英國展開醫療器材監管公眾意見徵詢並公布《人工智慧軟體醫材改革計畫》
英國藥物及保健產品管理局(Medicines and Healthcare Products Regulatory Agency, MHRA)於2021年9月16日展開期待已久的「英國醫療器材監管的未來」公眾意見徵詢(Consultation on the Future of Medical Devices Regulation in the United Kingdom),並公布「人工智慧軟體醫材改革計畫」(Software and AI as a Medical Device Change Programme)。英國欲從醫療器材上市前核准至其壽命結束進行監管改革,徹底改變一般醫療器材與人工智慧軟體醫療器材之監管方式。意見徵詢已於2021年11月25日結束,而該修正案預計於2023年7月生效,與英國針對醫療器材停止使用歐盟CE(Conformité Européenne, 歐洲合格認證)標誌並要求採用英國UKCA(UK Conformity Assessed, 英國合格評定)標誌的日期一致。
人工智慧軟體醫材改革計畫則包含十一個工作項目(work package,下稱WP),WP1與WP2分別為監管資格與監管分類,皆涉及監管範圍之劃定;WP3與WP4分別涉及軟體醫材上市前與上市後,如何確保其安全性與有效性的監管之研究;WP5針對軟體醫材之網路安全進行規範;WP6與WP7涉及加速創新軟體醫材審核上市之特別機制,分別為類似「創新藥品藥證審核與近用途徑」 (innovative licensing and access pathway)的機制,以及允許適時上市並持續研究監控風險的「氣閘分類規則」(airlock classification rule);WP8為確保智慧型手機之健康應用程式安全、有效與品質之規範研究;WP9~WP11則分別針對人工智慧軟體醫材之安全與有效性、可解釋性(interpretability)以及演進式(adaptive)人工智慧進行法規調適之研究。
MHRA預計透過指引、標準、流程之公布而非立法方式實現其監管此領域的目標。MHRA亦透露,針對上述工作項目,其已與重點國家和國際機構進行研究合作,已有不少進展即將公布。
本文為「經濟部產業技術司科技專案成果」
- Consultation on the future regulation of medical devices in the United Kingdom
- Software and AI as a Medical Device Change Programme
- Transforming the regulation of software and artificial intelligence as a medical device
- Software and AI as a medical device: 10 clues from the MHRA on the new UK regime
- Software Medical Devices and AI in the UK - Proposed Reforms
- 英國推出《藥品和醫療器材法》草案
- FDA發佈人工智慧/機器學習行動計畫
陳箴
專案經理 編譯整理
Consultation on the future regulation of medical devices in the United Kingdom, UK.GOV, https://www.gov.uk/government/consultations/consultation-on-the-future-regulation-of-medical-devices-in-the-united-kingdom (last visited Dec. 01, 2021).
Software and AI as a Medical Device Change Programme, UK.GOV, https://www.gov.uk/government/publications/software-and-ai-as-a-medical-device-change-programme/software-and-ai-as-a-medical-device-change-programme (last visited Dec. 01, 2021).
Transforming the regulation of software and artificial intelligence as a medical device, UK.GOV, https://www.gov.uk/government/news/transforming-the-regulation-of-software-and-artificial-intelligence-as-a-medical-device (last visited Dec. 01, 2021).
Software and AI as a medical device: 10 clues from the MHRA on the new UK regime, Baker McKenzie, https://viewpoints.bakermckenzie.com/post/102h7lm/software-and-ai-as-a-medical-device-10-clues-from-the-mhra-on-the-new-uk-regime (last visited Dec. 01, 2021).
Software Medical Devices and AI in the UK - Proposed Reforms, Lexology, https://www.lexology.com/library/detail.aspx?g=29f845ab-e6c3-46fa-8fe2-7c83888802b2 (last visited Dec. 01, 2021).
英國推出《藥品和醫療器材法》草案,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=180&d=8455&no=64(最後瀏覽日:2021/12/03)。
FDA發佈人工智慧/機器學習行動計畫,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=180&d=8628&no=64(最後瀏覽日:2021/12/03)。
