數位內容與色情問題引起討論

　　主管英國生殖醫療及胚胎研究事務的人工授精暨胚胎管理局（The Human Fertilisation and Embryology Authority, HFEA）在考量過包括對捐贈婦女的風險以及公眾意見的諮詢後，於今（2007）年2月21日正式對外宣佈一項關於研究用途卵子捐贈的方案，當中提出有力的安全措施確保婦女在捐贈過程中會被正確的告知其風險，並強制地獲得適當的保障。管理局許可婦女捐贈其卵子以供研究之用，包括利他的卵子捐贈，以及接受試管受精醫療後所剩餘的卵子捐贈，而這是英國政府首度許可非接受生殖醫療的婦女可以為提供研究之用進行卵子捐贈。 　　HEFA強調研究用途卵子捐贈在程序上將有更明確的安全措施。這些安全措施包括清楚的區分研究人員及施行該婦女醫療的人員、關於實際上研究後果的詳細資訊、捐贈將產生的影響，以及要求獲得捐贈婦女在不受研究團隊干擾下的同意。這些安全措施將可有效避免女性捐贈者在被脅迫、被詐欺或是被誤導下做出捐贈卵子的決定。同時，婦女亦不能藉由捐贈卵子而獲得報酬，捐贈者只能要求一筆因捐贈所實際產生費用的補償（250英鎊，約16000元新台幣）。 　　雖然HEFA認為研究用途捐贈卵子的婦女將得到管制部門嚴密而強力的保障，並且不預見在這個特殊的研究領域會有魯莽的應用，但是部分專家對此並不贊同。位於英國倫敦的國王學院幹細胞研究學者Stephen Minger博士即認為目前使用人類卵子進行的研究工作仍未成熟，這項過早提出的方案會鼓勵婦女去提供她們的卵子來進行研究，而鼓勵這種情況的發生仍是太早了。

　　美國衛生及公共服務部（Department of Health and Human Services, 下稱HHS）轄下的公民權利辦公室（Office for Civil Right, 下稱OCR）在2019年11月27日，正式對Sentara醫療機構處以217萬美元行政罰，主因該機構違反《健康保險可攜與責任法》（Health Insurance Portability and Accountability Act, 下稱HIPAA）的醫療個資外洩通知義務。 　　HIPAA是美國有關醫療個資管理的主要規範，依據HIPAA第164.400條以下「違反通知規則」（Breach Notification Rule）規定，當超過500位病患的「受保護健康資訊」（Protected Health Information, 下稱PHI）遭受不當使用或被外洩時，除應通知受害人外，還必須立即告知HHS以及在當地知名媒體發布新聞。而OCR主要負責檢查受規範機構，是否確實執行HIPAA隱私、安全和違反通知規則。 　　而在2017年4月，HHS收到指控Sentara將含有病患姓名、帳號、就診日期等涉及PHI的帳單發送到錯誤地址，造成557名病患個資外洩。Sentara卻認為該帳單內容未含有病患病歷、治療資訊或其他診斷紀錄，且僅有8人被影響，並非HIPAA應進行個資外洩通知義務之範疇，故不依規定程序通報HHS。不過OCR認為依HIPAA第160.103條規定，PHI包含病史、保險資訊、就醫紀錄（含日期）、身心健康狀態等可識別個人之健康資訊。因此認為Sentara確實違反個資外洩通知義務，予以罰款並命檢討改善。 　　Sentara醫療機構服務範圍橫跨美國維吉尼亞州（Virginia）和北卡羅來納州（North Carolina），共有12家急性照護醫院、10家護理中心和3家照護機構，為美國最具知名的大型非營利醫療機構之一。這次重罰也告誡國內醫療機構當發生敏感性醫療個資外洩時應從嚴判斷，以避免民眾對醫療照護單位失去信任，確保國內醫療機構體系應恪遵HIPAA規範。

