美國FDA發布於海內外應對2019年新型冠狀病毒之行動聲明
美國食品及藥物管理局(Food and Drug Administration, FDA)於2020年2月14日,發布於海內外應對2019年新型冠狀病毒之行動聲明,其包括:
- 主動監控供應鏈:由於疫情可能影響醫療產品供應鏈,FDA已與數百家藥品與醫療器材製造商保持聯繫,並與歐洲藥品管理局等全球監管機構保持同步,以評估監控潛在之製造中斷的警訊,且與生物製劑製造商聯繫,以評估有關原料之供應問題。若FDA確定醫療產品可能會短缺,則可能會採取與製造商緊密合作、加快對替代供應之審查等措施來防止短缺。
- 針對海外生產之FDA產品合規性之查驗與監控:FDA採取基於風險之模型來確認要進行查驗之公司,基於某些特定條件,會被認為具有較高風險之場所會被優先查驗,這些條件包括固有之產品風險、患者接觸產品之程度、過去查驗之歷史紀錄等等。除了查驗之外,其他防止不符FDA標準之產品進入美國市場之工具包括進口警示、增加進口採樣與篩查、替代查驗之紀錄要求(requesting records)。FDA可對市場上不合法之產品或違法之公司或個人採取監管與強制措施,例如警告信、扣押或禁制令。
- 消費品安全:美國海關暨邊境保護局將輸入美國、受FDA監管之產品交由FDA審查,其必須遵守與美國國內產品相同之標準,在FDA決定其可接受性之前不得將其分銷至美國。FDA並成立跨機關之專案小組,密切監控聲稱可預防、治療或治癒新型冠狀病毒疾病之詐欺性產品和虛假產品,並採取可能之執法行動。
- 對於診斷、治療與預防疾病之努力:FDA致力於促進安全有效之醫療對策的發展,提供法規建議、指導和技術援助,以促進針對用於此病毒之疫苗、治療和診斷測試之開發和可用性。FDA已核發緊急使用授權(Emergency Use Authorization, EUA),以便立即使用由美國疾病管制與預防中心所開發之診斷試劑,並已制定用於檢測病毒之EUA審查範本,其中概述申請EUA前所需之資料要求,目前已提供給表示有興趣開發該病毒之診斷工具之多位開發者。
- 後續行動:FDA將密切監視疫情並與跨部門合作夥伴、國際合作夥伴、醫療產品開發商與製造商合作,以幫助推進針對病毒之應對措施。
本文為「經濟部產業技術司科技專案成果」
施雅薰
法律研究員 編譯整理
FDA’s Actions in Response to 2019 Novel Coronavirus at Home and Abroad, FDA, Feb. 2020, https://www.fda.gov/news-events/press-announcements/fdas-actions-response-2019-novel-coronavirus-home-and-abroad (last visited Feb. 18, 2020)
美國白宮終於2012年4月26日正式發布「國家生物經濟藍圖」(National Bioeconomy Blueprint),宣告未來美國將以生物技術為首的投資、研究與商業經濟活動列為優先支持的對象。近年來美國苦思於如何在國內經濟成長疲軟與失業問題上尋求解套,而有鑒於全球「生物經濟」(Bioeconomy)的快速崛起,歐巴馬政府遂寄望於生物經濟,期望藉由支持生物技術的研究創新與商業活動,帶動國內投資、提升就業率及經濟成長,並仰賴生物科技的發展增進國民福址。因此,白宮科學與技術政策辦公室(The White House's Office of Science and Technology Policy, OSTP)便於2011年10月起開始向生物醫藥、生物科技相關產業及研究機構徵集意見,歷經半年的規劃,始產出此部發展藍圖。 國家生物經濟藍圖首先劃定生物經濟的五大趨勢,包括:健康、能源、農業、環境及知識技術的分享。其次揭示了未來美國生物經濟的五大發展策略目標及其具體作法: (一)支持各項研發投資以建立生物經濟的發展基礎: (1)強化生物技術的各類研究發展,如生物醫藥、生質能源、生物綠建築、生物農業等 (2)實施新的補助機制以使得生物經濟投資達最大化,例如國家科學基金會於2012年推動的CERATIV(Creative Research Awards for Transformative Interdisciplinary Ventures)獎補助計畫。 (二)促進生物技術發明的市場應用與商業化: (1)加強生物醫藥的轉譯及管制科學(translational and regulatory science)發展; (2)由國家衛生研究院(National Institutes of Health,NIH)及食品藥物管理局(Food and Drug Administration,FDA)等相關主管機關主動檢視、調整既有法規,以加速生物技術成果的商業化(如生物醫藥的上市)。 (三)改革並發展相關規範,以減少法規障礙、增加規範程序的效率與可預測性: (1)減少可能影響生醫產業發展的法規障礙; (2)對於低風險的醫療裝置,降低其遵循法規的成本負擔; (3)由食品藥物管理局等相關主管機關,對於醫藥產品採行雙向規範審查(Parallel Regulatory Review),以減少產品上市時間。 (四)更新相關國家人才培訓計畫,並調整學術機構對學生訓練的獎勵機制,以符合國家與產業發展的勞動需求。 (五)支持公私夥伴及競爭前合作(Precompetitive Collaborations)關係的發展:由國家衛生研究院及食品藥物管理局等相關主管機關鼓勵、支持公私或私人部門間形成夥伴關係,共同針對生物醫藥及食品安全進行創新研究發展。 由「國家生物經濟藍圖」對美國未來生物經濟發展的策略及具體做法看來,其內容相當廣泛,從促進各種生物技術的研發投資、生技成果商業化運用、產品上市管制鬆綁、科技人員培育,再到公私部門合作的增進,完整涵蓋了整個生物技術產業發展的各個必要環節,雖已點出生物技術產業發展有待突破之處,但對於其具體法規與配套機制,仍有待日後一一落實。因此,未來本藍圖將如何形塑美國各領域生物技術產業的輪廓,並影響法規與促進機制之細節,值得持續觀察之。
日本內閣府公布最新科學技術基本計畫草案,期以智慧聯網服務平台實現超智能社會日本內閣府2015年12月10日於「綜合科學技術創新會議」上公布最新「科學技術基本計畫」草案,預計將投入26兆日圓,約占GDP1%的資金。該計畫之法源基礎係1995年公布之《科學技術基本法》第9條第1項,要求政府自1996年開始制定以五年為期,整體、宏觀且跨部會之科技發展計畫,目前最新之「第五期科學技術基本計畫」將於2016年開始施行。 「第五期科學技術基本計畫」共計七章,作為本期計畫核心之第二至第五章,揭櫫四大原則及相應規畫: 一、 以未來產業創新及社會變革為方向創造新價值(第二章) 旨在發展對未來產業創新及社經變遷具有前瞻性之技術及服務,如智慧聯網、巨量資料、人工智慧等,並以此為基礎實現領先世界之「超智能社會」。 二、 因應經濟社會新課題(第三章) 1. 確保能源、資源及糧食供應穩定。 2. 因應超高齡化、人口減少等問題,打造永續發展的社會。 3. 提高產業競爭力及地區活力。 4. 確保國家安全及國民安全。 5. 因應全球範圍內發生的社經問題,並對世界發展做出具體貢獻。 三、 強化科技創新基礎能力(第四章) 企圖打破產官學界間障壁,加速人才流動及人才多樣化,對造成障礙之制度進行改革,此外,將增加青年及女性研究者比例,及提升學術論文品質。 四、 構築人才、知識、資金三要素的良性循環制度以朝向創新發展(第五章) 將透過產官學界合作,打造創新人才培育及適其發展之環境,強化國際知識產權及標準化之運用,並依國內各區域特性推動相關創新措施。 在這當中,「實現超智能社會」為本期計畫最重要之發展目標,由於資通訊技術高度發展帶動生產、交通、醫療、金融、公共服務等各方面之巨大變革,創造出新產品、新服務,卻也相應帶來新挑戰及社會問題,日本政府計畫打造「智慧聯網服務平台」(IoTサービスプラットフォーム),將內閣府2015年6月19發布之「科學技術創新綜合戰略2015」中所列舉的11個系統分階段完成串連整合,以推動跨系統間之數據應用,達成各科學領域巨量資料之流通使用,同時兼顧資訊安全保障的「超智能社會」。
歐盟提出設立歐洲技術研究院(European Institute of Technology, EIT)之規劃草案歐盟在最新一期的研發剛要計畫( The Seventh Framework Proposal )中,除了持續以計畫補助方式推動歐盟的研發能力外,最值得注意者乃有關設立「歐洲技術研究院」( European Institute of Technology, EIT )的規劃。最近歐盟執委會已經提出 EIT 設立的法源基礎草案,根據目前規劃, EIT 旨在吸引產學研各界菁英加入,肩負打破產學研界間之藩籬之使命,未來 EIT 除為產學研合作之參考模式外,並將扮演歐洲地區創新、研究與高等教育之菁英領航者( a flagship for excellence ),期使歐盟得更有效率地面對全球化及知識經濟社會所帶來之挑戰。 