美國衛生及公共服務部提出雲端服務適用健康保險可攜與責任法之相關指引
美國醫療產業使用境內或境外雲端服務(Cloud Services)急速成長,導致「健康保險可攜與責任法」(Health Insurance Portability and Accountability Act,以下簡稱HIPAA)規範下之「適用機構」(Covered Entities)與其「商業夥伴」(Business Associate),對於雲端服務業者如何適用HIPAA感到疑惑。因此,衛生及公共服務部民權辦公室(Department of Health and Human Services, Office for Civil Rights)於10月7日公布相關業者如何適用HIPAA之指引,以釐清爭議。
於該指引中,該部指出,雲端服務業者若替適用機構或是商業夥伴創造、接收、維護、傳送被HIPAA所保護之「資療資訊」(Protected Health Information),則該雲端業者就被視為HIPAA下規範之商業夥伴,原因在於該服務具有儲存與維護醫療資訊功能,非屬該法排除適用之「網路服務業者」(Internet Service Providers)資料傳輸服務類型。
該指引有幾大重點:首先,雲端服務業者如將該醫療資訊提供加密儲存服務,仍應盡到HIPAA中規範商業夥伴之責任。原因在於加密資料不足以保護HIPAA有關資訊安全章節所要求醫療資訊之「機密性、完整性和可用性」之相關規範。再者,雲端業者皆須與委託方簽署商業夥伴協議(Business Associate Agreements)。此外,使用雲端服務儲存資療資訊時,委託方皆能使用行動設備進入雲端儲存之醫療資料,但應建立合乎HIPPA所要求相關之安全措施。最後,HIPAA並未禁止將醫療資訊儲存至伺服器為於美國境外之雲端業者,但使用前應自行評估該資訊遭駭客攻擊之可能性。
- Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016,
- Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016,
- Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services,
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
陳仕偉
法律研究員 編譯整理
Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016, http://www.natlawreview.com/article/department-health-and-human-services-issues-guidance-hipaa-and-cloud-providers (last visited Nov.8, 2016)
Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016, http://www.natlawreview.com/article/health-and-human-services-issues-guidance-hipaa-and-cloud-computing (last visited Nov.8, 2016)
Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services, http://www.hhs.gov/hipaa/for-professionals/special-topics/cloud-computing/index.html (last visited Nov. 8, 2016)
數位歐洲計畫(Digital Europe Programme)為歐盟執委會2018年6月提出的策略規畫,已於2019年4月17日由歐洲議會通過;預計2021至2027年間,歐盟將投入92億歐元用於發展高效能運算、人工智慧、網路安全和數位技能培育等領域。數位歐洲計畫目標是確保所有歐洲民眾皆能擁有應對數位挑戰所需的技能、基礎建設及相應的數位監管框架,屬於歐盟發展數位單一市場政策的一部分,預估將創造400萬個就業機會、推動4150億歐元的經濟成長,提升歐盟整體國際競爭力。歐盟為關鍵數位技術提供92億歐元科技預算分配: (1)27億歐元用於高效能運算(預計在2022至2023年建立高效能運算及數據處理能力,2026至2027年將技術導入高階設施設備)。 (2)25億歐元投入人工智慧(支持企業及公部門使用AI、建立安全便利且能儲存大量數據的運算系統、鼓勵會員國相互合作進行AI測試)。 (3)20億歐元用於網路安全技術(採購先進網路安全設備及數位基礎設施、拓展網路安全知識與技能、優化歐盟整體網路安全系統)。 (4)7億歐元投入數位技能培育(加強中小企業短期數位培訓課程、IT專業人員長期訓練、青年企業家培訓)。 (5)13億歐元用於推廣使用數位技術(鼓勵中小企業運用先進數位技術、建構數位創新中心、關注新興技術發展)。
