何謂「阿西洛馬人工智慧原則」？

　　德國聯邦資料保護暨資訊自由官（Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit,BfDI）Ulrich Kelber教授於2020年8月19日指出，2020年7月3日甫由德國議會通過的病人資料保護法（Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur; Patientendaten- Schutzgesetz, PDSG），恐違反歐盟一般資料保護規則（GDPR）。 　　該法規定自2021年起，健康保險業者必須向被保險人（病人），提供電子病歷（ePA）。而自2022年起，病人有權要求醫生將病人相關資料記錄於電子病歷，包括健檢結果、醫學報告或X光片、預防接種卡、孕婦手冊、兒童體檢手冊、牙科保健手冊等，而被保險人更換健康保險業者時，可要求移轉其電子病歷至新的健保公司。另外，2021年起將可透過手機，下載電子處方並至藥局領取處方藥。2022年1月1日起，將全面強制使用電子處方，病人將可透過智慧手機或平板電腦，決定他人對於電子病歷之近用權限。病人若無手機，可至健保公司查看電子病歷。依照規劃，目前電子病歷的使用仍採自願性。病人可決定保存或刪除哪些資料，以及誰可以近用該文件。自2023年起，被保險人可自願提供電子病歷資料作為研究用途，而因上述研究可處理病人資料之醫師、診所和藥劑師等，有義務確保其資料安全。 　　BfDI於立法過程中多次強調，在導入電子病歷使用時，病人必須可完全控制自己的資料。而該法規範僅提供病人使用部分設備，例如智慧手機或平板電腦，設定其電子病歷之存取權限，此意謂著將有一段空窗期，病人無法決定其電子病歷中各文件之存取權限。而對於電子病歷中，可否僅開放部分資料供瀏覽或存取，亦受到聯邦資料保護暨資訊自由官質疑。另外，對於無法或不想在手機或平板電腦上使用上述功能的人，本法並未進一步規定，亦即2022年起，上述病人為了能夠檢查或接受醫療，必須強迫病人控制其相關資料，但目前顯然尚缺乏相關配套。此外，以資料保護角度而言，目前電子病歷之認證程序有安全疑慮，尤其是未使用電子健康卡的替代驗證程序尚不夠嚴謹，因此命令相關單位應於2021年5月前完成改善。 　　電子病歷是對醫療保健改善的重要一步，因此相關健康資料保護需要符合GDPR規範水平。電子病歷雖已逐漸受到認可與重視，惟當前病人資料保護法恐無法完全保護病人資料安全。因此，BfDI將透過監管手段，確保健康保險公司不會因提供電子病歷而違反GDPR。

　　新加坡個人資料保護委員會（PDPC）為讓企業能妥適的遵循2012年發布的個人資料保護法（Personal Data Protection Act/PDPA），於2013年9月發布個人資料保護法（PDPA）的執行指引文件：「PDPA關鍵概念指導方針（Advisory Guidelines on Key Concepts in the PDPA）」，針對各項如何蒐集、處理及利用個人資料的要求與義務，提供細節性說明及應用範例。執行指引文件的發布，是源自於公眾在實際操作法遵要求時，所發生的執行困難、疑義和衍生的建議和意見，彙整後進行法規釋疑和舉例。此份文件的要求係立基於實用主義及「企業友善（business-friendly）」的理念，幫助機構調整業務運作流程以及妥善的遵守法律的規定。 　　執行指引文件提供關鍵名詞的詮釋，例如「個人資料」在PDPA裡的定義為：任何可以識別個人、不拘形式及真實性的資訊；針對「謝絕來電條款（Do not call）」的遵循方式亦有細緻化的說明；就各項不同的具體子議題，清楚的提供常識性的措施（Common-Sense Approach）供機構採用，讓法規要求合乎常理，使個人資料保護與企業因需求而對個人資料進行蒐集、利用和揭露之行為間取得衡平。 　　新加坡個人資料保護法（PDPA）兩大立法目的：強化個人對自己個人資料的資訊控制權；使新加坡因提供充分的安全維護機制而受企業信任，強化新加坡的經濟競爭力與地位。另外，相較於其他國家在國際傳輸上有較嚴格的限制（必須有相同等級的個人資料保護立法為傳輸前提），新加坡的法制理念是僅讓企業遵守最低限度的安全維護要求後，便能將個人資料進行國際傳輸，這樣較彈性的法制設計讓新加坡有望成為亞太地區的資料與研究中心樞紐。

