何謂美國NITRD計畫 ?
美國NITRD計畫係指支持「網絡運作與資訊科技研發計畫(Networking and Information Technology Research and Development,NITRD)」之政府補助計畫。美國國會推動所謂的「網絡運作與資訊科技研發現代法(Networking and Information Technology Research and Development Modernization Act)」新法案,藉此取代1991年通過的高速運算法(High Performance Computing Act),進行現代化修法。新法將用來繼續支持「網絡運作與資訊科技研發計畫(Networking and Information Technology Research and Development,NITRD)」之政府補助計畫,統整21個聯邦行政機關用於發展資通訊科技之業務與預算,提升政府整體效率。藉由補助學校之外,以公私協力之方式補助企業發展非加密網路、電腦、軟體、資安及相關資訊科技,將藉由加速基礎建設發展,強化資安和隱私保護之資通訊科技。但補助主軸將取代舊法對高速運算電腦研發之重視,轉為重視發展虛實融合系統(Cyber-Physical System,CPS),以利鋪設大數據或物聯網發展所需之資通訊科技基礎建設。而這些資通訊科技的重要性不僅只是影響一般的資通訊科技發展,更能協助其他許多科技及工程領域加速發展,包括從太空科技到生技研發等。
本文為「經濟部產業技術司科技專案成果」
華盛頓特區於今〈2010〉年8月5日由阿肯薩州及維及尼亞州參議院議員Pryor及John Rockefeller所倡議之「個人資料安全及外洩通報法」〈Data Security and Breach Notification Act of 2010〉,其旨趣,在於統一美國各州不同個資外洩通報法,並嘗試為消費者個人資料之安全及隱私設定全國性的標準。 Pryor法案曾於2007年提出,惟當時未能通過,其立法緣由係為處理美國各州、聯邦及國際間政府對個資安全與日俱增之重視。其規範內容,在要求處理及儲存消費者私人資訊,諸如「社會安全碼」〈social security numbers〉之企業,一旦發生資料外洩事件,需對國家提出通報,如該事件對消費者產生現實的「身分盜竊」〈identity theft〉或「帳戶詐欺」〈account fraud〉風險,則應於發現個資外洩六十日內通知受影響之消費者。 Pryor法案之適用對象甚廣,故有認為,該法一旦通過,其將成為繼美國金融服務法〈the Gramm-Leach-Bliley Act,簡稱GLBA〉後的模範法典,其適用對象包括受GLBA規範之金融機構及任何個人〈any individual〉、合夥〈partnership〉、公司〈corporation〉、信託〈trust〉、工地產產業〈estate〉、合作社〈cooperative〉、協會〈association〉、維持或傳送「敏感的會計資訊」或「敏感的個人資訊」之業主〈entity that maintains or communicates “sensitive account information” or “sensitive personal information”〉,但並不包括任何政府辦事處或其他聯邦、州政府單位、地方政府〈any agency or other unit of the federal,state, or local government〉或任何其下所再劃分之單位〈any subdivision thereof〉。 惟此一倡議中之資料安全立法不論法令遵循或執行皆有一定難度,因該法雖要求對超出「損害門檻」之資料外洩需對消費者通報,但對「損害門檻」並無明確定義。此外,受影響之企業似無實行適當風險評估之誘因,除需耗費大量成本評估外洩事件是否超過損害門檻外,尚需面臨企業名譽受損與客戶不滿之損失,在個資外洩要素風險指導原則付之闕如之情形下,企業恐無法客觀地評估自身個資外洩之風險。故有建議,解決之道,應明定損害門檻,並聘請外部專家或使用市場新工具,訂定客觀的指導原則,使企業在處理個資外洩問題時能減輕混亂及鼓勵評估結果的一致性並縮短風險評估的時間。 就資訊安全部分,此法案揭櫫於其通過一年內,美國商務、科學及交通委員會〈Committee on Commerce, Science, and Transportation〉應頒布規定,要求擁有或處理含有個人資料或契約之企業,必須建立並執行蒐集、使用、出售,及其他傳播、維持個人資訊之資訊安全政策,以達保護個人資料之目的。
