醫療與健康資料創新應用法制研析
資訊工業策進會科技法律研究所
2022年06月25日
壹、事件摘要
配合未來智慧醫療與精準健康之發展,民眾的健康、醫療資料將成為相關創新技術之基礎,且需整合許多異質資料庫(包括:生物資料、病歷、環境資料、基因資料等)作為相關研究與診斷基礎。然而,在創新實驗階段,個人資料保護向來是最核心之議題,如何在「創新技術」與「資料保護」間需取得衡平,於保護民眾個資權利的同時,又能滿足規範緩解或彈性化之明顯需求,便成為亟待解決的問題。
近年來,我國積極透過「法規沙盒」(Regulatory Sandbox)制度,來創造一個兼顧技術創新與有效監理的機制,例如《金融科技發展與創新實驗條例》與《無人載具科技創新實驗條例》皆是設立法規沙盒制度,在確保法律監管的前提下,依個案情形適度地鬆綁法規,為業者打造出恰當的實驗空間,以鼓勵創新發展。然而,我國於金融與交通領域訂立沙盒制度之時,關於個資法是否能被豁免,一度成為討論重點,最後二條例皆明文規定實驗進行以遵守個資法為原則,因此法規沙盒制度宜否用以緩解醫療與健康資料相關法律限制,仍堪研探;此外,醫療法規沙盒所涉及的醫療或健康資料主要落入敏感性資料之範疇,在個資法監管密度更高的情形下,更加限制了智慧醫療與精準健康產品或服務之發展,則如何突破此等醫療領域創新困境,即屬我國未來應密切關注之焦點。
職是之故,本文將研探國際上涉及醫療健康資料之機制,以作為我國法規沙盒等制度措施抑或設計其他方式運作之借鏡,讓創新者能獲有個資法等法規之規範彈性空間以進行創新活動。
貳、重點說明
以下對於英國、日本及新加坡等國制度,觀測分析其如何緩解資料法規而創造出彈性化空間,使創新者有機會藉此活用醫療健康資料,進行醫療領域之創新發展。
一、英國
(一)ICO法規沙盒
英國資訊專員辦公室(Information Commissioner's Office, ICO)於2019年推出法規沙盒計畫,希望可向利用個人資料開發具有明顯公共利益的創新產品和服務的組織,提供必要的試驗空間。在進入沙盒之前,ICO將會要求申請者簽署相關條款,並有專屬ICO沙盒成員與之聯繫,安排會議協助制訂沙盒計畫,同時也會要求申請者進行資料保護自我評估清單,以利沙盒計畫之制定[1]。
此沙盒的特色之一,在於不會完全排除資料保護規範之適用,而是著重於如何協助業者遵法,參與者能透過此計畫借助ICO在資料保護方面的專業知識和建議,從而在測試創新服務時減輕風險,並確保適當的個資保護措施臻於完備[2]。此外,參與者也將會收到一份暫緩執法聲明(statement of comfort from enforcement),亦即在參與沙盒期間,若產品或服務因疏忽而有違反資料保護相關法規之情形,只要違規行為未超出原先進入沙盒所預想的情況,便不會立即導致ICO的監管行動,暫緩程度則取決於創新團隊與ICO保持協作與對話之狀況[3]。
截至2021年2月,其尚有9個測試案例正在進行中,而與健康、醫療資料有關者為CDD服務有限公司(CDD Services)及諾華製藥的語音解決方案(Novartis Voice Enabled Solutions project)[4]。
(二)動態同意機制
「動態同意」(Dynamic Consent)是指一種基於網路與資通訊技術的即時同意程序,透過利用資通訊技術建立的動態同意網路平台,研究者得即時通知資料當事人其研究進度、研究目的變更等事項,資料當事人則得隨時修改同意範圍或撤銷同意[5]。
動態同意機制的優點,對研究者而言,在於節省許多徵詢同意所需之成本,也能清楚瞭解資料庫中的資料附加了哪種類型的同意或是資料當事人要求徵詢同意的密度[6],並且可以更加容易地整合其他多媒體技術(例如播放影片、照片與錄音)進行研究內容與風險之說明。而對於資料當事人而言,動態同意則可解決同意成本過高而不得不實施過於寬泛的概括同意之情形,從而更加保障資料主體之資料自主權[7]。
在英國,動態同意之原型係於2008年左右ENCoRe計畫提出;國際間較為有名的計畫皆實施於英國,例如曼徹斯特大學inBank團隊開發的蒐集與處理電子健康紀錄系統、牛津大學主導的參與式Rudy研究等[8]。
二、日本
日本於2018年實施「專案型沙盒」制度,建立特定不受現有法規限制之情境,使業者得於限定期間及場域內,以「新興技術」進行實證[9]。所謂「新興技術」,係指在創新事業活動中所使用具有顯著新穎性之技術或方法,且該技術或手法可創造出高附加價值者[10],而「具顯著新穎性」者,則指相較於該領域的常用技術和方法,更有新穎性且得以衍生實用化和事業化討論的技術與方法,例如AI、IoT、巨量資料、區塊鏈等[11]。