就組織面而言, EIT 係整合由上而下及由下而上兩種組織結構: EIT 本身具有獨立之法人格,其內部除設置管理局( Governing Board , GB )監督組織運作外,並有約六十位常設之科學及職員人力;另 EIT 將由數個知識及創新社群( Knowledge and Innovation Communities, KICs )組成,各 KICs 代表不同區域之大學、研究組織與企業,各 KISs 與 EIT 以契約規範彼此間的權利義務關係;至於各個 KICs 的組織結構,以及其如何達到契約目的,則交由其自治。目前歐盟執委會規劃在 2013 年以前建構約六個 KICs ,預計在此以前, EIT 需要來自公私部門總計約 24 億歐元( €2.4bn )的經費資助。 由於 EIT 的設立尚須經過歐洲議會及歐盟理事會同意,若執委會目前所提出的設立規劃草案順利取得前述兩機構同意,預計 EIT 將可能從 2008 年起正式運作,並在 2010 年以前完成兩個 KICs 的設立。
我國去識別化實務發展-「個人資料去識別化過程驗證要求及控制措施」我國關於個人資料去識別化實務發展 財團法人資訊工業策進會科技法律研究所 2019年6月4日 壹、我國關於個人資料去識別化實務發展歷程 我國關於個資去識別化實務發展,依據我國個資法第1條立法目的在個資之隱私保護與加值利用之間尋求平衡,實務上爭議在於達到合理利用目的之個資處理,參酌法務部103年11月17日法律字第10303513040號函說明「個人資料,運用各種技術予以去識別化,而依其呈現方式已無從直接或間接識別該特定個人者,即非屬個人資料,自非個資法之適用範圍」,在保護個人隱私之前提下,資料於必要時應進行去識別化操作,確保特定個人無論直接或間接皆無從被識別;還得參酌關於衛生福利部健保署資料庫案,健保署將其所保有之個人就醫健保資料,加密後提供予國衛院建立健保研究資料庫,引發當事人重大利益爭議,終審判決(最高行政法院106年判字第54號判決)被告(即今衛福部)勝訴,法院認為去識別化係以「完全切斷資料內容與特定主體間之連結線索」程度為判準,該案之資料收受者(本案中即為衛福部)掌握還原資料與主體間連結之能力,與健保署去識別化標準不符。但法院同時強調去識別化之功能與作用,在於確保社會大眾無法從資料內容輕易推知該資料所屬主體,並有提到關於再識別之風險評估,然而應採行何種標準,並未於法院判決明確說明。 我國政府為因應巨量資料應用潮流,推動個資合理利用,行政院以推動開放資料為目標,104年7月重大政策推動會議決議,請經濟部標檢局研析相關規範(如CNS 29191),邀請相關政府機關及驗證機構開會討論,確定「個人資料去識別化」驗證標準規範,並由財政部財政資訊中心率先進行去識別化驗證;並以我國與國際標準(ISO)調和之國家標準CNS 29100及CNS 29191,同時採用作為個資去識別化驗證標準。財政部財政資訊中心於104年11月完成導航案例,第二波示範案例則由內政部及衛生福利部(105年12月通過)接續辦理。 經濟部標準檢驗局目前不僅將ISO/IEC 29100:2011「資訊技術-安全技術-隱私權框架」(Information technology – Security techniques – Privacy framework)、ISO/IEC 29191:2012「資訊技術-安全技術-部分匿名及部分去連結鑑別之要求事項」(Information technology – Security techniques – Requirements for partially anonymous, partially unlinkable authentication),轉換為國家標準CNS 29100及CNS 29191,並據此制訂「個人資料去識別化過程驗證要求及控制措施」,提供個資去識別化之隱私框架,使組織、技術及程序等各層面得整體應用隱私權保護,並於標準公報(107年第24期)徵求新標準之意見至今年2月,草案編號為1071013「資訊技術-安全技術-個人可識別資訊去識別化過程管理系統-要求事項」(Management systems of personal identifiable information deidentification processes – Requirements),主要規定個資去識別化過程管理系統(personal information deidentification process management system, PIDIPMS)之要求事項,提供維護並改進個人資訊去識別化過程及良好實務作法之框架,並適用於所有擬管理其所建立之個資去識別化過程的組織。 貳、個人資料去識別化過程驗證要求及控制措施重點說明 由於前述說明之草案編號1071013去識別化國家標準仍在審議階段,因此以下以現行「個人資料去識別化過程驗證要求及控制措施」(以下簡稱控制措施)[1]說明。 