美國聯邦貿易委員會(FTC)持續開鍘違約揭露用戶個資的業者
美國聯邦貿易委員會(Federal Trade Commission,FTC)根據《健康違規通知規則》(Health Breach Notification Rule,HBNR),於2023年2月1日和3月2日分別對GoodRx Holdings Inc.公司和BetterHelp, Inc.公司提出擬議命令(Proposed order)。擬議命令指經由行政機關調查案件後提出的改善建議,且經聯邦法院批准後對被調查公司生效。這兩件案例是FTC於2021年後擴大《健康違規通知規則》適用範圍從傳統的健康產業及於網路行業後的首次執法。GoodRx Holdings Inc.公司提供藥物資訊平台與折扣訊息;而BetterHelp, Inc.公司提供遠距醫療服務。兩者在2017到2020年間均向他們的消費者聲明,將妥善保護所蒐集之個資,然而卻轉手將取得個資揭露給Facebook、Snapchat和Google等第三方公司,用來進行目標式廣告的投放。
FTC對GoodRx的擬議命令要求其停止向第三方揭露使用者的個人資料,並處以支付150萬美元的罰鍰。對BetterHelp, Inc.的命令除要求其停止共享使用者的個人資料外,更要求BetterHelp, Inc.向網站的使用者進行退款,退款總額上限高達780萬美元。FTC在擬議命令中建議:涉及敏感性健康資料的事業負責人,除了需要重新檢視目前持有資料的隱私和安全性外,最好能建立一套完整的資料管理流程。流程包括對當事人充分說明蒐集利用目的、取得當事人完整的知情同意、制定完整的個人資料管理及保存銷毀程序、限制員工對資料的存取權限等等。最後也最重要的是要「信守承諾」,這兩個案例中的業者都是違反了自己當初對使用者的承諾,最終才導致被處罰的結果。
- Freshfields Bruckhaus Deringer, FTC Regulatory Enforcement Ramps Up for Digital Health Companies, LEXOLOGY, Apr. 6, 2023
- FTC to Ban BetterHelp from Revealing Consumers’ Data, Including Sensitive Mental Health Information, to Facebook and Others for Targeted Advertising, Federal Trade Commission
- On Breaches by Health Apps and Other Connected Devices, Federal Trade Commission
- 零售業個資保護及資訊安全教育講習
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
黃昱揚
副法律研究員 編譯整理
Freshfields Bruckhaus Deringer, FTC Regulatory Enforcement Ramps Up for Digital Health Companies, LEXOLOGY, Apr. 6, 2023, https://www.lexology.com/library/detail.aspx?g=47c93bcd-1dd7-423d-be37-56b04f877450 (last visited Apr. 12, 2023).
FTC to Ban BetterHelp from Revealing Consumers’ Data, Including Sensitive Mental Health Information, to Facebook and Others for Targeted Advertising, Federal Trade Commission, https://www.ftc.gov/news-events/news/press-releases/2023/03/ftc-ban-betterhelp-revealing-consumers-data-including-sensitive-mental-health-information-facebook (last visited Apr. 12, 2023).
On Breaches by Health Apps and Other Connected Devices, Federal Trade Commission, https://www.ftc.gov/system/files/documents/rules/health-breach-notification-rule/statement_of_the_commission_on_breaches_by_health_apps_and_other_connected_devices.pdf (last visited Apr. 12, 2023).
「國內廠商陷個資外洩風暴 消基會:TPIPAS驗證制度保護個資安全」,中央社,2023.02.08,https://www.cna.com.tw/Postwrite/Chi/334659/(最後瀏覽日:2023/05/24)。
翁芊儒,「亞太個資治理規範CBPR也有臺灣在地認證機構了!資策會建議瞄準跨國市場的企業,可建立個資法遵並自願認證」,iThome,2021.07.12,https://www.ithome.com.tw/news/145331(最後瀏覽日:2023/05/24)。
盧秉羲,〈美國NIST發布更新《網路安全資源指南》提升醫療領域的網路安全及隱私風險管理〉,資訊工業策進會科技法律研究所,2022/9,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8883&no=64(最後瀏覽日:2023/05/24)。
FTC Proposes Amendments to Strengthen and Modernize the Health Breach Notification Rule, Federal Trade Commission, https://www.ftc.gov/news-events/news/press-releases/2023/05/ftc-proposes-amendments-strengthen-modernize-health-breach-notification-rule (last visited Apr. 24, 2023).
