美國FDA將整合區塊鏈等新興技術於電子協同運作系統之開發,以提升藥物供應鏈的安全性
依據2013年11月27日通過之藥物供應鏈安全法(Drug Supply Chain Security Act, DSCSA),美國食品與藥物管理局(US Food and Drug Administration, FDA)於2019年2月7日公布新的領航計畫(Pilot Program)。此計畫主要的目標在於發展電子協同運作系統(electronic, interoperable system)以降低不合規範的藥物於市場流通的可能性,並提升患者的用藥安全。
此運作系統預計於2023年開始正式實施,其主要的功能包含辨識(identify)或追蹤處方藥物(prescription drugs)於供應鏈中的流通狀態,以及排除非法藥物進入供應鏈。於後者的情形,此運作系統將同時協助相關主管機關在非法藥物於市場中流通時迅速反應。FDA進一步指出,為達到這些目的,將引入區塊鏈(blockchain)等已使用在全球食品供應鏈(global food supply chains)的管理技術,以促進系統運作過程中的可追蹤性(traceability)及準確性。
此計畫於2019年2月8日到3月11日間接受加入申請,FDA鼓勵供應鏈中的相關人員,包含製造商(manufacturers)、再包裝商(repackagers)及其他利害關係人(other stakeholders)加入並試行計畫中開發的運作系統等技術,以加強產品使用狀況的管理。此外,FDA未來將持續公布相關的指引草案,如藥物辨識指標(product identifiers)等,以提升產業利用性及藥物使用的安全性。
本文為「經濟部產業技術司科技專案成果」
謝易昕
法律研究員 編譯整理
US Food and Drug Administration[FDA], FDA takes new steps to adopt more modern technologies for improving the security of the drug supply chain through innovations that improve tracking and tracing of medicines, https://www.fda.gov/NewsEvents/Newsroom/PressAnnouncements/ucm630942.htm(last visited Mar. 18, 2019)
US Food and Drug Administration[FDA], Pilot Project Program Under the Drug Supply Chain Security Act; Program Announcement, https://www.federalregister.gov/documents/2019/02/08/2019-01561/pilot-project-program-under-the-drug-supply-chain-security-act-program-announcement (last visited Mar. 18, 2019)
日本於2023年12月1日舉辦G7數位技術委員會(G7デジタル・技術大臣会合),由日本數位廳、總務省、經濟產業省共同會晤G7會員國代表,基於人工智慧(Artificial Intelligence,下稱AI)可能帶給全球創造性、革命性的轉變,同時也可能伴隨侵害著作權與擴散假訊息的風險,尤其是生成式AI可能對經濟、社會影響甚鉅,因此針對如何妥善使用AI技術,G7全體會員國共同訂定《廣島AI進程》(広島AIプロセス)文件,其聲明內容簡述如下: 1.訂定涵蓋《廣島AI進程》之政策框架(Framework) 2.訂定涵蓋AI設計、系統開發、規劃、提供與使用等所有與AI有關人員,(All AI actors, when and as applicable, and appropriate, to cover the design, development, deployment, provision and use of advanced AI systems)適用之《廣島AI進程》國際標準(Principle) 3.