美國21世紀醫療法最終規則下之資訊封鎖條文生效,患者健康資料進用權利獲保障
美國國家衛生資訊科技協調辦公室(The Office of the National Coordination for Health Information Technology, ONC)於2020年5月公告的「資訊封鎖最終規則(Information Blocking Final Rule)」,於2021年4月5日正式生效。
ONC依21世紀醫療法(21st Century Cure Act)授權,制定有「21世紀醫療法:協同操作性、資訊封鎖與ONC健康IT認證計畫」(21st Century Cures Act: Interoperability, Information Blocking, and the ONC Health IT Certification Program)最終規則,包含各面向關於新興醫療IT技術之規範,其中特別針對資訊封鎖的相關條文,又稱為「資訊封鎖最終規則」。
21世紀醫療法為了確保病患資料近用權利,在法條中明定禁止資訊封鎖行為。「資訊封鎖」,根據資訊封鎖最終規則的定義,是指健康照護業者或健康資訊技術廠商,包括受認證的健康資訊技術(health IT)、健康資料交換 (health information exchange)或健康資料網絡(health information network),在欠缺法律授權或非屬美國公共衛生服務部(Health and Human Service, HHS)認定合理且必要的情況下,所為之干擾、防止或嚴重阻礙電子健康資料(Electronic Health Information, EHI)獲取、交換及使用行為。但以下八種情況,不適用資訊封鎖最終規則:預防傷害(Preventing Harm)、隱私(Privacy)、安全(Security)、不可行性(Infeasibility) 健康IT性能(Health IT Performance)、內容與方式(Content and Manner)、費用(Fees)、授權(Licensing)。
21世紀醫療法在資訊封鎖章節中規定,資訊封鎖相關條文在資訊封鎖例外類型被定義出來後,始生效力。換言之,在資訊封鎖最終規則生效後,病患將有權依法近用其電子健康資料,資料持有者原則上不得拒絕。值得注意的是,資訊封鎖最終規則生效後至2022年10月6日止,適用資訊封鎖條文的電子健康資料範圍,係以美國協同操作核心資料(United States Core Data for Interoperability, USCDI)中所定義之電子健康資料為準。USCDI,是由ONC主導建立的一套資料標準格式,以統一健康資料交換格式,促進資料流通。2022年10月6日起,資訊封鎖最終規則所指的電子健康資料範圍將不僅只局限於USCDI標準所定義之電子健康資料,將擴及健康保險流通與責任法(Health Insurance Portability and Accountability Act, HIPAA)所定義的所有電子健康資料。
邱美蘅
法律研究員 編譯整理
ONC’s Cures Act Final Rule, HealthIT.gov, https://www.healthit.gov/curesrule/ (last visited May 10, 2021).
Information Blocking, HealthIT.gov, https://www.healthit.gov/topic/information-blocking (last visited May 10, 2021).
Anna L. Schroeder, Information Blocking Regulations Under The ONC Cure Act Final Rule (Apr. 14,2021), https://www.eastmansmith.com/publications-articles-Health-IT-Info-Blocking-Rule (last visited May 10, 2021).
