法國參議院關於資料在地化(Data Localization)之修法提案
為實現歐洲公民資料一致保護水準之期待,全面革新歐盟各會員國資料保護規範的一般資料保護規則(General Data Protection Regulation, GDPR),已於2016年4月14日由歐洲議會正式通過,且將在2018年5月25日生效,該規則異於資料保護指令(Data Protection Directive,95/46/EC)之處,在於規則無待各會員內國法化,得以直接適用,然而生效前的過渡期間,歐盟各國為因應新修正規則預作準備;近期,法國政府在「數位共和國」(République Numérique)法案中,欲修改現行關於資料保護之法律,如法國資料保護法(Loi Informatique et Libertes Act N°78-17 Of 6 January 1978),以達歐盟資料保護水準。
法國國民議會(Assemblée nationale)於2016年1月一讀通過,參議院(Sénat)隨後在5月提出修正案中第26 條之一(Article 26 bis A),要求個人資料應儲存於歐盟或法國境內的資料中心,同時為符合與歐盟的國際承諾會員國,並禁止個人資料傳輸至非歐盟的第三國,而參議院修法理由是為了確保法國規範符合歐盟資料保護水準,並依據先前歐盟法院關於安全港無效之判決的結果為修訂。
然而,資料在地化條款目前仍不明確,但此規定恐對資料傳輸設下更多限制;雖然在GDPR第23條規範關於各國決定限制權利和義務的範圍,資料傳輸至第三國並不在此列,故為加速修法程序,聯合調解委員會(Commission mixte paritaire)將於近期內審查調整,國民議會和參議院的代表仍能針對此條款提出意見以達成最終共識,後續修法值得關注。
- Myriam Gufflet, CIPM , French Senate proposes data localization
- Loi 78-17 du 6 janvier 1978 modifiée
- Sénat, PROJET DE LOI pour une République numérique
- Sénat, Projet de loi pour une République numérique :procédure accélérée engagée par le Gouvernement le 9 décembre 2015
- Gouvernement.fr , Digital Republic Bill Introduction
- Position of the Council at first reading with a view to the adoption of a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of natural persons with regard to the processing of
- European Commission, Reform of EU data protection rules
孫鈺婷
專案經理 編譯整理
European Commission, Reform of EU data protection rules, http://ec.europa.eu/justice/data-protection/reform/index_en.htm (last visited MAY. 25, 2016).
Position of the Council at first reading with a view to the adoption of a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CONSIL:ST_5419_2016_INIT&from=EN (last visited MAY. 25, 2016).
Gouvernement.fr , Digital Republic Bill Introduction, http://www.republique-numerique.fr/pages/digital-republic-bill-rationale (last visited MAY. 25, 2016).
Sénat, Projet de loi pour une République numérique :procédure accélérée engagée par le Gouvernement le 9 décembre 2015, http://www.senat.fr/dossier-legislatif/pjl15-325.html (last visited MAY. 25, 2016).
Sénat, PROJET DE LOI pour une République numérique, http://www.senat.fr/leg/tas15-131.htm (last visited MAY. 25, 2016).
Loi 78-17 du 6 janvier 1978 modifiée, https://www.cnil.fr/fr/loi-78-17-du-6-janvier-1978-modifiee (last visited MAY. 25, 2016).
Myriam Gufflet, CIPM , French Senate proposes data localization, https://iapp.org/news/a/french-senate-proposes-data-localization/ (last visited MAY. 25, 2016).
