美國聯邦貿易委員會(FTC)持續開鍘違約揭露用戶個資的業者
美國聯邦貿易委員會(Federal Trade Commission,FTC)根據《健康違規通知規則》(Health Breach Notification Rule,HBNR),於2023年2月1日和3月2日分別對GoodRx Holdings Inc.公司和BetterHelp, Inc.公司提出擬議命令(Proposed order)。擬議命令指經由行政機關調查案件後提出的改善建議,且經聯邦法院批准後對被調查公司生效。這兩件案例是FTC於2021年後擴大《健康違規通知規則》適用範圍從傳統的健康產業及於網路行業後的首次執法。GoodRx Holdings Inc.公司提供藥物資訊平台與折扣訊息;而BetterHelp, Inc.公司提供遠距醫療服務。兩者在2017到2020年間均向他們的消費者聲明,將妥善保護所蒐集之個資,然而卻轉手將取得個資揭露給Facebook、Snapchat和Google等第三方公司,用來進行目標式廣告的投放。
FTC對GoodRx的擬議命令要求其停止向第三方揭露使用者的個人資料,並處以支付150萬美元的罰鍰。對BetterHelp, Inc.的命令除要求其停止共享使用者的個人資料外,更要求BetterHelp, Inc.向網站的使用者進行退款,退款總額上限高達780萬美元。FTC在擬議命令中建議:涉及敏感性健康資料的事業負責人,除了需要重新檢視目前持有資料的隱私和安全性外,最好能建立一套完整的資料管理流程。流程包括對當事人充分說明蒐集利用目的、取得當事人完整的知情同意、制定完整的個人資料管理及保存銷毀程序、限制員工對資料的存取權限等等。最後也最重要的是要「信守承諾」,這兩個案例中的業者都是違反了自己當初對使用者的承諾,最終才導致被處罰的結果。
- Freshfields Bruckhaus Deringer, FTC Regulatory Enforcement Ramps Up for Digital Health Companies, LEXOLOGY, Apr. 6, 2023
- FTC to Ban BetterHelp from Revealing Consumers’ Data, Including Sensitive Mental Health Information, to Facebook and Others for Targeted Advertising, Federal Trade Commission
- On Breaches by Health Apps and Other Connected Devices, Federal Trade Commission
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
黃昱揚
副法律研究員 編譯整理
Freshfields Bruckhaus Deringer, FTC Regulatory Enforcement Ramps Up for Digital Health Companies, LEXOLOGY, Apr. 6, 2023, https://www.lexology.com/library/detail.aspx?g=47c93bcd-1dd7-423d-be37-56b04f877450 (last visited Apr. 12, 2023).
FTC to Ban BetterHelp from Revealing Consumers’ Data, Including Sensitive Mental Health Information, to Facebook and Others for Targeted Advertising, Federal Trade Commission, https://www.ftc.gov/news-events/news/press-releases/2023/03/ftc-ban-betterhelp-revealing-consumers-data-including-sensitive-mental-health-information-facebook (last visited Apr. 12, 2023).
On Breaches by Health Apps and Other Connected Devices, Federal Trade Commission, https://www.ftc.gov/system/files/documents/rules/health-breach-notification-rule/statement_of_the_commission_on_breaches_by_health_apps_and_other_connected_devices.pdf (last visited Apr. 12, 2023).
「國內廠商陷個資外洩風暴 消基會:TPIPAS驗證制度保護個資安全」,中央社,2023.02.08,https://www.cna.com.tw/Postwrite/Chi/334659/(最後瀏覽日:2023/05/24)。
翁芊儒,「亞太個資治理規範CBPR也有臺灣在地認證機構了!資策會建議瞄準跨國市場的企業,可建立個資法遵並自願認證」,iThome,2021.07.12,https://www.ithome.com.tw/news/145331(最後瀏覽日:2023/05/24)。
盧秉羲,〈美國NIST發布更新《網路安全資源指南》提升醫療領域的網路安全及隱私風險管理〉,資訊工業策進會科技法律研究所,2022/9,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8883&no=64(最後瀏覽日:2023/05/24)。
FTC Proposes Amendments to Strengthen and Modernize the Health Breach Notification Rule, Federal Trade Commission, https://www.ftc.gov/news-events/news/press-releases/2023/05/ftc-proposes-amendments-strengthen-modernize-health-breach-notification-rule (last visited Apr. 24, 2023).
FTC says online counseling service BetterHelp pushed people into handing over health information – and broke its privacy promises, Federal Trade Commission Blog, https://www.ftc.gov/business-guidance/blog/2023/03/ftc-says-online-counseling-service-betterhelp-pushed-people-handing-over-health-information-broke (last visited Apr. 24, 2023).
