.PHARMACY頂級域名(gTLD)防止偽藥流竄
仿冒藥品在網路通路的銷售流通向來十分猖獗,根據國家藥事管理全會(National Association of Boards of Pharmacy, NABP)統計,全球約有97%的藥品銷售網站販賣仿冒藥品。職業醫療服務機構(Occupational Medical Services, OMS)也指出,2010年全球的偽劣藥品約有750億美元的市場規模,而消費者於網路上買到的藥品約有50%都是仿冒藥品。全球每年約奪走七十萬人命的肺結核和瘧疾,其中約二十萬人的死亡主因並非疾病,而是服用了仿冒藥品。
為了阻止仿冒藥品在網路銷售通路的氾濫,NABP申請並通過審核,成為新創立的.PHARMACY頂級域名(gTLD)的註冊資料庫管理者(Registry Operator),負責.PHARMACY頂級域名的網域名稱資料管理。.PHARMACY頂級域名提供藉由網路銷售處方藥、處方藥相關產品、藥事服務或資訊的公司提出申請。公司提出域名申請時,會由NABP負責審核,以確保使用.PHARMACY頂級域名販售藥品的網站,都符合相關管制標準及當地法規,包含網站所設立的地點及藥品銷售或運送地點等。為執行.PHARMACY頂級域名計畫,NABP下設不同功能的常設或非常設組織,例如在.PHARMACY開放申請的國家,如法國、日本及德國等,設立國家標準制定委員會(National Standard Setting Committees),於該國家的公司提出.PHARMACY頂級域名申請時,為NABP提供該國藥事相關法規的協助,以利NABP審核頂級網域名稱的申請案件。
.PHARMACY頂級網域名稱於2014年11月開放申請。未來,世界各地的消費者在網路購買藥品時,只要認明有後綴.PHARMACY的網址,就不用擔心會購買到偽劣藥品了。
新加坡資料共享法制環境建構簡介 資訊工業策進會科技法律研究所 2019年12月31日 壹、事件摘要 如何有效運用資料創造最大效益為數位經濟(Digital Economy)重點,其中資料共享(data sharing)是有效方法之一。新加坡自2018年以來推動「資料共享安排」機制(Data Sharing Arrangements, 下稱DSAs)與「可信任資料共享框架」(Trusted Data Sharing Framework),建構資料共享環境,帶動國內組織[1]資料經濟發展與競爭力。 貳、重點說明 自從2014年新加坡政府推行「2025智慧國家(Smart Nation)」以來,即積極鋪設國家數位經濟建設,大數據資料分析等數位科技發展為其重點,預估2022年60%國內生產總值將與數位經濟有關[2] 。其中,希望透過資料共享促進組織、政府、個人三方間資料無障礙流通,降低蒐集、處理與利用成本,創造更多合作機會進行創新應用,因此從法制面、環境面與技術應用層面打造完善的資料共享生態系統(data sharing ecosystem)[3]。 然而依據《個人資料保護法》(Personal Data Protection Act 2012,下稱個資法)第14條以下規定,組織蒐集、處理與利用個人資料應取得當事人同意,除非符合第17條研究目的等例外情形。由於資料共享強調可將資料進行多節點快速傳遞近用,使資料利用價值最大化,因此若依據個資法規定每次共享皆須事前獲得當事人同意,將使近用成本增高並間接造成資料流通產生障礙。因此為因應國家政策與產業需求,新加坡個人資料保護委員會(Personal Data Protection Commission, 下稱個資委員會)依據個資法第62條所賦予的豁免權(exemption),個人或組織可在遵循個資委員會訂定的規則下,依照個案給予組織免除個資法部分規範[4] ,而DSAs機制即是一種[5]。 DSAs是由個資委員會於2018年設立的沙盒(sandbox)計畫,如組織所進行的共享模式是在特定群體並範圍具體明確,同時不會造成個人有負面影響等情事,可在不須經個人同意下進行資料共享[6]。並且,為進一步提升組織與消費者間信任,2019年6月個資委員會與資訊通信媒體發展局(Info-Communication Media Development Authority of Singapore,下稱資通發展局)共同推出「可信任資料共享框架」指南建議,由政府擔任監管角色,組織只要符合指南建議方向,如遵循法律、達到一定資料技術應用品質與實施資安與個資保護措施下,可以進行個人與商業資料之共享,DSAs機制是共享方法之一。以下簡述新加坡個資法規範、指南建議與DSAs機制運作方式。 圖1:資料共享環境建構 資料來源:新加坡資通發展局 一、新加坡個人資料保護法規範 在沒有個資法第17條所列之例外情形下,依據第14條以下規定,組織如近用個人資料應獲得個人同意,同時應符合目的使用及通知義務,尤其應給予個人可隨時撤回同意之權利[7]。 