　　人工智慧（Artificial Intelligence, AI）的應用，已逐漸滲透到日常生活各領域中。為提升AI運用之效益，減少AI對個人與社會帶來之負面衝擊，英國資訊委員辦公室（Information Commissioner’s Office, ICO）於2019年3月提出「AI稽核框架」（Auditing Framework for Artificial Intelligence），作為確保AI應用合乎規範要求的方法論，並藉機引導公務機關和企業組織，評估與管理AI應用對資料保護之風險，進而建構一個可信賴的AI應用環境。 　　AI稽核框架主要由二大面向所構成—「治理與可歸責性」（governance and accountability）以及「AI特定風險領域」（AI-specific risk areas）。「治理與可歸責性」面向，係就公務機關和企業組織，應採取措施以遵循資料保護規範要求的角度切入，提出八項稽核重點，包括：風險偏好（risk appetite）、設計階段納入資料保護及透過預設保護資料（data protection by design and by default）、領導管理與監督（leadership management and oversight）、政策與程序（policies and procedures）、管理與通報架構（management and reporting structures）、文書作業與稽核紀錄（documentation and audit trails）、遵循與確保能力（compliance and assurance capabilities）、教育訓練與意識（training and awareness）。 　　「AI特定風險領域」面向，則是ICO特別針對AI，盤點下列八項潛在的資料保護風險，作為風險管理之關注重點： 一、 資料側寫之公平性與透明性（fairness and transparency in profiling）； 二、 準確性（accuracy）：包含AI開發過程中資料使用之準確性，以及應用AI所衍生資料之準確性； 三、 完全自動化決策模型（fully automated decision making models）：涉及人類介入AI決策之程度，歐盟一般資料保護規則（General Data Protection Regulation, GDPR）原則上禁止無人為介入的單純自動化決策； 四、 安全性與網路（security and cyber）：包括AI測試、委外處理資料、資料重新識別等風險； 五、 權衡（trade-offs）：不同規範原則之間的取捨，如隱私保護與資料準確性； 六、 資料最少化與目的限制（data minimization and purpose limitation）； 七、 資料當事人之權利行使（exercise of rights）； 八、 對廣泛公共利益和權利之衝擊（impact on broader public interests and rights）。 　　ICO將持續就前述AI特定風險領域，進行更深入的分析，並開放公眾討論，未來亦將提供相關技術和組織上之控制措施，供公務機關及企業組織進行稽核實務時之參考。

　　為妥適管理中國幹細胞醫療產業，中國衛生部下令停止未經許可之幹細胞臨床研究和應用行為，並展開為期一年的幹細胞臨床研究和應用規範整頓工作。此期間分為「自查自糾」、「重新認證」和「規範管理」等階段。中國衛生部及國家食品藥品監督管理局(以下簡稱食品藥品監管局)辦公室於今年（2012年）1月6日發布一份名為《關於發展幹細胞臨床研究和應用自查自糾工作的通知》之部門規章，明白揭示於「自查自糾」階段各省、自治區及直轄市之衛生廳局及食品藥品監督管理局應如何辦理。 　　該通知中要求全國各級各類從事幹細胞臨床研究及應用之醫療機構及相關研究單位應依照《藥物臨床實驗質量管理規範》及《醫療技術臨床應用管理辦法》之規範進行自查自糾工作，如實總結並填寫幹細胞臨床研究和應用自查情況調查表，報告已完成或刻正進行之幹細胞臨床研究和應用活動；另外一方面，中國衛生部及食品藥品監管局及各省、自治區及直轄市將分別組成工作領導小組及工作組，制定自查自糾工作方案。針對尚未經批准之幹細胞臨床研究和應用，於通知文件中明白揭示應予停止；已經批准者，亦不得任意變更臨床試驗方案，或自行變更為醫療機構收費項目。值得注意者，為整頓對幹細胞臨床研究及應用之管理，並研擬符合國內需求之管理機制，直至今年7月1日前，相關主管機關將不受理任何申報項目。 　　中國截至目前為止，尚未針對幹細胞技術之臨床實驗或應用做成法規或政策，僅適用一般性藥品法規，相較於國際間先進國家屬相對鬆散。中國衛生部及食品藥品監管局於近日做成之通知文件顯示了中國政府開始對於幹細胞臨床實驗及應用之規範面向有所重視，針對其後續衍生之管理規範值得我們持續追蹤關切。