專案型沙盒中,有3件與醫療相關的案例,其中涉及個資法規範的是「以生物辨識技術了解本人意思(Digital Living Will)」一案。本案情境為考量到獨居老人數量增加,其因急救被送往醫療機關時,尚需時間確認其身分,甚至須向家屬說明治療方式且獲同意後,始得開始檢查和治療,而常有遲延急救時間之情事,故醫院及醫療業者共同申請一項專案型沙盒實證計畫,藉由「預立同意」之方式保存個人手術及檢查等意願,待患者發生急救情形時,將依指紋、手指靜脈、人臉等生物辨識技術準確且迅速地確認身分,向醫院提供患者的個人意願資料。本計畫採取的新技術,涉及日本個資法第18條、第19條及第23條規定,申請者表示將依法辦理之,例如告知參加者「獲取生物辨識資料之利用目的」、經參加者同意後始向第三方提供生物辨識資料等,並由厚生勞動省和個人情報保護委員會等主管機關進行監督[12]。
三、新加坡
新加坡於2012年10月通過《個人資料保護法》(Personal Data Protection Act 2012, PDPA)[13],同時依法設置個資保護委員會(Personal Data Protection Commission, PDPC)。該法旨在規範「非公務機關」之個人或組織對於個人資料的蒐集、利用及揭露(例如與第三方共享)等相關行為。該法第62條設計了豁免權(Exemption),個人或組織可於備妥申請文件後,向個資保護委員會預先申請尋求《個人資料保護法》任何條文之豁免;經審查批准後,個資保護委員會可以透過命令(order),在特定的規則或情況下,豁免任何個人或組織遵守本法的全部或部分規定[14]。
再者,新加坡提出「資料協作計畫」,以促進組織、政府、個人三方間資料無障礙流通,創造更多合作機會進行創新應用。該計畫可分作兩部分,首先建立「可信賴資料共享框架」(Trusted Data Sharing Framework),為企業對企業的資料交換方法步驟提供指南;其次提出「資料共享安排」(Data Sharing Arrangements)的資料法規沙盒計畫[15],排除企業以創新模式近用個人資料時發生的阻礙,「資料共享安排」係依據上述個人資料保護法第62條所賦予的豁免權,讓個人或組織可在個人資料保護委員會訂定的規則下,依照個案給予組織免除個資法部分規範(例如:不須取得當事人同意、免除跨境傳輸之限制)。故總體而言,「資料協作計畫」下的「可信賴資料共享框架」與「資料共享安排」,將由政府擔任監管角色,申請者只要符合指南建議方向,例如遵循法律、達到一定資料技術應用品質、實施資安與個資保護措施等,便可進行個人與商業資料之共享。
以「中風患者於資料共享安排(資料法規沙盒計畫)之運作」為例,醫院、志願福利組織(Voluntary Welfare Organization, VWO)[16]與行政機關之資料共享計畫,彼此之間分享病患個人資料,毋須再經患者之同意,由資料中介機構進行資料分析,以改善服務並確保有效媒合老年中風患者之援助。經分析後,志願福利組織可主動與醫院患者接觸以利其提供收入援助或社會支持,行政機關則可利用相關資訊改善政策[17]。
參、事件評析
隨著新興科技崛起,資料驅動之技術創新需求於近年大幅顯現,若個資法規範始終缺乏彈性,又無相關機制確保創新空間,我國社會經濟發展將嚴重受影響。對此,面對「創新技術」與「資料保護」間如何取得衡平的難題,各國政府透過不同規範及政策手段,給予個資法規範一定彈性,以促進國內創新與轉型的腳步,可見個資法既定規範並非絕對,重點仍在於如何做好個資保護評估及風險管控,使資料主體於創新實驗下仍可受到隱私保護。
綜觀上開國家的資料法規彈性化措施,主要以兩大方式進行,其一為「針對法規提出整體鬆綁或彈性化機制」(法規面),例如英國ICO法規沙盒、日本專案型沙盒、新加坡資料共享安排機制皆屬之,雖各國立法模式或依據有所不同,但主要仍是利用法規沙盒或性質相近之措施,於運作上賦予個資法規一定彈性。其二則為「利用技術解消資料利用障礙」(技術面),例如動態同意機制,透過科技來擴大個資法規的適法及遵法態樣。
據此,我國在研議「醫療領域宜否應用法規沙盒等制度,緩解個資法等相關法規現行規範」時,或可先肯認個資法確有(有條件地)豁免適用之餘地,且得以法規沙盒作為個資法限制之彈性機制。其次,在立法模式的選擇上,由於我國已著手立法《智慧醫療創新實驗條例》(草案)[18]或考量規劃泛用型法規沙盒,未來或可於「醫療法規沙盒」或「泛用型法規沙盒」立法過程中,研議是否豁免創新實驗有關個資法令之適用。再者,針對個資法豁免條件,有鑑於沙盒實驗期間不能忽視個人利益之隱私保障措施,故應有一套完善機制協助法規沙盒之監管,相關豁免事項及條件設計,也須考量創新、公共利益與資料當事人權利侵害之比例原則。最後,在實作方面,機關亦可協助與輔導業者引進動態同意等措施及其新技術,以利業者遵法。
