美國21世紀醫療法最終規則下之資訊封鎖條文生效,患者健康資料進用權利獲保障
美國國家衛生資訊科技協調辦公室(The Office of the National Coordination for Health Information Technology, ONC)於2020年5月公告的「資訊封鎖最終規則(Information Blocking Final Rule)」,於2021年4月5日正式生效。
ONC依21世紀醫療法(21st Century Cure Act)授權,制定有「21世紀醫療法:協同操作性、資訊封鎖與ONC健康IT認證計畫」(21st Century Cures Act: Interoperability, Information Blocking, and the ONC Health IT Certification Program)最終規則,包含各面向關於新興醫療IT技術之規範,其中特別針對資訊封鎖的相關條文,又稱為「資訊封鎖最終規則」。
21世紀醫療法為了確保病患資料近用權利,在法條中明定禁止資訊封鎖行為。「資訊封鎖」,根據資訊封鎖最終規則的定義,是指健康照護業者或健康資訊技術廠商,包括受認證的健康資訊技術(health IT)、健康資料交換 (health information exchange)或健康資料網絡(health information network),在欠缺法律授權或非屬美國公共衛生服務部(Health and Human Service, HHS)認定合理且必要的情況下,所為之干擾、防止或嚴重阻礙電子健康資料(Electronic Health Information, EHI)獲取、交換及使用行為。但以下八種情況,不適用資訊封鎖最終規則:預防傷害(Preventing Harm)、隱私(Privacy)、安全(Security)、不可行性(Infeasibility) 健康IT性能(Health IT Performance)、內容與方式(Content and Manner)、費用(Fees)、授權(Licensing)。
21世紀醫療法在資訊封鎖章節中規定,資訊封鎖相關條文在資訊封鎖例外類型被定義出來後,始生效力。換言之,在資訊封鎖最終規則生效後,病患將有權依法近用其電子健康資料,資料持有者原則上不得拒絕。值得注意的是,資訊封鎖最終規則生效後至2022年10月6日止,適用資訊封鎖條文的電子健康資料範圍,係以美國協同操作核心資料(United States Core Data for Interoperability, USCDI)中所定義之電子健康資料為準。USCDI,是由ONC主導建立的一套資料標準格式,以統一健康資料交換格式,促進資料流通。2022年10月6日起,資訊封鎖最終規則所指的電子健康資料範圍將不僅只局限於USCDI標準所定義之電子健康資料,將擴及健康保險流通與責任法(Health Insurance Portability and Accountability Act, HIPAA)所定義的所有電子健康資料。
邱美蘅
法律研究員 編譯整理
ONC’s Cures Act Final Rule, HealthIT.gov, https://www.healthit.gov/curesrule/ (last visited May 10, 2021).
Information Blocking, HealthIT.gov, https://www.healthit.gov/topic/information-blocking (last visited May 10, 2021).
Anna L. Schroeder, Information Blocking Regulations Under The ONC Cure Act Final Rule (Apr. 14,2021), https://www.eastmansmith.com/publications-articles-Health-IT-Info-Blocking-Rule (last visited May 10, 2021).