FTC says online counseling service BetterHelp pushed people into handing over health information – and broke its privacy promises, Federal Trade Commission Blog, https://www.ftc.gov/business-guidance/blog/2023/03/ftc-says-online-counseling-service-betterhelp-pushed-people-handing-over-health-information-broke (last visited Apr. 24, 2023).
東京大學活用有限合夥組織制度扶植新創 資策會科技法律研究所 法律研究員 朱啟文 104年08月28日 為鼓勵創投業挹注資金,扶植科技等新創事業,發展諸如電影、舞台劇等文創產業,經濟部參考英、美、新加坡等國家制度,制定「有限合夥法」,希望吸引國外資金來台投資,健全創新創意環境。立法院於2015年6月5日三讀通過「有限合夥法」草案[1],創投與電影、舞台劇等文創產業,可允許以信用、勞務或其他利益出資,讓「創意」成企業資產一部分,培育更多吳寶春、李安或是科技新創事業。 有限合夥制度採投資者與經營者分離,由普通合夥人與有限合夥人共同組成。普通合夥人提供創意或技術,是實際經營業務者,對有限合夥的債務負無限責任;有限合夥人提供資金,但不實際參與經營,僅就出資額負有限責任。日本關於有限合夥制度已經施行近20年,東京大學亦採用此制度協助新創企業,在初期孵化階段取得種子資金,能夠順利發展逐漸茁壯,其實際如何管理運用有限合夥資金,是未來「有限合夥法」上路後,我國學研機關可以學習參考的方向。 壹、日本「投資事業有限合夥法」 日本於1997年制定了「中小企業投資有限合夥法」(中小企業投資有限責任組合契約に関する法律),並於2004年放寬投資事業之客體,不限於未公開上市之中小企業,同時更名為「投資事業有限合夥法」(投資事業有限責任組合契約に関する法律[2])。而依「投資事業有限合夥法」規定,由普通合夥人及有限合夥人所共同組立之合夥組織即為「投資事業有限合夥」(投資事業有限責任組合)。該法中包括有限合夥人僅以出資為限對合夥債務負清償責任,以及普通合夥人於各事業年度經過後三個月內,必須準備各項財務報表資料供其他合夥人及合夥之債權人查閱等規定,均有效提高了投資事業有限合夥募集資金的效果。 貳、東大尖端創投公司(株式会社東京大学エッジキャピタル) 2004年日本國立大學法人化改革正式開展,除使大學能掌握其產出之研發成果外,更促使大學授權其研發成果來成立衍生新創企業。此改革承續美國拜杜法案的立法精神,將研發成果由政府下放至大學,促使大學積極利用自有之智慧財產權。東京大學在該時空背景下,設置了校內單位產學連攜本部DUCR及東大技轉TODAI TLO、東大尖端創投UTEC二個獨立公司,彼此合作推廣相輔相成,是東大產學合作的黃金三角。東京大學將三個組織辦公室均設在東京大學產學連攜廣場大樓(University Corporate Relation Plaza),集中辦公讓業務上合作更為便利。東京大學另於2007年6月完竣的「企業家廣場孵化室[3]」,則作為提供創業支援、知識產權戰略管理及產學合作計畫協助之場所。 東大尖端創投公司[4](The University of Tokyo Edge Capital Co., Ltd.,以下簡稱「UTEC」)成立於2004年4月1日,係由「一般社團法人東京大學產學合作支援基金」投資所成立之創投公司(資本額1,000萬日元),為獨立於東京大學的私法人機構,其成員目前有5位董事、1位監察人及10名正式員工。2004年起UTEC管理運作的資金計有285億日幣,這些資金主要用來中長期投資與東京大學相關的新創項目,包括人才活用、共同研究、智財運用等,投資目的希望能實現將學術成果及人才還原給社會、提升創新及收益,形成良性的經濟活力循環。 負責營運UTEC 的專業成員[5]包括有創投家、政策制定者及博士等。UTEC優勢在於有東京大學作為其後盾,擁有全日本最頂尖研發技術與人才供其篩選。復以日本願意投資早期階段之創投公司不多,使得UTEC在此領域有傑出績效表現。