美國聯邦貿易委員會(FTC)持續開鍘違約揭露用戶個資的業者
美國聯邦貿易委員會(Federal Trade Commission,FTC)根據《健康違規通知規則》(Health Breach Notification Rule,HBNR),於2023年2月1日和3月2日分別對GoodRx Holdings Inc.公司和BetterHelp, Inc.公司提出擬議命令(Proposed order)。擬議命令指經由行政機關調查案件後提出的改善建議,且經聯邦法院批准後對被調查公司生效。這兩件案例是FTC於2021年後擴大《健康違規通知規則》適用範圍從傳統的健康產業及於網路行業後的首次執法。GoodRx Holdings Inc.公司提供藥物資訊平台與折扣訊息;而BetterHelp, Inc.公司提供遠距醫療服務。兩者在2017到2020年間均向他們的消費者聲明,將妥善保護所蒐集之個資,然而卻轉手將取得個資揭露給Facebook、Snapchat和Google等第三方公司,用來進行目標式廣告的投放。
FTC對GoodRx的擬議命令要求其停止向第三方揭露使用者的個人資料,並處以支付150萬美元的罰鍰。對BetterHelp, Inc.的命令除要求其停止共享使用者的個人資料外,更要求BetterHelp, Inc.向網站的使用者進行退款,退款總額上限高達780萬美元。FTC在擬議命令中建議:涉及敏感性健康資料的事業負責人,除了需要重新檢視目前持有資料的隱私和安全性外,最好能建立一套完整的資料管理流程。流程包括對當事人充分說明蒐集利用目的、取得當事人完整的知情同意、制定完整的個人資料管理及保存銷毀程序、限制員工對資料的存取權限等等。最後也最重要的是要「信守承諾」,這兩個案例中的業者都是違反了自己當初對使用者的承諾,最終才導致被處罰的結果。
- Freshfields Bruckhaus Deringer, FTC Regulatory Enforcement Ramps Up for Digital Health Companies, LEXOLOGY, Apr. 6, 2023
- FTC to Ban BetterHelp from Revealing Consumers’ Data, Including Sensitive Mental Health Information, to Facebook and Others for Targeted Advertising, Federal Trade Commission
- On Breaches by Health Apps and Other Connected Devices, Federal Trade Commission
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
黃昱揚
副法律研究員 編譯整理
Freshfields Bruckhaus Deringer, FTC Regulatory Enforcement Ramps Up for Digital Health Companies, LEXOLOGY, Apr. 6, 2023, https://www.lexology.com/library/detail.aspx?g=47c93bcd-1dd7-423d-be37-56b04f877450 (last visited Apr. 12, 2023).
FTC to Ban BetterHelp from Revealing Consumers’ Data, Including Sensitive Mental Health Information, to Facebook and Others for Targeted Advertising, Federal Trade Commission, https://www.ftc.gov/news-events/news/press-releases/2023/03/ftc-ban-betterhelp-revealing-consumers-data-including-sensitive-mental-health-information-facebook (last visited Apr. 12, 2023).
On Breaches by Health Apps and Other Connected Devices, Federal Trade Commission, https://www.ftc.gov/system/files/documents/rules/health-breach-notification-rule/statement_of_the_commission_on_breaches_by_health_apps_and_other_connected_devices.pdf (last visited Apr. 12, 2023).
「國內廠商陷個資外洩風暴 消基會:TPIPAS驗證制度保護個資安全」,中央社,2023.02.08,https://www.cna.com.tw/Postwrite/Chi/334659/(最後瀏覽日:2023/05/24)。
翁芊儒,「亞太個資治理規範CBPR也有臺灣在地認證機構了!資策會建議瞄準跨國市場的企業,可建立個資法遵並自願認證」,iThome,2021.07.12,https://www.ithome.com.tw/news/145331(最後瀏覽日:2023/05/24)。
盧秉羲,〈美國NIST發布更新《網路安全資源指南》提升醫療領域的網路安全及隱私風險管理〉,資訊工業策進會科技法律研究所,2022/9,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8883&no=64(最後瀏覽日:2023/05/24)。
FTC Proposes Amendments to Strengthen and Modernize the Health Breach Notification Rule, Federal Trade Commission, https://www.ftc.gov/news-events/news/press-releases/2023/05/ftc-proposes-amendments-strengthen-modernize-health-breach-notification-rule (last visited Apr. 24, 2023).