美國衛生及公共服務部提出策略草案,以緩解健康資訊科技對醫護人員所造成的負擔,資訊工業策進會科技法律研究所,https://stli.iii.org.tw//article-detail.aspx?tp=1&i=40&d=8158&no=64 (最後瀏覽日:2021/04/07)。
2011年3月31日,歐盟執委會啟用新一代的關鍵資訊基礎設施保護計畫(Critical Information Infrastructure Protection, CIIP)。上一代的關鍵資訊基礎設施保護計畫在2009年公布並已取得一定的成果。新一代的計畫集中在全球化的挑戰,著重在歐盟成員國與全球其他國家的合作,與相互之間的合作關係。 為了達成這個目標,歐盟執委會訂定以下的行動綱要: (1)準備和預防:利用成員國論壇(European Forum for Member States, EFMS)分享資訊及政策。 (2)偵測和反應:發展資訊分享及警示系統,建置民眾、中小型企業與政府部門間的資訊分享、警示系統。 (3)緩和及復原:發展成員國間緊急應變計畫,組織反應大規模網路安全事件,強化各國電腦緊急反應團隊的合作。 (4)國際與歐盟的合作:根據歐盟成員國論壇所制訂的,歐洲網際網路信賴穩定指導原則和方針,進行全球大規模網路安全事故的演習。 (5)制訂資訊通信技術的標準:針對關鍵資訊基礎設施制訂技術標準。 另外,在2011年4月14-15日舉行的關鍵資訊基礎設施保護電信部長級會議(Telecom ministerial conference on CIIP),整個會議針對歐盟成員國、私人企業、產業界及其他國家進行策略性的對話,強化彼此在數位環境中的合作與信任關係。並針對新一代的關鍵資訊基礎設施保護計畫,向歐盟執委會提出相關政策建言。 受全球化、資訊化發展的影響,以及各國間互賴程度的增加,使得影響關鍵資訊基礎設施(CIIP)安全的問題,不再侷限於單一區域,更需要各方多元的合作。
德國提出反競爭-數位化法草案(GWB-Digitalisierungsgesetz)擬進一步擴大競爭監管機關之職權德國聯邦經濟事務暨能源部(Federal Ministry for Economic Affairs and Energy)於2020年1月24日提出反競爭-數位化法草案(GWB-Digitalisierungsgesetz),主要係針對競爭法相關規範進行修正、調適,意在解決數位經濟中濫用市場地位、權力不平衡之問題。因大型數位公司和營運平台往往擁有大量的用戶資料而居於市場優勢支配地位,將阻礙、影響到其他新進公司的整體競爭和創新發展。 從而,數位經濟時代的競爭政策需要有適當的競爭規則和監管手段,以便強化有效的市場競爭,本草案進一步擴大德國競爭監管機關(Bundeskartellamt)的職權,目的在嚴格監管濫用市場力量之大型數位公司和平台營運商(如FACEBOOK、GOOGLE等),同時增加競爭對手的市場創新和共享資料存取的機會,確保相關規定與執法達到適當平衡。 茲將該草案擬修正之主要內容,重點整理如下: 禁止大型數位公司刻意阻礙用戶將其個人資料移轉至其他數位服務提供者的限制競爭行為-促使用戶更易選擇轉換到其他平台,使德國競爭監管機關在判斷數位公司是否涉及限制競爭行為時,有更明確的介入依據。 提出有關濫用(abuse)的新概念,係針對「在跨市場競爭上具顯著影響」之公司(paramount significance for competition across markets),並賦予德國競爭監管機關新的干預權限-在評估時,德國競爭監管機關不僅會考慮單一市場,也會透過規定的要件檢視整體市場(例如:該公司在一個或數個市場上的主導地位、財力、對資料或其他資源的存取、垂直整合)。若競爭監管機關發現該公司雖尚未在市場上取得主導地位,但依其判斷已經對於跨市場競爭具顯著影響性,除有正當理由外,原則上可以提出命令,並禁止該公司繼續進行特定行為。 提出「中介力量(Intermediation power)」的概念—對於依賴中介者(Intermediaries)(例如多樣化數位平台)提供產品或服務的企業而言,中介者對於控制市場的進入具有一定程度之影響力。由於這種影響力可能遭濫用,因此草案中引入「中介力量」的概念,擴大數位服務提供者市場力量的評估標準,需考量中介者對於市場進入的影響性。 重新定義和擴大關鍵設施原則(Essential Facility Doctrine)之規定—關於是否應強制公司授予對資料的同意存取權及如何規範這種存取權限,存在爭議,為了強化競爭法的存取權,草案擬重新定義和擴大關鍵設施原則的規定,使其他公司可向居於市場優勢地位的企業要求開放資料、網路或其他基礎設施的存取權限以開展業務,否則將阻礙競爭。 濫用相對市場力量(relative market power)原則之擴大適用—現行法雖規範具有相對市場力量之公司不得濫用此地位,但此原則僅適用於對中小型企業的保護。