日本推動智慧醫療照護與巨量資料應用之趨勢觀察

日本政府於2022年11月29日公布「個人編號法」（平成二十五年法律第二十七号，行政手続における特定の個人を識別するための番号の利用等に関する法律）之預計修正內容。 目前個人編號法第9條第2項主要限定於社會保障、稅收、災害防治三個領域，該法對哪一些行政機關能調取，以及可調取個人資料的種類均有詳細規定。本次修正案目的為將個人編號的用途擴大，除了前揭所提三個領域外，將再包括國家資格管理、汽車登記以及外籍居民行政程序、國家急難救助金及其他津貼發放等。其次，為擴大個人編號用途與增加運用彈性，此次修法重點之一在於擴大該法第4章第19條特定個人編號（My Number）提供限制中，第17款關於其他依據「個人資料保護委員會」所訂規則準用事項範圍。未來日本政府可透過「政省令」的修改（基於國會立法授權，而由行政部門所頒訂，具有對外法拘束力，類似我國法規命令位階），讓政府及相關機關能在有需要時即可蒐集特定個人編號，以迅速、彈性地對應外在情況。 本案若經國會審議通過後，細節部分還需約時二年修改作業系統，最快預定令和7年（2025年度）施行。其他修正重點如：1.將公家機關掌握民眾銀行帳戶資訊和個人編號自動連結，此舉係為改善疫情期間之問題，未來將可使政府發放補助金及急難救助金時更為順暢；2.尚未取得個人編號卡仍可申請「資格確認書」參加社會保險或診療；3.嬰幼兒五歲前「個人編號卡」都不須附上照片等。 唯輿論有批評，在尚未經過國會及有識者充分討論前，貿然大幅擴大資料調取、使用範圍，尤其日本政府計畫將個人所有銀行帳戶都強制連結個人編號，可能讓政府更容易掌握民眾資訊，像是追蹤稅務狀況、打擊逃漏稅等。日本「個人編號法」主管機關總務省則再三保證個人編號卡晶片不會儲存稅金、年金等個人資料，即使作為醫療或健康用途時，也不會紀錄健檢結果和服用藥物等訊息。雖然仍有部分待改進處，惟日本以專法規定個人編號卡儲存資料之種類與範圍，並於該法中說明相關管理措施，仍值得我國未來密切關注。

紐約州總檢察長Letitia James於2024年1月5日與健康照護服務業者Refuah Health Center, Inc.（下稱Refuah公司）達成和解，主因為該公司遭受勒索軟體攻擊（ransomware attack），約25萬紐約州民個資遭到洩漏。和解協議要求Refuah公司支付共計45 萬美元之民事懲罰金及費用（penalties and costs），且應投資 120 萬美元加強網路安全（cybersecurity）。 Refuah公司主要業務為經營三家醫療機構和五輛行動醫療車（mobile medical vans）。2021 年 5 月，Refuah公司遭到勒索軟體攻擊，網路攻擊者得以近用數千名病人的資料，取得了包含姓名、地址、電話號碼、社會保險號碼、駕照號碼、出生日期、金融帳號、醫療保險號碼等資料。 依據檢察長辦公室的調查顯示，攻擊者之所以得近用這些資料，原因為 Refuah公司未採取適當安全維護措施，包括：未停用不活躍之使用者帳號（inactive user accounts）；未定期更換使用者帳號憑證（user account credentials）；未限制員工僅得近用其業務所必需之資源和資料；未使用多重要素驗證（multi-factor authentication）以及未加密病人資料。 依據協議內容，Refuah公司同意投資 120 萬美元，用於開發和維護更強大的資訊安全計畫（information security programs），以更妥適地保護病人資料。該協議還要求Refuah公司應： 1.維護全面的資訊安全計畫，以保護消費者資料的安全性、機密性和完整性； 2.實施並持續更新消費者資料近用限制相關政策和程序； 3.遠端近用資源和資料應使用多重要素驗證； 4.定期更新近用資源和資料的憑證； 5.至少每半年進行一次稽核，確保使用者僅近用其業務所必需之資源和資料； 6.對所有儲存或傳輸的消費者資料進行加密； 7.實施控制措施，監控和記錄公司網路和系統的所有安全和操作活動；以及 8.制定、實施和持續更新全面的事故應變計畫。 Refuah公司還須向州政府支付共計45 萬美元之民事懲罰金及費用，其中 10 萬美元將在該公司投入 120 萬美元開發和維護其資訊安全計畫後，得暫緩支付。