[1] ICO, What will happen if our application to the Sandbox is successful?, https://ico.org.uk/for-organisations/the-guide-to-the-sandbox/what-will-happen-if-our-application-to-the-sandbox-is-successful/ (last visited Feb. 6, 2021).
[2] ICO selects first participants for data protection Sandbox, https://www.computerweekly.com/news/252467504/ICO-selects-first-innovation-Sandbox-participants (last visited Feb. 6, 2021)
[3] ICO, What will happen if our application to the Sandbox is successful?, https://ico.org.uk/for-organisations/the-guide-to-the-sandbox/what-will-happen-if-our-application-to-the-sandbox-is-successful/ (last visited Feb. 6, 2021).
[4] ICO, Current Projects, https://ico.org.uk/for-organisations/regulatory-sandbox/current-projects (last visited Feb. 6, 2021).
[5] Jane Kaye, Edgar A Whitley, David Lund, Michael Morrison, Harriet Teare & Karen Melham, Dynamic consent: a patient interface for twenty-first century research networks, European Journal of Human Genetics, 23, 141–146 (2015)
[6] 動態同意平台上的研究者介面,可能顯示資料當事人對於哪種類型的研究給予何種同意(例如對於心臟病研究給予概括同意;對於癌症研究給予特定同意),允許概括同意的時候也可以註記同意期限,或設定其他限制。
[7] Rasmus Bjerregaard Mikkelsen, Mickey Gjerris, Gunhild Waldemar & Peter Sandøe, Broad consent for biobanks is best - provided it is also deep, BMC Med Ethics, 20(1),71 (2019)
[8] 義大利、美國、日本與澳洲等國目前皆有實施動態同意之機制,但都是以特定疾病或研究主題為主,尚未有全國通用的動態同意系統。義大利有名為「CHRIS」的慢性病研究動態同意平台;美國有非營利組織架設名為「PEER」的基因研究動態同意平台;日本有名為「Rudy Japan」的動態同意平台;澳洲有名為「CTRL」的動態同意平台。
[9] 生産性向上特別措置法第2條第2項。
[10] 同前註。
[11] 新技術等実証の総合的かつ効果的な推進を図るための基本的な方針,頁1(2018),https://www.kantei.go.jp/jp/singi/keizaisaisei/pdf/underlyinglaw/basicpolicy.pdf(最後瀏覽日:2021/2/10)。
[12] 〈生体認証を用いた本人意思に基づく救急医療の実証〉,首相官邸,https://www.kantei.go.jp/jp/singi/keizaisaisei/project/gaiyou7.pdf (最後瀏覽日:2021/2/19)。
[13] Personal Data Protection Act 2012, No. 26 of 2012.
[14] Personal Data Protection Act 2012, Section 62.
