美國加州通過《基因資訊隱私法》針對基因資訊建立個資保護機制
美國加州州長於2021年10月6日正式簽署《基因資訊隱私法》(Genetic Information Privacy Act, GIPA), 將於2022 年 1 月 1 日生效。GIPA在聯邦法和州隱私法的框架下,補充建立基因資訊保護機制,規範無醫護人員參與的「直接面對消費者基因檢測公司」(Direct-to-consumer genetic testing company,下稱DTC公司)之個資保護義務,並要求DTC公司執行下列消費者基因資料(去識別化資料除外)之蒐集、利用、揭露,須獲消費者明示同意:
- 利用DTC公司產品或服務所蒐集之基因資料,應取得同意。其同意書須載明近用對象、共享方式,以及具體利用目的。
- 初步測試完成後儲存生物樣本,應取得同意。
- 目的外利用該基因資料或樣本,應取得同意。
- 向服務提供商外之第三方傳輸或揭露該基因資訊或樣本,應取得同意。其同意書須載明該第三方之名稱。
- 分析行銷或第三方依消費紀錄所進行之促銷,應取得同意。
上開同意之取得,不可使用黑暗模式(dark patterns)誤導消費者,並必須針對資料或樣本採取合理安全維護措施。
GIPA也新增消費者權利,保障消費者近用權和刪除權,DTC公司須制定政策,使消費者易於近用基因資料、刪除帳戶與基因資料、銷毀生物樣本等,並須於消費者依法撤回同意後30日內銷毀之,不得因行使權利而有差別待遇。DTC公司若GIPA違反規定,消費者擁有私人訴訟權。
- California Enacts New Privacy Law for Genetic Data
- California Health Privacy Information Legislation Update
- SB-41 Privacy: genetic testing companies.(2021-2022)
- Three More California Privacy Bills Become Law: CPPA Rulemaking Responsibility, Genetic Data Breaches, and New Genetic Information Privacy Act
- 加州消費者隱私保護法修正法案重點說明
- 美國監管醫療用基因檢驗之法制與實務趨勢
- 《特定醫療技術檢查檢驗醫療儀器施行或使用管理辦法》實際運作相關問題評析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 【下午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
- 【北部場1】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場2】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場3】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場4】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【南部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【中部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
柯元惠
副法律研究員 編譯整理
California Enacts New Privacy Law for Genetic Data, jdsupra , https://www.jdsupra.com/legalnews/california-enacts-new-privacy-law-for-6068658/(last visited Oct 22, 2021).
California Health Privacy Information Legislation Update, the national law review, https://www.natlawreview.com/article/california-health-privacy-information-legislation-update(last visited Oct 22, 2021).
SB-41 Privacy: genetic testing companies.(2021-2022), California Legislaive information, https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=202120220SB41(last visited Oct 22, 2021).
Three More California Privacy Bills Become Law: CPPA Rulemaking Responsibility, Genetic Data Breaches, and New Genetic Information Privacy Act, jdsupra , https://www.jdsupra.com/legalnews/three-more-california-privacy-bills-9152329/(last visited Oct 22, 2021).
邱曉麗,〈加州消費者隱私保護法修正法案重點說明〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=180&d=8630&no=64,(最後瀏覽日:2021/11/01)。
吳采薇,〈美國監管醫療用基因檢驗之法制與實務趨勢〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=180&d=8421&no=64,(最後瀏覽日:2021/11/01)。
施雅薰,〈《特定醫療技術檢查檢驗醫療儀器施行或使用管理辦法》實際運作相關問題評析〉,《科技法律透析》,第32卷第02期,頁48-72(2020),可參見https://stli.iii.org.tw/legal-details.aspx?no=65&d=7314&i=8987(最後瀏覽日:2021/11/17)。
