美國聯邦貿易委員會(FTC)持續開鍘違約揭露用戶個資的業者
美國聯邦貿易委員會(Federal Trade Commission,FTC)根據《健康違規通知規則》(Health Breach Notification Rule,HBNR),於2023年2月1日和3月2日分別對GoodRx Holdings Inc.公司和BetterHelp, Inc.公司提出擬議命令(Proposed order)。擬議命令指經由行政機關調查案件後提出的改善建議,且經聯邦法院批准後對被調查公司生效。這兩件案例是FTC於2021年後擴大《健康違規通知規則》適用範圍從傳統的健康產業及於網路行業後的首次執法。GoodRx Holdings Inc.公司提供藥物資訊平台與折扣訊息;而BetterHelp, Inc.公司提供遠距醫療服務。兩者在2017到2020年間均向他們的消費者聲明,將妥善保護所蒐集之個資,然而卻轉手將取得個資揭露給Facebook、Snapchat和Google等第三方公司,用來進行目標式廣告的投放。
FTC對GoodRx的擬議命令要求其停止向第三方揭露使用者的個人資料,並處以支付150萬美元的罰鍰。對BetterHelp, Inc.的命令除要求其停止共享使用者的個人資料外,更要求BetterHelp, Inc.向網站的使用者進行退款,退款總額上限高達780萬美元。FTC在擬議命令中建議:涉及敏感性健康資料的事業負責人,除了需要重新檢視目前持有資料的隱私和安全性外,最好能建立一套完整的資料管理流程。流程包括對當事人充分說明蒐集利用目的、取得當事人完整的知情同意、制定完整的個人資料管理及保存銷毀程序、限制員工對資料的存取權限等等。最後也最重要的是要「信守承諾」,這兩個案例中的業者都是違反了自己當初對使用者的承諾,最終才導致被處罰的結果。
- Freshfields Bruckhaus Deringer, FTC Regulatory Enforcement Ramps Up for Digital Health Companies, LEXOLOGY, Apr. 6, 2023
- FTC to Ban BetterHelp from Revealing Consumers’ Data, Including Sensitive Mental Health Information, to Facebook and Others for Targeted Advertising, Federal Trade Commission
- On Breaches by Health Apps and Other Connected Devices, Federal Trade Commission
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 【下午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
黃昱揚
副法律研究員 編譯整理
Freshfields Bruckhaus Deringer, FTC Regulatory Enforcement Ramps Up for Digital Health Companies, LEXOLOGY, Apr. 6, 2023, https://www.lexology.com/library/detail.aspx?g=47c93bcd-1dd7-423d-be37-56b04f877450 (last visited Apr. 12, 2023).
FTC to Ban BetterHelp from Revealing Consumers’ Data, Including Sensitive Mental Health Information, to Facebook and Others for Targeted Advertising, Federal Trade Commission, https://www.ftc.gov/news-events/news/press-releases/2023/03/ftc-ban-betterhelp-revealing-consumers-data-including-sensitive-mental-health-information-facebook (last visited Apr. 12, 2023).
On Breaches by Health Apps and Other Connected Devices, Federal Trade Commission, https://www.ftc.gov/system/files/documents/rules/health-breach-notification-rule/statement_of_the_commission_on_breaches_by_health_apps_and_other_connected_devices.pdf (last visited Apr. 12, 2023).
「國內廠商陷個資外洩風暴 消基會:TPIPAS驗證制度保護個資安全」,中央社,2023.02.08,https://www.cna.com.tw/Postwrite/Chi/334659/(最後瀏覽日:2023/05/24)。
翁芊儒,「亞太個資治理規範CBPR也有臺灣在地認證機構了!資策會建議瞄準跨國市場的企業,可建立個資法遵並自願認證」,iThome,2021.07.12,https://www.ithome.com.tw/news/145331(最後瀏覽日:2023/05/24)。
盧秉羲,〈美國NIST發布更新《網路安全資源指南》提升醫療領域的網路安全及隱私風險管理〉,資訊工業策進會科技法律研究所,2022/9,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8883&no=64(最後瀏覽日:2023/05/24)。
FTC Proposes Amendments to Strengthen and Modernize the Health Breach Notification Rule, Federal Trade Commission, https://www.ftc.gov/news-events/news/press-releases/2023/05/ftc-proposes-amendments-strengthen-modernize-health-breach-notification-rule (last visited Apr. 24, 2023).
