何謂「美國創新戰略」？

美國伊利諾州伊利諾最高法院（Illinois Supreme Court）於2023年11月30日對Mosby v. The Ingalls Memorial Hospital et al.案做出判決：認定符合聯邦法規健康保險流通與責任法（Health Insurance Portability and Accountability Act, HIPAA）規定，基於「治療、付款或健康照護運作」之前提下，除病患外即使是醫療服務提供者的生物識別資訊被蒐集、利用或揭露，同樣不受伊利諾州生物資訊隱私法（Biometric Information Privacy Act, BIPA）的保護。 伊利諾州現行以BIPA對蒐集或保留任何個人的生物識別資訊（如虹膜、聲紋、指紋或生物樣本等）做了較為嚴格的限制，原則上這些資訊不能在未經當事人同意的情況下被蒐集、利用或揭露。除非是1.由醫療保健機構從患者身上蒐集的生物識別資訊；或2.根據HIPAA規定，基於進行治療、付款或健康照護運作的前提來蒐集、使用或儲存的生物識別資訊，才可例外免經當事人同意（biometric identifiers do not include information captured from a patient in a health care setting or information collected, used, or stored for health care treatment, payment, or operations under the federal HIPAA.）。然而，基於進行治療、付款或健康照護運作的前提，資料主體除接受治療或健康照護的病患外，是否涵蓋醫療服務提供者（如醫護人員），則有疑義。 本案因醫院的護理人員認為醫療院所未經同意，使用帶有指紋掃描功能的藥品櫃，來蒐集、使用或儲存了他們的生物識別資訊，因此提起訴訟。伊利諾州的地方法院和巡迴上訴法院於本案均支持原告提出的主張。然而，伊利諾州最高法院審理時則透過文義解釋以及條文結構分析之方式，認為立法者係有意於例外規定中重複使用「資訊」一詞，兩次「資訊」之內涵應有不同。故前段的資訊係指患者的資訊，而後段的資訊來源則應包含了醫療照護提供者，方符合立法者真意。 生物識別資訊風險較高，過去被認為需要取得當事人積極同意授權；於本案中伊利諾州最高法院權衡認為基於「治療、付款或健康照護運作」情境下，如本案情形係用來確保醫藥品被正確分配給需要的患者，因此對患者以外的醫療人員隱私權做出限制符合例外規定。本案揭示了個資隱私得為合理利用的情境之一，然而HIPAA對於資料傳輸較寬鬆的規範會否又與資料保護的趨勢有所違背，仍須持續關注相關案例發展。

