俄亥俄州通過醫療用大麻合法化
在俄亥俄州長於2016年6月18日簽署通過HB523法案後,俄亥俄州正式成為美國第25個將醫療用大麻合法化的州。這項法案將在今年11月生效,並且允許重症患者使用及採買醫療用大麻。
與原本在2015年11月被退回的法案相比,娛樂性用途大麻直接被排除在本次法案適用範圍外,而且不允許個人在家裡種植或是直接抽食。因此,與一般人想像中,如同荷蘭般的大麻合法化政策相當不同。
當然,某種層面上來說,這項法案對重症病患是一大福音,他們可以合法取得大麻,不再因為持有大麻而被當成罪犯。但是俄亥俄州這部法案對於大麻使用者於現實生活中情況能帶來多大的改善,仍讓人懷疑。因為在俄亥俄州現行法律及行政系統下,俄亥俄州政府並未隨著新的法案,推行相關行政措施。一般來說,在大麻合法化之區域,通常會要求雇主不得禁止員工使用與持有醫療用大麻,或是不可以因當事人有使用、持有或散佈醫療用大麻之紀錄或習慣,而拒絕錄用或是解聘之,同時,會禁止對員工施行藥物檢查。倘若雇主有前列之行為,通常會面臨處罰,例如:主管機關會取消該名雇主原先所享有之稅捐優惠或其他惠優措施。此外,員工得因雇主反禁藥之行為,對雇主提起訴訟。是以,在缺乏相關行政配套措施的情況下,俄亥俄州的大麻使用者未來在工作場所中,仍將會面臨許多挑戰以及障礙。
總而言之,俄亥俄州通過這部法案,在法律上可謂是一大里程碑,但尚與一般大眾認知的「大麻合法化」仍存有很大的差距。同時,未在行政作為上採取相對應的保障措施,仍可以想像將來醫療用大麻使用者在社會上仍將面臨許多障礙。
林秉昱
法律研究員 編譯整理
Michael W. Groebe, Governor Kasich LEgalizesMarijuana After Boy Band Member Could Not, The National Law Review, (Aug 1st 2016), http://www.natlawreview.com/article/governor-kasich-legalizes-marijuana-after-boy-band-member-could-not (last visited Aug 3rd, 2016).
David, Ohio becomes the 25th medical marijuana state!, Cannabis Now June 9th, 2016 https://cannabisnow.com/ohio-becomes-25th-medical-marijuana-state/ (last visited Aug 3th, 2016)
Marijuna-authorize use for medical porposes-controls,OH H.B. 523, https://www.legislature.ohio.gov/legislation/legislation-documents?id=GA131-HB-523
2018年7月27日印度電子及資訊科技部(Ministry of Electronics and Information Technology, MeitY)公告個人資料保護法草案(Protection of Personal Data Bill),若施行將成為印度首部個人資料保護專法。 其立法背景主要可追溯2017年8月24日印度最高法院之判決,由於印度政府立法規範名為Aadhaar之全國性身分辨識系統,能夠依法強制蒐集國民之指紋及虹膜等生物辨識,國民在進行退稅、社會補助、使用福利措施等行為時都必須提供其個人生物辨識資料,因此遭到人權團體控訴侵害隱私權。最高法院最後以隱私權為印度憲法第21條「個人享有決定生活與自由權利」之保護內涵,進而認為國民有資料自主權,能決定個人資料應如何被蒐集、處理與利用而不被他人任意侵害,因此認定Aadhaar專法與相關法律違憲,政府應有義務提出個人資料專法以保護國民之個人資料。此判決結果迫使印度政府成立由前最高法院BN Srikrishna法官所領導之專家委員會,研擬個人資料保護法草案。 草案全文共112條,分為15章節。主要重點架構說明如下: 設立個資保護專責機構(Data Protection Authority of India, DPAI):規範於草案第49至68條,隸屬於中央政府並由16名委員所組成之委員會性質,具有獨立調查權以及行政檢查權力。 