[15] Data Collaboratives Programme, https://www.imda.gov.sg/programme-listing/data-collaborative-programme (last revised Jun. 8, 2021)
[16] 獨立於政府與市場運作之外的團體或組織。
[17] PDPC, Guide to Data Sharing (2018), https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-Files/Other-Guides/Guide-to-Data-Sharing-revised-26-Feb-2018.pdf (last revised Jun. 8, 2021).
[18] 鄭鴻達,〈政院BTC閉幕 吳政忠:推智慧醫療沙盒、生醫條例修法〉,聯合新聞網,2021/09/01,https://udn.com/news/story/7238/5715580(最後瀏覽日:2022/06/13)。
美國食品藥物管理局(U.S. Food and Drug Administration, US FDA)綜整近20年產官學研的建議,今年7月發布《人類細胞及基因製劑生產變化及可比性試驗》(Manufacturing Changes and Comparability for Human Cellular and Gene Therapy Products)指引草案,提供細胞及基因製劑(含組織工程產品)製造商執行可比性試驗依循的標準,做為實際運作上的參考。US FDA並強調若臨床開發與製程開發同步,將會使產品品質提升、產品供應增加或製造效率提高,讓國內外申請商申請新藥臨床試驗(Investigational New Drug, IND)及上市許可有明確的遵循方向。 之所以會需要有此指引的提出,乃是因為現今全球評估生物製劑原料藥或成品在製造品質變更前後的比較,需提供可比性試驗報告,做法上都是參考2004年國際醫藥法規協和會(International Council for Harmonisation of Technical Requirements for Pharmaceuticals for Human Use, ICH)公布「生物製劑可比性試驗」(ICH Q5E Biotechnological/biological products subject to changes in their manufacturing process: comparability of biotechnological/biological products)指引,但主要適用對象為蛋白質藥品及其衍生物,並不完全適用細胞及基因製劑。 可比性試驗的目的是確保化學製造管制(Chemistry, Manufacturing, and Controls, CMC)變更前後的原料藥或成品,品質需具有高度相似性,才可引用之前的CMC或IND的資料;如果使用的細胞種類、病毒載體及組織工程產品等重大改變,已嚴重影響原料藥或成品的品質,不適用目前的可比性試驗,需重新申請IND或上市許可,將造成申請商需要投入更多的成本,影響產品上市時程。 細胞及基因製劑屬於新興療法,其可比性試驗的審查迄今全球並沒有明確的規範,都是參考ICH Q5E建議,而FDA發布本指引草案正向表列細胞及基因製劑,其驗證確校、安定性及批次變更的可比性依據。讓業者可依循本指引草案,加速細胞及基因製劑的開發、IND申請及產品上市,提升生醫產業的發展。 「本文同步刊載於 stli生醫未來式 網站(https://www.biotechlaw.org.tw)」
商標權人的好消息—歐盟法院判決巴黎萊雅(L’Oreal)勝訴歐盟法院(European Court of Justice; 簡稱ECJ)於2009年6月18日判決,確認法國化妝品公司- 巴黎萊雅(L’Oreal SA)之競爭廠商-Bellure NV(簡稱Bellure公司) 有侵害巴黎萊雅之商標權,此一判決對於刻意仿冒之廠商予以重擊,也更擴大著名商標權人的商標保護範圍。 Bellure公司所販售及製造的香水,係仿似巴黎萊雅所製造香水的味道、瓶身及包裝,且更以”smell-a-like”的商品價格比較表做為廣告宣傳,藉由「搭便車」的方式推銷Bellure之產品。 歐盟法院認為,縱使Bellure的廣告宣傳及產品本身,並未直接和巴黎萊雅的產品產生商標混淆誤認的可能,且並未對巴黎萊雅造成直接的損害,但Bellure如此「搭便車」行銷自己產品的方式,確實是以不正當的廣告方式獲取不公平的利益,並銷售自已的產品。 本案將使商標權人對於日漸複雜的侵害類型獲得保障,如:仿冒品的販售及網路銷售等;此外,對於產品在做宣傳時也要小心使用比較性的文字(如:僅做產品性質差異的比對而非產品價格的比對),以免侵害他人商標權。
全球CBPR論壇成立一週年:英國成為準會員、公布部分制度文件、資策會開始受理驗證全球CBPR論壇成立一週年:英國成為準會員、公布部分制度文件、資策會開始受理驗證 資訊工業策進會科技法律研究所 112年08月01日 「全球跨境隱私規則論壇」(Global Cross-Border Privacy Rules Forum,簡稱全球CBPR論壇)自去(2022)年成立迄今已有1年,論壇於今(2023)年7月6日宣布英國已經完成審核,成為全球CBPR的「準會員」(Associate)。除歡迎新的成員加入外,全球CBPR論壇亦陸續公布其制度文件、領導團隊名單及年度工作計畫。 全球CBPR論壇成立的目的在於建立全球性的跨境隱私驗證機制,並促進全球的資料保護與隱私執法合作[1]。