FTC says online counseling service BetterHelp pushed people into handing over health information – and broke its privacy promises, Federal Trade Commission Blog, https://www.ftc.gov/business-guidance/blog/2023/03/ftc-says-online-counseling-service-betterhelp-pushed-people-handing-over-health-information-broke (last visited Apr. 24, 2023).
美國醫療保險和醫療補助服務中心(Centers for Medicare and Medicaid Services, CMS)於2024年4月10日發布了2025財年(Fiscal year 2025, Oct. 1, 2024, to Sept. 30, 2025)醫療保險醫院住院預期支付系統(Inpatient Prospective Payment System, IPPS)規則草案(proposed rule)。 考量到細胞療法費用高、可近用性低,2025財年規則草案便包含為醫院提供治療鐮狀細胞疾病(Sickle Cell Disease, SCD)基因療法,其新技術附加支付(New Technology Add-on Payment, NTAP)附加百分比從原本的65%提高到75%的創新支付措施。 NTAP方案是2001年由CMS推出,旨在激勵醫院採用新技術和新療法。NTAP規定新的醫療服務或技術必須滿足以下3個標準,才有資格獲得附加支付: 1.新穎性:醫療服務或技術必須是新的。一旦此治療已經被認為不是新技術,附加支付就會結束。 2.費用過高:醫院在使用新技術時,可能會產生成本超出標準的住院病患支付限額,該技術在現有醫療保險嚴重程度診斷相關群組(Medicare Severity Diagnosis-Related Groups, MS-DRG)系統下不足以支付。 3.實質的臨床改善:與目前可用的治療方法相比,使用該技術其臨床資料必須要顯示確實能改善特定病人群體的臨床結果。 NTAP透過提供經濟激勵,支持醫療機構在初期階段採用新技術,從而促進醫療創新並改善患者治療效果。SCD為一種遺傳性疾病,對美國黑人影響嚴重,且治療選擇有限。因此該創新支付鼓勵措施將使醫院可以獲得更多的資金來執行昂貴的SCD基因療法,進一步促進SCD病人獲得最新的治療,且能減少SCD長期醫療照護的相關成本。 本文同步刊載於stli生醫未來式網站(https://www.biotechlaw.org.tw)
美韓兩國反托拉斯法主管機關共同簽署反托拉斯備忘錄為了促進美國、韓國兩國之間的反托拉斯法主管機關合作。今年9月8日,美國司法部(Department of Justice,DOJ)、美國聯邦貿易委員會(Federal Trade Commission,FTC)與韓國公平貿易委員會(Korea Fair Trade Commission,KFTC)於華盛頓特區簽訂一反托拉斯備忘錄(memorandum of understanding,MOU);該備忘錄係由美國司法部反托拉斯署助理檢察總長Bill Baer與聯邦貿易委員會女主席Edith Ramirez及韓國公平交易委員會Jeong Jae-chan共同簽署。本備忘錄於簽署後立即生效。 反托拉斯署助理檢察總長Bill Baer表示:「具有坦誠和建設性對話之執法合作對於美國、韓國及全世界各地之競爭市場維持皆極其重要。本備忘錄標示了一直以來美國與韓國公平貿易委員會之間的合作關係;並展現出我們在未來日子中,欲持續加強該合作關係的企圖心。」該備忘錄的重點包含: 反托拉斯合作重要性的相互承認,包括在進行共同執法時,互相協調的重要性。 闡明了美國反托拉斯執法機關與韓國公平貿易委員會之間溝通的重要性。 承諾保護另一方所提供訊息之機密性;並承諾在法規不允許的情況下,禁止分享資訊。 自韓國1981年通過其反托拉斯法後,美國反托拉斯主管機關和韓國公平貿易委員會之合作關係越來越緊密;其中包括政策意見的交換,並視情況進行合作開展調查。本次所簽訂之備忘錄旨在進一步推動這些合作關係。