針對開發高階AI系統之組織,訂定可適用之國際行為準則(Code of Conduct) 為此,日本內閣府於2024年2月14日公布,於經濟產業省政策執行機關—獨立行政法人資訊處理推動機構(独立行政法人情報処理推進機構,下稱IPA)轄下設立日本AI安全研究所(Japan AI Safety Institute,下稱AISI),作為今後研擬AI安全性評鑑標準(據以特定或減少AI整體風險)與推動方式之專責機構,以實現安心、安全以及可信賴之AI為目標。AISI所職掌的業務範圍如下: 1.進行AI安全性評鑑之相關調查 2.研擬AI相關標準 3.研擬安全性評鑑標準與實施方式 4.研擬與各國AI專責機關進行國際合作,例如:美國AI安全研究所(U.S. Artificial Intelligence Safety Institute, USAISI) 另一方面,IPA將以內部人才招聘作為AISI成員之任用方式,預計組成約數十人規模的團隊。日本以與G7會員國共識為基礎,採專責機關—AISI進行研究與規劃,並推動日後擬定AI相關使用規範與安全性評鑑標準,據以實現AI應用安全之目標。我國對於AI技術之應用領域,未來應如何訂定使用安全規範,將涉及專業性與技術性事項之整體性規劃,日本因應AI課題而採行的做法值得我國未來持續關注。
新加坡個人資料保護委員會2017年7月發布資料共享指引新加坡個人資料保護委員會(Personal Data Protection Commission, PDPC)於2017年7月27日發布資料共享指引(GUIDE TO DATA SHARING),該指引協助組織遵守新加坡2012年個人資料保護法(Personal Data Protection Act 2012, PDPA),並提供組織內部和組織之間的個資共享指引,例如得否共享個資,與如何應用,以確保符合PDPA共享個資之適當方法;並得將特定資料共享而豁免PDPA規範。該指引共分為三部分,並有附件A、B。 指引的第一部分為引言,關於資料共享區分為三種類型探討: 在同一組織內或關係組織間共享 與資料中介機構共享(依契約約定資料留存與保護義務) 與一個或多個組織共享(在不同私部門間、公私部門間) 共享包含向一或多組織為利用、揭露或後續蒐集個資;而在組織內共享個人已同意利用之個資,組織還應制定內部政策,防止濫用,並避免未經授權的處理、利用與揭露;還應考慮共享的預期目的,以及共享可能產生的潛在利益與風險。若組織在未經同意的情況下共享個資,必須確保根據PDPA的相關例外或豁免之規定。 指引的第二部分則在決定共享資料前應考慮的因素: 共享目的為何?是否適當? 共享的個資類型為何?是否與預期目的相關? 在該預期目的下,匿名資料是否足以代替個資? 共享是否需要得同意?是否有例外? 即使無須同意,是否需通知共享目的? 共享是否涉及個資跨境傳輸? 上述因素還能更細緻對應到附件A所列應思考問題,附件B則有相關作業流程範例。 指引的第三部分,具體說明如何共享個資,與資料共享應注意規範,並提供具體案例參考,值得作為組織遵守新加坡個人資料保護規範與資料共享之參考依據。
法國CNIL認Google於Gmail中投放之偽裝廣告及個人化廣告因欠缺當事人有效同意而違法,開罰3.25億歐元法國國家資訊與自由委員會(Commission Nationale de l’Informatique et des Libertés, CNIL)於2025年9月1日針對一起由歐洲數位權利中心(noyb - The European Center for Digital Rights)提出的申訴做成決議,指Google未經Gmail使用者同意,將廣告偽裝為電子郵件進行「偽裝廣告」(Disguised Ads)投放,以及在對Gmail使用者投放個人化廣告前,未能於Gmail帳號申請流程中提供當事人提供較少cookies、選擇非個人化之通用廣告(generic ads)的選項,違反了《電子通訊法》(code des postes et des communications électroniques)與《資訊與自由法》(loi Informatique et Libertés)中關於歐盟《電子隱私指令》(ePrivacy Directive)之施行規定,對Google裁處了3.25億歐元的罰鍰,並要求改善。以下節錄摘要該裁決之重點: 一、 偽裝成電子郵件的偽裝廣告與電子郵件廣告均須獲當事人同意始得投放 歐盟《電子隱私指令》第13條1項及法國《電子通訊法》規定,電子郵件直接推銷(direct marketing)僅在其目標是已事先給予同意的使用者時被允許。