科研資源整合之跨國合作趨勢研析與比較

　　iPod的成功，塑造了網路數位內容傳播的新商業模式，但對著作人權利保護團體來說，新科技與新產品對著作權人的權利會造成怎樣的影響，則是他們所高度關心的。 　　目前，著作權權利團體包括「美國唱片協會」（RIAA）與「美國電影協會」（MPAA）正在美國推動一項立法，希望透過法律的規定，限制未來數位媒體接收設備的若干科技發展。依法案推動者目前的構想，任何設備如能對於從數位網路上接收或下載的數位內容做任意的修改，便可能構成違法。共和黨籍參議員史密斯（Senator Gordon Smith）已表明支持此項立法。 　　此一立法運動，已引起各界高度的關注，包括科技廠商及民間組織在內，也表示質疑的態度。如何在保護著作權人權利與促進新科技發展之間，取得一個適當的平衡點，會是一個愈來愈重要的議題。

美國FDA擬修法調整臨床實驗知情同意義務之豁免標準 資訊工業策進會科技法律研究所 蔡宜臻法律研究員 2018年11月27日 壹、事件摘要 　　知情同意（informed consent）是人體試驗受試者保護重要的一環，同時也是生物醫學長期以來的研究傳統，然其規範內容卻會因科技與研究方式的改變而略有調整。美國食品藥物管理局（Food and Drug Administration, FDA）於2018年11月15日發布一份法規提案（proposed rule），公開徵求意見評論。該提案目的在於調整FDA知情同意的相關規定，未來FDA希望允許人體試驗倫理委員會（Institutional Review Boards, IRB）在試驗僅有最小風險（minimal risk）的情況下，得以裁決一臨床實驗案可豁免知情同意的責任，或更改某些「告知要項」[1]。本次法規提案徵詢終止日為2019年1月14日，FDA並規劃於本法規命令正式公告施行後，廢止其於2017年7月所發佈之《IRB豁免或變更臨床實驗之知情同意指南》（IRB Waiver or Alteration of Informed Consent for Clinical Investigations Involving No More Than Minimal Risk to Human Subjects）[2] 貳、重點說明　 　　目前FDA僅允許在危及生命[3]或緊急研究（emergency research）[4]的情況下，得以例外不必符合知情同意的一般要求（general requirements）[5]。而根據FDA於2018年11月15日發布於聯邦公報（Federal Register）的法規提案內容，FDA打算新增「試驗僅有最小風險」（The research involves no more than minimal risk to subjects）做為豁免或變更知情同意項目的甄別標準之一。如此一來若是修法通過，FDA對於知情同意豁免與否的認定標準就會跟1991年制訂的《美國聯邦受試者保護通則》（Federal Policy for the Protection of Human Subjects，簡稱the Common Rule）[6]更加接近。換言之，未來修法通過後，由FDA管理的人體臨床實驗將有三種情形得以豁免或變更知情同意義務：危及生命、緊急研究與僅具有最小風險的研究。 　　所謂最小風險，係指「研究中預期的傷害或不適的概率和程度，不大於在日常生活中或在進行常規身體或心理檢查時通常遇到的傷害或不適」[7]，比如：不需新藥研究申請（investigational new drug application, IND）的新藥研究；醫療器材臨床試驗豁免（investigational device exemption, IDE）之醫療器材研究；檢體之取得為無創（受試者之頭髮或指甲）的臨床研究；為研究目的而蒐集聲音、影片、數據或圖像紀錄；研究個體或群體的特徵或行為；個人或焦點團體訪談等質性研究[8]。FDA指出本次法規提案當中所指的最小風險定義與其附隨條件將與《美國聯邦受試者保護通則》自1991年施行以來之規定一致，即該研究只要同時符合以下四點便可望由IRB審查豁免或變更知情同意義務[9]： 僅有最小風險的研究[10]。 若不豁免或變更知情同意義務，則研究無法順利進行[11]。 不造成受試者權利跟福祉之負面影響[12]。 受試者將在適當時機獲悉進一步研究資訊[13]。 　　此次提案的法源依據是2016年通過的《21世紀治癒法》（21st Century Cures Act）第3024節所修正之《聯邦食品藥物化妝品法》（Federal Food, Drug, and Cosmetic Act）第505(i)(4)、520(g)(3)節。《21世紀治癒法》第3024節賦予FDA權力放寬臨床實驗的知情同意義務，其立法背景是由於目前FDA相關規範對知情同意要求相對嚴格，當研究者無法滿足現有法規對於知情同意的要求，便可能使潛在的有價值的研究被迫停止[14]；又或在某些情形下，要求研究者在進行臨床實驗時取得研究對象的知情同意並不切實際[15]。《21世紀治癒法》通過後，FDA隨即於2017年7月發布《IRB豁免或變更臨床實驗之知情同意指南》，當中指出FDA並不打算在僅有最小風險的臨床研究中，反對IRB做出豁免或變更知情同意項目的判定，若本次法規提案後續正式生效，FDA便會廢止此指南，使其轉為FDA規則（regulation）。 