FTC says online counseling service BetterHelp pushed people into handing over health information – and broke its privacy promises, Federal Trade Commission Blog, https://www.ftc.gov/business-guidance/blog/2023/03/ftc-says-online-counseling-service-betterhelp-pushed-people-handing-over-health-information-broke (last visited Apr. 24, 2023).
歐盟《人工智慧法》(Artificial Intelligence Act, AIA)自2024年8月1日正式生效,與現行的《醫療器材法》(Medical Devices Regulation, MDR)及《體外診斷醫療器材法》(In Vitro Diagnostic Medical Devices Regulation, IVDR)高度重疊,特別是針對用於醫療目的之人工智慧系統(Medical Device AI, MDAI)。為釐清三法協同適用原則,歐盟人工智慧委員會(Artificial Intelligence Board, AIB)與醫療器材協調小組(Medical Device Coordination Group, MDCG)於2025年6月19日聯合發布常見問答集(Frequently Asked Question, FAQ),系統性說明合規原則與實務操作方式,涵蓋MDAI分類、管理系統、資料治理、技術文件、透明度與人為監督、臨床與性能驗證、合規評鑑、變更管理、上市後監測、資安與人員訓練等面向。 過去,MDR、IVDR與AIA雖各自對MDAI有所規範,但始終缺乏明確的協同適用指引,導致製造商、監管機關與醫療機構在實務操作上常面臨混淆與困難。本次發布的指引透過36題問答,系統性釐清三法在高風險MDAI適用上的關聯,重點涵蓋產品分類原則、合規評鑑流程以及技術文件準備要點,具高度實務參考價值。此外,傳統醫療器材的上市後監測,難以有效因應AI系統持續學習所帶來的風險。AIA因此要求高風險MDAI建立強化的上市後監控系統,並評估AI系統與其他系統交互作用可能產生的影響。 整體而言,該指引的發布不再僅限於MDAI技術層面的合規審查,而是進一步擴展至資料正當性、系統可控性、使用者能力與整體風險治理等層面,體現歐盟對AI倫理、透明與責任的制度化落實。此文件亦為歐盟首次系統性整合AI與醫療器材監管原則,預期將成為MDAI產品研發與上市的重要參考依據。 本文同步刊載於stli生醫未來式網站(https://www.biotechlaw.org.tw)
歐盟執委會發布指引以因應《人工智慧法》「禁止的人工智慧行為」條文實施歐盟執委會於2025年2月4日發布「關於禁止的人工智慧行為指引」(Commission Guidelines on Prohibited Artificial Intelligence Practices)(下稱「指引」)」,以因應歐盟《人工智慧法》(AI Act,下稱AIA)第5條關於「禁止的人工智慧行為」之規定。該規定自2月2日起正式實施,惟其內容僅臚列禁止行為而未深入闡釋其內涵,執委會特別制定本指引以避免產生歧義及混淆。 第5條明文禁止使用人工智慧系統進行有害行為,包括:利用潛意識技術或利用特定個人或群體之弱點進行有害操縱或欺騙行為、實施社會評分機制、進行個人犯罪風險預測、執行無特定目標之臉部影像蒐集、進行情緒識別分析、實施生物特徵分類、以及為執法目的而部署即時遠端生物特徵識別系統等。是以,指引就各禁止事項分別闡述其立法理由、禁止行為之具體內涵、構成要件、以及得以豁免適用之特定情形,並示例說明,具體詮釋條文規定。 此外,根據AIA規定,前述禁令僅適用於已在歐盟境內「投放市場」、「投入使用」或「使用」之人工智慧系統,惟對於「使用」一詞,並未予以明確定義。指引中特別闡明「使用」之定義,將其廣義解釋為涵蓋「系統投放市場或投入使用後,在其生命週期任何時刻的使用或部署。」 指引中亦指出,高風險AI系統的特定使用情境亦可能符合第5條的禁止要件,因而構成禁止行為,反之亦然。因此,AIA第5條宜與第6條關於高風險AI系統的規定交互參照應用。 AIA自通過後,如何進行條文內容解釋以及法律遵循義務成為各界持續討論之議題,本指引可提升AIA規範之明確性,有助於該法之落實。
