加州消費者隱私保護法修正法案重點說明
隨著個人資料保護意識的興起,各國也持續增修法律來保護人民權益以及協調產業標準,但這變動的過程會對本來就複雜的法律結構帶來更多挑戰。
如美國同時會有聯邦法與州法兩個層次的法律,當兩者分別發展隱私權相關法律規範時,難免會缺乏協調,出現定義不明的重疊規範,進而提高企業之法令遵循成本與管理成本。最終導致的結果,就是非必要地降低了產業發展速度,以及提高了消費者獲得服務的成本。
日前美國加州政府修改了首部以消費者個人資料權利為規範之州級法律「加州消費者隱私保護法(California Consumer Privacy Act, CCPA)」,使該部法案對於個人資料保護與利用之規範日漸完備,並減少與聯邦政府重複管轄項目,進而達到合理降低州內企業的遵法成本。美國加州州長紐松(Gavin Newsom)簽署的CCPA修正案「AB-713號法案」(Assembly Bill No. 713, an act to amend Sections 1798.130 and 1798.145 of the Civil Code )通過後,CCPA之適用範圍將限縮。若「同時符合」下列二者條件,則可免受CCPA規範:
- 受「加州醫療資訊保密法」(the California’s Confidentiality of Medical Information Act, CMIA)所規範的的醫療資訊及個人健康資訊之衍生資訊,或受「美國聯邦受試者保護通則」(Federal Common Rule for human research subjects) 所規範的可識別之個人資訊。
- 根據「健康保險可攜性及責任法」(Health Insurance Portability and Accountability Act, HIPPA)之標準,已去識別化的資訊。
換言之,已經依HIPAA標準去識別化之第一點資訊,即可豁免CCPA針對個人資料保護之相關規定。此將減輕本身不受 HIPAA 規範,但因進行研究或業務目的需接收 HIPPA 去識別化資訊企業之合規負擔。
「AB-713號法案」對於已去識別化資訊之利用或販售行為,增設了契約須載明下列規範架構之條款內容:
- 如有利用或販售去識別化資訊涉及病患資料者,須在契約中予以聲明。
- 禁止買受人或被授權利用人以任何方式重新識別去識別化資訊。
- 除法律另有規定,或第三方受到相同或更嚴格限制之個資保護約束,買受人或被授權利用人不得將去識別化資訊再行揭露予第三方。
「AB-713號法案」亦要求進行CCPA所涵蓋販售或揭露去識別化病患資訊的企業,其隱私政策聲明應納入以下內容:
- 將出售或揭露去識別化病患之資訊;
- 採用HIPAA所允許如專家法(Expert determination)或安全港法(Safe harbor)等之何種方式,進行病患資訊之去識別化。
整體來說,「AB-713號法案」讓CCPA的規範稍加鬆綁,明確排除CCPA對特定去識別化資訊之適用,並擴張對研究行為之豁免範圍,在處理上有更多彈性,惟同時也要求企業須充分揭露其個人資料處理原則。
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
邱曉麗
邱曉麗 編譯整理
1. California amends consumer privacy act on medical information and health privacy,DWO, Oct. 2, 2020,https://dig.watch/updates/california-amends-consumer-privacy-act-medical-information-and-health-privacy(last visited Oct. 30, 2020).
2. AB-713 California Consumer Privacy Act of 2018.(2019-2020) ,CLI, Sep. 29, 2020,http://leginfo.legislature.ca.gov/faces/billNavClient.xhtml?bill_id=201920200AB713(last visited Oct. 30, 2020).
3. Welcome Clarifications, But Also New Obligations Around De-Identified Patient Data, Law.com, Oct. 20, 2020,https://www.law.com/legaltechnews/2020/10/20/recent-ccpa-amendment-brings-welcome-clarifications-but-also-new-obligations-around-de-identified-patient-data/(last visited Oct. 30, 2020).