　　歐盟部長理事會（The Council of the EU）於2020年4月15日通過「建立促進永續投資框架規則」（REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the establishment of a framework to facilitate sustainable investment, and amending Regulation (EU) 2019/2088）。此規則將提供歐盟內所有企業和投資者一套共通性分類系統（taxonomy，以下簡稱分類法），以識別哪些是被認為具有環境永續性的經濟活動。 　　該分類法將促使投資者把投資重心轉移至永續發展的技術和業務上，此為歐盟2050年實現氣候中和並達成《巴黎協定》2030年目標的重要基礎，並預計可減少40％的溫室氣體排放。為此，歐盟執委會估計每年必須投資約1800億歐元，方可能達此目的。而未來框架將奠基於六項歐盟環境目標，包括緩解氣候變化、適應氣候變化、水資源和海洋資源的永續利用和保護、朝向循環經濟轉型、污染防治、保護和恢復生物多樣性和生態系統。另外，依照歐盟部長理事會與歐洲議會於2019年12月18日達成的政治協議中指出，永續性經濟活動必須符合的四個要求，包括必須至少為上述六個環境目標其中之一做出實質性貢獻、對其他任何環境目標均無重大損害、遵守穩健且基於科學的技術篩選標準（technical screening criteria）、遵守最低限度的社會和治理保障。 　　本規則目前雖經歐盟部長理事會通過，後續仍須經歐洲議會（The European Parliament）通過，預計2020年前通過緩解和適應氣候變化的分類法，以確保2021年起能全面適用。

　　瑞士聯邦委員會於2022年3月30日，發布了一份關於推進可信的「資料空間」（Data Spaces）與「數位自決權」（Digital Self-Determination）報告。此份報告旨在強調資料是數位時代下創造價值的基礎，為了更好地運用資料的潛在價值，呼籲各界採用新的資料使用概念，加強資料所有者（Data Owner）或資料控管者（Data Controller）對於資料的控制，以「數位自決權」為核心，透過科學技術與法律制度，進一步為實踐「資料共享」（Data Sharing）提供一個安全、便捷、自主、開放、公平而值得信賴的「資料空間」。 　　值得注意的是，透過該報告，聯邦委員會指示聯邦外交部（FDFA）與聯邦環境、運輸、能源和通訊部（DETEC）實施多項措施，以期能在2023年6月份之前，制定一部由所有利害關係人參與的可信賴資料空間操作之自願行為準則。 　　此外，該報告列舉出當下對於充分發揮資料潛力所存在的障礙，包括： 資料愈趨集中於大企業手中，且多基於自身目的而使用。 私人和公共服務的提供者在資料的使用上存在多種障礙，例如：資源不足、缺乏專業知識以及擔心競爭劣勢。 社會對於資料的使用態度轉趨保守，無論是擔心資料被濫用而侵犯隱私，或是缺乏資料共享的動機。 　　該報告更進一步指出資料流通的跨國性，因而有必要創建值得信賴且國際兼容的資料空間，為此亦須建立可信賴資料空間的國際準則，以在國際間形成法律確定性。 　　觀諸我國個人資料保護法第1條便明確指出，本法制定的目的不僅是為了保護個人資料以及相應之人格權與隱私權，而是更進一步欲透過個人資料管理制度的建構與落實，健全社會及商業互信，以期達成資料的合理利用、創造價值並促進公共福祉的終極目標。 　　關於我國的資料共享體制，現階段主要從金融機構間開始萌芽，未來如何以數位自決權為基礎，同時在充分保障資訊安全的前提下，擴及其他產業並接軌國際，有賴更多科技與法制的創造與積累、外國經驗的借鑑以及國際參與，而台灣近日以創始會員身分加入「全球跨境隱私規則論壇」（Global Cross-Border Privacy Rules Forum）即為著例。