德國聯邦資料保護暨資訊自由官聲明病人資料保護法恐違反GDPR

　　美國司法部於2021年4月29日宣布，德國SAP全球軟體公司承認從2010年1月至2017年9月，因未能識別用戶下載軟體的地理位置，導致美國原產技術和軟體在未經許可下，透過雲端伺服器和入口網站提供給伊朗用戶，已違反美國《出口管制規則》（Export Administration Regulations, EAR）和《伊朗交易和制裁條例》（Iranian Transaction and Sanction Regulation, ITSR）。SAP向美國司法部、商務部和財政部支付800萬美元罰款並配合調查與補救，雙方達成不起訴協議。 　　美國司法部指出，SAP違規行為主要為以下兩種。首先，SAP及其海外合作夥伴向伊朗用戶輸出超過20,000次的美國軟體產品，其方式包括軟體的更新、升級和修補程式。SAP及總部位於美國的供應商，均未使用地理位置過濾器來識別並阻止伊朗用戶下載，且多年來SAP並未採取任何措施解決此問題，導致伊朗用戶下載後，絕大多數美國軟體再流向土耳其、阿聯酋及多家伊朗跨國公司。其次，SAP旗下的雲端企業Cloud Business Group companies（簡稱CBGs）允許約2,360名用戶在伊朗使用美國的雲端運算服務。從2011年開始SAP陸續收購多家雲端服務供應商成為其CBGs，透過收購前的盡職調查及收購後的出口管制特種審計，清楚了解到這些CBGs缺乏足夠的出口管制與制裁合規程序，但SAP仍允許CBGs被收購後繼續作為獨立實體營運，且未能將CBGs完全整合至SAP自身的出口管制規劃中。 　　美國司法部指出，為確保軟體等美國敏感技術產品，不會非法出口至伊朗等禁運地，公司除必須識別用戶來源外，也有責任確保供應鏈下游與之為產品交易的外國子公司能識別產品輸出地，並且同樣遵守美國經濟制裁政策與出口管制法規，維護美國外交政策與國家安全，防止美國敏感技術落入競爭對手手中。

　　歐盟資料保護監督機關(European Data Protection Supervisor, 下稱EDPS)於2014年7月14日，針對利用雲端運算以及行動設備，將個人資料從歐盟境內傳輸至非歐盟國家之部分，提出意見書作為參考指引。EDPS通常會針對雲端業者在從事商業服務時，進行監督審查，當個人資料透過雲端運算服務進行傳輸或處理時，會由EDPS先行確認，以確保該傳輸是否符合歐盟之個人資料保護指令(Directive 95/46/EC)與規則(Regulation (EC) No 45/2001)之規範。 　　有鑑於跨境合作或使用傳輸服務等需求，歐盟境內將個人資料傳輸至第三國或國際組織之情形日益劇增，此參考指引之主要目的在於詳加解釋歐盟資料保護規則(Regulation (EC) No 45/2001)中關於國際間個人資料傳輸之規定以及應該如何適用。 　　首先，該指引針對何謂個人資料傳輸以及歐盟資料保護規則第9條之範圍做出說明，後續則分別就適當保護之意涵，以及由歐盟執委會基於規則第9.5條之規定依權限得決定第三國是否已達適當保護標準之國家等部分加以論述。最後，該指引則提供確認表，在資料傳輸前應經過一定的確認流程，包括確認資料接收的國家或組織是否已有適當的保護層級，若無，則是否尚有其他資料可證明。如上述皆無法證明，則應考慮是否有例外情況，例如:取得資料所有人同意得進行傳輸、資料所有人與資料控管者因契約約定同意傳輸、資料控管者與第三人因契約約定，基於資料所有人之利益而傳輸、基於重要公益事由或其他法律上之事項必要傳輸、基於保護資料所有人之重要利益而傳輸、基於資料提供於大眾而傳輸等。倘缺乏以上例外情形，則可考慮資料控管者是否得援引自己已經具備適當的安全機制而可進行資料傳輸。最後，如無任何安全之保護，則資料將無法進行傳輸至第三國。 　　綜上，歐盟針對資料傳輸予第三國之部分做出更詳細之說明作為參考指引，使資料之傳輸與流通更有明確的規範方向，其後續適用之成效為何應可持續觀察。