此一論壇於去年4月份時,由我國、美國、日本、韓國、新加坡、加拿大與菲律賓等七個「亞太經濟合作」(Asia-Pacific Economic Cooperation, APEC)「跨境隱私規則體系」(Cross-Border Privacy Rules, CBPR)會員共同以宣言形式宣布推動成立[2],嗣後APEC CBPR剩餘的兩個會員澳洲[3]及墨西哥[4]亦陸續宣布加入。 一、公布制度文件及領導團隊 全球CBPR論壇首先於今年4月13日,該論壇宣佈成立滿1年之際,公告論壇隱私標準指導文件的「全球CBPR綱領」(Global CBPR Framework)以及規範論壇架構與會員資格的「職權文件」(Terms of Reference)等2份論壇運作的基礎文件;同時並公布其首批領導團隊名單[5]。此後,全球CBPR論壇再於6月30日時公告2023/2024年度的工作計畫[6]。 (一)全球CBPR綱領 全球CBPR綱領的制訂目的主要係為了在會員不同的管制間尋求「求同存易」的隱私方法論:期待能在尋求相同原則的管制同時,亦能尊重不同成員不同的社經背景差異[7]。 在實質內容上,全球CBPR綱領的主要內容係基於創始成員皆有參與的「APEC隱私綱領」(APEC Privacy Framework)調整,並使其內容得以與「經濟合作暨發展組織」(Organisation for Economic Cooperation and Development, OECD)的「隱私保護及個人資料跨境傳輸指引」(Guidelines on the Protection of Privacy and Trans-Border Flows of Personal Data)所涵蓋核心原則相符[8]。 全球CBPR綱領揭櫫了「全球CBPR隱私原則」(Global CBPR Privacy Principles),其內涵包含預防損害、告知、限制蒐集、個人資料利用、當事人自主選擇、個人資料完整性、安全維護、近用與更正以及責任等9個項目[9]。此些原則的內容與精神,皆與APEC CBPR隱私原則相通。此外,全球CBPR隱私綱領亦針對在各會員內部及國際間落實全球CBPR隱私原則擬定執行指南[10],作為後續全球CBPR論壇運作的指引。 (二)職權文件 職權文件主要係規定全球CBPR論壇的運作架構,包含論壇的組織架構、程序、領導團隊選任方式、工作語言的內容,同時亦會員及準會員的資格與申請、採認的程序等。 在組織架構上,全球CBPR論壇設立由所有會員組成之「全球論壇大會」(Global Forum Assembly, GFA)[11],作為論壇的最高決策機構,以共識決為基礎[12]負責論壇政策戰略之擬訂、審議年度工作計畫、設立委員會、採認各委員會提出之建議並負責領導團隊之任命[13]。全球論壇大會置主席、副主席各1人負責領導工作,主席及副主席任期均為2年,並應由不同會員之代表擔任[14]。在全球論壇大會下,為便利各項工作之推行,全球CBPR論壇設「會員委員會」(Membership Committee)、「溝通協調委員會」(Communications and Stakeholder Engagement Committee, Comms Committee)及「當責機構監督及參與委員會」(Accountability Agent Oversight and Engagement Committee, AA committee)[15]等三個委員會,各置主席1人,負責主持委員會會務,並每半年向全球論壇大會主席遞交委員會工作報告[16]。各委員會需至少有3個不同會員之參與[17]。 其中,會員委員會負責審查會員及副會員之申請,並做成審查結論及建議以遞交予大會採認,同時亦負責促進各「司法管轄區」(jurisdiction)對CBPR之認識與參與[18]。溝通協調委員會擇負責提高利害關係人對論壇之認識、維護論壇網站、文件與記錄資料庫,並針對論壇品牌之發展、維護向大會提出建議[19]。當責機構監督及參與委員會則負責與當責機構有關之任務,包含對其申請進行審查,以向大會提出准駁建議、處理針對當責機構的申訴,以及負責與當責機構溝通合作等[20]。 在會員資格部分,任何司法管轄區符合以下條件者,可申請為會員:該司法管轄區之法律體系規範符合全球CBPR綱領及全球CBPR宣言(全球CBPR論壇宣佈成立之文件)[21]所規定之原則,且至少有一隱私執法機構參與「全球隱私執法合作機制」(Global Cooperation Arrangement for Privacy Enforcement, Global CAPE)[22];同時其必須滿足以下任一條件:(1)有意採用至少一個當責機構以落實全球CBPR規範,或是(2)證明其法律體系採認全球CBPR論壇之驗證體系為有效的跨境資料傳輸機制[23]。 除會員外,職權文件另創設「副會員」資格,其可參與全球CBPR論壇之各項活動[24]、參與除會員限定會議外之論壇大會[25],並可在各委員會主席邀請的情況下,參與各委員會活動[26]。副會員需表達其支持全球CBPR綱領及全球CBPR宣言所揭示之原則、目標,該司法管轄區需有有效的保護個人資料之法律規範,且至少有一政府機構負責該法律規範之監督與執行[27]。 (三)全球CBPR論壇首批領導團隊名單 全球CBPR論壇在公布前述論壇文件時,亦公開其首批領導團隊名單。其中,全球論壇大會的主席有美國商務部的Shannon Coe 擔任,副主席由新加坡資通訊媒體發展局的Evelyn Goh 擔任[28]。Shannon Coe 曾經擔任APEC 電子商務指導小組(Electronic Commerce Steering Group)[29]、資料隱私次級小組(Data Privacy Subgroup, DPS)[30]主席,同時現在也是APEC CBPR 聯合監督小組(Joint Oversight Panel, JOP)主席[31]。Evelyn Goh亦曾為APEC CBPR 聯合監督小組成員[32]。