歐盟資料保護工作小組修正通過GDPR個人資料當事人同意指引

　　日本政府於2016年6月2日經內閣議決「再興戰略2016」，為提升國民健康、提高平均壽命，以「世界最先進的健康國家」大篇幅宣布未來政策。其中，在「醫療、長照等領域徹底ICT化」方面之具體新措施如下： (1)醫療等領域中導入ID制度 　　日本厚生勞動省於2015年11月18日召開第10次「醫療等領域利用識別號碼制度之研究會」(医療等分野における番号制度の活用等に関する研究会)，並於次月公布相關研究報告書，其內容包含導入「醫療保險線上資格審查」以及「醫療ID制度」，上述制度預計自2018年開始階段性運用，並於2020年正式實施，因此，本年度工作目標設定為，著手勾勒具體之應用系統機制，並針對實務面相關議題進行討論，自明年開始落實系統開發，整體而言，日本現階段最重要的目標就是促使醫療領域徹底數位化及標準化。 (2)透過巨量資料之利用，增進相關領域之創新 　　「次世代醫療ICT基礎設施協議會」(次世代医療ICT基盤協議会策定)將延續2016年3月由其所策定之「醫療領域資料利用計畫」(「医療等分野データ利活用プログラム」，意即加強各資料庫(例如醫療資訊資料庫MID-NET)之交流並擴大相關應用。 　　此外，在現行法規範下，為達成促進醫療領域資訊利用、醫藥相關研發之目標，應成立「代理機關（暫稱）」，以便於擴大收集醫療、檢驗等數據資料，並妥善管理與去識別化，日本政府於「再興戰略2016」中將此機關之設置列為次世代醫療ICT基礎設施協議會之重要工作項目，期望透過協議會對相關制度之討論，能在明年訂定出具體的法律措施。 (3)個人醫療和健康資訊之綜合利用 　　日本政府期望透過不同終端設備收集關於醫療、健康等資料，並鼓勵民間依此開發新市場，但在此之前，政府必須先行建構一個能良性發展的環境。首先，為實現針對個人需求量身打造的「個別化健康服務」，保險業者、握有病歷的機構、健檢中心及可穿戴式終端設備等，得經當事人同意後收集、分析其日常健康資訊，該「個別化健康服務」之實證計畫將於本年度啟動，由地區中小企業開始。 　　為強化醫療保險業者去整合運用相關資源並應用於預防、健康醫學上，政府機關應訂定一些獎勵措施，鼓勵業者將ICT技術活用於預防、健康醫學領域上。 　　此外，今年度「次世代醫療ICT基礎設施協議會」還有一項重要的工作項目，即建立可記錄患者所有就醫過程資訊之系統(Peronal Health Recaord，簡稱PHR)，讓相關醫療資料得以流通運用。同時，日本政府希望能在2018年達成「地區性醫療情報聯結網路」，並普及到全國各地，這麼做的目的在於，過往因為醫療資訊不流通，以及重症照護上的斷層，使身心障礙者往往難以離開長期利用的醫療環境，新政策希望讓這些患者無論遷居何處，在全國各地皆能安心接受醫療服務，而不受限於地區限制。

　　Horizon Europe為歐盟2021-2027年之科技研發架構計畫。科技研發架構計畫（Framework Programmes for Research and Technological Development，依不同期別縮寫為FP1-FP8）為全球最大型的多年期科研架構計畫，今期之Horizon 2020已進入尾聲，2021年起所實施的歐盟科研架構計畫──FP9正式命名為「Horizon Europe」。 　　為打造歐盟成為創新市場先鋒，延續Horizon 2020計畫成效，Horizon Europe重視投資研發與發展創新，包含強化歐盟的科學與技術基礎、促進歐洲創新能力，以及永續歐洲社會經濟的模式與價值。 　　Horizon Europe發展方向分為三大主軸，分別為： 卓越科學（Excellent Science）：透過歐洲研究理事會（European Research Council, ERC）、新居禮夫人人才培育計畫（Marie Skłodowska-Curie Actions, MSCA）和研究基礎設施（Research Infrastructures）加強歐盟科學領導力。 全球挑戰與產業競爭力（Global Challenges and European Industrial Competitiveness）：此主軸再分別發展6個子題，以應對歐盟和全球政策並加速產業轉型。該6個子題分別為(1)健康；(2)文化與創造力；(3)社會安全；(4)數位與太空產業；(5)氣候、能源與交通；(6)糧食、生物經濟（Bioeconomy）、自然資源、農業與永續環境。 創新歐洲（Innovative Europe）：促進、培育和部署市場創新，維護友善創新環境之歐洲生態系統（European ecosystems）。 　　此外，Horizon Europe擬把實驗階段中具備高潛力和前瞻性的技術帶入市場，轉以任務導向協助新創產業設立，推動跨事業多方整合。

印度政府發布監管數位市場法案 資訊工業策進會科技法律研究所 2024年06月25日 印度數位競爭法委員會（Committee on Digital Competition Law, CDCL）於2024年3月12日發布數位競爭法委員會報告，建議制定單獨法律規範數位市場競爭，同時發布《數位競爭法》草案（Draft Digital Competition Bill，下稱本草案），使印度競爭委員會（Competition Commission of India, CCI，下稱委員會）能夠在反競爭行為發生前介入調查，草案發布後公開徵求公眾意見至2024年5月15日，將參考公眾意見後再行發布本草案後續發展。 壹、緣起 印度企業事務部（Ministry of Corporate Affairs, MCA）於2023年2月6日成立數位競爭法委員會，主要由產業商會、政府機關以及學者組成，目的是檢視現行印度2002年《競爭法》是否足以解決數位經濟成長衍伸的問題。