FDA公布修訂行動醫療APP指導原則
美國於2015年2月5日公布修訂之行動醫療應用程式指導原則(Mobile Medical Applications, Guidance for Industry and Food and Drug Administration Staff),取代原先在2013年9月公布之版本。本次的修訂主要是將美國2015年2月9日公布之醫療設備資訊系統、醫療影像儲存設備、及醫療影像傳輸設備指導原則(Medical Device Data Systems, Medical Image Storage Devices, and Medical Image Communications Devices, Guidance for Industry and Food and Drug Administration Staff)規範納入其中。
2015年2月9日公布之醫療設備資訊系統、醫療影像儲存設備及醫療影像傳輸設備指導原則,擬降低FDA的管理程度,採用風險性評估方式,針對部分醫療設備資訊系統、醫療影像儲存設備及醫療影像傳輸設備等三種屬於第一級低風險之醫療器材,得不受ㄧ般管制,例如不需要登記、上市後報告及品質系統法規遵守等。原先,美國於2011年先將醫療設備資訊系統從第三級之高風險醫療器材,降低為第一級低風險之醫療器材,但經過長期間的使用經驗後,FDA認為,此等醫療器材設備在健康照護中十分重要,但相對於其他醫療器材,風險則較低,因此,將放寬程序。
行動健康應用程式亦可能歸類為上述之醫療器材,因此,為與上述的指導原則相符合,對於行動健康應用程式的審查亦作部分放寬。例如,當應用程式與資療資訊系統結合,而成為應受規範之醫療器材時,原先之規定為應進入醫療器材之規範程序,但新修訂之指導原則,則再放寬。僅將涉及積極的病人監測或醫療器材數據分析時,才需要回歸醫療器材之審查方式,其他醫療資訊系統若僅為儲存、傳輸等功能,而非主要提供診斷、治療等功能時,則可以不受醫療器材之規範限制,因風險程度較低,因此改由FDA視個案審查即可。為鼓勵相關產業的發展,FDA將風險性低之醫裁降低管理程度,其後續發展值得觀察。
莊晏詞
法律研究員 編譯整理
FDA, Mobile Medical Applications, Guidance for Industry and Food and Drug Administration Staff (Feb. 9, 2015), http://www.fda.gov/downloads/MedicalDevices/DeviceRegulationandGuidance/
GuidanceDocuments/UCM263366.pdf (last visited Mar. 30, 2015)
FDA, Medical Device Data Systems, Medical Image Storage Devices, and Medical Image Communications Devices, Guidance for Industry and Food and Drug Administration Staff (Feb. 9, 2015), http://www.fda.gov/downloads/medicaldevices/deviceregulationandguidance/
guidancedocuments/ucm401996.pdf (last visited Mar. 30, 2015)
2013年,Facebook用戶Matthew Campbell指控Facebook違反聯邦電子通訊隱私法及加州法律,並提出集體訴訟,要求Facebook必須支付每位受侵害的用戶最高一萬美元的賠償。原因是Facebook掃瞄用戶之私人對話內容中的網站連結,並計入網站的按「讚」總數,再將這些「讚」彙整入用戶的個人檔案後對用戶進行行為分析,最後針對該用戶的行為模式發送客製化的廣告, 造成用戶的困擾。 對此,Facebook辯稱其掃描用戶的訊息是很普遍的商業行為,因此屬於聯邦電子通訊隱私法例外條款的範疇,而且Facebook在2012年即已停止傳送客製化廣告,故Facebook要求撤銷此訴訟。 然而,2014年12月23日,美國加州奧克蘭地方法官 Phyllis Hamilton認為,雖然Facebook已經在2012年10月停止傳送客製化廣告,但Facebook同時並承認仍會持續分析用戶之訊息(理由是為了防止電腦病毒以及垃圾郵件),而且Facebook不願意提供任何有關目標式廣告手法的細節,使法院無法判斷這是否為普遍的商業行為而屬於聯邦電子通訊隱私法例外條款的範疇,因此,法院裁定駁回Facebook的撤銷申請,本案將繼續進行審理程序。
