西班牙AEPD增加關於健康和個人資料保護關注領域

  西班牙個資監管機關(Agencia Española de Protección de Datos, AEPD)於2022年5月3日增加健康和個人資料保護有關的關注領域。觀2021年,計有680件與健康資料相關之爭議案件,與2020年相比增長了75%,又因健康資料為特殊類型之個人資料,故更應嚴加保障。

  該領域的內容適用於公民、資料控制者、資料保護專業人員、健康中心或製藥行業等,共分六小節:

一、第一小節概述了與健康資料有關的權利,解釋了歐盟一般個人資料保護規則(General Data Protection Regulation, GDPR)第9條及西班牙當地規範有關處理健康資料定義、如何行使醫療記錄近用權(Right to access),以及與醫學研究相關的問題,其中規定了患者在使用資料和臨床文件方面權利和義務、在近用權被拒絕情況下如何向AEPD申訴、臨床病史保留及刪除權利之限制等。

二、第二小節重點介紹AEPD公布的相關報告和指南,包括勞資關係中之個人資料保護指南,及有關臨床病史、臨床試驗等相關主題之報告。

三、第三小節則著重在AEPD於新型冠狀病毒肺炎(COVID-19)爆發後,製作大量與COVID-19相關之聲明文件及法律報告,故在此彙整相關資料,以協助落實個人資料之保障。

四、第四小節健康研究和臨床試驗,其中彙編了相關指南,以及規範臨床試驗和其他臨床研究以及藥物安全監視所涉個人資料保護行為準則。

五、第五小節講述與健康狀況有關之申訴、賠償紀錄部分,其中包括AEPD收到多項涉及已故患者直系親屬近用醫療記錄之權利或醫療專業人員非法獲取臨床病史和醫療記錄之投訴。

六、第六小節側重於醫療組織洩露個人資料議題,概述了資料控制者之義務以及為確保遵循GDPR而應採取之措施,另強調以特殊方式處理健康資料之活動,如電子健康紀錄、物聯網醫療所使用之行動裝置或雲端等存取設備,皆存在外洩之風險因子。

相關連結
你可能會想參加
※ 西班牙AEPD增加關於健康和個人資料保護關注領域, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8844&no=57&tp=1 (最後瀏覽日:2026/07/20)
引註此篇文章
你可能還會想看
Blizzard使用Battle Tag取代網路實名制,並提供驗證器保護玩家帳戶

  自從2010年07月Blizzad曾經宣布針對旗下網站論壇欲推動實名制引起廣大爭議後,於沈寂一年後宣布採用Battle Tag取代原本想推動的實名方式,Battle Tag 類似連網帳號綁定的方式,由玩家自行選擇一個名稱,而該名稱最終將整合成為玩家在Blizzard旗下所有遊戲的官方網站或社群論壇的身分。   Battle Tag讓玩家用新的方式管理他們的帳戶資料,同時可以讓曾經在遊戲中並肩作戰的玩家,在不同遊戲間找到彼此,而能保持聯繫。原本Blizzard推實名制的目的之一在於確保玩家是否年滿18歲,但因引發爭議而作罷。現在他們使用Battle Tag作為替代方法,而Battle Tag 其實是由玩家自行選擇一個帳號名稱,另外再由系統隨機分配4位數的代碼方式(例如:名稱#1234),藉此創設出玩家自己獨特的名稱。   另一方面,為了保護這些整合的帳戶,且提昇玩家的帳戶安全,Blizzard並採用驗證器(Keychain Authenticator、 Mobile Authenticator),實際上驗證器就是一種憑證,玩家將驗證器與帳號連結後,即可讓自己的帳戶增加一層防護,Blizzard藉此希望降低玩家帳戶被盜的風險,因為越多玩家參與的遊戲,其帳戶實體價值可能越高,且2012年5月15日發售的暗黑破壞神3(Diablo Ⅲ),更開放了亞洲區以外的遊戲虛擬物品的現金拍賣場,如此玩家的帳戶更需要重重保護,不過才發售不到一週的時間,就有許多玩家回報帳戶遭盜用,其中亦有使用驗證器保護帳戶的玩家聲稱仍然遭盜用。

因應知識經濟社會 日本推動司法改革

  鑑於社會態度轉變與經濟面的需求,特別是隨著稅法和智慧財產權問題日益複雜,日本企業領袖紛紛延攬龐大的律師團,以借助其專長規劃並解決相關問題,以至法律專業人才需求更甚於以往。為此,日本改變壓低律師人數以及不鼓勵興訟的政策,大刀闊斧推動二次世界大戰以來最大的司法制度改革。本次司法制度大改革廣開職業考試大門,以便有足夠的律師、檢察官與法官,能在日益好訟的日本社會處理龐大民、刑事案件。   為填補需求缺口,日本政府決定將包括律師、檢察官和法官在內的法律專業人士的人數提高一倍以上,在 2018 年以前增至五萬人。同時,重大刑案將在 2009 年引進陪審團制度,以減輕法官負擔。在政府鼓勵下,日本第一所美式法學院於 2004 年成立,現在全國已有七十二所類似的法學院。過去日本大學法律系通常著重法律的學術或理論面,而新式法學院的重心則以實務訓練為主。這些法學院的畢業生不必考舊律師考試,只考專為他們設計的筆試。   我國法學教育改革研議已有幾十年,總統府人權諮詢小組在討論人權問題時,亦有專題涉及法律人養成與司法制度改革,因而研議全盤改革相關制度;行政院經建會在重要人才培育與運用的政策中,亦研擬自去( 94 )年開始推動法律專業學院制度。