去識別化係以個資整體生命週期為保護基礎,評估資料利用之風險,包括隱私權政策、隱私風險管理、隱私保護原則、去識別化過程、重新識別評鑑等程序,分別對應控制措施之五個章節[2]。控制措施旨在使組織能建立個資去識別化過程管理系統,以管理對其所控制之個人可識別資訊(personal identifiable information, PII)進行去識別化之過程。再就控制措施對應個人資料保護法(下稱個資法)說明如下:首先,組織應先確定去識別化需求為何,究係對「個資之蒐集或處理」或「為特定目的外之利用」(對應個資法第19條第1項第4、5款)接著,對應重點在於「適當安全維護措施」,依據個資法施行細則第12條第1項規定,公務機關或非公務機關為防止個資被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施;而依據個資法施行細則第12條第2項規定,適當安全維護措施得包括11款事項,並以與所欲達成之個資保護目的間,具有適當比例為原則。以下簡要說明控制措施五大章節對應個資法: 一、隱私權政策 涉及PII處理之組織的高階管理階層,應依營運要求及相關法律與法規,建立隱私權政策,提供隱私權保護之管理指導方針及支持。對應個資法施行細則第12條第2項第5款適當安全維護措施事項「個人資料蒐集、處理及利用之內部管理程序」,即為涉及個資生命週期為保護基礎之管理程序,從蒐集、處理到利用為原則性規範,以建構個資去識別化過程管理系統。 二、PII隱私風險管理過程 組織應定期執行廣泛之PII風險管理活動並發展與其隱私保護有關的風險剖繪。直接對應規範即為個資法施行細則第12條第2項第3款「個人資料之風險評估及管理機制」。 三、PII之隱私權原則 組織蒐集、處理、利用PII應符合之11項原則,包含「同意及選擇原則」、「目的適法性及規定原則」、「蒐集限制原則」、「資料極小化原則」、「利用、保留及揭露限制」、「準確性及品質原則」、「公開、透通性及告知原則」、「個人參與及存取原則」、「可歸責性原則」、「資訊安全原則」,以及「隱私遵循原則」。以上原則涵蓋個資法施行細則第12條第2項之11款事項。 四、PII去識別化過程 組織應建立有效且周延之PII去識別化過程的治理結構、標準作業程序、非預期揭露備妥災難復原計畫,且組織之高階管理階層應監督及審查PII去識別化過程之治理的安排。個資法施行細則第17條所謂「無從識別特定當事人」定義,係指個資以代碼、匿名、隱藏部分資料或其他方式,無從辨識該特定個人者,組織於進行去識別化處理時,應依需求、風險評估等確認注意去識別化程度。 五、重新識別PII之要求 此章節為選驗項目,需具體依據組織去識別化需求,是否需要重新識別而決定是否適用;若選擇適用,則保留重新識別可能性,應回歸個資法規定保護個資。 參、小結 國際上目前無個資去識別化驗證標準及驗證作法可資遵循,因此現階段控制措施,係以個資整體生命週期為保護基礎,評估資料利用之風險,使組織能建立個資去識別化過程管理系統,以管理對其所控制之個人可識別資訊進行去識別化之過程,透過與個資法對照個資法施行細則第12條規定之安全維護措施之11款事項,內化為我國業者因應資料保護與資料去識別化管理制度。 控制措施預計於今年下半年發展為國家標準,遵循個資法與施行細則,以及CNS 29100、CNS 29191之國家標準,參照國際上相關指引與實務作法,於技術上建立驗證標準規範供產業遵循。由於國家標準無強制性,業者視需要評估導入,仍建議進行巨量資料應用等資料經濟創新業務,應重視處理個資之適法性,建立當事人得以信賴機制,將有助於產業資料應用之創新,並透過檢視資料利用目的之合理性與必要性,作為資料合理利用之判斷,是為去識別化治理之關鍵環節。 [1] 參酌財團法人電子檢驗中心,個人資料去識別化過程驗證,https://www.etc.org.tw/%E9%A9%97%E8%AD%89%E6%9C%8D%E5%8B%99/%E5%80%8B%E4%BA%BA%E8%B3%87%E6%96%99%E5%8E%BB%E8%AD%98%E5%88%A5%E5%8C%96%E9%81%8E%E7%A8%8B%E9%A9%97%E8%AD%89.aspx(最後瀏覽日:2019/6/4) 財團法人電子檢驗中心網站所公告之「個人資料去識別化過程自評表_v1」包含控制措施原則、要求事項與控制措施具體內容,該網站並未公告「個人資料去識別化過程驗證要求及控制措施」,故以下整理係以自評表為準。 [2] 分別為「隱私權政策」、「PII隱私風險管理過程」、「PII之隱私權原則」、「PII去識別化過程」、「重新識別PII之要求」。