對於敏感個人資料(Sensitive personal data)[1]之特別保護:草案在第4章與第5章兩章節,規範個人與兒童之敏感個人資料保護。其中草案第18條規定蒐集、處理與利用敏感個人資料前,必須獲得資料主體者(Data principal)之明確同意(Explicit consent)。而明確同意是指,取得資料主體者同意前,應具體且明確告知使用其敏感個人資料之目的、範圍、操作與處理方式,以及可能對資料主體者產生之影響。 明確資料主體者之權利:規範於草案第24至28條,原則上資料主體者擁有確認與近用權(Right to confirmation and access)、更正權(Right to correction)、資料可攜權(Right to data portability)及被遺忘權(Right to be forgotten)等權利。 導入隱私保護設計(Privacy by design)概念:規範於草案第29條,資料保有者(Data fiduciary)應採取措施,確保處理個人資料所用之技術符合商業認可或認證標準,從蒐集到刪除資料過程皆應透明並保護隱私,同時所有組織管理、業務執行與設備技術等設計皆是可預測,以避免對資料主體者造成損害等。 指派(Appoint)資料保護專員(Data protection officer):散見於草案第36條等,處理個人資料為主之機構、組織皆須指派資料保護專員,負責進行資料保護影響評估(Data Protection Impact Assessment, DPIA),洩漏通知以及監控資料處理等作業。 資料保存之限制(Data storage limitation):規範於草案第10條與第40條等,資料保有者只能在合理期間內保存個人資料,同時應確保個人資料只能保存於本國內,即資料在地化限制。 違反草案規定處高額罰金與刑罰:規範於草案第69條以下,資料保有者若違反相關規定,依情節會處以5億至15億盧比(INR)或是上一年度全球營業總額2%-4%罰金以及依據相關刑事法處罰。 [1]對於敏感個人資料之定義,草案第3-35條規定,包含財務資料、密碼、身分證號碼、性生活、性取向、生物辨識資料、遺傳資料、跨性別身分(transgender status)、雙性人身分(intersex status)、種族、宗教或政治信仰,以及與資料主體者現在、過去或未來相連結之身體或精神健康狀態的健康資料(health data)。
歐盟個資保護委員會大致認定南韓個資保護法具適足性認定,但須進一步評估歐盟個資保護委員會(EDPB)今(2021)年9月27日,就與南韓個人資料保護法(Personal Information Protection Act, PIPA)之適足性認定草案發表意見,認為南韓的個資保護框架與歐盟大致相同。但EDPB 同時也指出,在歐盟執委會做出決定之前,某些部分仍需要釐清。釐清的部分包含: 今年6月歐盟執委會公布並通過的適足性認定草案中,該草案之可執行性與有效性不應僅拘束南韓個資保護機構,也應對司法機構具有效力。除此之外,EDPB 也針對南韓PIPA 免除多項匿名化資訊之義務提出質疑;又南韓相關法令對「同意」之撤銷(或撤回)事由有所限定,應確保其對資料主體「同意」之保障持續符合適足性認定的要求。 至於在資料進一步移轉(onward transfers)方面,EDPB 認為即便資料主體知悉並同意其個資傳輸,仍應告知其資料是否會移轉到第三國之相關風險;以及若個資主體的同意無法符合GDPR 對有效同意之定義時(例如雙方地位不對等時,該同意即非有效),該個資不會從南韓之資料控管者傳輸至第三國;在對此議題南韓未具體修訂相關法令時,與國安相關的個資若進一步移轉,是否會受到憲法框架(如比例原則)和PIPA 中個資保護原則的充分保障? 而在行政部門存取傳輸到南韓的個資方面,許多議題也需要釐清並引起關注。如與國安方面相關的個資處理,係受PIPA 抑或其他更為限縮的法令限制?又電信業者自願向國安部門揭露使用者個資時,必須同時通知相關的個資主體;EDPB 並希望歐盟執委會釐清,若歐洲經濟區(EEA)內的個人向南韓個資保護機構或司法機構提出救濟時,相關的救濟程序是否實質有效(例如舉證責任的規定為何)? 於新聞稿中,EDPB 主席 Andrea Jelinek 表示:「歐盟對此適足性認定相當重視,因其將涵蓋公部門與私部門資料的傳輸。而適足的個資保護對支持歐盟與南韓的長期關係與個人權利、自由方面至關重要。雖然EDPB 認為南韓的個資保護框架與歐盟大致相同,然仍建議歐盟執委會密切關注適足性認定的各方發展。」
