什麼是瑞士「創業實驗室」（Venture Lab） ？

歐盟個人資料保護委員會 （European Data Protection Board, EDPB）在徵詢公眾意見後，於今（2023）年5月24日通過了「歐盟一般資料保護規則行政裁罰計算指引04/2022」（Guidelines 04/2022 on the calculation of administrative fines under the GDPR）。此一指引，旨在協調各國資料保護主管機關（Data Protection Authorities, DPAs）計算行政罰鍰的方法，以及建立計算《歐盟一般資料保護規則》(General Data Protection Regulation, GDPR )裁罰金額的「起點」（Starting Point）。 時值我國於今（2023）年5月29日甫通過《個人資料保護法》之修法，將違反安全措施義務的行為提高裁罰數額至最高1500萬，金額之提高更需要一個明確且透明的定裁罰基準，因此該指引所揭露的裁罰計算步驟值得我國參考。指引分為五個步驟，說明如下： 1.確定案件中違反GDPR行為的行為數以及各行為最高的裁罰數額。如控管者或處理者以數個行為違反GDPR時，應分別裁罰；而如以一行為因故意或過失違反數GDPR規定者，罰鍰總額不得超過最嚴重違規情事所定之數額（指引第三章）。 2.確定計算裁罰金額的起點。EDPB將違反GDPR行為嚴重程度分為低度、中度與高度三個不同的級別，並界定不同級別的起算金額範圍，個案依照違反GDPR行為嚴重程度決定金額範圍後，尚需考量企業的營業額度以定其確切金額作為裁罰數額起點（指引第四章）。 3.控管者/處理者行為對金額的加重或減輕。評估控管者/處理者過去或現在相關行為的作為加重或減輕的因素而相應調整罰鍰金額（指引第五章）。 4.針對各違反行為，參照GPDR第83條第4項至第6項確定行政裁罰上限。GDPR並沒有對具體的違反行為設定固定的罰款金額，而是對不同違反行為規範了裁罰最高額度上限，EDPB提醒，適用第三步驟或下述第五步驟所增加的額度不能超過GDPR第83條第4至第6項度對不同違反行為所訂的最高額度限制（指引第六章）。 5.有效性、嚇阻性與比例原則的考量。個資保護主管機關應針對具體個案情況量以裁罰，必須分析計算出的最終額度是否有效、是否發揮嚇阻以及是否符合比例原則，而予以相應調整裁罰額度，而如果有客觀證據表明裁罰金額可能危及企業的生存，可以考慮依據成員國法律減輕裁罰金額（指引第七章）。 EDPB重申其將不斷審查這些步驟與方法，其亦提醒上述所有步驟必須牢記，罰鍰並非簡單數學計算，裁罰金額的關鍵因素應取決具體個案實際情況。

　　英國資訊委員辦公室（Information Commissioner’s Office, ICO）於2017年7月公告Royal Free國家健康服務基金信託（Royal Free London NHS Foundation Trust）與Google人工智慧研究室DeepMind之間的資料分享協議，違反資料保護法（Data Protection Act）。 　　該協議之目的在使DeepMind利用Royal Free所提供的醫療資料，開發一款名為Streams的應用程式，透過人工智慧系統分析得知病患惡化之情況，並以手機警示方式通知臨床醫生。由於涉及病患的可識別個人資料且人數多達160萬人，協議的合法性，尤其在資料分享是否經病患同意方面，受到質疑。 　　Royal Free與DeepMind主張因應用程式是直接對病患進行醫療照護，具有病患默示同意（implied consent）之正當基礎，且資料經加密後才傳給DeepMind。惟經ICO調查結果如下： 就資料將被使用作為應用程式測試一事，病患未獲充分告知亦無合理期待； 雖執行隱私影響評估，惟僅於資料傳給DeepMind後才進行，無法發揮事前評估作用； 應用程式尚在測試階段，無法說明揭露160萬病患紀錄的必要性與手段合理性。 　　目前Royal Free已承諾改進以確保其行為合法性。ICO之認定突顯創新不應以「減損法律對基本隱私權保障」作為代價。

　　近年隨基因檢測技術成熟及成本下降的影響，基於醫療診斷或照護目的，而對於血液、其他體液、細胞或DNA所進行之基因檢測行為已有逐漸增多的趨勢，惟基因資訊使用本身往往容易觸及倫理、道德或法律層面的爭議，導致專業醫療人員在實際為檢測時容易產生法規遵循上的困難；因此，若能有明確的程序或標準可供依循，將能大幅增進基因檢測技術的商業運用價值。 　　1. 有鑑於此，三個英國醫療團體-英國皇家內科醫學院(Royal College of Physicians)、英國皇家病理科醫學院(Royal College of Pathologists)及英國人類遺傳協會(British Society for Human Genetics)於今(2011)年9月聯合公布了一份『診療性基因使用行為的同意及秘密性：基因檢測及基因資訊的分享指引』報告書(Consent and confidentiality in clinical genetic practice：Guidance on genetic testing and sharing genetic information)。該建議書之主要目的即在於指引醫療人員在使用基因資料及樣本時，應如何遵循相關的法律規範，包括1998年資料保護法(the Data Protection Act of 1998)及人類組織法(the Human Tissue Act)等；內容上則涵蓋病患同意、基因醫療行為、家族史與醫療資訊的秘密性，以及當病患所提供之基因樣本可能作為研究用途時，應如何告知等事項。 　　建議書中特別強調當病患選擇接受基因檢測以獲得更好的診療建議時，基因資訊也開始對病患個人及其家族成員帶來的風險。基此，該報告對基因檢測行為提出三項主要建議：1. 基因檢測所得到的家族史及診斷資訊只有在其他家族成員出現健康照護(healthcare)需求時，才能進行共享，且必須在醫療人員不違反保密義務的前提下進行。2. 醫療人員應當告知病患包括基因調查對其近親屬的潛在好處、部分基因訊息可能會提供給家族親屬、基因檢測可能會得到不確定或非預期的發現、其所提供之樣本及基因資訊將如何被運用，以及該樣本若對於該類型之檢測具有相當重要性時，其檢測結果可能會被收錄於國家資料庫以作為未來醫療研究之用。3. 由於醫療干預行為可能會導致基因診斷(genetic diagnoses)結果的改變，所以應該由病患本人或專業醫師直接告知其親屬，此誤差所可能導致的遺傳風險(例如血友病患者的基因診斷結果發生誤差，可能導致其近親屬生下患有血友病的下一代)。 　　目前基因檢測技術雖已趨向商業化及普及化發展，但由於基因訊息一般被界定為個人隱私資訊，因此在使用、分享及儲存上有相當之限制規範，並造成醫療人員遵循上的難度。而英國皇家內科醫學院等三個醫療團體所公佈的這份指引建議書，在內容上聚焦於告知病患的程序及病患的同意，同時擬定明確的流程圖及同意表格供各醫療人員參考使用，相信對於未來英國基因檢測技術的普及化會有相當正面之幫助。