美國發布了「消費者隱私權法」草案
美國白宮在2015年2月27日發布了「消費者隱私權法」(Consumer Privacy Bill of Rights Act)草案,目的在於擴大消費者資料的保護範圍。
該草案的重點分列如下:
- 透明性:受規範主體必須提供資訊主體簡潔、明顯、易懂的公告,公告內容必須提供簡潔、明瞭及即時的隱私與安全運作,包含資訊保存、揭露以及個人資料存取機制。
- 個人控制:受規範主體應該在合理範圍內提供機制,讓資料主體能控制其個人資料之處理,同時也規範應讓消費者撤銷個人資料使用的同意。
- 注重資料蒐集與合理使用:受規範的公司機構必須依據其清楚、合理的說明規則來進行個人資料的蒐集、保存與利用。同時,在資料蒐集之特定目的完成後的合理時間內,必須針對所蒐集的個人資料進行刪除或是去識別化。
- 安全性的維護:為了維護個人資料之安全性,以防止其遺失、陷入危險、改變以及未經授權之使用或是揭露,公司機構必須進行安全風險評估,並且採取合理的資訊安全防護措施。
- 存取與正確性:受規範的公司機構必須提供資訊主體合理的存取權利,同時也應該採取合理的步驟,來維護資料的正確性。
- 擔負隱私維護的責任:受規範的公司機構必須針對員工實施資安教育訓練、進行隱私評估、隱私設計、遵守隱私保護義務以及採取適當的措施來遵循本草案之規定。
- 不受本草案規範之公司機構:
- 25名員工以下的小型公司,且其處理者僅限於員工與求職者之個人資料。
- 未刻意蒐集、處理、使用、保存或揭露個人病史、原生國籍、性傾向、性別、宗教信仰、資產狀況、精確的位置資訊、獨一無二的生物識別資料或是社會安全號碼,並符合以下要件之一者:
- 在12個月內蒐集個人資料筆數在10,000筆下;
- 5名員工以下。
除了要求產業發展處理消費者資料的標準或規則,該草案也要求「聯邦貿易委員會」(Federal Trade Commission, FTC)確認產業所制定的標準或規則必須符合「消費者隱私權法」的規定,包括提供消費者有關其資料如何被收集、使用與分享的明確通知。如果進行消費者資料收集的公司機構違反了「消費者隱私權法」,將會面臨FTC或是州檢察長所發起的法律行動。
該草案引起了產業界極大的反彈,隱私團體也批評該草案太過寬鬆,留給產業界太多自由空間,同時目前國會由共和黨所主導,因此後續立法工作的進行將會面臨極大的挑戰。
本文為「經濟部產業技術司科技專案成果」
宋佩珊
資深管理師 編譯整理
Natasha Singer, White House Proposes Broad Consumer Data Privacy Bill, The New York Times, http://www.nytimes.com/2015/02/28/business/white-house-proposes-broad-consumer-data-privacy-bill.html?_r=0 (last visited Mar. 9, 2015)
James Denvil, Insights on the Consumer Privacy Bill of Rights Act of 2015, Chronicle of Data Protection, http://www.hldataprotection.com/2015/03/articles/consumer-privacy/insights-on-the-consumer-privacy-bill-of-rights-act-of-2015/ (last visited Mar.9, 2015)
Roberta Rampton, White House releases draft bill to protect consumer data privacy, Reuters, http://www.reuters.com/article/2015/02/27/us-usa-privacy-idUSKBN0LV2O320150227, (last visited Mar.9, 2015)
一、緣起與目標 「依賴制度(reliance)」指一國有效利用他國的審查結果,而減少重複作業、提升效率,並促進病人更快取得安全、有效產品的政策。為此,國際醫療器材法規管理論壇(International Medical Device Regulators Forum, IMDRF)於2025年3月提出《醫療器材監管依賴計畫操作手冊》(Playbook for Medical Device Regulatory Reliance Programs)草案,協助各國建立與管理依賴制度。惟此制度並非「無條件接受他國決策」或「國際換證」,而須由各國自行決定如何利用依賴制度,並承擔最終監管責任。 