同時組織應根據個人要求,提供近用個人資料之方法、範圍與內容,以及更正錯誤資料權利[8]。並且組織必須任命資料保護官(Data Protection Officer, DPO)隨時向大眾提供通暢的個資聯絡管道,來確保個資透明性與完整性[9]。 在資料保護措施上應有合理安全的資安防護技術,以保障資料不被未經授權近用的風險。當使用目的不在時,需妥善保留或予以去識別化,同時如須境外轉移資料時,境外之資料保護措施應至少與新加坡個資法規範標準相同[10]。 二、免除同意之DSAs機制 DSAs機制是由個資委員會於2018年設立的沙盒(sandbox)計畫,也就是組織可透過申請免除資料共享前必須獲得個人同意之規範。然而如組織擬向個資委員會申請DSAs機制,必須符合三個條件[11]: 共享範圍需在特定群體、期間與組織內:即只限定在具體特定的應用情境內,若超出申請範圍,例如分享至其他非申請範圍的組織,則須再經過個資委員會批准[12]。 近用目的需具體明確:即資料共享必須應用於特定且明確目的,如以「社會研究目的」作為申請則範圍過大不夠明確[13]。 近用資料對於個人不會有不利影響,或公共利益大於個人利益:例如共享目的不是直接用於銷售或存在合法利益,或是共享本身具備公共利益且明顯大於個人可預見的(foreseeable)不利影響,此時個資委員會可考慮同意組織申請免除[14]。 三、建立以信任為基礎之資料共享模式 雖然取得DSAs機制免除同意可以使資料近用方式更為簡便,然而在進行資料共享前,仍應有完善的技術品質與資安保護措施,因此在「可信任資料共享框架」指南建議中,組織應透過法律遵循、導入AI或區塊鏈等新興技術,並具備相應資安保護措施來建構可信任的資料共享環境,實際步驟可分為以下四階段[15]: 圖2:可信任資料框架 資料來源:新加坡資通發展局 第一階段為「資料共享建構」[16],由組織自行評估存有的商業或個人資料是否具共享價值與潛在利益,並要如何進行共享,例如資料共享方式屬於雙邊(bilateral)、多邊(multilateral)或是分散式(decentralized,又稱「去中心化」)。以及資料種類有哪些,如主資料(master data)、交易資料、元資料(metadata)、非結構化資料(unstructured data)等。組織可將資料共享方式、種類依據無形資產(intangible asset)評價方式,即市場法(market approach)、成本法(cost approach)與收入法(income approach)三種評價方法進行評價,來衡量共享之價值性。除資料價值判斷外,組織必須自行評估自身組織與將來之合作夥伴是否有足夠能力管控共享之資料,包括是否具備一定技術能力的資安與資料保護措施等。 第二階段為「法律規範考量」[17],即決定哪些資料可以進行共享,從規範面檢視個資法、競爭法與銀行法等是否有例外不得共享規定,例如信用卡號碼或個人生物識別資訊不得共享。若資料共享類型不會對個人造成不利影響或具備公共利益,並有通知(notification)個人給予選擇退出(opt-out)的機會,組織可依個案申請DSAs機制之豁免。同時另外鼓勵組織向IMDA申請資料保護信任標章(Data Protection Trustmark, DPTM)認證,透過認證機制使消費者更能信任組織運用其個人資料[18]。 第三階段為「技術組織考量」[19],包含組織是否有能力建立資安風險管理與個資侵害之因應措施,是否有即時將資料安全備份技術,並針對不同傳輸技術如有線/無線網路、遠端存取(VPN)、應用程式介面(API)、區塊鏈等區分不同資安防護與風險管理能力。 最後一階段為「資料共享操作」,當已準備進行資料共享時,需再次檢視是否已符合前三個階段,包含透明性、責任義務、法律遵循、近用資料方式與取得目的外利用同意等[20]。 參、事件評析 個人資料視為21世紀驅動創新的重要價值,我國部會亦開始討論「個資資產化」的可能[21]。面對數位經濟時代來臨,有效運用數位科技將潛藏個人資料的大數據進行加值利用,不僅有利組織與創新發展,更可回饋消費者享有更好的產品與服務。 新加坡政府以資料共享作為數位經濟發展重點方向之一,在具備一定程度技術能力、資安保護措施與組織控管之條件下,可向主管機關申請免除個人同意之規範。透過一定法規鬆綁讓資料利用最大化以創造產業創新價值,同時依據主管機關要求的保護措施,使消費者信賴個人資料不會遭受不當利用或侵害。DSAs機制與「可信任資料共享框架」指南之建立,適時調適個人資料保護規範與資料應用間的衝突,並提供組織進行資料共享之依循建議,作為推動該國數位經濟發展方針之一。 [1]組織(organisation)依據新加坡個人資料保護法(Personal Data Protection Act 2012)第2條泛指個人、公司、協會、法人或團體。 [2]INFOCOMM MEDIA DEVELOPMENT AUTHORITY 【IMDA】, Trusted data sharing framework (2019), at 7, https://www.imda.gov.sg/-/media/Imda/Files/Programme/AI-Data-Innovation/Trusted-Data-Sharing-Framework.pdf (last visited Sep. 11, 2019). [3]id. [4]Personal Data Protection Act 2012 (No. 26 of 2012) §62, “The Commission may, with the approval of the Minister, by order published in the Gazette, exempt any person or organisation or any class of persons or organisations from all or any of the provisions of this Act, subject to such terms or conditions as may be specified in the order.” [5]Data Sharing Arrangements, PDPC, https://www.pdpc.gov.sg/Overview-of-PDPA/The-Legislation/Exemption-Requests/Data-Sharing-Arrangements (last visited Dec. 1, 2019). [6]id. [7]IMDA, supra note 2, at 31; Personal Data Protection Act 2012 (No. 26 of 2012) §14, 16, 20. [8]id. Personal Data Protection Act 2012 (No. 26 of 2012) §21. [9]IMDA, supra note 2, at 31. [10]id. at 32. Personal Data Protection Act 2012 (No. 26 of 2012) §24-26. [11]id. [12]PERSONAL DATA PROTECTION COMMISSION【PDPC】, Guide to Data Sharing (2018), at 14, https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-Files/Other-Guides/Guide-to-Data-Sharing-revised-26-Feb-2018.pdf (last revised Oct. 3, 2019). [13]id. [14]id. [15]PDPC, supra note 4. at 28. [16]id. at 21, 23-25. [17]id. at 35 [18]id. at 30. Data Protection Trustmark Certification, IMDA, https://www.imda.gov.sg/programme-listing/data-protection-trustmark-certification (last visited Sep. 26, 2019). [19]id. at 41-47. [20]id. at 50-51. [21]林于蘅,〈自己的個資自己賣!國發會擬推「個資資產化」〉,聯合新聞網,2019/06/17,https://udn.com/news/story/7238/3877400 (最後瀏覽日:2019/10/1)。