英國科學辦公室於2016年11月9日,發布一份政策報告:「人工智慧:機會與未來決策影響(Artificial intelligence: opportunities and implications for the future of decision making)」,介紹人工智慧對於社會及政府的機會和影響,此份政策報告並提出以下各項重要建議: (一)關於人工智慧及應用界定與發展 人工智慧是指由人工製造系統所表現出來的智慧。不僅是將現有的流程自動化,還包含制定目標,並利用電腦程式實現這些目標,常見案例包括線上翻譯、語音辨識、搜尋引擎篩選排序、垃圾郵件過濾、透過用戶回饋改善線上服務、預測交通流量、環境或社會經濟趨勢發展觀察等。 (二)未來對社會及政府利益及衝擊 人工智慧針對提高生產力有巨大的潛力,最明顯的就是幫助企業或個人更有效地運用資源,並簡化大量資料的處理,例如Ocado 及 Amazon這樣的公司正充份利用人工智慧改善倉儲及銷售網路系統,使得客戶可便利快速購得網購商品。 目前,政府也日益增加相關技術的運用,以提高公共服務效率,使資源達到最佳化分配;減少決策者被誤導的可能;使政府決策透明化;確保各部門更了解人民的意見。然政府在利用人工智慧及巨量資料時,應遵守倫理使用指南,並遵守英國資料保護法及歐盟一般資料保護規則等相關法規。 在巨量資料、機器人、自動系統對於勞動市場的衝擊一直都是關注的議題,對於面臨未來工作結構的轉型及相關技術人員的進修及培養,應及早規劃,以適應未來的轉變。 (三)關於相關道德及法律風險管理課題 人工智慧可能潛在相關道德倫理問題。許多專家認為政府應積極管理並降低風險發生可能性,可從以下兩個面向思考: (1)研究機器學習與個人資料運用結合時,對個人自由、隱私和同意等概念的影響。 (2)調適由人工智慧作決策行為時的歸責概念和機制。 有關實際案例之研究,則包括,執法單位在應用預測技術時,應避免以種族、國籍、地址作為標準,並嚴守無罪推定原則,以防止民眾受到歧視或不公平的指控;透過人工智慧可從公開資料推測出某些私人訊息或其親朋好友的消息,此訊息即可能超出原先個人同意披露的內容;原先匿名化及去識別化的訊息,因人工智慧功能加強,導至可能被重新識別,故須定期檢視該保護措施是否足夠。另外,人工智慧的演算偏差可能導致偏見的風險,為了降低這種風險,技術人員應採取對應措施。 針對責任及疏失的判斷,目前尚無太多的實務案例,但為保持對使用人工智慧的信任,仍需有明確的歸責制,可能有必要讓首席執行長或高級主管對人工智慧做出的決策負最終責任。許多專家也建議,部分技術內容須保持透明度,以確定技術使用時是否有盡到相關注意義務。 人工智慧已成為未來發展趨勢之一,對於社會整體層面影響將越來越深,新的技術除了可提升生產力,帶來便利的生活,同樣也會帶來衝擊。為促進相關產業發展及推展新技術的使用,應打造技術發展友善環境,並對於公眾安全進行相關風險評估,如果風險屬於現有監管制度範圍,應評估是否可充分解決風險,或是須要做相對應的調適。另外,在人工智慧融入現實世界同時,相關業者應注意相關產品安全性、隱私權保護和從業人員的倫理教育,以提高大眾對新技術的接受及信賴,並確保對於未來挑戰及轉變已做好萬全準備。
歐盟提出設立歐洲技術研究院(European Institute of Technology, EIT)之規劃草案歐盟在最新一期的研發剛要計畫( The Seventh Framework Proposal )中,除了持續以計畫補助方式推動歐盟的研發能力外,最值得注意者乃有關設立「歐洲技術研究院」( European Institute of Technology, EIT )的規劃。最近歐盟執委會已經提出 EIT 設立的法源基礎草案,根據目前規劃, EIT 旨在吸引產學研各界菁英加入,肩負打破產學研界間之藩籬之使命,未來 EIT 除為產學研合作之參考模式外,並將扮演歐洲地區創新、研究與高等教育之菁英領航者( a flagship for excellence ),期使歐盟得更有效率地面對全球化及知識經濟社會所帶來之挑戰。 就組織面而言, EIT 係整合由上而下及由下而上兩種組織結構: EIT 本身具有獨立之法人格,其內部除設置管理局( Governing Board , GB )監督組織運作外,並有約六十位常設之科學及職員人力;另 EIT 將由數個知識及創新社群( Knowledge and Innovation Communities, KICs )組成,各 KICs 代表不同區域之大學、研究組織與企業,各 KISs 與 EIT 以契約規範彼此間的權利義務關係;至於各個 KICs 的組織結構,以及其如何達到契約目的,則交由其自治。