參、事件評析 　　知情同意是生物醫學研究的學術傳統，包含兩大重點，一是令研究對象充分知悉其所參與的研究，包含其研究目的、內容、風險與預期利益；二是確保研究對象在做出同意或不同意之意思表示時，其意思表示之真實性，由此保障受試者的自主權[16]。 　　知情同意之概念最早源自1947年的紐倫堡法典（Nuremburg Code），其規範內涵在過去數十年間因為生物醫學的研究方法與進行模式的變革而產生變化。早年的臨床研究主要由政府資助、在單一的機構進行，涉及的受試者人數相對有限；而近三、四十年，醫學研究漸漸發展成多機構、多中心甚至跨國的研究案，受試者可能高達數萬甚至數十萬，同時也逐漸形成跨領域的研究轉型，涉及如社會學、心理學、教育、環境、氣候等學科。在此情形下，研究方法與資料取得勢必與過去截然不同，傳統的知情同意的制度漸漸無法滿足現代醫學研究的需要。1978年貝爾蒙特報告（Belmont Report）便強調應評估臨床研究的風險是否超過日常可接受範圍[17]，1981年美國據此制定《美國衛生及公共服務部人體研究保護政策最終規則》（Final regulations amending basic HHS policy for the protection of human research subjects）[18]便首次將「不超過日常風險的臨床實驗」[19]納為知情同意之豁免或變更之標準；1991年制定的《美國聯邦受試者保護通則》亦延續此概念並進一步做出更明確定義（見前述），惟當時FDA基於其業務為確保藥品、生物製劑以及醫療器材安全與執照核發，與《美國聯邦受試者保護通則》作為拘束十六個聯邦機關的一般性規範不同，因此未將「僅有最小風險的臨床實驗」納為豁免或變更知情同意義務的標準[20]。 　　時序進展至今，資通訊技術的進步所累積的巨量資料逐漸成為生醫研究的重要研究資源，面對這項轉變與研究者對於倫理審查委員會專業性的質疑，美國近年再度嘗試調整修法。2016年通過之《21世紀治癒法》便要求FDA將「僅有最小風險的臨床實驗」納為得豁免或變更免除知情同意的標準之一，可被視為是期望FDA向更為寬鬆的《美國聯邦受試者保護通則》靠攏；另方面，2017年修訂《美國聯邦受試者保護通則》之最終規則（final rule，將於2019年1月生效），也新增「若是研究涉及取得可識別的個人資料或可識別的生物標本，需要證明若無這些資料研究將無法進行」[21]，作為豁免或變更知情同意義務的要件，許是為避免個人資料因知情同意的放寬而有遭受濫用之虞。不過這項要件在本次FDA法規提案並未提及。 　　綜上述，本文整理兩大爭點： 一、最小風險判定標準之不確定性。 　　最小風險之定義雖明確指「研究中預期的傷害或不適的概率和程度，不大於在日常生活中或在進行常規身體或心理檢查時通常遇到的傷害或不適」[22]，惟最小風險之判定仍存在不確定空間。FDA雖強調將承繼《美國聯邦受試者保護通則》自1991年施行以來個案累積之最小風險判定標準，但此一不確定性直接影響的是受試者的自主權，侵害美國憲法所保障的人權精神；此外，也有批評指出FDA所援引的《美國聯邦受試者保護通則》對於最小風險的定義文字過於模糊，容易造成誤解或誤判[23][24][25]。 二、本次法規提案並未新增《美國聯邦受試者保護通則》即將於2019年1月生效的項目，或再度造成FDA規定與其他聯邦機構未能一致的情形。 　　FDA本次法規提案新增「最小風險」的其中一個原因便是希望盡可能與《美國聯邦受試者保護通則》標準一致。然令人困惑的是，其並未新增《美國聯邦受試者保護通則》即將於2019年1月實施的豁免或變更知情同意義務的要件：「若是研究涉及取得可識別的個人資料或可識別的生物標本，需要證明若無這些資料研究將無法進行」[26]。換言之，即便此次修法提案通過，依舊與會與《美國聯邦受試者保護通則》有落差。更甚者，《美國聯邦受試者保護通則》所新增的要件，實意在保障個人資料不會因知情同意的豁免範圍改變而遭到恣意使用或揭露，有助於保護個人隱私與資料自主，而FDA並未將其納入法規提案內容，或可能造成個資保護之漏洞。此項缺失FDA於法規提案當中亦有提及，或可期待後續修正[27]。 肆、結語 　　FDA原有關於豁免或變更知情同意的規定與《美國聯邦受試者保護通則》存有寬嚴程度落差，FDA此前僅限定在有生命危險與緊急研究的情形方可為之；而《美國聯邦受試者保護通則》由於是一種一般性規範，所以保障程度較為寬鬆。FDA本次修法將使部分僅有最小風險的臨床實驗可以更為順利進行，同時也使FDA知情同意的規範更加接近當前《美國聯邦受試者保護通則》的規定。惟最小風險的認定存在不確定性，其所可能侵害的是受試者自主權，不可不慎。又，《美國聯邦受試者保護通則》即將在2019年1月規定研究蒐集之個人資料必須對研究有絕對必要方可，而本次FDA的法規提案未見跟進此一新增要件。由於本提案仍在意見評論階段，是以FDA後續是否再度更新提案內容，值得後續關注。 [1] Institutional Review Board Waiver or Alteration of Informed Consent for Minimal Risk Clinical Investigation, 83 Fed. Reg. 57378-57386(Nov. 15, 2018) https://www.federalregister.gov/documents/2018/11/15/2018-24822/institutional-review-board-waiver-or-alteration-of-informed-consent-for-minimal-risk-clinical (last visited Nov. 26, 2018) [2] FOOD AND DRUG ADMINISTRATION[FDA], FDA In Brief: FDA takes steps to allow greater flexibility for clinical investigators about informed consent in minimal risk situations.(2018/11/13) https://www.fda.gov/NewsEvents/Newsroom/FDAInBrief/ucm625747.htm (last visited Nov. 26, 2018) [3] 21 CFR 50.23 [4] 21 CFR 50.24 [5] 有關更多FDA豁免告知同意之項目類別與細部說明，可參考https://www.accessdata.fda.gov/scripts/cdrh/cfdocs/cfcfr/CFRSearch.cfm?fr=50.23；　https://www.accessdata.fda.gov/scripts/cdrh/cfdocs/cfcfr/CFRSearch.cfm?fr=50.24　(last visited Jan. 8, 2019) [6] 45 CFR 46, subpart A. [7]“the probability and magnitude of harm or discomfort　anticipated in the research are not greater in and of themselves than those ordinarily encountered in daily life or　during the performance of routine physical or psychological examinations or tests.” (46 CFR 102(i); 21 CFR 50.3(k); 21 CFR 56.102(i)). [8] U.S. DEPARTMENY OF HEALTH & HUMAN SERVICES [HHS], OHRP Expedited Review Categories.(1998) https://www.hhs.gov/ohrp/regulations-and-policy/guidance/categories-of-research-expedited-review-procedure-1998/index.html (last visited Nov. 26, 2018) [9] 45 CFR 46.116 [10] “The research involves no more than minimal risk to subjects” [11] “The research could not be carried out practicably without the waiver or alteration” [12] “The waiver or alteration will not adversely affect the rights and welfare of the subjects” [13] “Where appropriate, the subjects will be provided with additional information about their participation” [14] FOOD AND DRUG ADMINISTRATION[FDA], FDA In Brief: FDA takes steps to allow greater flexibility for clinical investigators about informed consent in minimal risk situations.(2018/11/13) https://www.fda.gov/NewsEvents/Newsroom/FDAInBrief/ucm625747.htm (last visited Nov. 26, 2018) [15] id. [16] 陳子平，〈醫療上「充分說明與同意」之法理在刑法上的效應（上）〉，《月旦法學雜誌》，第278期，頁224（2010）。 [17] THE NATIONAL COMMISSION FOR THE PROTECTION OF HUMAN SUBJECTS OF BIOMEDICAL AND BEHAVIORAL RESEARCH, The Belmont Report—Ethical Principles and Guidance for the Protection of Human Subjects of Research(1978), https://videocast.nih.gov/pdf/ohrp_appendix_belmont_report_vol_2.pdf (last visited Jan. 9, 2019) [18] Final regulations amending basic HHS policy for the protection of human research subjects. 