美國衛生及公共服務部提出策略草案,以緩解健康資訊科技對醫護人員所造成的負擔,資訊工業策進會科技法律研究所,https://stli.iii.org.tw//article-detail.aspx?tp=1&i=40&d=8158&no=64 (最後瀏覽日:2021/04/07)。
歐盟委員會(European Commission)於 2025年2月3日因應將於2025年9月12日施行的資料法(Data Act),就其常見問題說明進行補充與更新為1.2版(Frequently Asked Questions on the Data Act,下稱FAQs),以協助企業面對資料法施行後的挑戰。 於新版FAQs中就資料法進行補充說明,以助企業了解資料法之適用範圍,就資料法所稱之聯網裝置與服務,聯網裝置泛指可以連上網路的裝置,包含智慧型手機,並僅限於由使用者所擁有的聯網裝置,另就聯網服務則須具備雙向資料傳遞且須與聯網產品的操作功能有影響之服務。 就資料持有者有義務提供之資料適用範圍,僅限於聯網裝置與相關服務所產出的原始資料與預處理資料(原始但可用),資料持有者就原始資料或預處理資料進行加值所產生資料,如經分析所產生之衍生資料、經投入重大資源進行清理之資料等,則不在共享義務之範圍內,另就資料的內容有其他法律保護亦不在資料法的範疇中,如網路攝影機之照片/影片有受著作權法保護係屬於資料內容,網路攝影機之使用模式/電池狀態/照明強度等資料才是資料法所規範之資料,惟須留意若影像之內容非屬著作權保護之標的,如網路攝影機因具感測功能而自動就影像判斷是否異常現象或提供建議,此類影像因不具人類創意而不受著作權保護,仍屬資料法所涵蓋範圍。 於FAQs之解釋中,就資料法實際操作與預期有所差異,歐盟委員會後續亦會整合與數位資料相關之法規,如建立資料聯盟策略(Data Union Strategy),以助於企業促進數位資料的使用與共享。國內廠商若有提供歐盟客戶相關聯網設備與服務時,須留意內部資料管理制度能否滿足資料法要求,確保組織有因應相關法規議題的變化進行制度的變更,如何將外部議題與資料管理制度連結,可參資策會科法所創意智財中心就數位資料管理機制所公布之《重要數位資料治理暨管理制度規範(EDGS)》,將組織營運所在國別之法規範變動納入關注之外部議題,並設定對應之資料政策與目標,建立符合法令規範之資料管理制度,如是否得以識別為資料法所適用之資料等,以確保組織資料管理機制符合法令要求。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
歐盟數位身分框架政策之相關推動措施概要歐盟數位身分框架政策之相關推動措施概要 資訊工業策進會科技法律研究所 2021年8月30日 歐盟執委會(European Commission)於2021年6月3日公布關於建立歐盟數位身分框架的第910/2014號規則修正案(Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulation (EU) No 910/2014 as regards establishing a framework for a European Digital Identity)[1],規劃於2022年9月前提供歐盟境內人民數位身分證明之服務。 壹、事件摘要 為落實歐盟「2030數位羅盤」(2030 Digital Compass)政策,實現「公共服務數位化」之核心願景,歐盟推行數位身分框架,規劃於2030年前歐盟全境須有80%民眾使用電子身分證,以強化歐盟境內所有民眾(包括身心障礙人士)公共服務之近用權(right of access)。執委會於2021年6月3日公布的數位身分框架修正案,主要係就2014年通過的「歐盟內部市場電子交易之電子身分認證及信賴服務規則」(簡稱eIDAS規則[2]),依據該規則第49條,對其運作情形進行評估(An evaluation of the functioning of the eIDAS Regulation was conducted as part of the review process required by Article 49 of the eIDAS Regulation),同步考量技術、市場發展,針對當中不合時宜之規定為增修,並於2020年7月24日至10月2日進行公眾意見徵詢。 根據修正案內容,會員國必須提供公民和企業數位身分錢包(Digital Identity Wallet),此可透過會員國認可的公務機關或私人企業提供,錢包能夠將國家數位身分識別(national digital identities)與其他個人身分證明(例如駕照、證照、銀行帳戶)進行連結,使歐盟公民和企業能夠經由使用數位錢包來進行身分識別,以方便近用線上服務,例如請求公共服務、開設銀行帳戶、填寫納稅申報表、入住酒店,租車或年齡證明等。該數位身分將在整個歐盟範圍內得到認可,使用者亦可依意願自行決定是否使用此身分識別服務[3]。 