18日發布《個資侵害通知範例指引》（Guidelines 01/2021 on Examples regarding Data Breach Notification）草案，並進行為期六週之公眾諮詢。該指引針對2017年10月所發布之《個資侵害通知指引》（Guidelines on Personal data breach notification under Regulation 2016/679）透過案例分析進行補充說明，對於資料控制者如何識別侵害類別以及評估風險提出更詳細的實務建議，協助資料控制者處理資料外洩及風險評估考量因素之認定。 　　個資侵害係指違反安全性規定而導致傳輸、儲存或以其他方式處理之個資，遭意外或非法破壞、遺失、變更、未獲授權之揭露或近用之情形，由於個資事故將對資料主體可能造成重大不利影響，該指引首先要求資料控制者進行侵害類別之辨識，依據2017年指引將個資侵害分為機密性侵害（confidentiality breach）、完整性侵害（integrity breach）以及可用性侵害（availability breach）。而資料控制者最重要的義務在於主動識別系統漏洞，評估侵害對資料主體權利所產生之風險，制定適當計畫及程序採取適當因應措施，確定侵害事件之問題根因及安全漏洞，加強員工認知培訓及制定操作手冊，並確實記錄各項侵害行為，以提升個資事故因應效率及降低時間延誤。 　　此外，該指引彙整自GDPR實施以來個資侵害通知具體案例，分為勒索軟體攻擊、資料外洩攻擊、內部人為風險、硬體設備或紙本檔案失竊、誤發郵件以及電子郵件內容外洩，共六大主題十八件案例，針對不同程度風險提供最典型的正確及錯誤作法，並提出資料控制者有關預防潛在攻擊及減輕影響之措施建議。

　　於2000年基因圖譜解碼後，「基因歧視」議題成為各界關注焦點，而在電子通訊技術之配合下，更加速了包括基因資訊之個人醫療資訊的流通。在此時空背景下，如何能在善用相關技術所帶來的便捷同時，也對於相關資訊不甚外流時，得以有適切的因應措施以保障患者之隱私，成為了必須處理的問題。 　　美國國會甫於今年(2009年)2月所通過的「經濟與臨床健康資訊科技法」 (The Health Information Technology for Economic and Clinical Health Act, HITECH) 之相關修正中，強化了對醫療資訊之保護，其中要求美國衛生暨福利部(the Department of Health and Human Service, HHS )，針對受保護之醫療資訊未經授權而取得、侵入、使用或公開外洩之情形擬定「暫行最終規則」(interim final rule)進行管理，該項規則亦於今年(2009年)8月24日公布。值得注意的是，HITECH之規範主體(適用主體、商業夥伴)與保護客體(未依法定方式做成保護措施之健康資訊)皆沿用「1996醫療保險可攜性與責任法案」（the Health Insurance Portability and Accountability Act of 1996, HIPAA）之定義。然而，與HIPPA最大的不同在於， HIPAA中僅以私人契約之隱私權政策間接地管理醫療資料外洩事件，但於暫行最終規則中直接課以相關主體一項明確且積極的法定通知義務。HITECH之規範主體，基於其注意義務，應於得知或可得而知之日起算，60日內完成通知義務；視醫療資訊外洩之嚴重程度，其通知之對象亦有所不同，必要時應通知當地重要媒體向外發布訊息，HHS也將會以表單方式公布於其網站中。 　　整體而言，HITECH首次課以規範主體主動向可能受影響個人通知醫療資訊外洩事件之義務，此為HIPPA過去所未規範者；其次HITECH也突破HIPAA過往基於契約關係執行相關隱私權及安全規定之作法，於法規上直接對於洩露醫療資訊之相關主體課以刑責，強化了違反HIPAA隱私權與安全規定之法律效果。惟值得注意的是，受限於美國國會對HHS提出最終規則之期限要求，HHS現階段所提出的版本僅屬暫行規定，最終規定之最終確切內容仍有待確定，也值得我們持續觀察。

　　Google近期宣布更新廣告政策，以遵守將於2020年1月1日生效之「加州消費者隱私保護法」（California Consumer Privacy Act, CCPA），要求符合該法規之事業體(不論是否於加州開設實體據點)：年度總收入超過2,500萬美金、年度收入50%以上源自於出售加州居民之個人資料、每年收到或分享總計超過5萬筆加州居民、家庭或裝置之個人資料、若公司之母公司或子公司符合CCPA所定條件者，允許消費者得選擇並行使退出其個人資料銷售權利。 　　Google表示使用其網站廣告工具與應用程式將能屏蔽個人化廣告，個人化廣告，係依消費者瀏覽紀錄、興趣及過去行為投放予消費者，廣告商有時花費高達10倍價錢置入，惟互聯網相關企業先前所進行之遊說未能使該法規排除個人化廣告，從使最受歡迎及利潤豐厚之線上廣告面臨行銷危機。 　　依Google新合規條款，透過Google工具（如AdSense和Ad Manager）銷售廣告之網站及應用程式目前無需進行重大更改，廣告商亦可選擇停止所有來自加州網址之消費者或阻擋全球使用個人資料之個人化廣告銷售，該合規條款除於線上發布外，並已通知予各廣告商。 　　Google表示，當觸發「限制數據處理」時，廣告將僅基於一般數據，例如用戶所在城市位置或廣告所在頁面主題等；此外，Google亦不會在受限制模式下記錄個人資料而用於未來之廣告行銷。