美國紐約第二巡迴法院上訴法院於2007年6月5日做出判決,認定FCC對於廣電節目是否違反猥褻言論規範之判斷標準為恣意專斷(arbitrary and capricious)的決定。此一案件起因於福斯電視台轉播2002年及2003年音樂告示排行榜頒獎典禮(Billboard Music Awards)時,歌手Cher及名人Nicole Richie分別在典禮中說出不雅言詞,事後FCC認定福斯電視台之轉播違反廣電節目之猥褻言論相關規範。福斯電視台對於FCC之認定不服,因而向法院提起訴訟。 依照過去FCC對猥褻言論之認定標準來看,「瞬間之咒罵言詞」(fleeting expletives)並不屬於猥褻言論,廣電節目中播出相關內容並不違反猥褻言論之管制規範。但自2003年起,FCC改變認定標準,認為所有不雅言詞均不可避免地帶有性暗示之內涵,因此廣電節目中凡涉及不雅言論之內容都是猥褻言論。 根據紐約第二巡迴法院上訴法院之判決指出,FCC的決定毫無疑問地改變了對於廣電節目是否違反猥褻言論規範之認定標準,且FCC對於改變認定標準一事所提出的理由並不具有說服力;FCC於訴訟過程中亦承認,即便在決定改變認定標準前,也沒有證據顯示廣播電視台曾密集播送充滿咒罵言論之內容。因此,紐約第二巡迴法院上訴法院認為,FCC改變認定標準一事乃是恣意專斷的決定,從而撤銷FCC對於福斯節目之認定。對於法院之判決,FCC主席Kevin Martin表示遺憾以及難以置信,將會委請律師研議是否繼續上訴最高法院。
WHO公布實施遠距醫療綜合指引COVID-19大流行對公共衛生保健服務施加了巨大壓力,同時限制了實體醫療服務的近用,引起人們對實施或擴大實施遠距醫療(Telemedicine)的極大興趣。為了對應全球對遠距醫療服務的增長,世界衛生組織(World Health Organization , WHO)於今(2022)年11月9日發布《實施遠距醫療綜合指引》(Consolidated Telemedicine Implementation Guide),以幫助政策制定者、決策者與實行者設計與監管遠距醫療之實施。 遠距醫療,涉及使用數位科技來克服公衛服務的距離障礙,具有改善臨床管理和擴大醫療服務覆蓋範圍之潛力。遠距醫療已證明的好處包含減少不必要的臨床就診、提供更及時的醫護和擴大醫療服務的覆蓋率。 這份指引建議政策決策者以及設計和監管遠距醫療之實施人員,實施遠距醫療應分為三個階段,其詳細步驟重點如下: 階段一:評估情況 1.組建團隊,並確立目標:確定應參與遠距醫療設計、管理和實施的利害關係人。 2.定義衛生計畫的背景與目標:確定遠距醫療的服務計畫與其地理範圍。 3.對作業環境進行分析:對應用軟體(Software Applications)與通信平台的訊息傳遞通道(Channel)進行作業環境分析、評估應用軟體是否可符合硬體之需求。 4.評估有利環境:包含評估數位成熟度以確定基礎設施與組織需求、審查公衛工作者的能力、評估監管與政策之顧慮、考慮資訊跨域流動之影響、探討財政機制。 階段二:實施之規劃 1.確定遠距醫療系統將如何運作:定義功能性和非功能性需求、因應需求更新之工作流程、進行廣泛的用戶測試、變更管理計畫。 2.實施病人與衛生系統工作者之安全與保護機制:包含建立個資隱私、近用和保護病人個資的系統、實施公衛人員身分驗證之方式、決定並揭露是否會進行錄音錄影等事項。 3.建立標準操作程序(Standard Operating Procedures, SOP):確定遠距醫療適用的案例與潛在責任、決定培訓方式與支持管道、建立確定身分之流程、建立明確的同意文件、討論是否需改變公衛人員的薪酬、建立聯網醫療器材(Connected Medical Devices)的管理計畫。 4.強化客戶/病人參與以及性別、公平與利害關係人權利:決定遠距醫療之推廣機制(Mechanisms for Outreach)、評估遠距醫療之公平性、對利害關係人權利的影響與確保殘疾人士的可近用性。 5.制定預算:確定總成本預算、計畫如何將遠距醫療服務整合到常態醫療服務和採購安排之中。 階段三:監測和評估(Monitoring and Evaluation, M&E)與持續改善 1.確定監測和評估目標:定義績效評估和影響指標。 2.計畫持續改善和適應性管理:加入日常監管和持續改善機制、降低潛在風險。 WHO最後提醒遠距醫療是對於醫療服務的補充而非取代,並提供一個確保病人安全、隱私、追溯性、問責制的可監督環境。 本文同步刊載於stli生醫未來式網站(https://www.biotechlaw.org.tw)