研究顯示:主管機關審查是否核發奈米專利的時間越來越長專研奈米科技領域的美國顧問諮詢公司 Lux Research and Foley & Lardner LLP 最近公布的一份報告( Nanotech IP Battles Worth Fighting )指出,美國商標專利局( US PTO )在去( 2005 )年共核發 4,996 個奈米技術領域的專利,雖然這個數字挺嚇人的,不過報告中也發現,過去一年取得奈米專利的成長率只有 4 %,比起更前一年( 2004 )的 20 %的成長率,少了許多。然報告指出, 取得奈米專利保護的成長趨緩並不表示投入這個領域的研究不夠,相反地,若從專利申請案的數字來看, 2005 年的申請案數字其實成長了 52 %。而 US PTO 奈米專利的核發率成長有限的原因,主要是因為申請人所主張的保護範圍交疊重複( overlapping claims ),使 US PTO 審查奈米專利所需的時間,相較於其他技術領域來得更長,平均而言,目前 US PTO 核發一項奈米專利所需的審查時間竟高達四年。 這項報告總共檢視了 2,738 個專利,涵蓋七類申請領域共計 52,148 個權利範圍的主張。報告總結,在電子領域中有關 carbon nanotube 及 quantum dot 之專利申請案,多數為脆弱的專利主張,有面臨法律訴訟的高度風險,若發生侵權訴訟,被告應該勇於進行訴訟防禦;而奈米材料由於市場潛力極大,故報告建議投入於專利搜尋或佈局之檢視,乃必要之成本。此外,報告也認為陶瓷奈米元件( ceramic nanoparticles )於能源領域的應用也極具發展潛力,並預期奈米電線( Nanowires )於電 子領域之應用將越來越受到重視。 不過,報告最後警告, patent trolls 的問題將會出現在奈米技術市場。所謂的 patent trolls 是指企業寧願花錢收購專利並透過授權收取權利金,也不願意自行投入研發的一種決策模式,此類企業通常是不負責實際商品交易的控股公司。
澳洲通過智慧財產權法修正案,廢除創新專利制度澳洲通過智慧財產權法修正案,廢除創新專利制度 資訊工業策進會科技法律研究所 2020年6月10日 澳洲政府發布2020年《智慧財產權法修正案(生產力委員會回應第2部分及其他措施)》(Intellectual Property Laws Amendment (Productivity Commission Response Part 2 and Other Measures) Act 2020),針對澳洲2003年《設計專利法》、1990年《專利法》及1995年《商標法》進行修正,於2020年2月26日正式成為法律,而本次修法重點係自2021年8月26日起廢除創新專利制度,並開始啟動相關廢除程序。 壹、修法背景概述 澳洲原先的專利制度分為標準專利(standard patent)以及創新專利(innovation patent)兩種專利,兩者主要區別在於,創新專利類似我國新型專利,其適用門檻較低且保護期間較短。該制度政策目的係為了透過門檻較低的專利制度提供智慧財產權保護,以鼓勵澳洲中小企業進行研發創新。 然而,澳洲智慧財產局2015年所進行的研究資料顯示,創新專利雖然對於鼓勵中小企業研發創新具有一定積極作用,但仍遠遠不及標準專利更有影響力。大型企業甚至透過創新專利作為產業競爭的戰略工具,利用門檻低的優勢建立專利叢林(patent thickets),有效阻礙中小企業進行研發創新,造成中小企業無法在市場上競爭。此外,低門檻且未經審查的創新專利為中小企業經營自由產生不確定性,創新專利本身與中小企業的產品銷售並無關聯,也無法影響整體產業市場,更可能面臨外國專利不認可的窘境,由此可知創新專利長期下來實施效果不彰,並無法確實達成澳洲政府支持中小企業發展的政策目標[1]。 因此,澳洲政府決定廢除創新專利制度,在18個月的過渡期間也將啟動各種配套措施協助中小企業優化智慧財產權制度,例如提供中小企業快速審查服務(SME fast track),或是專案管理服務(SME case management),或是輔導推廣計畫等方式,以政府力量支持提供中小企業成長計畫與教育,協助中小企業更能輕鬆進行多元化智慧財產權策略布局,並符合澳洲智慧財產權法規範體系之要求[2]。 