德國與愛爾蘭對於個人資料處理是否須明示同意之見解不同
德國與愛爾蘭資料保護局對於資料保護指令所規定個人資料(以下簡稱個資)的處理(process),是否須取得資料當事人明示同意,表示不同的見解。德國資料保護局認為臉書網站所提供之人臉辨識(預設加入)選擇退出(opt out consent)的設定,並不符合資料保護指令(Data Protection Directive)對於同意(consent)的規範,且有違資訊自主權(self-determination);然而,愛爾蘭資料保護局則認為選擇退出的機制並未牴觸資料保護指令。
德國資料保護局委員Johannes Caspar教授表示,預設同意蒐集、使用與揭露,再讓資料當事人可選擇取消預設的作法,其實已經違反資訊自主權(self-determination)。並主張當以當事人同意作為個人資料處理之法律依據時,必須取得資料當事人對其個資處理(processing)之明示同意(explicit consent)。對於部長理事會(Council of Ministers)認同倘資料當事人未表達歧見(unambiguous),則企業或組織即可處理其個人資料的見解,Caspar教授亦無法予以苟同。他認為部長理事會的建議,不但與目前正在修訂的歐盟資料保護規則草案不符,更是有違現行個資保護指令的規定。
有學者認為「同意」一詞雖然不是非常抽象的法律概念,但也不是絕對客觀的概念,尤其是將「同意」單獨分開來看的時候,結果可能不太一樣;對於「同意」的理解,可能受到其他因素,特別文化和社會整體,的影響,上述德國和愛爾蘭資料保護局之意見分歧即為最好案例。
對於同意(consent)的落實是否總是須由資料當事人之明示同意,為近來資料保護規則草案(The Proposed EU General Data Protection Regulation)增修時受熱烈討論的核心議題。資料保護規則草案即將成為歐盟會員國一致適用的規則,應減少分歧,然而對於企業來說,仍需要正視即將實施的規則有解釋不一致的情況,這也是目前討論資料保護規則草案時所面臨的難題之一。
本文為「經濟部產業技術司科技專案成果」
德國資料倫理委員會(Datenethikkommission, DEK)於2019年10月針對未來數位化政策中的重點議題發布最終建議報告;包括演算法產生預測與決策的過程、人工智慧和資料運用等。德國資料倫理委員會是聯邦政府於2018年7月設置,由多位學者專家組成。委員會被設定的任務係在一年之內,制定一套資料倫理標準和指導方針,作為保護個人、維持社會共存(social coexistence)與捍衛資訊時代繁榮的建議。 最終建議報告內提出了幾項資料運用的指導原則,包含: 以人為本、以價值為導向的技術設計 在數位世界中加強數位技能和批判性思考 強化對個人人身自由、自決權和完整性的保護 促進負責與善意的資料使用 實施依風險調整的監管措施,並有效控制演算法系統 維護並促進民主與社會凝聚力 使數位化戰略與永續發展目標保持一致 加強德國和歐洲的數位主權
美歐有關基改生物管理之爭議決定出爐,WTO爭端解決小組判定歐盟基改法規違反WTO精神眾所注目的美歐有關基改生物與產品管理之 WTO 仲裁決定於五月初出爐, WTO 爭端解決小組判定歐盟基改禁令違反 WTO 精神,在長達上千頁的仲裁決定書(決定書將於六月公開)中, WTO 爭端解決小組認可了由基改領域專家稍早於 2 月初所做出之暫時性決定( preliminary ruling )。 事實上,此一 WTO 決定並不會改變歐盟目前對於基改生物及產品之管理限制,蓋以美國為首的控方所爭執者,為歐盟自 1998 年以後停止對基改生物與產品進行審查之事實上禁令,然歐盟已在 2004 年 4 月通過新的基改生物及產品管理法規,重新開啟基改生物及產品之上市審查,以實質行動祛除了該等禁令。不過, WTO 爭端解決小組此一決定書仍可能使歐盟未來在作成有關基因改造生物與產品之管理政策時,更為重視其貿易對手的意見,以避免爭端發生。 