爾後於2024年3月發布數位競爭法委員會報告，數位競爭法委員會認為應有新的事前管制補充現行競爭法的事後管制模式，在動態的數位市場中於必要時進行事前干預，防止反競爭行為發生。 在數位競爭法委員會報告[1]中提出9項反競爭行為態樣，包含反導向（Anti-steering）、自我偏好（Self preferencing）、綑綁及搭售（Bundling and tying）、非公開資訊使用（use of non-public data）、掠奪性定價（Predatory pricing）、排他性協議（Exclusive tie-ups）、搜尋及排名偏好（Search and ranking preferencing）、限制第三方應用程式（Restricting third party applications）、以及廣告市場整合（Advertising consolidation）等，將以上述反競爭行為為核心制定事前管制措施。 貳、本草案介紹 基於上述建立事前管制的報告結論，數位競爭法委員會連同報告一併提出本草案以回應反競爭行為的事前管制方向，本草案主要有四項重點以下整理。 一、適用範圍與對象 本草案適用於所有在印度境內提供核心數位服務的所有企業，包含延伸到印度境外且對本草案所規定義務有影響的行為，核心數位服務包含線上搜尋引擎、線上社交網路服務、影片分享平台服務、人際通訊服務、作業系統、網路瀏覽器、雲端服務、廣告服務、以及線上中介服務等。 二、對具有系統重要性數位企業之定義 具有系統重要性數位企業（Systemically Significant Digital Enterprise, SSDE，下稱重要企業）需要符合兩項標準，分別是財務標準及用戶標準，如果企業屬於集團則數值以集團整體計算： （一）財務標準 財務標準是在三個財政年度中達成以下任一項： 1. 印度境內營業額高於400億印度盧比； 2. 全球營業額高於300億美元； 3. 印度的商品總價值高於1600億印度盧比； 4. 全球市值高於750億美元。 （二）用戶標準 用戶標準是在三個財政年度中達成以下任一項： 1. 在印度提供的核心數位服務達到1000萬終端用戶； 2. 在印度提供的核心數位服務達到1萬企業用戶。 三、對重要企業及關係企業之指定 （一）符合條件企業之通報義務 當企業的核心數位服務達到前述雙門檻後90天內應通知委員會，如該企業有所屬集團應一併向委員會揭露該所屬集團有直接或間接參與該核心數位服務的其他企業，委員會得透過行政命令指定該企業為重要企業，有直接或間接參與的其他企業得指定為關聯數位企業（Associate Digital Enterprise, ADE）。 委員會可要求未主動提供相關資訊的企業提供必要資訊，如符合上述門檻則指定為重要企業。 委員會在確定企業符合雙門檻後應通知企業給予陳述意見機會，說明不符合系統重要性之理由。企業若未提供必要資訊或提供不完整或錯誤資訊，仍得在聽取企業意見後指定，企業不得有規避指定之行為。 （二）指定未達門檻企業之權力 除指定前述符合雙門檻之企業外，對於在核心數位服務領域有重要影響力但未符合雙門檻的企業，委員會得參酌企業營業額、企業規模與資源、企業市場力量、網路效應、市場結構、社會義務等要素直接指定，效期為三年。 四、重要企業之義務 重要企業被指定後應建立透明有效的投訴處理及法遵機制，並定期向委員會報告履行下列義務與相關規定所採取之措施。 （一）禁止反競爭行為義務 不得有自我偏好、限制第三方應用程式使用、反導向、搭售或綑綁等反競爭行為，並以公平和透明交易的態度與用戶合作。 （二）資訊使用義務 不得使用企業用戶的非公開資訊與之競爭，且不得未經用戶同意混合或交叉使用，或允許第三方使用不同服務所蒐集的用戶資訊，並實現資訊可攜性。 參、本草案評析 數位競爭委員會報告及本草案的發布宣示委員會將監管大型科技公司的反競爭行為，本草案參考了歐盟數位市場法（Digital Markets Act, DMA）對於守門人（gatekeepers）的規定及義務，對於重要企業賦予禁止反競爭行為的義務，雖然本草案仍在意見蒐集階段，是否施行仍須追蹤觀察。 本草案參考DMA規定監管大型科技公司代表印度政府認為數位市場的事前管制是必要的，擔心市場失靈的風險存在，但包含資訊科技與創新基金會[2]（Information Technology and Innovation Foundation, ITIF）、市場真相[3]（Truth on the Market）、網路自由基金會[4]（Internet Freedom Foundation）等單位對於本草案都提出質疑，認為本草案會阻礙數位市場創新，且印度的數位市場尚未成熟，貿然實施會損害印度的數位競爭力，阻礙對印度的數位投資。 40家印度新創公司發表聲明[5]支持本草案的推動，認為事前管制可以遏止Big Tech的反競爭行為，解決新創公司所擔心的發展問題，為新創環境提供空間。同時新創公司擔心門檻過低，阻礙非重要企業的發展，應提高門檻針對佔據主導地位的企業。 我國的數位市場政策仍有立法空間，該傾向管制市場或是鼓勵創新投資需要考量我國數位市場成熟度、規模、影響力等要素，印度已經跨出數位市場治理第一步，我國應持續追蹤各國法制政策，以滾動調整、擬定適合我國的數位市場政策。 [1] MINISTRY OF CORPORATE AFFAIRS, Report of the Committee on Digital Competition Law 27 (2024). [2] Comments to the Indian Ministry of Corporate Affairs Regarding Digital Competition Law, INFORMATION TECHNOLOGY & INNOVATION FOUNDATION, https://itif.org/publications/2024/05/15/comments-to-the-indian-ministry-of-corporate-affairs-regarding-digital-competition-law/ (last visited June 25, 2024). [3] India Should Question Europe’s Digital-Regulation Strategy, Truth on the Market, https://truthonthemarket.com/2024/04/12/india-should-question-europes-digital-regulation-strategy/?_gl=1*1mrmph7*_ga*MTI0MTU5NTkwMS4xNzE4MzM2OTUz*_ga_R1FRMJTK15*MTcxODMzNjk1Mi4xLjAuMTcxODMzNjk2MS4wLjAuMA. (last visited June 25, 2024). [4] Summary of IFF’s submission on the draft Digital Competition Bill, Internet Freedom Foundation, https://internetfreedom.in/iffs-submission-on-the-digital-competition-bill/ (last visited June 25, 2024). [5] 40 Indian Startups urge MCA to move forward with Digital Competition Bill; 'not give in to delaying tactics by Big Tech', STORYBOARD18, May 16, 2024, https://www.storyboard18.com/digital/40-indian-startups-urge-mca-to-move-forward-with-digital-competition-bill-not-give-in-to-delaying-tactics-by-big-tech-31771.htm (last visited June 25, 2024).

　　美國健康與人類服務部（Secretary of Health and Human Services；以下簡稱HHS），於2009年4月17日公布「個人健康資訊外洩通知責任實施綱領」（Guidance Specifying the Technologies and Methodologies That Render Protected Health Information Unusable, Unreadable, or Indecipherable to Unauthorized Individuals for Purposes of the Breach Notification Requirements under Section 13402 of Title XIII (Health Information Technology for Economic and Clinical Health Act) of the American Recovery and Reinvestment Act of 2009; Request for Information；以下簡稱本綱領）。本綱領為美國迄今唯一聯盟層級之資料外洩通知責任實施細則，並可望對美國迄今四十餘州之個資外洩通知責任法制，產生重大影響。 　　本綱領之訂定法源，係依據美國國會於2009年2月17日通過之經濟與臨床健康資訊科技法（Health Information Technology for Economic and Clinical Health Act；以下簡稱HITECH），HITECH並屬於2009年「美國經濟復甦暨再投資法」（America Recovery and Reinvestment Act；簡稱ARRA）之部分內容。 　　HITECH將個人健康資訊外洩通知責任的適用主體，從「擁有」健康資訊之機構或組織，進一步擴大至任何「接觸、維護、保留、修改、紀錄、儲存、消除，或以其他任何形式持有、使用或揭露安全性不足之健康資訊」的機構或組織。此外，HITECH並規定具體之資料外洩通知方法，即必需向當事人（資訊主體）以「即時」（獲知外洩事件後60天內）、「適當」（書面、或輔以電話、網站公告形式）之方式通知。不過，由於通知之範圍僅限於發生「安全性不足之健康資訊」外洩，故對於「安全性不足」之定義，HITECH即交由HHS制定相關施行細則規範。 　　HHS本次通過之實施辦法，將「安全」之資料定義「無法為第三人使用或辨識」，至於何謂無法使用或辨識，本綱領明定有兩種情形，一是資料透過適當之加密，使其即使外洩亦無法為他人辨識，另一則是該外洩資訊之儲存媒介（書面或電子形式）已被收回銷毀，故他人無法再辨識內容。 　　值得注意的是，有異於美國各州法對於加密標準之不明確態度，本綱領已指明特定之技術標準，方為其認可之「經適當加密」，其認可清單包含國家標準與技術研究院（National Institute of Standards and Technology）公布之Special Publication 800-111，與聯邦資訊處理標準140-2。換言之，此次加密標準之公布，已為相關業者提供一可能之「安全港」保護，使業者倘不幸遭遇資料外洩事件，得主張資料已施行適當之加密保護，即無需承擔龐大外洩通知成本之衡平規定。