　　歐盟個資保護委員會（EDPB）今（2021）年9月27日，就與南韓個人資料保護法（Personal Information Protection Act, PIPA）之適足性認定草案發表意見，認為南韓的個資保護框架與歐盟大致相同。但EDPB 同時也指出，在歐盟執委會做出決定之前，某些部分仍需要釐清。釐清的部分包含： 　　今年6月歐盟執委會公布並通過的適足性認定草案中，該草案之可執行性與有效性不應僅拘束南韓個資保護機構，也應對司法機構具有效力。除此之外，EDPB 也針對南韓PIPA 免除多項匿名化資訊之義務提出質疑；又南韓相關法令對「同意」之撤銷（或撤回）事由有所限定，應確保其對資料主體「同意」之保障持續符合適足性認定的要求。 　　至於在資料進一步移轉（onward transfers）方面，EDPB 認為即便資料主體知悉並同意其個資傳輸，仍應告知其資料是否會移轉到第三國之相關風險；以及若個資主體的同意無法符合GDPR 對有效同意之定義時（例如雙方地位不對等時，該同意即非有效），該個資不會從南韓之資料控管者傳輸至第三國；在對此議題南韓未具體修訂相關法令時，與國安相關的個資若進一步移轉，是否會受到憲法框架（如比例原則）和PIPA 中個資保護原則的充分保障？ 　　而在行政部門存取傳輸到南韓的個資方面，許多議題也需要釐清並引起關注。如與國安方面相關的個資處理，係受PIPA 抑或其他更為限縮的法令限制？又電信業者自願向國安部門揭露使用者個資時，必須同時通知相關的個資主體；EDPB 並希望歐盟執委會釐清，若歐洲經濟區（EEA）內的個人向南韓個資保護機構或司法機構提出救濟時，相關的救濟程序是否實質有效（例如舉證責任的規定為何）？ 　　於新聞稿中，EDPB 主席 Andrea Jelinek 表示：「歐盟對此適足性認定相當重視，因其將涵蓋公部門與私部門資料的傳輸。而適足的個資保護對支持歐盟與南韓的長期關係與個人權利、自由方面至關重要。雖然EDPB 認為南韓的個資保護框架與歐盟大致相同，然仍建議歐盟執委會密切關注適足性認定的各方發展。」

　　美國聯邦貿易委員會（Federal Trade Commission, FTC）於今（2006）年8月做出一項重要處分，認定Rambus Inc對其他標準制訂組織成員隱瞞其研發之多項電腦技術的專利，並打算在標準制訂組織採用特定標準後實施其專利的行為，乃以不法方式獨占市場之行為，違反反托拉斯法。 　　在FTC作成Rambus 的決定後，標準制訂組織也開始嘗試一些防止Rambus案情形發生的事前因應之道，例如已推動電腦系統互連標準的電腦協會VITA，就採行了一項新的標準制訂政策，該協會要求其參與成員必須承諾，階段性釋出其專利及專利申請的資訊，包括其所設定的最高權利金費率與可能採取的最嚴格的限制性授權條件；另其標準制訂政策也禁止成員間就此等專利的權利金費率或授權條件私下協商。由於有認為這種作法可能會被認為是破壞市場競爭秩序的杯葛行為，故VITA乃向美國司法部反托拉斯局徵詢其意見。 　　2006年10月30日，美國司法部反托拉斯局（Antitrust Division of the Department of Justice）提出一份商業檢視信函（business review letter, BRL），正式對此問題提出看法。司法部反托拉斯局在BRL中指出，基於以下幾點考量，VITA的標準制訂政策尚無限制競爭的疑慮：（1）共同制訂標準可能可帶來諸多有助於競爭的優點；（2）協會此項政策可使成員在推動制訂標準時，有更為充分的資訊作成決定；（3）專利授權條款的事前揭露可避免標準制訂可能因為事後過高的授權金，導致其導入或取代既有技術之時程被拖延。