此外,決定書中也指出,儘管歐盟基改生物與產品之管理新制已自 2004 年 4 月上路,但歐盟會員國中仍有多個國家,如奧地利、法國、德國、盧森堡及希臘,被認為延宕實施歐盟新制,雖然歐盟執委會本身已試圖促使這些國家儘速實施歐盟基改生物與產品之管理新制,但由於一些程序規定的漏洞,以致成效有限,歐盟在今年四月已提出數項解決此一問題之建議方案。 另外,類似綠色和平組織( Greenpeace )、地球之友( Friends of the Earth Europe, FoEE )之非政府組織則批評透過 WTO 解決基因改造生物與產品之管理爭端之妥適性。這些非政府組織認為, GMO 議題具有高度爭議並涉及複雜的科學及環境議題,訴諸 WTO 仲裁機制並不妥當,其認為在 WTO 架構下,此類爭議處理時之考量點係以貿易利益為主。可見 WTO 爭端解決小組的決定,短時間內恐仍無法平息歐盟多數消費者對基因改造生物與產品所抱持之反對態度。
印度對TK( Traditional Knowledge傳統知識 )保護提出的建議修正案近年來許多先進國家的藥廠或是生技公司紛紛到生物資源豐富的國家從事生物探勘活動,希望可以尋找合適的生技產品候選者 (candidate) ,也因此產生許多不當佔有的生物盜竊 (biopiracy) 事件。 由於印度本身在 2002 年專利法修正時,特別規定生技發明之專利申請者若使用生物物質 (biological material) ,應揭露其地理來源 (source of geographical origin) ,未揭露其來源地或提供錯誤資訊者,則構成專利撤銷之理由; 2005 年的專利法修正的重點之一為「加強專利授予前異議 (pre-grant opposition) 機制」,意即未揭露生物物質之來源地或提供錯誤資訊者,或者申請專利之權利內容含有傳統知識者,可提出異議之事由。 目前國際間針對是否應強制規定申請人應揭示其來源地等仍無共識。從 2001 年的杜哈發展議程的談判會議結果即可知,由於該談判採取 「單一承諾( Single Undertaking )」模式且可從不同議題間相互掛勾,加上開發中及低度開發會員採取結盟方式來壯大談判立場,在某些關鍵議題與美國、歐盟等主要會員國形成抗衡局面。 開發中國家對於 TRIPs 第 27 條第 3 項 b 款的審議特別在乎,認為 TRIPs 協定應該修訂應納入上述的揭露需求外,還必須提供事先告知且同意 (prior informed consent) ,以及因該專利而獲取的利益與來源地分享之證明。 因此,印度提出修正 TRIPs 協定的建議,強制會員國必須改變內國法律,規定專利申請者必須揭露其發明所使用的生物物質來源,並希望能在今年 12 月香港部長會議裡討論。
美國藥品學會建議調整HIPAA隱私權規範以兼顧醫療研究及隱私保護隸屬美國科學院(National Academy of Sciences)之藥品學會(Institute of Medicine)於2009年2月4日發表一份研究報告,指出美國醫療保險可攜及責任法的隱私權規範(HIPAA, Privacy Rule),對於醫療研究中有關個人健康資訊之取得及利用的規定未盡周全,不僅可能成為進行醫療研究時的障礙,亦未能完善保障個人健康資訊。 在目前的規範架構下,是否允許資訊主體概括授權其資料供後續研究利用,並不明確;另外,在以取得資料主體之授權為原則,例外不需取得授權但必須由審查委員會判斷其妥適性的情況下,亦未有足夠明確的標準可資審查委員會判斷依循,此些問題不僅使得醫療研究中之資料取得及運用,產生若干疑慮,亦突顯個人相關健康資料保護之不足。 該報告建議國會應立法授權主管機關制訂一套新的準則,將個人隱私、資料安全及資訊運用透明化等標準,一體適用於所有醫療相關研究的資料取得及利用上;在未來的新準則中,應促進去名化醫療資訊之運用,同時對於未取得資料主體授權的資料逆向識別(re-identification)行為,應增設罰則;此外,審查委員會在判斷得否不經資料主體授權而以其資料進行研究之妥適性時,亦應納入道德考量因素,倘若研究係由聯邦層級的組織所主導,則研究團隊應先證明其已採取充分保護資料隱私及安全的措施,藉以平衡隱私權保護與醫療研究的拉鋸。