46(16) Fed. Reg. 8366–8391 (Jan. 26, 1981) [19]　“those risks encountered in the daily lives of the subjects of the research” (46(16) FR 8373) [20] NATIONAL CENTER FOR BIOTECHNOLOGY INFORMATION[NCBI], Determining Minimal Risk in Social and Behavioral Research(2014), https://www.ncbi.nlm.nih.gov/books/NBK217976/ (last visited Jan. 9, 2019) [21]“if the research involves using identifiable private information or identifiable biospecimens, the research could not practicably be carried out without using such information or biospecimens in an identifiable format” (45 CFR 46.116(f)(3)(iii)) [22] 21 CFR 50.3(k), 56.102(i) [23] Regulations.gov, https://www.regulations.gov/document?D=FDA-2018-N-2727-0010 (last visited Dec. 20, 2018) [24] Shah S, Whittle A, Wilfond B, Gensler G & Wendler D., How do institutional review boards apply the federal risk and benefit standards for pediatric research, JOURNAL OF THE AMERICAN MEDICAL ASSOCIATION, 291(4), 476–482(2004). [25] Lidz C & Garverich S., What the ANPRM missed: Additional needs for IRB reform. JOURNAL OF LAW, MEDICINE AND ETHICS, 41(2), 390–396(2013). [26] 45 CFR 46.116(f)(3)(iii) [27] Supra note No. 1

　　德國聯邦經濟事務暨能源部（Federal Ministry for Economic Affairs and Energy）於2020年1月24日提出反競爭-數位化法草案（GWB-Digitalisierungsgesetz），主要係針對競爭法相關規範進行修正、調適，意在解決數位經濟中濫用市場地位、權力不平衡之問題。因大型數位公司和營運平台往往擁有大量的用戶資料而居於市場優勢支配地位，將阻礙、影響到其他新進公司的整體競爭和創新發展。 　　從而，數位經濟時代的競爭政策需要有適當的競爭規則和監管手段，以便強化有效的市場競爭，本草案進一步擴大德國競爭監管機關（Bundeskartellamt）的職權，目的在嚴格監管濫用市場力量之大型數位公司和平台營運商（如FACEBOOK、GOOGLE等），同時增加競爭對手的市場創新和共享資料存取的機會，確保相關規定與執法達到適當平衡。 　　茲將該草案擬修正之主要內容，重點整理如下： 禁止大型數位公司刻意阻礙用戶將其個人資料移轉至其他數位服務提供者的限制競爭行為－促使用戶更易選擇轉換到其他平台，使德國競爭監管機關在判斷數位公司是否涉及限制競爭行為時，有更明確的介入依據。 提出有關濫用（abuse）的新概念，係針對「在跨市場競爭上具顯著影響」之公司（paramount significance for competition across markets），並賦予德國競爭監管機關新的干預權限－在評估時，德國競爭監管機關不僅會考慮單一市場，也會透過規定的要件檢視整體市場（例如：該公司在一個或數個市場上的主導地位、財力、對資料或其他資源的存取、垂直整合）。若競爭監管機關發現該公司雖尚未在市場上取得主導地位，但依其判斷已經對於跨市場競爭具顯著影響性，除有正當理由外，原則上可以提出命令，並禁止該公司繼續進行特定行為。 提出「中介力量（Intermediation power）」的概念—對於依賴中介者（Intermediaries）（例如多樣化數位平台）提供產品或服務的企業而言，中介者對於控制市場的進入具有一定程度之影響力。由於這種影響力可能遭濫用，因此草案中引入「中介力量」的概念，擴大數位服務提供者市場力量的評估標準，需考量中介者對於市場進入的影響性。 