在委員會部分,會員委員會主席由日本經產省之Makiko Tsuda擔任;溝通協調委員會主席則為菲律賓國家隱私委員會的Ivy Grace T. Villasoto;至於當責機構監督及參與委員會的主席則尚未選出[33]。 (四)年度工作計畫 全球CBPR論壇於6月30日時公布至2024年4月的年度工作計畫,其主要包含以下三個戰略目標:第一,於2023年底開始全球CBPR驗證及全球PRP(Privacy Recognition for Processors, PRP)驗證計畫;第二,擴大全球CBPR論壇之參與,包含完成會員加入所需之程序、利害關係人參與機制等,並計畫於今年秋季及2024年春季舉辦研討會(workshops);第三,持續強化論壇之運作,包含各委員會於年底前提交半年工作計畫等[34]。 二、英國成為準會員 全球CBPR論壇於7月6日發表新聞,宣布英國已經獲得接納成為論壇的準會員[35]。這是全球CBPR論壇成立後第一個申請加入的準會員,也是首個來自非原APEC CBPR會員的論壇參與者。 英國是在論壇於4月公布職權文件後,隨即於同日宣布申請加入為論壇的準會員[36]。其後歷經月餘審查,於5月份通過論壇會員委員會審查,並於6月時獲全球論壇大採認獲得準會員資格[37]。 三、資策會公告CBPR驗證文件,開始受理驗證 資策會為我國在CBPR體系驗證的唯一一個當責機構,目前亦在維運的臺灣個人資料保護與管理制度(Taiwan Personal Information Protection and Administration System, TPIPAS)網站公告CBPR驗證的標準及申請文件[38]。有意申請CBPR國際個人資料保護驗證的企業,可以前往該網站的CBPR專區,查閱驗證標準、評量問卷、驗證須知以及其他申請文件。資策會科技法律研究所期待透過以國內個人資料保護法為基礎轉化的TPIPAS以及我國正式參與的國際組織制訂的CBPR兩項個資管理驗證制度,協助提昇國內企業個資管理能力,建立受信賴的個資應用環境。 [1]About the Global CBPR Forum, Global Cross-Border Privacy Rules Forum [Global CBPR Forum], https://www.globalcbpr.org/about/ (last visited Aug. 3, 2023). [2]國家發展委員會綜合規劃處,〈我國以創始會員身分加入新設立之「全球跨境隱私規則論壇」〉,國家發展委員會,2022/04/21 17:00,https://wwwcdn.ndc.gov.tw/nc_27_35773 (最後瀏覽日:2023/08/03)。 [3]Mark Dreyfus, Australia joins the Global Cross-Border Privacy Rules Forum, The Attorney-General's Department of Australia (Aug. 17, 2022), https://ministers.ag.gov.au/media-centre/australia-joins-global-cross-border-privacy-rules-forum-17-08-2022 (last visited Aug. 3, 2023). [4]Members of the Global CBPR Forum, Global CBPR Forum, https://www.globalcbpr.org/membership/ (last visited Aug. 3, 2023). [5]Global Cross-Border Privacy Rules (CBPR) Forum Welcomes Participation by Interested Jurisdictions , Global CBPR Forum (Apr. 13, 2023), https://www.globalcbpr.org/global-cross-border-privacy-rules-cbpr-forum-welcomes-participation-by-interested-jurisdictions/ (last visited Aug. 3, 2023). [6]The Forum Releases its Annual Work Program for 2023/2024, Global CBPR Forum (June 30, 2023), https://www.globalcbpr.org/the-forum-releases-its-annual-work-program-for-2023-2024/ (last visited Aug. 3, 2023). [7]Global CBPR Forum, Global Cross-Border Privacy Rules (CBPR) Framework (2023), at 2 (2023), available at https://www.globalcbpr.org/wp-content/uploads/Global-CBPR-Framework-2023.pdf (last visited Aug. 3, 2023). [8]國家發展委員會法制協調處,〈全球CBPR論壇正式啟動,英國申請加入準會員 我國與各會員攜手歡迎新會員加入〉,國家發展委員會,2023/04/21 10:10,https://wwwcdn.ndc.gov.tw/nc_27_36833 (最後瀏覽日:2023/06/17)。 [9]Global CBPR Forum, Global Cross-Border Privacy Rules (CBPR) Framework (2023), available at https://www.globalcbpr.org/wp-content/uploads/Global-CBPR-Framework-2023.pdf (last visited Aug. 3, 2023). [10]Id. [11]Global CBPR Forum, Global CBPR Forum Terms of Reference (2023), 3.1.i. (2023), available at https://www.globalcbpr.org/wp-content/uploads/Global-CBPR-Forum-Terms-of-Reference-2023.pdf (last visited Aug. 3, 2023). [12]Global CBPR Forum, Global CBPR Forum Terms of Reference (2023), 3.1.iii. (2023), available at https://www.globalcbpr.org/wp-content/uploads/Global-CBPR-Forum-Terms-of-Reference-2023.pdf (last visited Aug. 3, 2023). [13]Global CBPR Forum, Global CBPR Forum Terms of Reference (2023), 3.1.ii. (2023), available at https://www.globalcbpr.org/wp-content/uploads/Global-CBPR-Forum-Terms-of-Reference-2023.pdf (last visited Aug. 3, 2023). [14]Global CBPR Forum, Global CBPR Forum Terms of Reference (2023), 4.1. (2023), available at https://www.globalcbpr.org/wp-content/uploads/Global-CBPR-Forum-Terms-of-Reference-2023.pdf (last visited Aug. 3, 2023). [15]Global CBPR Forum, Global CBPR Forum Terms of Reference (2023), 3.2.i. (2023), available at https://www.globalcbpr.org/wp-content/uploads/Global-CBPR-Forum-Terms-of-Reference-2023.pdf (last visited Aug. 3, 2023). [16]Global CBPR Forum, Global CBPR Forum Terms of Reference (2023), 6.1. (2023), available at https://www.globalcbpr.org/wp-content/uploads/Global-CBPR-Forum-Terms-of-Reference-2023.pdf (last visited Aug. 3, 2023). [17]Global CBPR Forum, Global CBPR Forum Terms of Reference (2023), 3.2.ii. (2023), available at https://www.globalcbpr.org/wp-content/uploads/Global-CBPR-Forum-Terms-of-Reference-2023.pdf (last visited Aug. 3, 2023). [18]Global CBPR Forum, Global CBPR Forum Terms of Reference (2023), 3.2.v. (2023), available at https://www.globalcbpr.org/wp-content/uploads/Global-CBPR-Forum-Terms-of-Reference-2023.pdf (last visited Aug. 3, 2023). [19]Global CBPR Forum, Global CBPR Forum Terms of Reference (2023), 3.2.vii. (2023), available at https://www.globalcbpr.org/wp-content/uploads/Global-CBPR-Forum-Terms-of-Reference-2023.pdf (last visited Aug. 3, 2023). [20]Global CBPR Forum, Global CBPR Forum Terms of Reference (2023), 3.2.vi. (2023), available at https://www.globalcbpr.org/wp-content/uploads/Global-CBPR-Forum-Terms-of-Reference-2023.pdf (last visited Aug. 3, 2023). [21]Global CBPR Forum, Global Cross-Border Privacy Rules (CBPR) Declaration (Apr. 21, 2022), available at https://www.globalcbpr.org/wp-content/uploads/Global-CBPR-Declaration-2022.pdf (last visited Aug. 3, 