二、應用範圍 該手冊適用於所有醫療器材(含體外診斷器材)或輔具,並涵蓋產品生命週期各階段(如技術文件審查或品質管理系統驗證等)。 三、依賴機制的類型 手冊歸納三類依賴機制並舉例說明: 1.工作共享(Work-sharing):指多國協作進行監管任務,可為聯合評估、聯合檢查,或共同推出監管標準等。如IMDRF推出的「醫療器材單一稽查計畫」,訂定多國之驗證機構對製造商的統一稽核標準,使廠商受稽後所作成的稽查報告可一次性符合數國法規。 2.簡化審查(Abridged Review):以他國完整的審查成果作為基礎,僅針對當地「特有」及「新增」的風險進行審查。如新加坡健康科學局已實施簡審制度。 3.承認(Recognition):正式接受他國監管決策結果作為判斷依據,可分為單、雙、多邊的承認。如CE標誌的醫材可在歐盟27個成員國內通行。 四、結語 IMDRF並非藉由該手冊推行「最佳模式」,而是協助各國依需求發展適合的監管依賴策略,加強協作與資源共享,進而促進全球監管上的一致性與產品流通性。近年世界衛生組織及區域組織(如歐盟、東協、非洲聯盟發展署)越加重視各國監管法規的一致性,並將審查資源移向人工智慧或高風險醫材的監管探索中,此監管趨勢值得我國持續關注。
美國聯邦與州政府對於污染物排放超標免責立法之衝突。美國聯邦最高法院在2017年6月拒絕對聯邦法令-廠房之啟動,停工,與故障之許可證取得(Startup, Shutdown, Malfunction, SSM)底下之州際執行計畫(State Implementation Plans,SIPs)免責條款的上訴聽案,即各州對於SSM的污染物超標限制,無權力訂定免責條款。1聯邦法令SSM規定公司廠房等所有者或營運者需對於初始營運、日後關閉、中間故障等作業程序與維護措施做成報告以獲得並定期更新營業許可證,報告中需對於預測與計畫中的污染物排放與災難可能做說明,並以遵守聯邦法規對污染物排放相關規定為前提。2 聯邦政府當時以美國聯邦法規(Code of Federal Regulation)以及空氣清潔法案(The Clean Air Act)裡的國家周遭空氣品質標準(National Ambient Air Quality Standards) 為準則,授予各州訂定SIP的權限,因此才有各州多以促進經濟、展業發展為由而自行訂定免責條款的產生。 在原本的SSM機制下,計畫中的污染物超標可能適用各州的免責條款,而非計畫或預測中的污染物超標則會依是否有正當辯護,而可能被下禁治令。隨後,因美國前總統歐巴馬十分重視環境保護,而與美國環境保護總局(Environmental Protection Agency,EPA)頒佈新政策,下令各州把其SIP裡對於污染物超標的免責條款全部刪去。 這樣的大動作使各州政府與企業主十分不開心,便開啟了一連串與EPA的訴訟。2008年D.C.巡迴法院在Sierra Club v. EPA 3判定SSM期間內的違反污染污物排放限額不得有任何免責例外。2014年D.C.巡迴法院於Natural Resources Defense Council v. EPA 4更判定EPA沒有權限給予在SSM期間內違法業者創造任何答辯。雖然美國聯邦最高法院拒絕對此爭議聽案,但目前EPA仍有與州政府及企業主訴訟案在進行。
歐盟法院做成先決裁判,臉書粉絲專頁管理員也有責任保護用戶資料隱私歐盟法院於2018年6月5日對德國行政法院依歐盟運作條約第267條(267 AEUV),就歐盟個人資料保護指令(95/46/EC)第2、4條之解釋適用,提起的先訴裁判申請做出先訴判決。判決提及利用臉書(Face Book)平台經營粉絲專頁,並獲取臉書相關服務的管理者,同樣負有保護用戶資料隱私的責任。此將影響眾多的粉絲專頁,判決指出不僅臉書,連粉絲專頁的管理員都有保護訪客資料安全的責任。 由於臉書粉絲專業的經營者,並未保存其粉絲的相關資料,既不經手資料處理,更無力影響資料如何呈現,因此主張資料處理的責任應該在於臉書身上,處罰對象也應該是臉書。判決理由指出,臉書作為粉絲專頁相關個人資料的控制者(data controller)應負相關責任並無疑問,但歐盟地區粉絲專業的管理者,應該和臉書一樣,作為資料處理的共同責任者。蓋管理者係運用臉書提供的設定參數,將粉絲專頁的近用者資料蒐集處理,應該負共同責任。因此歐盟法院判決,利用臉書平台經營粉絲專頁,並獲取臉書相關服務的管理者(administrator),並不能免於個資保護法律的法遵義務。 另外依據德國聯邦資料保護與資訊安全委員會(BFDI)意見,認為雖然判決是基於一般資料保護規則(GDPR)生效之前就已經存在的法律,但法院所確定的共同責任原則也適用於新的法律。BFDI特別建議公共機構以歐盟判決為契機,審查公共機構粉絲頁面的合法性與是否遵守法律規定,並在必要時說服Facebook調整資料保護。