目前歐盟執委會規劃在 2013 年以前建構約六個 KICs ,預計在此以前, EIT 需要來自公私部門總計約 24 億歐元( €2.4bn )的經費資助。 由於 EIT 的設立尚須經過歐洲議會及歐盟理事會同意,若執委會目前所提出的設立規劃草案順利取得前述兩機構同意,預計 EIT 將可能從 2008 年起正式運作,並在 2010 年以前完成兩個 KICs 的設立。
FDA發布「制定醫療器械在上市前核准(PMA)、低風險創新器材(De Novo)分類和人道用途器材免除(HDE)的利益-風險決策之不確定性考量指引草案美國食品和藥物管理局(FDA)於2018年9月6日發布關於「制定醫療器械在上市前核准(PMA)、低風險創新器材(De Novo)分類和人道用途器材免除(HDE)的利益-風險決策之不確定性考量指引草案。」 為滿足FDA促進公共健康的使命,醫療器械上市前核准(PMA)通常涉及較高的不確定性,因此本指引是適當的解決利益風險的判定以支持FDA的決策。包含考量患病群願意接受醫療器械帶來的益處及風險之更多不確定性,特別是沒有可接受的替代治療方案時。 根據指引草案,FDA依據具體情況,判定其利益-風險的適當程度之不確定性,包括: (1) 醫療器械可能帶來好處程度。 (2) 醫療器械存在的風險程度。 (3) 關於替代治療或診斷的利益-風險之不確定程度。 (4) 如果可能,需瞭解患者對醫療器械可能帶來的益處和風險之不確定性觀點。 (5) 公共衛生需求的程度。 (6) 依據臨床證據可支持上市前之可行性。 (7) 能夠減少或解決醫療器械的上市後利益-風險留下之不確定性。 (8) 上市後緩解措施的有效性。 (9) 建立決策類型。(如上市前核准(PMA)和人道用途器材免除(HDE)的核准標準不同。) (10) 對於早期患者訪問醫療器械的可能帶來的益處。 本指引草案中,FDA基於考量有關醫療器械臨床/非臨床訊息之利益風險,需與FDA的規範、監管機關和要求要有一致性。
德國「促進智慧財產權保障落實法Gesetz zur Verbesserung der Durchsetzung von Rechten des geistigen Eigentums,Durchsetzungsgesetz」將於今年8月1日開始生效施行歐盟「Enforcement-Ricgtlinie 2004/48/EG指令」於德國國內法,而採取所謂「條款立法Artikelgesetz」之綜合立法方式*,包括「專利法」、「商標法」、「實用新型專利法」、「半導體保護法」、「外觀設計專利法」、「品種保護法」、「非訟事件費用法」以及「著作權法」等相關條文之修正。 其中涉及「著作權法」相關重要修正條文包括「他人資訊提供請求權」,主要是賦予著作權人在主張權利侵害時,得向ISP業者要求提供可以辨明侵權者之身分資料(§101 UrhG),惟須符合特定條件,例如,侵權者須有營業行為(in geweblichem Ausmaß)。然而,就何謂「營業行為」在立法過程中爭議迭起,最後達成協議,決定認定「營業行為」之判斷標準包括:上傳、下載或公開傳輸檔案的數量、電影影片是否為全片供下載、錄音專輯是否整張專輯均提供下載等。簡言之,判斷標準將交由司法單位自被下載檔案的「量」與「質」加以衡量。 不同於歐盟Enforcement-Ricgtlinie指令,新修正之著作權法規定在侵害利益輕微案件中,權利人得向侵權人主張存證信函相關費用之上限為100歐元(§97a UrhG),此規定目的在預防權利人相關費用的主張權利遭致濫用。惟於立法過程中遭權利人及律師代表極力反對,認為如權利人堅持捍衛其權利,則超過100歐元之費用部分需由權利人自行吸收,顯不公平。 在著作權保障意識高漲的現代,有關著作權侵害判斷標準以及賠償方式爭議不斷,德國著作權法亦在相關壓力下持續修正著作權法相關條文,擴大對著作權人之保護。這一波修正條文於8月1日正式施行後成效如何,值得後續觀察。 * 主要是將原本散落在不同法律規範中之條文,以組成「條款」的方式將修正的條文。立法過程完成後,該法的 「架構」是由各個「條款」所組成,而每個條款是代表一個(遭到修正之)法律條文。