歐盟針對數位革命之法制障礙展開討論歐盟布魯塞爾會議規劃組織(QED)在2016年12月針對第四次工業革命法制議題提出討論,呼應2016年4月歐盟執委會提出之歐洲產業數位化政策,加速標準建立,並且預計調整現行法律規制,著重於資料所有權、責任、安全、防護方面等支規定,討論重點如下: 1.目前面臨之法律空缺為何 2.歐洲產業數位化是否須建立一般性法律框架 3.標準化流程是否由由公部門或私部門負責 4.相容性問題應如何達改善途徑 5.資料所有權部分之問題如何因應 6.數位化之巨量資料應如何儲存與應用,雲端是否為最終解決方式 7.如何建立適當安全防護機制。 8.一般資料保護規則是否足以規範機器產生之數據 9.各會員國對於資料保護立法不同,其間如何調合朝向資料自由發展之方向進行 我國2016年7月由行政院通過「智慧機械產業推動方案」,期待未來朝向「智慧機械」產業化以及產業「智慧機械化」之目標進行,未來,相關法制配套規範,如個人資料保護、巨量資料應用、以及標準化等議題,皆有待進一步探討之必要。
「聯合國2017年年度隱私報告聚焦政府監督行為」聯合國人權理事會(Human Rights Council)於2016年3月8日依據28/16號「數位時代下之隱私權」(Right to Privacy in the Digital Age)決議,設立隱私特別報告員(Special Rapporteur on Privacy, SRP),專責調查各國隱私保護情形並每年定期向人權理事會和聯合國大會提交隱私報告(Report of the Sepcial Rapporteur on the right to privacy)。 2017年年度隱私報告(A/HRC/34/60)於2月24日提出,報告除延續第一年報告中所列出的五大隱私優先課題 (跨國界隱私認知、安全與監督、巨量資料與開放資料、健康資料、企業擔任資料管理者議題等),主題聚焦於「情報蒐集」行為的監督,將政府監督行為歸類為十項: 基於使用國際化、標準化的術語和語言而有監督必要; 基於了解國家體系、體系比較之監督必要,以秘密(secretive)或公開形式進行; 促進、保護基本人權之相關措施; 保障與救濟措施(隱私特別報告員建議採國際性層次); 責任與透明度; 為蒐集、討論實務實踐狀況; 對政府監督行為之進一步討論; 尋求與公民溝通管道; 基於放寬安全部門、執法機關秘密性監督之必要; 基於對政府監督議題之公共論壇需求。 期中報告對現階段政府監督行為以隱私友善(privacy-friendly)立場出發,總結後續推動方向如下: 為何民粹主義(polulism)、隱私兩議題與安全議題會產生衝突; 國家如何透過監督情報增進隱私保護; 誰有權主張隱私權,隱私權的普世性(universality)於政府監督行為具特別意義; 隱私權如何透過內國法、國際法的推動而更加落實; 透過更廣泛討論,關於監督的法律文件及相關國際法規範可期待成熟發展。
歐盟針對個人資料傳輸第三國之規範提出參考指引歐盟資料保護監督機關(European Data Protection Supervisor, 下稱EDPS)於2014年7月14日,針對利用雲端運算以及行動設備,將個人資料從歐盟境內傳輸至非歐盟國家之部分,提出意見書作為參考指引。EDPS通常會針對雲端業者在從事商業服務時,進行監督審查,當個人資料透過雲端運算服務進行傳輸或處理時,會由EDPS先行確認,以確保該傳輸是否符合歐盟之個人資料保護指令(Directive 95/46/EC)與規則(Regulation (EC) No 45/2001)之規範。 有鑑於跨境合作或使用傳輸服務等需求,歐盟境內將個人資料傳輸至第三國或國際組織之情形日益劇增,此參考指引之主要目的在於詳加解釋歐盟資料保護規則(Regulation (EC) No 45/2001)中關於國際間個人資料傳輸之規定以及應該如何適用。 首先,該指引針對何謂個人資料傳輸以及歐盟資料保護規則第9條之範圍做出說明,後續則分別就適當保護之意涵,以及由歐盟執委會基於規則第9.5條之規定依權限得決定第三國是否已達適當保護標準之國家等部分加以論述。最後,該指引則提供確認表,在資料傳輸前應經過一定的確認流程,包括確認資料接收的國家或組織是否已有適當的保護層級,若無,則是否尚有其他資料可證明。如上述皆無法證明,則應考慮是否有例外情況,例如:取得資料所有人同意得進行傳輸、資料所有人與資料控管者因契約約定同意傳輸、資料控管者與第三人因契約約定,基於資料所有人之利益而傳輸、基於重要公益事由或其他法律上之事項必要傳輸、基於保護資料所有人之重要利益而傳輸、基於資料提供於大眾而傳輸等。倘缺乏以上例外情形,則可考慮資料控管者是否得援引自己已經具備適當的安全機制而可進行資料傳輸。最後,如無任何安全之保護,則資料將無法進行傳輸至第三國。 綜上,歐盟針對資料傳輸予第三國之部分做出更詳細之說明作為參考指引,使資料之傳輸與流通更有明確的規範方向,其後續適用之成效為何應可持續觀察。