貳、主要修法內容 澳洲政府於2018年曾發布《智慧財產權法修正案(生產力委員會回應第1部分及其他措施)》(Intellectual Property Laws Amendment (Productivity Commission Response Part 1 and Other Measures) Act 2018),主要針對《商標法》及《著作權法》進行調整,例如明訂真品平行輸入不違反澳洲註冊商標權之規定;而本修正案主要針對《專利法》進行修正,於《專利法》加入目的條款[3](object clause),闡明專利制度之根本目的,係通過技術創新以及技術移轉等方式促進經濟福祉。專利制度會隨著時間的流逝平衡技術、生產者、擁有者以及公眾之間的利益,並減少因時代的演進所導致法規運作的不確定性,在法規條文有不確定概念的情況下,幫助法院進行法律解釋。目的條款不會改變法規的原意,也不會推翻現有的判例法和既定的先例,並對《專利法》立法目的提供明確指引及指導原則[4]。 另一個主要修正為頗受爭議的廢除創新專利修正條文,逐步淘汰的過渡期從12個月延長至18個月,自2021年8月26日起,澳洲智慧財產局即不再接受創新專利申請。此外,在創新專利制度廢除前所提交的申請案,也就是在2021年8月25日以前申請之創新專利案件,在持續繳納專利維護費用下,其效力至期滿為止,並保留提交分割或轉換為標準專利申請的權利,屆時所有已核准的澳洲創新專利將維持有效至專利期滿失效。 參、修法簡析 澳洲創新專利制度目的原為降低中小企業在專利申請與取得的門檻,因此費用較低、保護時間較短,由於費用便宜又可以快速取得專利,若由大型企業大量申請,反而造成中小企業創新研發動力薄弱。澳洲創新專利與我國新型專利雖同樣採取形式審查,但實質內容上仍有部分差異,澳洲創新專利目的在於降低中小企業創新研發成本,因此對於進步性要求較低,使得大型企業反而透過大量申請創新專利扼殺中小企業創新空間。反觀我國新型專利在制度配套措施較為完善,除設有舉發機制外,另設有新型專利技術報告之規範,以降低形式審查之新型專利權對公眾第三人的影響[5]。 澳洲廢除創新專利制度的政策目的,主要是為了解決中小企業在從事研發創新活動與大型企業市場競爭的困境,搭配廢除創新專利制度的因應措施,以降低中小企業經營自由產生不確定性。然而,以形式審查方式的專利制度究竟能否確實有效保障發明人權利,達到促進創新研發的政策目的,仍需以各國對於智慧財產權保護之態度,與政府在司法與行政資源的運作之間取得衡平。目前仍有不少國家仍保留類似的形式審查制度,而澳洲廢除創新專利實質效益仍有待持續觀察,未來將可供我國新型專利制度參考與評估,以利我國建立更有效益的智慧財產權體系。 [1]IP AUSTRALIA, The economic impact of innovation patents, IP Australia Economic Research Paper 05, https://www.ipaustralia.gov.au/sites/default/files/reports_publications/economic_impact_of_innovation_patents.pdf (last visited June 10, 2020) [2]IP AUSTRALIA, Innovation Patents Harm Small Business Innovation, https://www.ipaustralia.gov.au/sites/default/files/innovation_patent_fact_sheet_2019.pdf (last visited June 10, 2020) [3]Patents Act 1990 Article 2A: “The object of this Act is to provide a patent system in Australia that promotes economic wellbeing through technological innovation and the transfer and dissemination of technology. In doing so, the patent system balances over time the interests of producers, owners and users of technology and the public.” [4]IP AUSTRALIA, Intellectual Property Laws Amendment (Productivity Commission Response Part 2 and Other Measures) Act 2020, https://www.ipaustralia.gov.au/about-us/public-consultations/intellectual-property-laws-amendment-productivity-commission-response (last visited June 10, 2020) [5]周光宇,各國新型專利制度之比較與分析,智慧財產權月刊,第217期,2017年1月。