　　歐盟網路與資訊安全局於2016年11月（ENISA）提出醫院導入智慧聯網技術因應資訊安全之研究建議，此研究說明智慧醫院之ICT應用乃以風險評估為基礎，聚焦於相關威脅與弱點、分析網路攻擊情節，同時建立使用準則供醫院遵守。由於遠端病患照護之需求，將使醫院轉型，運用智慧解決機制之際，仍須考量安全防護問題，且醫院可能成為下一階段網路攻擊之目標，醫院導入智慧聯元件的同時，將增加攻擊媒介使醫院面對網路攻擊更加脆弱，因此，報告建議如下： 1.醫療照護機構應提供特定資訊安全防護，要求智慧聯網元件符合最佳安全措施。 2.智慧醫院應確認醫院內之物件及其如何進行網路連結，並根據所得資料採取相應措施。 3.設備製造商應將安全防護納入現有資安系統，並在設計系統與服務之初邀請健康照護機構參與。 　　在我國部分，2016年9月行政院生技產業策略諮議委員會議中即提到，強調將建立智慧健康生活創新服務模式，提供民眾必要健康資訊及更友善支持環境，同時結合ICT與精密機械及材料，發展智慧健康服務的模式。2016年11月，行政院推動「生醫產業創新推動方案」，藉由調適法規等方式統整醫療體系與運用ICT技術及異業整合，其中在智慧聯網應用下之資訊安全防護議題實屬重要。

　　《演算法問責法案》（Algorithmic Accountability Act）於2022年4月由美國參議院提出，此法案係以2019年版本為基礎，對演算法（algorithm）之專業性與細節性事項建立更完善之規範。法案以提升自動化決策系統（automated decision systems, ADS）之透明度與公平性為目的，授權聯邦貿易委員會（Federal Trade Commission, FTC）制定法規，並要求其管轄範圍內之公司，須就對消費者生活產生重大影響之自動化決策系統進行影響評估，公司亦須將評估結果做成摘要報告。 　　《演算法問責法案》之規範主體包括：（1）公司連續三年平均營業額達5000萬美元，或股權價值超過2.5億美元者，並處理或控制之個人資料超過100萬人次；以及（2）公司過去三年內，財務規模至少為前者之十分之一，且部署演算法開發以供前者實施或使用者。ADS影響評估應檢視之內容包括： 　　1.對決策過程進行描述，比較分析其利益、需求與預期用途； 　　2.識別並描述與利害關係人之協商及其建議； 　　3.對隱私風險和加強措施，進行持續性測試與評估； 　　4.記錄方法、指標、合適資料集以及成功執行之條件； 　　5.對執行測試和部署條件，進行持續性測試與評估（含不同群體）； 　　6.對代理商提供風險和實踐方式之支援與培訓； 　　7.評估限制使用自動化決策系統之必要性，並納入產品或其使用條款； 　　8.維護用於開發、測試、維護自動化決策系統之資料集和其他資訊之紀錄； 　　9.自透明度的角度評估消費者之權利； 　　10.以結構化方式識別可能的不利影響，並評估緩解策略； 　　11.描述開發、測試和部署過程之紀錄； 　　12.確定得以改進自動化決策系統之能力、工具、標準、資料集，或其他必要或有益的資源； 　　13.無法遵守上述任一項要求者，應附理由說明之； 　　14.執行並記錄其他FTC 認為合適的研究和評估。 　　當公司違反《演算法問責法案》及其相關法規有不正當或欺騙性行為或做法時，將被視為違反《聯邦貿易委員會法》（Federal Trade Commission Act）規定之不公平或欺騙性行為，FTC應依《聯邦貿易委員會法》之規定予以處罰。此法案就使用ADS之企業應進行之影響評估訂有基礎框架，或可作為我國演算法治理與人工智慧應用相關法制或政策措施之參酌對象，值得持續追蹤。