澳洲「競爭和消費者委員會」(Australian Competition and Consumer Commission;以下簡稱ACCC)在今年7月對Google及其廣告主Trading Post Australia提起訴訟,指控Google及Trading Post使所用的關鍵字廣告系統不實誤導網路使用者,構成了欺詐性的商業行為。 Trading Post為澳洲當地知名的汽車經銷商,在2005年時,Trading Post向Google購買了名為Kloster Ford和Charlestown Toyota的關鍵字廣告;然而,Kloster Ford和Charlestown Toyota正是Trading Post的競爭對手,當網路使用者在Google的搜尋引擎中鍵入Kloster Ford或Charlestown Toyota文字時,搜尋結果頁面即自動導向Trading Post的網站。 ACCC認定Trading Post此種利用競爭對手名稱設定為自身廣告關鍵字之行為,已違反澳洲在1974年頒布的「商業行為法」(Trade Practices Act 1974)第52條及第53條d款規定;ACCC同時認為,Google並未善盡努力在消費者鍵入關鍵字進行搜尋時,將付費廣告鏈結(sponsored links)從基本的搜尋結果頁面中將加區隔,亦有違該法第52條之規定。 在ACCC對Google提出控訴之前,Google事實上在各國早已面臨多起類似的訴訟;其中,去年由法國知名品牌Louis Vuitton提起的訴訟中,Google即遭到敗訴。
美國與歐盟宣布跨大西洋資料保護框架美國和歐盟執委會於2022年3月25日宣布將建立新的跨大西洋資料保護框架(Trans-Atlantic Data Privacy Framework),該框架將促進美國與歐洲之間的資料流通,並解決歐盟法院在2020年宣布隱私盾協議(EU-U.S. Privacy Shield framework)無效時所提出的疑慮與問題。 該框架是重新建立美國與歐盟兩地個人資料傳輸的一個重要法律機制。美國承諾將實施新措施,以確保訊號情報活動(signals intelligence activities)是在必要且合法的國家安全目標下進行,並且不得不成比例地影響對個人隱私和公民自由的保護。基此,美國承諾的新措施包含強化美國訊號情報活動的隱私及公民自由保障機制、建立獨立且具約束力的救濟措施,以及強化美國情報機構對現有訊號情報活動的程序且分層監督。對於歐盟公民而言,將有全新且高標準的規範來保護個人資料;而對於美歐間的民眾和企業而言,該框架將可促進資料持續流動,足以鞏固歐美兩地每年高達一兆美元的跨境貿易,並使各種規模的企業能夠在彼此的市場中競爭。 資料流通對於美歐雙方的經濟關係以及所有企業而言都至關重要。事實上,美國和歐洲之間的資料流通所創造的經濟價值高達7.1兆美元,高居世界首位。在此背景下,新的跨大西洋資料隱私框架將強化美國與歐盟雙方對隱私、資料保護、法治和整體國家安全的共同承諾,未來美國與歐盟雙方將依此框架持續推進雙方各自相關的法律規範。
印第安那州對違反個資外洩通報義務之保險公司提起訴訟印第安那州首席檢察官Greg Zoeller對Wellpoint保險公司提起訴訟標的金額30萬美元之損害賠償訴訟,主張該公司因遲延向首席檢察署及超過32,000萬因個人資料外洩影響所及之客戶通報個資外洩事件,而違反印第安那州通報法〈Indiana notification laws〉中通報及揭露規定〈Chapter 3. Disclosure and Notification Requirements及Chapter 3. Disclosure and Notification Requirements〉,依法各得請求15萬美元罰金,此為印第安那州提起之首件違反通報義務之訴訟。 前述法令於2009年7月生效,新法規定個人資料擁有者〈database owners〉負有「通報義務」,其於個資外洩事件發生後,必須在「合理期間」〈within a reasonable period of time〉內,對「潛在受影響之個人」〈both the individuals potentially affected by a data breach〉,以及檢察署通報,惟經調查,該公司未於合理時間內通報前述應通報之對象。 經查該公司於今〈2010〉年2、3月間即發現客戶個資外洩,卻6月18日始通知客戶,檢察署展開調查後認定其遲延通報無正當理由,故代表印地安那州向其提起民事賠償。 前述所指外洩之個人資料包括:提出投保申請者之個人資料內容,諸如「社會安全碼」〈social security number〉、「財務資訊」〈financial information〉、「健康記錄」〈health records〉,因該保險公司網頁之照管者〈siteminder〉未能實行安全防護,使盜竊身分之人〈identity thief〉得以改變統一資源定址器〈URL〉而窺見申請者的個人資訊。 除印第安那州客戶外,該保險公司因客戶個資外洩亦使其他州投保申請者資訊曝露,包括:美國加州、科羅拉多、康乃迪克、肯特基、密蘇里、內華達、新罕布夏、俄亥俄及威思康辛等九個州,約有47萬個客戶可能因此受影響。
BEREC推出網路中立性原則指南2016年8月底,歐洲電子通傳監管機構(Body of European Regulators for Electronic Communications, BEREC)根據歐洲議會(European Parliament)與歐盟理事會(Council of the European Union)通過的第2015/2120號規章(下稱2120號規章)第5條第3項的規定,推出規範歐盟各會員國國家監管機構(national regulatory authorities, NRAs)落實網路中立性原則的指南,為歐洲近年積極鼓吹數位人權運動寫下勝利的一頁。 該指南主要針對2120號規章以下幾條進行細部說明: 1. 第一條:規範主體與範圍; 2. 第二條:定義; 3. 第三條:網路中立權利的保障; 4. 第四條:確保網路中立的資訊透明措施; 5. 第五條:監管機制; 6. 第六條:罰則; 7. 第十條:規章實施與過渡條款。 指南補充說明了原先規章中,各條條文的相關細部規範。BEREC不只對各條規範中較為模糊的敘述提供明析的論述,同時也強化NRAs規範網路服務供應商(internet service provider, ISP)應提供網路中立服務的拘束力。 該指南的立場旨在希望歐洲網路終端用戶近用網路的權利受到更為完善的保障,且為了達成這樣的目標而為ISPs所提供的服務設下了更為嚴苛的門檻。不過BEREC也表示,ISPs可以在不影響其他終端用戶的權利及傳輸速率下,為特定服務提供特別的服務方案,例如:即時醫療服務(real-time health services)。當然,針對這些特定服務,各國NRAs必須加以監管以確保其他網路終端用戶的權利。 雖然該指南對歐盟各會員國的NRAs有行政指導上的指標意義,不過有趣的是,英國通訊傳播管理局(Office of Communications, Ofcom)身為BEREC的會員,但英國已非歐盟會員,Ofcom是否會提出適用英國自己的網路中立性規範,以及歐盟各會員國對於該指南的適用狀況值得繼續追蹤。