全美各州醫療委員會聯合會發布人工智慧(AI)治理指引,並要求醫師為AI之利用結果負最終責任全美各州醫療委員會聯合會(The Federation of State Medical Boards, FSMB)於2024年4月發布「引導人工智慧以負責任與符合倫理方式融入臨床實務」(Navigating the Responsible and Ethical Incorporation of Artificial Intelligence into Clinical Practice)指引,明確概述醫師於利用AI協助提供照護時可採取之步驟,以履行其倫理與專業職責,期能藉此降低對患者造成傷害之風險;本指引之特色在於,其要求醫師為AI之利用結果負最終之責任。 FSMB 向各州醫療委員會與其他利害關係人所提供之原則與建議如下,以支持對包含AI之臨床照護進行負責任與符合倫理之監管: (1)透明度與揭露(Transparency and Disclosure): 應要求維持於醫療照護領域使用AI之透明度;各州醫療委員會應制定明確之指導方針,向患者揭露AI之使用情況,其有助於患者與醫師之理解,但不會造成不必要之行政負擔;FSMB 應制定文件,詳細說明最常用之AI工具之功能與局限性,以協助醫療委員會發揮監管者之角色,並應制定常見問題與最佳實務文件,作為提供照護時利用AI方面關於透明度之資源。 (2)教育與理解(Education and Understanding): FSMB及其於醫學教育界之合作夥伴,應為醫師、醫療委員會與患者,確認有關醫療照護中AI之結構化教育資源,該等資源應包括協助瞭解AI如何運作、其優點、潛在風險以及對患者照護之影響。 (3)負責任之使用與問責(Responsible Use and Accountability): 開發人員應協助醫師瞭解何時、以及如何於患者之照護中利用AI工具;選擇AI工具支援臨床決策之醫院系統、保險公司或其他機構應向醫師提供有關AI工具之教育、存取各工具之性能報告,並應設計一個定期檢視工具功效的流程;AI工具應以得使各州醫療委員會能稽核與理解之方式設計,以便適當評估依賴工具輸出結果之醫師是否偏離照護標準(standard of care);FSMB 應支持各州醫療委員會針對臨床醫師如何負責任、可問責地使用AI之解釋。 (4)公平性與近用(Equity and Access): 應努力確保所有患者皆能公平地近用AI帶來之好處;FSMB與各州醫療委員會致力於以下原則:醫療人員所提供之照護是公平的、且不受基於種族、民族或其他形式歧視之偏見影響;FSMB應與其他利害關係人一起理解並解決演算法偏差問題。 (5)隱私與資料安全(Privacy and Data Security): AI工具之開發者必須實施嚴格之保護措施,以保護AI開發與評估時所利用之患者資料,通常情況下應告知患者資料如何被利用,且FSMB應與行業利害相關人一起制定AI系統使用與散布患者資料之政策,包括針對AI開發或評估中使用之患者資料之最低資料保護措施。 (6)監督與監管(Oversight and Regulation): 各州醫療委員會必須保留對於提供醫療服務時,不當應用AI工具之醫生進行紀律處分之權力,其包括問責議題之考慮,特別是當AI系統變得更加自主時;各州醫療委員會應審查其管轄範圍內如何對「醫療行為」(practice of medicine)進行法律定義,以確保對提供醫療照護、人力或其他方面進行持續之監管監督。 (7)法律法規之持續審查與調整(Continual Review and Adaptation of Law and Regulations): 各州醫療委員會應在FSMB之支持下,隨著AI之不斷發展,持續檢視與更新與AI相關之指引與法規;政策制定者應考慮AI對基本法律原則的影響,例如醫療行為之定義以及AI對企業醫學實務之影響;FSMB 應建立一個專門團隊,持續檢視與調整AI指引與法規。 本指引指出,AI工具通常無能力取代醫師之專業判斷、道德責任或對州醫療委員會之責任,醫療行為中之關鍵職業責任始終為確保診斷、臨床決策與建議不存在偏差。與用於診斷或治療疾病之任何其他工具或鑑別方法相同,醫療專業人員有責任確保基於證據結論之準確性與真實性,因此於將AI系統用於患者照護前,醫師應以合理努力識別與解決偏差(如虛假或不準確之資訊等)。