貳、重點說明 eIDAS規則作為歐盟境內電子身分識別(identities)、認證(authentication)和網站憑證(website certification)跨境使用的法律基礎架構[4],此次修正案旨在使各會員國的數位身分(eID)計畫於歐盟境內具互操作性(interoperable),以促進近用線上服務。重點內容如下: 一、會員國所發行歐洲數位身分錢包,須通過歐洲網路安全認證框架內的強制性合規評估(compulsory compliance assessment)和自願認證(voluntary certification)。 二、歐盟數位身分將供歐盟境內所有公民、居民、與企業使用,使用者得以利用數位身分作為識別與驗證其身分之有效工具,以方便近用歐盟之公共與私人數位服務。使用者另可控管其資料分享之廣泛度,意即得以自主決定是否與第三方分享特定個人資料,並可追蹤其資料之後續利用。 三、賦予個人電子身分證明(electronic attestations of attributes),如醫療證書或專業資格等電子證書的法律效力,並確保對源自個人身分資料和個人電子身分證明的身分驗證和真實來源驗證,以防止欺詐。 四、擴大跨境eID計畫的相互承認,降低各會員國於電子身分識別服務的差距;並加強信賴服務提供的整體監管框架,針對信賴服務提供商(trust service providers),新增為管理遠端電子簽章和封條(seal)產製設備(creation devices)所建立的新合格信賴服務(Qualified Trust Service, QTS)類型。 五、新增電子帳本(electronic ledgers)的信賴服務框架;電子帳本可為用戶提供交易和資料紀錄排序的證明和不可竄改的稽核軌跡(audit trail),能保障資料完整性。資料完整性對於匯集來自分散來源的資料、自主身分解決方案(self-sovereign identity solutions)、將所有權歸屬於數位資產與記錄業務流程等具備重要性,此有助實現更加去中心化(decentralized)的治理模式,並使多方合作成為可能。 六、於數位服務法案(Digital Services Act)中所定義的超大型線上平台(very large online platforms),將被要求透過歐洲數位身分錢包驗證其線上服務使用者身分。 參、事件評析 歐盟數位身分框架修正案,旨在解決 eIDAS 規則部分瑕疵,以順應市場動態和技術發展,包含承認電子身分證明、電子帳本之法律效力,擴增新合格信賴服務類型等,並作為歐盟建立數位身分認證政策的基礎規範,確保使用者於近用私人或公共服務時,可透過具高度安全和具信賴性的信賴服務進行身分識別。歐盟數位身分框架修正案目前於歐洲議會(European Parliament)內已送交產業、研究暨能源委員會(Industry, Research and Energy Committee, ITRE)進行審議[5],值得持續追蹤其未來發展。 近來受新冠肺炎(COVID-19)保持社交距離影響,推動企業朝數位轉型發展;執行遠距辦公政策,亦加速使用電子文件、電子簽章等數位工具。而我國電子簽章法作為促進電子商務領域發展之重要規範,自2002年4月1日起正式施行後至今未為修訂,實務上已有衍生相關適用疑義。如電子簽章法有針對電子簽章和數位簽章為層級化分類,並對於數位簽章之技術有一定規範,惟未賦予相異之法律效力,使得其區分不具太大效益。建議可參酌eIDAS規則中,對於信賴服務提供者區分為不同層級規範,並給予經主管機關審核通過之合格信賴服務提供者,所提供的信賴服務具有更高的法律效力。 此外,我國欲推行數位身分證(New eID)政策,提供我國人民網路上身分識別之證明,連結政府骨幹網路(T-Road)串接各類電子政府服務,提升民眾近用公共服務的便利性,惟後續因安全性、法源依據等爭議而暫緩推行[6]。故建議我國相關主管機關可參酌歐盟數位身分框架修正案,考量因應科技革新、商業模式創新等要素,對於身分識別相關規範進行修正與更新,以促進電子化政府及電子商務之發展,提供更具安全與信賴性的身分認證法律框架。 [1] Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulation (EU) No 910/2014 as regards establishing a framework for a European Digital Identity, EUROPEAN COMMISSION, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52021PC0281 (last visited Aug. 24, 2021). [2] Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2014.257.01.0073.01.ENG (last visited Aug. 24, 2021). [3] Commission proposes a