2023). [22]由隱私執法機構組成的組織,負責在隱私執法、跨境資料保護等議題進行合作,其組織規範尚待擬訂,可參見:Organisational Structure, Global CBPR Forum, https://www.globalcbpr.org/about/organisational-structure/ (last visited Aug. 3, 2023). [23]Global CBPR Forum, Global CBPR Forum Terms of Reference (2023), Annex A 3. (2023), available at https://www.globalcbpr.org/wp-content/uploads/Global-CBPR-Forum-Terms-of-Reference-2023.pdf (last visited Aug. 3, 2023). [24]Global CBPR Forum, Global CBPR Forum Terms of Reference (2023), 2.2. (2023), available at https://www.globalcbpr.org/wp-content/uploads/Global-CBPR-Forum-Terms-of-Reference-2023.pdf (last visited Aug. 3, 2023). [25]Global CBPR Forum, Global CBPR Forum Terms of Reference (2023), 3.1.iv. (2023), available at https://www.globalcbpr.org/wp-content/uploads/Global-CBPR-Forum-Terms-of-Reference-2023.pdf (last visited Aug. 3, 2023). [26]Global CBPR Forum, Global CBPR Forum Terms of Reference (2023), 3.2.iii. (2023), available at https://www.globalcbpr.org/wp-content/uploads/Global-CBPR-Forum-Terms-of-Reference-2023.pdf (last visited Aug. 3, 2023). [27]Global CBPR Forum, Global CBPR Forum Terms of Reference (2023), Annex A 4. (2023), available at https://www.globalcbpr.org/wp-content/uploads/Global-CBPR-Forum-Terms-of-Reference-2023.pdf (last visited Aug. 3, 2023). [28]Global Forum Assembly Leadership, Global CBPR Forum, https://www.globalcbpr.org/about/leadership/ (last visited Aug. 3, 2023). [29]國發會綜合規劃處,〈我國申請加入 APEC 「跨境隱私保護規則」 (CBPR)體系成功通過 第一階段審查〉,《台灣經濟論衡》,第16卷第2期,頁124。 [30]張惠娟、趙文志、李葳農、林淑英、林宸均、邱映曦、王宗彥、欒中丕、賴玲玲、桂尚卿、熊力恆、劉大瑋、盧淑芫、林冠宇、王德瀛、周芷瑄、邱達生,〈出席2022年2月亞太經濟合作(APEC)數位經濟指導小組(DESG)第1次視訊會議暨相關視訊會議報告〉,行政院所屬各機關因公出國報告書,頁1(2022)。 [31]國發會綜合規劃處,前揭註29;張惠娟等,同前註,頁6。 [32]張惠娟等,前揭註30,頁6。 [33]Supra note 28. [34]Global CBPR Forum, Global Forum Assembly Annual Work Program, though April 2024 (June 30, 2023), https://www.globalcbpr.org/wp-content/uploads/GlobalCBPRForum-Annual-Work-Program-2023-2024.pdf (last visited Aug. 3, 2023). [35]The Forum Welcomes the UK as an Associate, Global CBPR Forum, https://www.globalcbpr.org/the-forum-welcomes-the-uk-as-an-associate/ (last visited Aug. 3, 2023). [36]Department for Science, Innovation and Technology(@SciTechgovuk), The UK has applied to become an Associate of the Global Cross Border Privacy Rules (CBPR) Forum, Twitter (Apr. 18 12: AM), https://twitter.com/SciTechgovuk/status/1648007670002069505 (last visited Aug. 3, 2023). [37]Supra note 35. [38]CBPR簡介,臺灣個人資料保護與管理制度,https://www.tpipas.org.tw/model.aspx?no=310 (最後瀏覽日:2023/08/03)。