FDA針對境內個人化診斷醫療器材管理發布指引文件草案為促進美國境內個人化診斷醫療器材發展並進一步實現個人化醫療之理想與目標,於今(2011)年7月14日時,FDA於各界期盼下,正式對外公布了一份「個人化診斷醫療器材管理指引文件草案」(Draft Guidance on In Vitro Companion Diagnostic Devices)。而於此份新指引文件草案內容中,FDA除將體外個人化診斷醫療器材定義為:「一種提供可使用相對應之安全且有效治療產品資訊之體外診斷儀器」外,亦明確指出,將視此類個人化檢測醫療器材產品為具第三風險等級之醫療器材,並採「以風險為基礎」(Risk-Based)之管理方式。 依據上述新指引文件草案內容,FDA對於此類產品之管理,除明訂其基本管理原則外,於其中,亦另列出兩項較具重要性之例外核准條件。第一項,是關於「新治療方法」(new therapeutics)部分,FDA認為,於後述情況下,例如:(1)該項新治療方法係針對「嚴重」或「威脅病患生命」、(2)「無其他可替代該新治療方法存在」、或(3)將某治療產品與未經核准(或未釐清)安全或功效之體外個人化診斷醫療器材並用時,其為病患所帶來之利益,明顯高於使用該項未經許可或未釐清之體外個人化診斷醫療器材所將產生之風險等前提下,FDA或將例外核准該項新治療方法。其二,是關於「已上市治療產品」部分,依據新指引文件草案,於下列各條件下,或將例外核准製造商以補充方式所提出之「新標示」產品之上市申請案,包括:(1)該新標示產品乃係一項已通過主管機關審查之醫療產品,且已修正並可滿足主管機關於安全方面之要求;(2)該產品所進行之改良須仰賴使用此類診斷試劑(尚未取得核准或未釐清安全功效);(3)將此項已上市治療產品與未經核准或未查驗釐清安全(或功效)之體外個人化診斷醫療器材並用時,其為病患所帶來之利益,明顯高於使用該項未經許可或查驗釐清之體外個人化診斷醫療器材所具之風險等。 此外,FDA方面還強調,若針對某項個人化診斷醫療器材之試驗結果顯示,其具較顯著之風險時,將進一步要求業者進行醫療器材臨床試驗(Investigational Device Exemption,簡稱IDE)。而截至目前為止,此項新指引文件草案自公布日起算,將開放60天供外界提供建議,其後FDA將參考各界回應,於修正後,再提出最終修正版本指引文件;然而,究竟FDA目前所擬採取之規範方式與態度,究否能符合境內業者及公眾之期待與需求?則有待後續之觀察,方得揭曉。
美國加州公共事業委員會提出自動駕駛車輛試點計畫加州公共事業委員會(California Public Utilities Commission, CPUC)提出自駕車試點計畫,允許在未有配置人類駕駛之情況下測試自駕車,此次計畫包含兩個試點項目,將於5月被五人委員會審核,並決定是否批准。 第一個試點項目允許參與廠商之自駕車上路測試,並須配置經培訓的人類駕駛於自駕車內,以應付隨時的突發狀況;第二個試點項目則允許無人駕駛之自駕車上路測試,惟在無人類駕駛隨車之情況,必須符合加州機動車輛管理局(Department of Motor Vehicles, DMV)之規定,如遠端監控車輛狀態及操作,以保障乘客安全。 參與廠商必須定期向CPUC及DMV繳交營運報告,包含測試期間車輛碰撞(collision)及解除自動駕駛(disengagement)次數。 此次試點計畫已開放廠商申請,科技大廠及叫車服務公司如Google、Tesla、Uber以及Lyft等目前亦已正進行自駕車之設計與測試。若此提案通過,CPUC將進一步規劃自駕車載客服務之相關辦法,使自駕車測試之法制更臻完善。
美國聯邦審計署發布先進空中交通議題研究報告,將有利於航空轉型美國聯邦審計署(Government Accountability Office, GAO)於2022年5月9日發布「航空轉型:經利害關係人確認之先進空中交通議題」(Transforming Aviation: Stakeholders Identified Issues to Address for 'Advanced Air Mobility')研究報告。未來,先進空中交通(Advanced Air Mobility, AAM)服務可透過小型或高度自動化(highly-automated)電動垂直起降航空器(eVTOL)翱翔於天際,不僅可提供載人或載物服務、減少交通壅塞,並可應用於救援與醫療運輸等領域。GAO透過訪談36位利害關係人,意識到AAM發展關鍵在於相關法制環境之整備速度。基此,GAO於研究報告中,整理當前各AAM新創業者於開發與落實上面臨之4大問題,分別簡述如下: (1)航空器檢定標準:美國聯邦航空總署(Federal Aviation Administration, FAA)對於航空器之檢定規範,目前尚未涵蓋具備AAM新功能之載具,如電力推進或垂直起降等。 (2)起降場與電力之基礎設施:FAA尚未制定垂直機場降落設施,及航空器電池充電需求之電力基礎設施相關標準。 (3)提高公眾載具安全性接受度:AAM產業須證明此類航空器之安全性、可靠性、低噪音與商用可行性,以支持該產業之發展與成長。 (4)作業人員所需之各種培訓與認證標準:飛行員與維修技術作業人員需接受相關新功能培訓。惟利害關係人指出可能面臨高教育成本、缺乏工作場域多樣性、機會意識(awareness of opportunities)不足,及培訓能力有限等問題。