trusted and secure Digital Identity for all Europeans, EUROPEAN COMMISSION, https://ec.europa.eu/commission/presscorner/detail/en/IP_21_2663 (last visited Aug. 24, 2021). [4] 李姿瑩,〈歐盟eIDAS對國內電子簽章和身分認證規範之可能借鏡〉,《科技法律透析》,第31卷第11期,25-32頁,(2019年11月);謝明均,簡介〈歐盟提供合格信任服務者依循標準建議〉,科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8687(最後瀏覽日:2021/08/24)。 [5] REVISION OF THE EIDAS REGULATION – EUROPEAN DIGITAL IDENTITY (EUID), EUROPEAN PARLIAMENT, https://www.europarl.europa.eu/legislative-train/theme-a-europe-fit-for-the-digital-age/file-eid (last visited Aug. 24, 2021). [6]〈暫緩數位身分證發行計畫 蘇揆:完善法制後再推動〉,行政院新聞傳播處,2021/01/21,https://www.ey.gov.tw/Page/9277F759E41CCD91/e80e55a2-0102-4031-b6d3-a7c40f4cac6a (最後瀏覽日:2021/08/24)。
日本經產省修正《輸出貿易管理令》對南韓出口之電子原料實施嚴格管制審查2019年7月1日,日本經產省依據《外匯及對外貿易法(以下簡稱外匯法)》,對於產品技術的輸出與輸入進行適當之進出口管制,要求日本國內向南韓進行輸出之行為,必須通過嚴格的出口管制審查。日本經產省表示,進出口管制制度係建構在國際信賴關係的基石之上,近年來有相關產品技術輸出南韓管制不當之案例,已造成日韓兩國間信賴關係嚴重損害(例如二戰強徵勞動力的訴訟案件爭議,以及日本提供的材料可能從南韓非法轉運至北韓、被轉為軍事用途之風險等),故提出兩項政策以為反制,包括將南韓從白色國家名單移除,及提升對南韓出口管制審查標準等,具體說明如下。 1.修正日本對南韓之輸出貿易管理列表 基於《外匯法》第48條,擬修正外匯法之政令《輸出貿易管理令》附件三類別表,將南韓從日本安全保障、友好貿易夥伴的「白色國家」列表中刪除,透過監管改革嚴格審查對南韓的出口管制制度。 2.針對向南韓出口之電子原料實施嚴格管制審查與核發特定出口許可證 自2019年7月4日起,針對日本向南韓出口的三項半導體關鍵電子原料,含氟聚醯亞胺(Fluorine Polyimide)、光阻劑(Resist)、蝕刻氣體(Eatching Gas)以及轉讓相關連的製造技術等,均被排除於綜合出口許可證制度範圍外,須額外單獨申請特定出口許可證並進行出口審查。 針對日本管制措施,南韓產業通商資源部(Ministry of Trade, Industry and Energy, MOTIE)表示強烈抗議,認為日本在未提供任何具體證據的情況下逕行對南韓實施出口管制,並將南韓從白色國家名單中刪除,已違反WTO自由與公平貿易原則(Free and Fair Trade),構成貿易壁壘與歧視性差別待遇,嚴重威脅日韓經濟夥伴關係,恐將引發兩國企業及全球產業供應鏈動盪,對自由貿易造成負面影響。南韓政府已強烈要求日本取消對於出口管制的不公平措施,撤銷將南韓從白色國家名單移除之《輸出貿易管理令》修正案,同時積極尋求聯合國安全理事會介入調查。
美國國家健康研究院提出幹細胞研究指導方針草案美國新任總統歐巴馬上台後,終結小布希政府多年來的人類幹細胞研究補助禁令,於今(2009)年3月9日發佈了13505號執行命令(Executive Order)。此執行命令不僅擴大了可接受政府補助之人類幹細胞研究範圍,亦要求美國國家健康研究院(National Institutes of Health, NIH)檢視現存相關指導方針,並於120天內發佈新的規範。因此,NIH隨後於4月23日提出了幹細胞研究指導方針草案。 草案除將持續補助使用成體幹細胞及誘導多能幹細胞之研究外,針對過往無法接受補助之幹細胞類型(即原本為生殖目的之體外受精卵所衍生之幹細胞)也解除了禁令,使得美國科學家可取得更多樣及不受汙染的人類幹細胞。另外,草案也就幹細胞取得之告知後同意條約與流程做詳細的說明。最後,源自於體細胞核移轉(somatic cell nuclear transfer)、單性生殖(parthenogenesis)或為研究目的於體外所製造之胚胎等範疇之幹細胞,將無法接受草案的補助。 雖然草案大幅開放可受補助之範圍,但仍有些使用合乎規定之幹細胞之研究無法接受到補助,故對利害關係人來說,還是要注意草案所規定之限制條件。目前草案仍處於公眾評論之階段,預計不久之後將可正式生效。