澳洲隱私保護辦公室檢討實施「選擇退出機制」後對「我的健康紀錄系統」之影響澳洲隱私保護辦公室(Office of the Australian Information Commissioner,OAIC)在2019年11月發布的「2018-2019年度健康數位資料報告」(Annual Report of the Australian Information Commissioner’s activities in relation to digital health 2018–19),主要說明澳洲政府實施「選擇退出機制」(opt-out)後,對「我的健康紀錄系統」(My Health Record System)(下稱系統)發生的影響,以及有將近1成的國民大量選擇退出系統,造成系統的醫療健康資料統計困難之檢討。 OAIC認為會發生國民大量選擇退出系統的原因,主要是不信任政府對系統資料保護及不清楚系統使用功能有關,因此提出年度報告,內容如下: 一、改善民眾對醫療資料保護的不信任,例如對醫療業者,開發保護病患隱私的指導教材,防止、外洩即時處理的能力。 二、加強宣傳,例如開發線上資源、影音等,讓民眾在使用系統時能有更清楚認識,且對選擇退出有更明確的認知。 三、改進系統設計,讓民眾能更清楚的看見使用說明,也能隨時掌握在系統上的資訊、設置警報提醒來防止他人侵入、也增加取消功能使資料達到永久刪除的效果。 建置該系統之目的,是因為國家有蒐集與使用國民的醫療健康資料需求,國民也能使用系統查看醫療紀錄、藥物過敏紀錄、曾使用與正在使用的藥物、血液檢查等;醫療人員也能透過醫療資料之電子化,減少重複及不必要的醫療檢查、對症下藥、避免因過敏引起的反應等,將醫療資源做有效的運用。 系統建置是依據「我的健康紀錄法」(My Health Records Act 2012)第三章第一節註冊規定,要將國民的醫療健康資料納入系統,但不願意加入者,得選擇退出系統。而澳洲政府依據此法訂定選擇退出機制,2018年7月正式實施,要求全民強制加入系統,同時開放選擇退出機制,讓不願意加入系統的國民能選擇退出系統;選擇退出機制截止日期原先在2018年10月中旬,但在國民大量反應下,澳洲政府決定延至2019年1月底;在選擇退出機制的實施截止後,OAIC在2019年11月對選擇退出機制做出檢討報告,期望能透過檢討報告提出的建議來增強民眾對系統的信任與促進系統使用率。
RFID應用發展與相關法制座談會紀實 醫療器材審核制度仍有爭議 歐洲議會延後表決時程在歐盟發生了諸如法國隆乳植入物醜聞(PIP scandal)以來的諸多事件後,歐盟醫療器材審核制度的革新更顯得刻不容緩。然而,歐盟執委會提案修正過往歐盟對於醫療器材之相關規範,強化市場化前(pre-market)的審核機制,引起了各界不同的意見,因此本年七月初,歐洲議會決定延後新指令修正案的表決至9月,以爭取時間取得各成員國代表間的共識。 為強化對於患者健康的保障,歐盟執委會(European Commission)於2012年提出醫療器材規則修正案(Proposal for a Regulation of the European Parliament and of the Council on medical devices),並包括對2001/83號指令等(Directive 2001/83/EC, Regulation (EC) No 178/2002 and Regulation (EC) No 1223/2009)的修正,已建立更完善的歐盟醫療器材管理機制。其中包括歐盟統一而集中的審核程序,此舉卻引起不同意見,認為過於科層化(bureaucratic)的市場化前審核制度設計,將阻礙研發且不見得對病患有利。有歐洲議會議員指出,現行制度雖有進化的必要,然集中化(centralisation)的審核工作,對於行政負擔的加重,或許不如先在各國家層級的管理機制進行強化。而歐盟醫療器材產業界也認為,集中統一化的審核機制,將會對於中小型研發企業造成衝擊,間接影響歐盟醫材類技術領域的科技研發,業界認為,新法案對於所謂對患者具有高風險第三類醫療器材(Class III devices)的審核,將使得患者延遲3至5年才能得到可以拯救其性命的產品,相對地卻沒有得到甚麼安全的提升。 七月初,歐洲議會公共健康與食品安全委員會(Public Health and Food Safety Committee, ENVI)決議將推遲法案表決至9月18日,屆時表決的結果,將主導未來歐盟醫療器材管理的主要方向。