CNIL,依循歐盟法院(CJEU)判例法(C-102/20)見解,認為若廣告訊息被展示在收件匣中,且形式類似真實電子郵件,與真實電子郵件相同位置,則應被認為是電子郵件直接推銷,須得到當事人之事前同意。因此,CNIL認定偽裝廣告即便技術上不是狹義的電子郵件,僅僅因其在通常專門用於私人電子郵件的空間中展示,就足以認為這些廣告是透過使用者電子郵件收件匣傳遞的廣告,屬於電子郵件廣告,而與出現在郵件列表旁邊且獨立分開的廣告横幅不同,後者非屬電子郵件廣告。 二、 Cookie Wall下當事人的有效同意:「廣告類型」的選擇、服務申請流程的隱私設計與資訊透明 CNIL參酌歐盟個人資料保護委員會(European Data Protection Board, EDPB)第2024/08號關於「同意與付費模式」意見,認為同意接受廣告在特定條件下得作為使用Gmail服務的條件。換言之,以「cookie wall」(註:拒絕cookie的蒐集即無法獲得服務之網站設計)取得之當事人「同意」,非當然不自由或無效。CNIL認為,在免費服務的框架下,cookie wall在維持提供服務與服務成本之間的經濟平衡上,要求服務申請者須接受投放廣告的cookie是合法的。惟CNIL認為,這不代表Google可以任意決定所蒐集的cookies和相應廣告模式的類型。 CNIL要求,當事人在cookie wall的框架內仍應享有選擇自由,才能取得蒐集為投放個人化廣告之cookies的當事人有效同意,亦即:在個人化廣告處理更多個資和對當事人造成更多風險的情況下,當事人應被給予機會選擇「等值的替代選項」,亦即通用廣告,並完全且清晰地了解其選擇的價值、範圍及後果。 然而,CNIL發現,Google將與廣告個性化相關的cookies拒絕機制設計得比接受機制更複雜,實際上阻礙了使用者拒絕隱私干預程度更高的cookies。這種拒絕途徑偏袒了允許個人化廣告的cookies的同意,從而影響了當事人的選擇自由。CNIL也發現,Google從未以明確方式告知使用者建立Gmail帳戶時面臨cookie wall,以及對此使用者享有甚麼選擇,而其提供的資訊更引導使用者選擇個人化廣告,導致選擇一般廣告的機會遭到犧牲。 三、 為何不是愛爾蘭資料保護委員會(Data Protection Commission, DPC)管轄? GDPR設有「單一窗口機制」,依據該合作機制,對Google進行的GDPR調查,應由作為主任監管機關(Lead Supervisory Authority)的愛爾蘭DPC管轄。惟在本案,CNIL認為並不適用於單一窗口機制。因為與cookies使用及電子推銷相關的處理並非屬於GDPR範疇,而是適用電子隱私指令,CNIL對法國境內的cookies使用及電子推銷處理享有管轄權。此爭議反映出即便GDPR旨在確保標準化單一市場內的數位管制,但尚不足以弭平成員國間監管強度之差異。
瑞士諾華藥廠針對數間印度學名藥廠之ANDA申請程序,提起專利侵權訴訟瑞士諾華藥廠成立於1996年,為全球前十大藥廠之一,其首創新藥Entresto,係作用於心臟神經內分泌系統,以對抗心力衰竭症狀,其在美國也取得相關專利(US8101659、US8796331、US8877938和US9388134),專利效期大致落在2023~2027年間。藥品上市後統計至2019年6月,Entresto的全球收入已達約7.78億美元。 印度學名藥廠Macleods、Alembic、Natco公司於2019年9月向美國食品藥品監督管理局(下簡稱FDA)提交Entresto學名藥簡易新藥上市申請(下簡稱ANDA),諾華於2019年9月11日接獲通知後,即於2019年10月24日,針對上述申請ANDA之印度學名藥廠提起專利侵權訴訟,試圖阻止該些印度學名藥廠仿製Entresto。 依照美國規定,當學名藥廠提出ANDA申請時,若專利權人在45天內提出專利訴訟,則會限制美國FDA不得於30個月內核准該ANDA申請。因此,在實務上ANDA從申請到上市,需花費約三年時間,使得學名藥廠往往會選擇在原廠藥物專利尚未到期前,提早申請藥品查驗;而原廠也通常會積極於45天內發起專利訴訟,已鞏固其專利期間之市場地位。 我國西藥專利連結制度業於2019年8月20日正式上路,建議我國相關生醫藥廠商應了解相關制度規範、與國外規定之差異,並提早納入企業內部之智財管理與智財策略規劃。 「本文同步刊登於TIPS網站(https://www.tips.org.tw )」