美國衛生暨福利部於09年8月公布關於醫療資訊外洩通知義務之暫行最終規則於2000年基因圖譜解碼後,「基因歧視」議題成為各界關注焦點,而在電子通訊技術之配合下,更加速了包括基因資訊之個人醫療資訊的流通。在此時空背景下,如何能在善用相關技術所帶來的便捷同時,也對於相關資訊不甚外流時,得以有適切的因應措施以保障患者之隱私,成為了必須處理的問題。 美國國會甫於今年(2009年)2月所通過的「經濟與臨床健康資訊科技法」 (The Health Information Technology for Economic and Clinical Health Act, HITECH) 之相關修正中,強化了對醫療資訊之保護,其中要求美國衛生暨福利部(the Department of Health and Human Service, HHS ),針對受保護之醫療資訊未經授權而取得、侵入、使用或公開外洩之情形擬定「暫行最終規則」(interim final rule)進行管理,該項規則亦於今年(2009年)8月24日公布。值得注意的是,HITECH之規範主體(適用主體、商業夥伴)與保護客體(未依法定方式做成保護措施之健康資訊)皆沿用「1996醫療保險可攜性與責任法案」(the Health Insurance Portability and Accountability Act of 1996, HIPAA)之定義。然而,與HIPPA最大的不同在於, HIPAA中僅以私人契約之隱私權政策間接地管理醫療資料外洩事件,但於暫行最終規則中直接課以相關主體一項明確且積極的法定通知義務。HITECH之規範主體,基於其注意義務,應於得知或可得而知之日起算,60日內完成通知義務;視醫療資訊外洩之嚴重程度,其通知之對象亦有所不同,必要時應通知當地重要媒體向外發布訊息,HHS也將會以表單方式公布於其網站中。 整體而言,HITECH首次課以規範主體主動向可能受影響個人通知醫療資訊外洩事件之義務,此為HIPPA過去所未規範者;其次HITECH也突破HIPAA過往基於契約關係執行相關隱私權及安全規定之作法,於法規上直接對於洩露醫療資訊之相關主體課以刑責,強化了違反HIPAA隱私權與安全規定之法律效果。惟值得注意的是,受限於美國國會對HHS提出最終規則之期限要求,HHS現階段所提出的版本僅屬暫行規定,最終規定之最終確切內容仍有待確定,也值得我們持續觀察。
瑞典最高法院關於維基所設立公共藝術品之照片資料庫之判決瑞典最高法院(Högsta domstolen)於2016/04/04 針對維基基金會(Wikimedia Sverige)與瑞典照片藝術著作權團體(Bildkonst Upphovsrätt i Sverige-BUS)之訴訟案,認定維基基金會無權經由網路提供公共藝術品資料庫(Swedish WikiMedia Art Map)予公眾使用。 本案由瑞典視覺藝術著作權團體於2016/06在瑞典斯德哥爾摩地方法院向維基基金會以侵犯藝術家(konstnärer)對其作品在線上之公眾提供權而提起訴訟。此案爭點在維基未得藝術家之同意前,維基是否可免費提供公共藝術品資料庫供大眾接近使用。因本件訴訟涉及瑞典著作權法24條第1項公共藝術品之轉載重製(24 § Konstverk får avbildas)。瑞典斯德哥爾摩地方法院依民事訴訟法第56章第13條向瑞典最高法院針對此爭議提出判決前置問題(beslut av tingsrätten om hänskjutande enligt 56 kap. 13 § rättegångsbalken)。 瑞典最高法院認為觀光客固然可以對置於公共場所之雕塑品等公共藝術品為攝影,但資料庫是否可無限制使用這些照片則是另一問題。公共藝術品照片資料庫被推定有一定某種程度之商業價值,且不論其是否具商業目的,最高法院認定藝術家有權利去主張此價值。 維基基金會認為此判決弱化表現自由中之基本元素之視覺自由(the freedom of panorama)。需強調的是,此決定只是針對公共藝術品資料庫之運用,並不影響私人上傳公共藝術品照片至社群媒體之權利。 本文同步刊登於TIPS網站(https://www.tips.org.tw)