Common sense並非 Obviousness的代名詞美國聯邦第二上訴巡迴法院於去年12月9日做出判決,維持先前佛羅里達州南區地方法院對於 Perfect Web Tech. 公司之專利第6,631,400號(以下簡稱專利400號)做出該專利無效之簡易裁決。第二上訴巡迴法院在 Perfect Web Technologies Inc. v. InfoUSA Inc. 一案中對於判斷一項專利的顯而易見性 (obviousness) 上,“常識”(common sense)所代表的意義做出解釋。 此案最初係由 Perfect Web Tech 控訴InfoUSA 侵害其所持專利400號,該專利為 “一種管理大批 (bulk) 電子郵件傳送到各不同鎖定目標的方法”。專利400號包含了4道程序,第一至第三道程序包含將大批的電子郵件寄送到一鎖定目標對象的群組,並計算當中寄送成功的數量。第四道程序則為重覆程序一至三,直到寄送成功的數量超過原設定的最低成功數量。對此InfoUSA向法院提出裁定專利400號無效的簡易裁決,而地方法院以 “程序一至三為先前技術 (prior art),程序四則僅為合乎邏輯的常識做法”而准予該請求並裁定專利400號無效。 第二上訴巡迴法院維持原判的理由在於專利400號不符合於KSR案中關於 “顯而易見性”的判斷原則。訴訟雙方皆同意程序一至三為先前技術,而法院認為程序四是 “常識”下的產物, “是一般人都顯然會去嘗試的結果”。Linn 法官更進一步指出像這樣的案子根本不需要專家證詞,只需用一般人的常識判斷即可。但是判決中亦同時聲明,若要援用 “常識”來判斷一項專利的顯而易見性,地院或專利審查官必須要能將判斷的依據解釋清楚以受公評。此判決結果意味著如果係爭的專利技術較為複雜,被告將必須要依賴有利的專家證詞以成功證實爭論的要點僅止於常識運用且具有顯而易見性。
英國政府將設置兩個新的網路安全機關,以維護國家網路安全英國政府在考量保護政府機關及民眾免於網路安全之威脅下,設置了網路安全辦公室(Office of Cyber Security,OCS)及網路安全營運中心(Cyber Security Operations Centre,CSOC)兩個新的網路安全機關,並將於2010年3月正式運作。同時,內閣辦公室(Cabinet Office)發出聲明表示,英國政府將網路安全訂為21世紀政府的安全防護重點,並認為透過設置這兩個新的機關協助維護國家安全,將是達成這個目標的重要步驟。 在英國政府的規劃下,OCS設於內閣辦公室下,負責提供政府跨部會的資訊安全策略,並整合協調政府部門間網路安全之工作;CSOC則是設置於英國政府通信總部下(Government's Communications Headquarters,GCHQ),負責有效的監測網路空間之健全性並針對緊急事件提出應變措施、瞭解攻擊英國政府及使用者之技巧、提供對於企業及大眾有關網路安全風險應變之忠告與建議。內閣辦公室也表示,OCS將與移民署(Home Office)及警察局長協會(Association of Chief Police Officers,ACPO)合作,盡快制訂出有關防範網路犯罪之相關策略。 英國政府肯認網路安全對於政府在安全防護上的挑戰。因此內閣辦公室強調,網路安全防護策略之整合是重要的,其將透過企業,國際合作伙伴及民眾的力量,藉由專業知識及能力的提升、以及更為完善的策略,降低安全風險及發掘安全防護機會,發揮英國在網路安全防範之優勢。