因此,草案希望擴大保護大型公司,避免其受到傳統或數位平台的濫用行為所影響。因為資料的使用對於在數位經濟中提供相關服務、創新和競爭而言相當重要。 賦予競爭監管機關充份權限以避免市場獨占(monopoly)發生—現行法下若已經有一定規模但尚未具主導地位的公司試圖以反競爭行為(anti-competitive manner)引發市場傾銷(tipping of the markets)時,競爭監管機關並無權干預。草案則擬賦予競爭監管機關在公司居於主導優勢地位前介入的權利。又,為因應數位市場變化,並使競爭監管機關可即時介入,草案在程序上擬放寬競爭監管機關為暫時性措施(Interim measures)的要件。 針對企業併購之新規範—擬規範小型公司之連續併購(Successive acquisition)以及「殺手併購」(killer acquisitions)行為,係因現行法對於前者之交易情形並未規範需要通知主管機關,而有致市場壟斷之虞,因此於草案中擬為規範;後者則是考量此惡意的手段係透過阻礙新創公司對其創新產品的研發,以達到避免與收購方自身產品競爭之目的,因此草案擬增訂規範予以限制。 該草案目前預計將於2020年下半年通過,使德國競爭監管機關在數位經濟領域針對數位公司和平台營運商的執法上有所變化,後續值得留意。
歐盟針對個人資料傳輸第三國之規範提出參考指引歐盟資料保護監督機關(European Data Protection Supervisor, 下稱EDPS)於2014年7月14日,針對利用雲端運算以及行動設備,將個人資料從歐盟境內傳輸至非歐盟國家之部分,提出意見書作為參考指引。EDPS通常會針對雲端業者在從事商業服務時,進行監督審查,當個人資料透過雲端運算服務進行傳輸或處理時,會由EDPS先行確認,以確保該傳輸是否符合歐盟之個人資料保護指令(Directive 95/46/EC)與規則(Regulation (EC) No 45/2001)之規範。 有鑑於跨境合作或使用傳輸服務等需求,歐盟境內將個人資料傳輸至第三國或國際組織之情形日益劇增,此參考指引之主要目的在於詳加解釋歐盟資料保護規則(Regulation (EC) No 45/2001)中關於國際間個人資料傳輸之規定以及應該如何適用。 首先,該指引針對何謂個人資料傳輸以及歐盟資料保護規則第9條之範圍做出說明,後續則分別就適當保護之意涵,以及由歐盟執委會基於規則第9.5條之規定依權限得決定第三國是否已達適當保護標準之國家等部分加以論述。最後,該指引則提供確認表,在資料傳輸前應經過一定的確認流程,包括確認資料接收的國家或組織是否已有適當的保護層級,若無,則是否尚有其他資料可證明。如上述皆無法證明,則應考慮是否有例外情況,例如:取得資料所有人同意得進行傳輸、資料所有人與資料控管者因契約約定同意傳輸、資料控管者與第三人因契約約定,基於資料所有人之利益而傳輸、基於重要公益事由或其他法律上之事項必要傳輸、基於保護資料所有人之重要利益而傳輸、基於資料提供於大眾而傳輸等。倘缺乏以上例外情形,則可考慮資料控管者是否得援引自己已經具備適當的安全機制而可進行資料傳輸。最後,如無任何安全之保護,則資料將無法進行傳輸至第三國。 綜上,歐盟針對資料傳輸予第三國之部分做出更詳細之說明作為參考指引,使資料之傳輸與流通更有明確的規範方向,其後續適用之成效為何應可持續觀察。
Syngenta位於巴西Parana的基改研究機構遭到當地政府沒收瑞士跨國種子及作物科技公司Syngenta AG (SYT)正與巴西政府為基改活動展開訴訟。去(2006)年11月9日,Syngenta在巴西境內基改作物研究機構被迫關閉,研究機構所在地的Parana州州政府並以Syngenta違反巴西聯邦環保法規為由,沒收其所有投資的資產。Parana州境內有一座自然保護區-伊瓜蘇國家公園,伊瓜蘇國家公園是舉世著名的伊瓜蘇瀑布(Iguacu Falls)的所在地。根據巴西聯邦環保法規規定,基改作物不得栽種於自然保育區的十公里以內。 Syngenta位於Parana州的基改研究機構佔地達123公頃,然而距離伊瓜蘇國家公園卻僅約有六公里。1986年以來,Syngenta即已擁有該研究區域的產權,目前Syngenta已向巴西聯邦法院提出告訴,主張其得以合法在研究機構所在地進行相關研究。Syngenta抗辯理由主要有二:其一,Syngenta在該地進行基改作物田間試驗的許可,是由巴西聯邦政府的生物安全主管機關CTNBio所核發;其二,2006年初,巴西總統已將前述10公里的栽種間隔距離更改為500公尺。Parana州政府、巴西環境保護局Ibama、主張農業改革的活動份子等則主張,新的500公尺間隔規定不適用於Syngenta,蓋該公司早在巴西總統簽署新規定以前即已展開相關的試驗活動,Parana州環保主管機關早已祭出處罰,但Syngenta迄今未繳納罰鍰。