英國通過《電子貿易文件法》,將透過「可信賴系統」的要求強化電子貿易文件的證明效力

英國國會於2023年7月上旬通過《電子貿易文件法》(Electronic Trade Documents Act 2023, ETDA),經國王於7月20日正式批准,該法於2023年9月20日正式生效,未來英國的電子貿易文件將與紙本貿易文件具有相同效力。 一直以來,英國僅承認紙本貿易文件的法律上效力,因此英國企業在進行國際貿易的各環節上,必須處理上百頁的紙本文件,造成英國企業及其交易對象必須花費相當高的時間和金錢成本,不僅效率低且造成環境破壞,同時紙本文件也較難驗證其真實性。在數位轉型趨勢下,此類陳舊的法律早已不合時宜,因此美國、新加坡、德國等國家也正在進行類似立法,而英國是七大工業國組織(Group of Seven, G7)中第一個完成立法的國家。 該法正式施行後,可大幅降低英國企業的成本,提升國貿及融資的效率;根據英國政府估計,未來十年,該法將可為英國經濟創造11.4億英鎊的淨效益(net benefit),同時每年可減少10%以上的碳排放量,有助於落實ESG。更重要的是,相對於紙本,貿易文件的數位化,可提升安全性和透明性。 根據該法第2條第2項規定,電子貿易文件必須是由「可信賴系統」(reliable system)所產生,所謂「可信賴系統」必須具備以下特徵: 1.能清楚識別文件,與其他副本加以區分; 2.能防止文件遭到未經授權的修改; 3.確保任何時點僅有一人能對該文件行使控制權; 4.允許能夠對該文件行使控制之人,能向他人「證明」其控制權; 5.確保電子貿易文件移轉後,使前手立即喪失控制權。 此外,第2條第5項列出在判斷一個系統是否可信賴時,可考量的7點因素,其中第5點指出可考量該系統是否經獨立機構定期稽核(包含稽核頻率和範圍),以及第6點為該系統是否經監管機關進行任何可信賴性的評估。 雖然該法基於技術中立(technological neutrality),並未明定何種技術符合「可信賴系統」的要求。然而,起草該法的法律委員會(Law Commission of England and Wales, LCEW)於2022年3月的草案報告中花了相當大的篇幅說明「分散式帳本」(Distributed Ledger Technology, DLT)的技術,並認為DLT在透明性、安全性、不可竄改等面向有較好的表現,因此指出這是「目前」產生可信賴電子貿易文件的重要技術之一。英國政府表示,承認電子貿易文件的法律效力後,國際貿易各環節的參與者可以透過如DLT等技術,更有效地追踪相關紀錄,進而提高國際貿易的安全性和合規性。 本文同步刊登於TIPS網站(https://www.tips.org.tw)

Apple Inc. 因販售個人資料面臨團體訴訟

  三位來自Massachusetts州的州民,以Apple Inc.(下稱Apple)為被告,於該州地方法院提起團體訴訟。其等主張在2012年至2013年間,透過信用卡於Massachusetts州Apple的零售商店購買該公司相關商品時,Apple有過度蒐集與不當利用個人資料之情形。據Apple網站指出,消費者得選擇透過信用卡的方式購買商品,然若選擇信用卡方式付費,必須提供個人相關識別訊息,包含完整的郵政編碼,如果提供不完整,Apple將不會允許使用消費者使用信用卡方式付費;且Apple亦在網站上聲稱保有允許提供該類訊息予提供產品和服務的合作夥伴,或得利用該類訊息幫助行銷的權利。故原告等透過信用卡消費後,收到不必要的市場行銷資訊;又Apple將原告等人可識別的個人資訊銷售第三方公司,並在未顧及原告等權益下,挪用了該具有經濟價值的個人可識別資訊。基於上述理由,原告等請求至少500萬元美金之損害賠償,其中不包含訴訟費用以及相關利息等其他費用。   依據Mass. Gen. Laws ch. 93 §105 規定,不論是個人、商號、合夥、公司或一切營業人,當接受信用卡交易模式時,並不能要求消費者填寫任何個人可識別的資訊。若法院同意原告們的訴求,Apple將因「不公平且欺騙之貿易行為」而被認定違反該州法律而必須負擔賠償責任,且Apple也將被要求停止蒐集全州的個人可識別資料。

TOP