美國國家標準與技術研究院(NIST)於2020年1月16日發布「隱私框架1.0版」(NIST Privacy Framework Version 1.0),為促進資料的有效利用並兼顧對隱私權的保障,以風險管理(risk management)的概念為基礎建構企業組織隱私權管理框架。本隱私框架依循NIST於2018年所提出的「健全關鍵基礎設施資安框架1.1版」(Framework for Improving Critical Infrastructure Cybersecurity Version 1.1)架構,包含框架核心(Core)、狀態評估(Profile)與實施層級(Implementation Tier),以利組織能夠同時導入隱私與資安兩種框架。由隱私框架核心所建構的風險管理機制,透過狀態評估來判斷當前與設定目標的實施層級,進而完成組織在隱私保護上的具體流程與資源配置。
NIST基於透明、共識、兼顧公私利害關係人的程序訂定本隱私框架,用以促進開發者導入隱私設計思維(privacy by design),以及協助組織保護個人隱私,其目標包含透過支持產品或服務設計中的倫理決策(ethical decision-making)及最小化對隱私的侵害來建立客戶的信任;在當前與未來的產品或服務中,因應持續變化的技術與政策環境遵守對隱私的保護義務;以及促進個人、企業夥伴、稽核者(assessor)與監管者(regulator)在隱私權保護實踐上的溝通與合作。
本隱私框架並非法律或法規,亦不具備法律效果,而是做為數位時代下NIST協助企業導入隱私權管理制度的參考工具,企業或組織將能基於本隱私框架靈活應對多樣化的隱私需求,掌握其產品或服務所隱含的隱私權侵害風險,並識別隱私權相關法律規範,包含加州消費者隱私法(California Consumer Privacy Act)與歐盟一般資料保護規則(General Data Protection Regulation, GDPR)等,提出更具創新性與有效性的解決方案,並有效因應AI與物聯網技術的發展趨勢。
本文為「經濟部產業技術司科技專案成果」
大多數國家是認為動植物為法定不得授予專利之標的,歐盟以往因為歐洲專利公約實施細則(Implementing Regulations to the Convention on the Grant of European Patents,下簡稱實施細則)跟擴大上訴委員會(the Enlarged Board of Appeal,簡稱EBA)決定不一致而造成爭議,EBA於2020年5月做出的新決定,對於動植物是否為可授予專利之標的做出一致性解釋。 在歐洲專利公約(European Patent Convention,簡稱EPC)第53條第2款規定用以生產動植物的基本生物學方法不可授予專利,並於2017年生效的實施細則第28條第2項將其進一步擴張解釋成,僅運用基本生物學方法所產生的動植物不可授予專利,這與EBA在2015年所做出的決定(G 2/12、G 2/13)並不一致,在2015年的決定中提到,運用基本生物學方法來界定動植物的請求項仍可以被接受,因此實施細則第28條第2項與2015年的決定產生衝突。 於2019年,技術上訴委員會(Technical Board of Appeal)在案例T 1063/18中發現了這個問題,並提到EBA討論,EBA表示,考慮到法條涵義可能因時間產生變化,需要對EPC第53條第2款進行動態解釋(dynamic interpretation),實施細則第28條第2項與EPC第53條第2款並未矛盾,而是進一步擴展為,僅通過基本生物學過程,或是由基本生物學方法界定動植物之情況,皆屬於不可授予專利之情況,而推翻之前的決定。而為維持法律安定性,本決定(G 3/19)對於2017/07/01前生效或申請的案件並不具效力。 「本文同步刊登於TIPS網站(https://www.tips.org.tw )」
反恐任務 愛爾蘭擬成立DNA資料庫自美國911事件後,世界各國無不重新檢視自己國內現行實施的保安制度,愛爾蘭政府最近宣布將建立一個有限的DNA資料庫的計畫,以協助對抗重大犯罪事件。該資料庫的資料儲存範圍,將包括永久保留被判處超過五年徒刑的任何重大犯罪嫌犯的DNA檔案,以及任何疑似觸及重大犯罪的嫌犯檔案,後者的檔案僅暫時保存,一旦當事人沒有遭到起訴或稍後無罪獲釋,檔案即被移除或銷毀。 我國內政部原訂七月一日起換發身分證需強制捺指紋才可領證,其目的之一也是為了要遏止治安不斷惡化的情況,不過遭到人權團體抗議強制捺印指紋為侵犯隱私之行為。大法官會議解釋則認為,內政部以戶籍法第八條規定強制全民捺指紋領身分證,並以此建立指紋資料庫,以及以個人資料保護法作為指紋可用在個案犯罪偵防的根據,兩項做法均不適當,因此以釋字第603號解釋宣告換發身分證需強制捺指紋的作法違憲。 愛爾蘭政府若要建立一有限的DNA資料庫,其立法目的與執行、管理都須有周密設計,並符合保障人權的憲法原則,否則該DNA資料庫也將會存有侵犯人權的潛在風險。
美國「2009年經濟復甦暨再投資法」大幅度修正HIPAA隱私權條款2009年02月17日美國總統簽署通過「2009年經濟復甦暨再投資法」(America Recovery and Reinvestment Act, ARRA),將醫療產業列為重點發展項目之ㄧ,擬由政府預算進行醫療資訊科技化計畫,俾使電子病歷的傳輸與交換得兼顧效率及安全。而以規範醫療資訊安全為主的「醫療保險可攜及責任法」之隱私權條款(HIPAA, Privacy Rule),亦因此有重大修正。 其中,最主要的變革在於擴充HIPAA的責任主體,由原有的健康照護業者、健康計畫業者及健康照護資訊交換業者,擴充至凡因業務關係而可能接觸個人健康資訊的個人或業者,包含藥劑給付管理公司、代理人及保險業者等,這些機構或個人原本與醫療院所或病患間係依據契約關係進行責任規範,但被納入HIPAA的責任主體範圍後,則需依此負擔民、刑事責任。 而於加強資訊自主權部份,亦有數個重要變革如下:(一)責任主體之通知義務:依據新規定,資料未經授權被取得、使用或揭露,或有受侵害之虞時,責任主體應即早以適切管道通知資訊主體有關被害之情事,以防備後續可能發生的損害。(二)資訊主體之紀錄調閱權:以往資料保管單位得拒絕個人調閱健康資料運用紀錄之請求,有鑒於病歷電子化後,保存及揭露相關紀錄已不會造成過重負擔;依據新規定,資訊主體有權調閱近三年內個人健康資料被使用次數及目的等紀錄。(三)資訊主體資料揭露之拒絕權:以往責任主體得逕行提供個人醫療資訊作為治療、計費及照護相關目的之使用,無論資訊主體曾表達拒絕之意與否;依據新規定,資訊主體得禁止其向保險人揭露相關資訊,除非保險人已全額支付醫療費用。 以上HIPAA之新增規範,預計於2010年02月17日正式施行。
中華人民共和國《出版管理條例》之介紹