澳洲於2024年5月30日正式通過並簽署《2024年數位身分法案》(Digital ID Act 2024)和《2024年數位身分(過渡及相關條文)法案》(Digital ID (Transitional and Consequential Provisions) Act 2024,以下合稱數位身分法案)。數位身分法案將於2024年12月1日開始實施,而相關的支援規範(supporting rule)和資料標準(data standard)也已於同年6月25日完成公眾討論階段。 數位身分法案的實施將分階段進行,澳洲競爭和消費者委員會(Australian Competition and Consumer Commission)被任命為首階段的數位身分主管機關,未來隨著數位身分法案的落實和深化,澳洲政府可能會建立一個更具專業及獨立性的監管機構來負責這項業務。 澳洲將擴展現有的澳洲政府數位身分識別系統(Australian Government Digital ID System, AGDIS),在第一階段myGovID將作為唯一的數位身分識別服務提供給使用者,使其能夠更便利的使用政府線上服務。澳洲政府未來將擴展AGDIS的應用範圍至更多的政府和民營服務,並允許使用者選擇經認證的民營企業來提供數位身分識別服務。 數位身分法案的主要目標包括: 1.為個人提供安全、方便、自願和包容的方式,以在與政府和企業的線上交易中驗證其身分。 2.提供數位身分的識別服務,以幫助各類型的潛在使用者皆可融入數位社會。 3.加強用於驗證個人身分或屬性的個人資訊安全。 4.鼓勵社會使用數位身分識別和線上服務,減少因數位化不足而存在的地理與實體限制及經濟負擔。 5.提升澳洲社會對於數位身分識別服務的信任。 數位身分法案將採取以下措施來達到目標: 1.建立數位身分識別服務提供者的認證機制。 2.向經認證的數位身分識別服務提供更多的隱私保護措施。 3.建立一個安全、易於使用、自願、可訪問、包容和可靠的AGDIS。 4.加強以下三者的監督和管理: (1)數位身分識別服務提供廠商。 (2)AGDIS的使用者。 (3)AGDIS的性能和完整性。 澳洲的數位身分法案嘗試建構一套更加完整且安全的數位身分認證法律規範,並且將這個系統和產業推向整個澳洲社會,由政府促使更多服務提供者和服務使用者加入這個數位生態中,後續可持續關注以作為我國政府攜手民間企業推動國家與社會數位轉型時的參考。
美國司法部宣布德國SAP公司承認違法將美國軟體產品出口至伊朗,雙方達成不起訴協議美國司法部於2021年4月29日宣布,德國SAP全球軟體公司承認從2010年1月至2017年9月,因未能識別用戶下載軟體的地理位置,導致美國原產技術和軟體在未經許可下,透過雲端伺服器和入口網站提供給伊朗用戶,已違反美國《出口管制規則》(Export Administration Regulations, EAR)和《伊朗交易和制裁條例》(Iranian Transaction and Sanction Regulation, ITSR)。SAP向美國司法部、商務部和財政部支付800萬美元罰款並配合調查與補救,雙方達成不起訴協議。 美國司法部指出,SAP違規行為主要為以下兩種。首先,SAP及其海外合作夥伴向伊朗用戶輸出超過20,000次的美國軟體產品,其方式包括軟體的更新、升級和修補程式。SAP及總部位於美國的供應商,均未使用地理位置過濾器來識別並阻止伊朗用戶下載,且多年來SAP並未採取任何措施解決此問題,導致伊朗用戶下載後,絕大多數美國軟體再流向土耳其、阿聯酋及多家伊朗跨國公司。其次,SAP旗下的雲端企業Cloud Business Group companies(簡稱CBGs)允許約2,360名用戶在伊朗使用美國的雲端運算服務。從2011年開始SAP陸續收購多家雲端服務供應商成為其CBGs,透過收購前的盡職調查及收購後的出口管制特種審計,清楚了解到這些CBGs缺乏足夠的出口管制與制裁合規程序,但SAP仍允許CBGs被收購後繼續作為獨立實體營運,且未能將CBGs完全整合至SAP自身的出口管制規劃中。 美國司法部指出,為確保軟體等美國敏感技術產品,不會非法出口至伊朗等禁運地,公司除必須識別用戶來源外,也有責任確保供應鏈下游與之為產品交易的外國子公司能識別產品輸出地,並且同樣遵守美國經濟制裁政策與出口管制法規,維護美國外交政策與國家安全,防止美國敏感技術落入競爭對手手中。
歐盟發布第三版支付服務指令(PSD3)草案,強化消費者保護與改善產業環境歐盟執委會(European Commission)於2023年6月28日提出第三版支付服務指令(Third Payment Services Directive, PSD3)草案,目前預計於2024年底前通過最終版本,並於2026年施行。 相較第二版支付服務指令(PSD2),PSD3強化歐盟電子、數位支付和金融服務規範,補強安全性(Security)、透明度(Transparency)與促進創新(Innovation),建立更適合歐盟的支付架構。其旨在保護消費者權益和個人資訊,改善支付產業競爭環境,提高消費者對資料掌控度,促進創新金融產品服務發展。 PSD3修正重點歸納如下: 一、消費者保護:強化對未經授權交易之保護,完善支付詐欺或支付錯誤之賠償方案,減少消費者潛在損失。 二、開放銀行(Open Banking):持續推動開放銀行發展,透過加強規範第三方支付服務提供者(Third party payment provider, TPP)與提供更標準化與更安全的應用程式介面(Application Programming Interface, API),促進創新金融產業服務發展。 三、支付系統安全性:強化客戶身分認證(Strong Customer Authentication, SCA),促進支付過程的透明度與安全性。 四、因應新型詐欺:導入新規定與工具對抗日益增加的網路詐欺風險。 五、跨境支付:加強跨境支付措施與降低成本,推動歐盟市場一體化。 六、支付創新與多元化:導入區塊鏈或其他更先進的即時支付系統。 七、監管:制定更明確的法規,加強各方監管,確保市場公平與穩定。
美國國家標準與技術研究院公布物聯網設備核心網路安全基礎指南草案美國國家標準與技術研究院(National Institute of Standards and Technology, NIST)於2019年8月1 日公布「安全物聯網設備之核心網路安全特徵基準(Core Cybersecurity Feature Baseline for Securable IoT Devices)」指南草案,提出供製造商參考之物聯網設備網路安全基本要素,該指南草案中提出幾項重要核心要素如下: 設備辨識:物聯網設備必須有可供辨識之相關途徑,例如產品序號或是當連接網路時有具獨特性之網路位址。 設備配置:獲得授權之使用者應可改變設備的軟體以及韌體(firmware)之配置,例如許多物聯網設備具有可改變其功能或是管理安全特性之途徑。 資料保護:物聯網設備如何保障其所儲存以及傳送之資料不被未經授權者使用,應清楚可被知悉,例如有些設備利用加密來隱蔽其儲存之資料。 合理近用之介面:設備應限制近用途徑,例如物聯網設備以及其支持之軟體應蒐集並認證嘗試近用其設備的使用者資訊,例如透過使用者名稱與密碼等。 軟體與韌體更新:設備之軟體應可透過安全且可被調整之機制進行更新,例如有些物聯網設備可自動的自其製造商取得更新資訊,並且幾乎不需要使用者特別之動作。 網路安全事件紀錄:物聯網設備應可記錄網路安全事件並且應使這些紀錄讓所有人或製造商可取得,這些紀錄可幫助使用者與開發者辨識設備之弱點以近一步修復。