澳洲證券投資委員會發布監理沙盒架構澳洲證券投資委員會(Australian Securities and Investments Commission, ASIC) 於2016年12月15日發布第257號法規指導(Regulatory Guide 257,RG 257)-在未持有AFS或信用執照的狀態下測試fintech產品與服務(Testing fintech products and services without holding an AFS or credit licence)。RG 257並包含澳洲的監理沙盒架構。重要內容如下: 1.有別於其他國家的監理沙盒需要申請方能適用,透過法規以及ASIC澳洲已經提供一些鬆綁機制,換句話說並不需要事先申請就可以取得監管沙盒鬆綁。例如非現金支付產品,包含儲值卡,以及某些國外交易服務。 2.ASIC的fintech 執照豁免見諸於ASIC Corporations (Concept Validation Licensing Exemption) Instrument 2016/1175 以及ASIC Credit (Concept Validation Licensing Exemption) Instrument 2016/1176。 3.ASIC也可個別提供客製化的執照豁免以促進產品或服務測試,個別豁免就比較接近其他國家的監管沙盒架構。 因此基本上,只要符合法定以及上述兩個instruments的規定,就可以自動取得監管沙盒的鬆綁,而無需另外申請,唯需「通知」ASIC,並提供相關資料。監理沙盒的適用期間為十二個月。但是如果不符法定以及Instrument 2016/1175、Instrument 2016/1176的規定,也可以另外向ASIC申請客製化的豁免。 目前可適用Instrument 2016/1175的金融服務包含: •掛牌的澳洲證券; •簡易管理的投資架構; •存款產品; •某些一般的保險商品;以及 •「授權存款取用機構(authorised deposit-taking institutions,ADIs)」發行的支付產品。 唯須注意的是,Instrument 2016/1176允許有限的信用協助,但是不得提供借貸。另外,使用監理沙盒的fintech企業最多只能有100個零售客戶,以有效控制風險。
為促進健康資通訊科技之創新,美國嘗試立法重新定義健康軟體美國參議院認為健康資通訊科技(Healthy Information Technology)的創新與快速發展已經漸使現行法制不合時宜,美國食品藥物管理局(The US Food and Drug Administration)過度嚴格管制健康資通訊科技產品,甚至以法律強加健康資通訊業者不必要的負擔,恐抹殺新產業的創新能量,因此有必要對相關管制法規予以鬆綁。遂立法提案重新定義健康相關軟體,稱為「防止過度規範以促進照護科技法案」(The Prevent Regulatory Overreach To Enhance Care Technology Act of 2014,以下簡稱PROTECT Act)。 健康資通訊科技是目前創新與發展最快的美國產業。單以健康資通訊科技產業中,與健康相關的手機應用程式(application,APP)之開發,在全球經濟已創造數億美金的產值,在美國一地更提供了將近50萬份的工作機會。然而,在現行法制中食品藥物管理局認為健康相關的手機應用程式等軟體被廣泛應用於醫療行為的資訊蒐集,因此應當被視為醫療行為的一環。依據聯邦食品藥物及化妝品法(TheFederal Food, Drug and Cosmetic Act,FD&C Act)之規定,健康資通訊科技產品被界定為醫療器材(Medical Devices),而健康管理APP、行事曆APP、健康紀錄電子軟體等低風險產品亦包含在內,都必須嚴格遵守醫療器材相關行政管制。在PROTECT Act中將風險較低的健康資通訊科技產品重新定義為臨床軟體(Clinic Software)與健康軟體(Healthy Software)兩種態樣,其共通點在於明白區分出單純提供市場使用,不影響人體或動物醫療的健康資訊蒐集與直接提供實際臨床診斷,如放射線影像或醫療器材軟件的差異,PROTECT Act所定義之臨床軟體與健康軟體即屬於前者,故排除適用FD&C Act中醫療器材之定義範圍,得免除相關行政管制。