澳洲於2018年2月22日施行個人資料洩漏計畫(Notifiable Data Breaches scheme, NDB scheme),該計畫源於澳洲早在1988年所定「澳洲隱私原則」(Australian Privacy Principles, APPs)之規定。對象包括部分政府機構、年營業額超過300萬澳幣之企業以及私營醫療機構。
根據該計畫,受APPs約束的機構於發生個資洩露事件時,必須通知當事人以及可能會造成的相關損害,另外也必須通知澳洲私隱辦公室(Office of the Australian Information Commissioner, OAIC)相關資訊。
NBD計畫主要內容如下:
一 、規範對象:
二 、個資洩露之認定:
三 、OAIC所扮演之角色:
四 、於下列情形可免通知義務:
五 、通知內容:
惟NBD 計畫對於個人資料的安全性沒有新的要求,主要是對APPs的補充,針對持有個人資料的機構採取合理措施,保護個人資料免遭濫用、干擾或損失, OAIC目前也正在規劃一系列有關個資洩漏事件指導方針及導入說明手冊。
BS 10012:2009個人資訊管理系統近期轉版,英國標準協會已於2017年3月31日發布BS 10012:2017新版標準,此次修改主要係為遵循歐盟一般資料保護規則GDPR (General Data Protection Regulation )之規定。為了讓企業組織能更有效率整合內部已導入之多項標準,新標準採用ISO/IEC附錄SL之高階架構(High Level Structure),該架構為通用於各管理系統的規範框架。 2017新版架構由原本的6章變為為10章,新架構如下: 第1章 範圍 第2章 引用規範 第3章 專有名詞與定義 第4章 組織背景 第5章 領導統御 第6章 規劃 第7章 支援 第8章 營運 第9章 績效指標 第10章 改善 新標準主要修改內容如下: 個資盤點單需增加「法規」盤點項目,且應載明個資流向(軌跡紀錄)。 風險管理架構參酌ISO 31000:2009修改。 組織增設資料保護官(Data Protection Officer, DPO)。 個資蒐集、處理及利用: (1)蒐集前須先告知當事人並取得其同意。 (2)蒐集應有必要性且最小化。 (3)兒童個資蒐集、利用須先經監護人同意。 (4)若個資利用目的為開放資料(Open data)須作去識別化。 個資必須維持正確且最新。 個資保存不超過處理目的存在必要之期限(保存期限)。 增加個資完整性與機密性要求。 預先諮詢與授權,例如:網頁有使用cookies需明確告知瀏覽者。 個資管理目標與量測,包括欲導入範圍、現況評估等有效性目標。 增添文件管理規範。 BS 10012:2009版本將於2018年5月25日廢止,公司驗證轉版的過渡期為24個月,因此2019年3月未轉版者證書失效。
歐盟法院對於羅氏和諾華藥廠涉及聯合銷售Lucentis壟斷市場行為,作成先訴裁定歐盟法院(Court of Justice of the EU ,CJEU) 於2018年1月23日就Hoffman-La Roche and Others v Autorità Garante della Concorrenzae del Mercato案(Case C-179/16)作出先訴裁定(preliminary ruling)。本案涉及歐盟競爭法和藥品監管體系之間的相互影響。 案例事實為:羅氏藥廠的Avastin,原先為抗癌許可藥物,被臨床發現可用作治療老年性黃斑部病變(AMD),但並未經正式核准用於治療AMD,屬於仿單標示外藥物(off-label drugs)。而Lucentis係諾華藥廠一款獲得正式授權核准,作為治療 AMD的眼內注射藥物。 其中,諾華持有羅氏超過33%的股份,Avastin雖與Lucentis作用機理相似,但Lucentis價格卻相對昂貴,銷售方式由羅氏與諾華合作,諾華可從持股中間接獲得利潤。 兩家藥廠為了影響、降低Avastin的需求量及阻礙其分銷,雙方協議,對外聲稱兩種藥物含有不同活性成分,散布Avastin仿單標示外使用之安全性和有效性存在疑義的不實資訊。 2014年時,義大利競爭法主管機關(Autori tà Garante della Concorrenza e del Mercato, AGCM)認為羅氏和諾華兩大藥廠涉嫌藥品市場壟斷,違反歐盟運作條約(Treaty on the Functioning of the European Union, TFEU)第101(1)條,因而裁罰兩家藥廠。 羅氏和諾華不服裁罰,向義大利Lazio地方行政法院(Regional Administrative Court, Lazio)提起訴訟尋求救濟,遭到駁回;羅氏和諾華繼而向義大利國務委員會(Council of State)提出上訴,義大利國務委員會將此案提交歐盟法院,針對歐盟競爭法的解釋進行先訴裁定。 最後,歐盟法院認為兩藥廠之行為構成藥品市場的限制競爭,違反歐盟運作條約第101條之規定。 法院判決結果認為: 當上市許可藥物(marketing authorization, MA)和仿單標示外藥物皆適用治療同一疾病,只要它們具可替代性和兼容性,並且符合製造和銷售的規定,原則上屬於同一個相關市場。只要滿足其他要件,上市許可藥物並不當然決定相關產品市場的範圍。 非競爭者之間的許可協議可能符合歐盟競爭規則:歐盟法院闡述,這種傳播誤導性資訊的「安排」,目的並非限制任何一方對許可協議的商業自主權,而是為了影響監管機構和醫生等第三方選擇使用Avastin的行為。因此,散播不利於Avastin仿單標示外使用的資訊,此一共同協議,不能被認為是許可協議的附屬部分,係實施協議所必需的。其符合歐盟競爭規則的範圍,作為許可協議中的單獨協議。 雙方協議散布安全誤導性的不實資訊,針對此兩種相互競爭的醫藥產品,可能構成對競爭規則的嚴重違反:諾華與羅氏公司,在科學證據不確定的情形下,聯合對外向歐洲藥品管理局(European Medicines Agency, EMA)、醫療專業人員和公眾宣稱有關使用該仿單標示外藥物將造成不良副作用的誤導性資訊,以減少其對其他產品施加的競爭壓力,構成對「競爭對手」(by object)的限制。尤其令人憂慮的是,企業可能會透過散播資訊來減少藥品本身的競爭壓力,從而誇大使用其他產品將導致不良反應的可能性。