英國藥物及保健產品管理局(Medicines and Healthcare Products Regulatory Agency, MHRA)於2022年6月22日公布「英國醫療器材監管的未來之公眾諮詢政府回應」(Government response to consultation on the future regulation of medical devices in the United Kingdom),確立未來醫材監管方向。本次諮詢收到將盡900件回應(民眾與業者大約各半),結果顯示民眾業者對於強化醫療器材安全監管的支持。 MHRA將強化MHRA的執法權力,以確保病患安全,並且關注健康不平等議題並減少AI偏見問題;其監管設計上會考量歐盟和全球標準,並致力於建立英國符合性評鑑(UK Conformity Assessed, UKCA)。MHRA於安全方面,將增加製造商、進口商與經銷商的責任,並要求有英國地址的負責人對瑕疵商品負擔法律責任(構成法律責任的要件與製造商同)。其亦將要求製造商賠償被不良事件影響的人、禁止行銷上使用引人錯誤之表示、導入醫材之單一識別碼(Unique Device Identifiers, UDI)與增加註冊所需提供之資料,且製造商須建置上市後不良反應監測系統並回報統計上顯著的不良事件趨勢。創新方面,MHRA欲增設「創新醫療器材上市管道」和「軟體醫材上市管道」,以顧及創新與軟體醫材特殊需求。針對一般軟體醫材(software as a medical device, SaMD)與人工智慧軟體醫材(AI as a medical device, AIaMD)的監管,MHRA僅欲於法規中增加「軟體」的定義,其他規範將由指引的形式公布。此外,其將AIaMD視為SaMD的一種,並不會額外訂定AIaMD相關規範。
美國食品藥物管理局發布《人類細胞及基因製劑生產變化及可比性試驗》指引草案—建構再生醫療產品品質要求美國食品藥物管理局(U.S. Food and Drug Administration, US FDA)綜整近20年產官學研的建議,今年7月發布《人類細胞及基因製劑生產變化及可比性試驗》(Manufacturing Changes and Comparability for Human Cellular and Gene Therapy Products)指引草案,提供細胞及基因製劑(含組織工程產品)製造商執行可比性試驗依循的標準,做為實際運作上的參考。US FDA並強調若臨床開發與製程開發同步,將會使產品品質提升、產品供應增加或製造效率提高,讓國內外申請商申請新藥臨床試驗(Investigational New Drug, IND)及上市許可有明確的遵循方向。 之所以會需要有此指引的提出,乃是因為現今全球評估生物製劑原料藥或成品在製造品質變更前後的比較,需提供可比性試驗報告,做法上都是參考2004年國際醫藥法規協和會(International Council for Harmonisation of Technical Requirements for Pharmaceuticals for Human Use, ICH)公布「生物製劑可比性試驗」(ICH Q5E Biotechnological/biological products subject to changes in their manufacturing process: comparability of biotechnological/biological products)指引,但主要適用對象為蛋白質藥品及其衍生物,並不完全適用細胞及基因製劑。 可比性試驗的目的是確保化學製造管制(Chemistry, Manufacturing, and Controls, CMC)變更前後的原料藥或成品,品質需具有高度相似性,才可引用之前的CMC或IND的資料;如果使用的細胞種類、病毒載體及組織工程產品等重大改變,已嚴重影響原料藥或成品的品質,不適用目前的可比性試驗,需重新申請IND或上市許可,將造成申請商需要投入更多的成本,影響產品上市時程。 細胞及基因製劑屬於新興療法,其可比性試驗的審查迄今全球並沒有明確的規範,都是參考ICH Q5E建議,而FDA發布本指引草案正向表列細胞及基因製劑,其驗證確校、安定性及批次變更的可比性依據。讓業者可依循本指引草案,加速細胞及基因製劑的開發、IND申請及產品上市,提升生醫產業的發展。 本文同步刊載於stli生醫未來式網站(https://www.biotechlaw.org.tw)