美伊利諾最高法院判決:醫療服務提供者例外不受生物資訊隱私法保護美國伊利諾州伊利諾最高法院(Illinois Supreme Court)於2023年11月30日對Mosby v. The Ingalls Memorial Hospital et al.案做出判決:認定符合聯邦法規健康保險流通與責任法(Health Insurance Portability and Accountability Act, HIPAA)規定,基於「治療、付款或健康照護運作」之前提下,除病患外即使是醫療服務提供者的生物識別資訊被蒐集、利用或揭露,同樣不受伊利諾州生物資訊隱私法(Biometric Information Privacy Act, BIPA)的保護。 伊利諾州現行以BIPA對蒐集或保留任何個人的生物識別資訊(如虹膜、聲紋、指紋或生物樣本等)做了較為嚴格的限制,原則上這些資訊不能在未經當事人同意的情況下被蒐集、利用或揭露。除非是1.由醫療保健機構從患者身上蒐集的生物識別資訊;或2.根據HIPAA規定,基於進行治療、付款或健康照護運作的前提來蒐集、使用或儲存的生物識別資訊,才可例外免經當事人同意(biometric identifiers do not include information captured from a patient in a health care setting or information collected, used, or stored for health care treatment, payment, or operations under the federal HIPAA.)。然而,基於進行治療、付款或健康照護運作的前提,資料主體除接受治療或健康照護的病患外,是否涵蓋醫療服務提供者(如醫護人員),則有疑義。 本案因醫院的護理人員認為醫療院所未經同意,使用帶有指紋掃描功能的藥品櫃,來蒐集、使用或儲存了他們的生物識別資訊,因此提起訴訟。伊利諾州的地方法院和巡迴上訴法院於本案均支持原告提出的主張。然而,伊利諾州最高法院審理時則透過文義解釋以及條文結構分析之方式,認為立法者係有意於例外規定中重複使用「資訊」一詞,兩次「資訊」之內涵應有不同。故前段的資訊係指患者的資訊,而後段的資訊來源則應包含了醫療照護提供者,方符合立法者真意。 生物識別資訊風險較高,過去被認為需要取得當事人積極同意授權;於本案中伊利諾州最高法院權衡認為基於「治療、付款或健康照護運作」情境下,如本案情形係用來確保醫藥品被正確分配給需要的患者,因此對患者以外的醫療人員隱私權做出限制符合例外規定。本案揭示了個資隱私得為合理利用的情境之一,然而HIPAA對於資料傳輸較寬鬆的規範會否又與資料保護的趨勢有所違背,仍須持續關注相關案例發展。
歐盟擬大幅調降文字簡訊傳輸費用歐盟執委會電信委員Viviane Reding提出一項擴大手機漫遊簡訊計畫(cross-border text messages plans),主要內容系將目前平均一通49美分的漫遊文字簡訊傳輸調降70%以下。在確定這項政策可以獲得歐盟民意的支持後,新的正式立法計畫將在2008年秋天完成,經過歐盟政府與歐盟議會同意後,預計於2009年的夏天實施這項新政策。 雖然丹麥建議以4.2美分作為零售文字漫遊簡訊的價格上限,但是在徵詢各方意見後,電信委員會最後仍然決定以12美分做為文字漫遊簡訊的價格上限。除此之外,依據電信委員會的消息指出,文字漫遊簡訊的批發價上限也將可能調降在4到8美分之間。 有業者表示,歐盟電信委員會增加對於電信費率的價格管制,將會降低業者研發新服務的意願。但是,歐盟電信委員會認為業者的主張,並不能構成文字簡訊費率上限政策施行的阻礙。 由於文字簡訊的市場已經成熟,業者在此項服務的獲利上已相當穩定,因此透過合理的價格上限,可以讓消費者有更符成本的漫遊文字簡訊服務,同時業者也能持續在此項服務上獲利。但是反觀資料傳輸尚處於萌芽階段,因此電信管制者與系統業者皆認為目前就漫遊的資料傳輸進行價格上限管制尚不適宜。 另外,Reding於2007年曾提議對於歐洲漫遊語音通話的價格進行上限管制,此項電信費率政策受到習慣於暑假進行跨國旅遊的歐盟居民的歡迎,Reding表示此項於2009年到期的政策極可能再延長三年至2012年。