　　2018年7月27日印度電子及資訊科技部（Ministry of Electronics and Information Technology, MeitY）公告個人資料保護法草案（Protection of Personal Data Bill），若施行將成為印度首部個人資料保護專法。 　　其立法背景主要可追溯2017年8月24日印度最高法院之判決，由於印度政府立法規範名為Aadhaar之全國性身分辨識系統，能夠依法強制蒐集國民之指紋及虹膜等生物辨識，國民在進行退稅、社會補助、使用福利措施等行為時都必須提供其個人生物辨識資料，因此遭到人權團體控訴侵害隱私權。最高法院最後以隱私權為印度憲法第21條「個人享有決定生活與自由權利」之保護內涵，進而認為國民有資料自主權，能決定個人資料應如何被蒐集、處理與利用而不被他人任意侵害，因此認定Aadhaar專法與相關法律違憲，政府應有義務提出個人資料專法以保護國民之個人資料。此判決結果迫使印度政府成立由前最高法院BN Srikrishna法官所領導之專家委員會，研擬個人資料保護法草案。 　　草案全文共112條，分為15章節。主要重點架構說明如下： 設立個資保護專責機構（Data Protection Authority of India, DPAI）：規範於草案第49至68條，隸屬於中央政府並由16名委員所組成之委員會性質，具有獨立調查權以及行政檢查權力。 對於敏感個人資料（Sensitive personal data）[1]之特別保護：草案在第4章與第5章兩章節，規範個人與兒童之敏感個人資料保護。其中草案第18條規定蒐集、處理與利用敏感個人資料前，必須獲得資料主體者（Data principal）之明確同意（Explicit consent）。而明確同意是指，取得資料主體者同意前，應具體且明確告知使用其敏感個人資料之目的、範圍、操作與處理方式，以及可能對資料主體者產生之影響。 明確資料主體者之權利：規範於草案第24至28條，原則上資料主體者擁有確認與近用權（Right to confirmation and access）、更正權（Right to correction）、資料可攜權（Right to data portability）及被遺忘權（Right to be forgotten）等權利。 導入隱私保護設計（Privacy by design）概念：規範於草案第29條，資料保有者（Data fiduciary）應採取措施，確保處理個人資料所用之技術符合商業認可或認證標準，從蒐集到刪除資料過程皆應透明並保護隱私，同時所有組織管理、業務執行與設備技術等設計皆是可預測，以避免對資料主體者造成損害等。 指派（Appoint）資料保護專員（Data protection officer）：散見於草案第36條等，處理個人資料為主之機構、組織皆須指派資料保護專員，負責進行資料保護影響評估（Data Protection Impact Assessment, DPIA），洩漏通知以及監控資料處理等作業。 資料保存之限制（Data storage limitation）：規範於草案第10條與第40條等，資料保有者只能在合理期間內保存個人資料，同時應確保個人資料只能保存於本國內，即資料在地化限制。 違反草案規定處高額罰金與刑罰：規範於草案第69條以下，資料保有者若違反相關規定，依情節會處以5億至15億盧比（INR）或是上一年度全球營業總額2%-4%罰金以及依據相關刑事法處罰。 [1]對於敏感個人資料之定義，草案第3-35條規定，包含財務資料、密碼、身分證號碼、性生活、性取向、生物辨識資料、遺傳資料、跨性別身分（transgender status）、雙性人身分（intersex status）、種族、宗教或政治信仰，以及與資料主體者現在、過去或未來相連結之身體或精神健康狀態的健康資料（health data）。

　　美國財政部外國資產控制辦公室（The US Department of the Treasury’s Office of Foreign Assets Control, OFAC）於2021年9月21日更新並發布了與勒索軟體支付相關之制裁風險諮詢公告（Updated Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments）。透過強調惡意網絡活動與支付贖金可能遭受相關制裁之風險，期待企業可以採取相關之主動措施以減輕風險，此類相關之主動措施即緩減風險之因素（mitigating factors）。 　　該諮詢認為對惡意勒索軟體支付贖金等同於變相鼓勵此種惡意行為，故若企業對勒索軟體支付，或代替受害企業支付贖金，未來則有受到制裁之潛在風險，OFAC將依據無過失責任（strict liability），發動民事處罰（Civil Penalty制度），例如處以民事罰款（Civil Money Penalty）。 　　OFAC鼓勵企業與金融機構包括涉及金錢存放與贖金支付之機構，應實施合規之風險管理計畫以減少被制裁之風險，例如維護資料的離線備份、制定勒索事件因應計畫、進行網路安全培訓、定期更新防毒軟體，以及啟用身分驗證協議等；並且積極鼓勵受勒索病毒攻擊之受害者應積極聯繫相關政府機構，例如美國國土安全部網路安全暨基礎安全局、聯邦調查局當地辦公室。

　　哈佛大學的醫學研究人員最近公開表示，他們已經展開複製人類胚胎、創造幹細胞的工作，由於布希政府在數年前即已頒布禁令，禁止聯邦政府資助新的幹細胞系，故哈佛幹細胞研究所的這項計劃將以私人募集的基金進行。 　　人類胚胎幹細胞的研究一直具爭議性，因為抽取細胞需要破壞人類胚胎。哈佛幹細胞研究計劃以創造特定疾病的幹細胞系為目標，希望研發出多種不治之症的療法。哈佛大學認為這項計劃的潛在好處，大於人類生命神聖遭挑戰的關切，蓋其長期目標是，創造從病患細胞組織取得的胚胎幹細胞，修正基因缺陷，將修復細胞植回病患體內。校長薩默斯在聲明中說：「雖然我們了解且尊重反對此項研究者所持的信念，我們同樣誠摯地面對我們的信仰，相信攸關無數受苦孩童與成人生死的醫學需要，賦予這項研究繼續前進的正當性。」