重新定義和擴大關鍵設施原則（Essential Facility Doctrine）之規定—關於是否應強制公司授予對資料的同意存取權及如何規範這種存取權限，存在爭議，為了強化競爭法的存取權，草案擬重新定義和擴大關鍵設施原則的規定，使其他公司可向居於市場優勢地位的企業要求開放資料、網路或其他基礎設施的存取權限以開展業務，否則將阻礙競爭。 濫用相對市場力量（relative market power）原則之擴大適用—現行法雖規範具有相對市場力量之公司不得濫用此地位，但此原則僅適用於對中小型企業的保護。因此，草案希望擴大保護大型公司，避免其受到傳統或數位平台的濫用行為所影響。因為資料的使用對於在數位經濟中提供相關服務、創新和競爭而言相當重要。 賦予競爭監管機關充份權限以避免市場獨占（monopoly）發生—現行法下若已經有一定規模但尚未具主導地位的公司試圖以反競爭行為（anti-competitive manner）引發市場傾銷（tipping of the markets）時，競爭監管機關並無權干預。草案則擬賦予競爭監管機關在公司居於主導優勢地位前介入的權利。又，為因應數位市場變化，並使競爭監管機關可即時介入，草案在程序上擬放寬競爭監管機關為暫時性措施（Interim measures）的要件。 針對企業併購之新規範—擬規範小型公司之連續併購（Successive acquisition）以及「殺手併購」（killer acquisitions）行為，係因現行法對於前者之交易情形並未規範需要通知主管機關，而有致市場壟斷之虞，因此於草案中擬為規範；後者則是考量此惡意的手段係透過阻礙新創公司對其創新產品的研發，以達到避免與收購方自身產品競爭之目的，因此草案擬增訂規範予以限制。 　　該草案目前預計將於2020年下半年通過，使德國競爭監管機關在數位經濟領域針對數位公司和平台營運商的執法上有所變化，後續值得留意。

　　澳洲司法部長Mark Dreyfus於2022年10月26日提出聯邦《2022年隱私法修正案（執法及其他措施）》（Privacy Legislation Amendment (Enforcement and Other Measures) Bill 2022 (Cth) ），並於11月28日正式通過，顯示澳洲政府對於近期多起大型個資事故的重視，以及民眾對於個資保護之公民意識逐漸成熟。 　　近期澳洲發生之兩起大規模個資事故，其一為9月底澳洲第二大電信業者Optus表示受到網路攻擊，約有1,000萬人（約占澳洲人口40%）的個資遭到外洩，除了姓名、性別、生日等資料之外也包括用戶的住址、駕照和護照號碼等；無獨有偶，於十月底澳洲最大的私人健康保險公司Medibank亦公開聲明發生200GB的資料遭到竊取的個資事故，被竊資料中有大約970萬名現在或過去客戶的姓名、出生日期、地址、電話號碼和電子郵件地址等資料，因為此兩起大型個資事故的發生，促使澳洲政府不得不予以重視，在極短時間內通過新法修正。 　　此次修正案修改1988年《隱私法》（Privacy Act）、2010年《澳洲資訊委員法》（Australian Information Commissioner Act）和2005年《澳洲通訊及媒體管理局法》（Australian Communications and Media Authority Act 2005），修正重點包含加重裁罰、加強資訊委員執法權限及域外管轄權。 　　一、加重裁罰之部分，依修正《隱私法》第13G條，當嚴重或反覆侵犯他人隱私事件發生時，若行為人為「非法人」（a person other than a body corporate，即我國法之自然人）時，其由行政機關課予當事人之罰金（civil penalty）上限提高到250萬澳幣（約新台幣5,200萬）；若行為人為「法人」（body corporate）時，罰金上限增加到5,000萬澳幣（約新台幣10億）或其所得利益價值的三倍（兩者取其高）。如果法院無法確定利益的數額，則取法人違規期間或事故發生後12個月內（擇其時間較長者）調整型營收（adjusted turnover*）的30%。 　　二、關於資訊委員執法權限強化部分，其擴大資訊委員與他公私部門間交換及查閱資訊之權限，資訊委員得向嫌疑人進行調查或要求交付相關證據，且賦予資訊委員得不待法院裁判，逕對妨害查辦者課以民事制裁，甚至得將屢次妨害查辦之法人團體之行為定為刑事犯罪。 　　三、有關域外管轄權部分，原先僅適用於「未在澳洲設立登記，但有在澳洲境內蒐集個資且經營業務」之公司；現刪除「有在澳洲境內蒐集個資」之規定，故未在澳洲登記之公司往後即使未在澳洲境內蒐集個資，若有在澳洲境內經營業務即受有域外效力之管轄，其範圍甚至將比歐盟GDPR之域外管轄權更為寬廣。 　　至於提高裁罰金額能否提升資安及個資保護之效益仍有待商榷，惟提高罰鍰額度應能使持有個資業者採行較高之資料保護安全措施等級。我國近期亦發生2,300萬筆民眾戶政資料外洩事件，依我國《個人資料保護法》規定，個資事故發生時，若被害人不易或不能證明其實際損害額時，法院依侵害情節，以每人每一事件500以上至2萬元以下計算財產損害。且同一原因事實造成的事件，原則上其賠償最高總額以2億元為限。若我國將來修法適當調整金額，相信有望遏止類似事故不斷發生。 　　*調整型營收（adjusted turnover）：指公司（及相關企業）在違規期間內營業額扣除應調整之稅額例外項目後，所有商品及服務價值的總和。