2007年10月開始UTEC 辦理在校創業家EIR 計畫(Entrepreneur In Residence Program),對東京大學內部產生的商業構想概念實施創業育成輔導工作,提供包括辦公空間(企業家廣場孵化室)、創業資金及聘請專家協助修正營運計畫書(Business Plan)等服務。 UTEC在經營上勇於承擔投資創新技術所可能帶來的風險,也願意在新創公司的早期階段(Seed / Early Stages)投入資金換取公司股份,秉持「日本最先進風險投資公司」的經營理念,希能建立早期支援的風險投資模式,將校園研發成果進行商業化實踐。投資策略上UTEC主動介入投資事業有限合夥所出資的公司,並指派投資經理人與投資公司建立長期承諾,而UTEC 亦會積極參與公司成長後續階段之投資。截至2014年4月止,UTEC已經投資了51家新創企業,其中有9家IPO和7家接受併購(M&A)。 參、「投資事業有限合夥」資金管理模式 UTEC的資金不只來自於東京大學,而是透過另外成立3個[6]「投資事業有限合夥」,接納外部投資家之投資作為基金進行營運。具體架構上,UTEC在「投資事業有限合夥」中扮演普通合夥人[7](業務執行者),而有限合夥中的其他出資者則擔任有限合夥人(投資家)之角色。此架構與國外私募股權基金常見作法雷同[8]。對於東京大學而言,好處在於其可透過UTEC此一有限責任公司擔任普通合夥人方式形成屏障,與其自身現有的資產作風險隔離,避免普通合夥人的無限責任直接影響東京大學本身之財務。 UTEC成立的第一個投資事業有限合夥,是2004年7月1日的「UTEC 1號投資事業有限合夥(ユーテック一号投資事業有限責任組合)」,規模為83億400萬日元存續期間至2014年12月31日止(最多得延展1年);第二個是2009年7月31日成立的「UTEC 2號投資事業有限合夥(UTEC2号投資事業有限責任組合)」,規模為71億4800萬日元,更新投資期間至2014年7月30日,存續期間至2019年6月30日止(最多得延展2年);目前最新成立、金額也最高的是2013年10月15日成立的「UTEC 3號投資事業有限合夥(UTEC3号投資事業有限責任組合)」,規模為145億7400萬日元,更新投資期間至2018年10月14日,存續期間至2023年12月31日止(可得延展)。 肆、評析 在創投資金方面以美國為例,「天使」與「創投」可被視為好的「創業種子」的篩選者,是美國經濟發展的火車頭。經由天使與創投的活動,學研單位的研發成果才有商品化及產業化的契機。依2014年資料,美國每年創投資金大約為新臺幣6千億元,中國大陸於2011年為新臺幣8千億元,但我國目前每年創投資金大約僅有新臺幣20億元[9]。我國的創業天使大多為創業者的親朋好友,專業度往往不足,國際創投對臺灣新創事業的關注也有限,而我國的科研經費在無豐沛的海外資金支援下,我國的新創事業在早期階段經常無法取得成長所需的資金。 對此,今年度我國「有限合夥法」的通過,為新創事業資金不足問題的解決帶來了契機。然而,從前揭東京大學UTEC「投資事業有限合夥」的操作及管理模式觀之,我國若要完整援用此等操作架構,除了「有限合夥法」外,尚有待其他配套法令跟進鬆綁。詳言之,應考慮鬆綁大學出資設立企業的相關限制,開放國立大學可以校務基金捐助成立獨立於學校外部「產學營運中心」,並透過該中心投資成立創投公司擔任普通合夥人角色。如此一來,可在兼顧財務風險下,以更為彈性之獎勵與人才聘僱制度,吸引具有專業經驗投資經理人或相關人才投入校園新創,取得更多國內外資金挹注新創事業之發展。 [1]周志豪,〈有限合夥法三讀 創意將成企業資產〉,聯合新聞網,財經焦點,2015/06/06,http://udn.com/news/story/ (最後瀏覽日:2015/09/10)。 [2]投資事業有限責任組合契約に関する法律(LPS法),http://www.meti.go.jp/policy/economy/keiei_innovation/sangyokinyu/kumiaihou.htm(最後瀏覽日:2015/09/10)。 [3]東京大学アントレプレナープラザ,http://www.ducr.u-tokyo.ac.jp/jp/venture/entre_plaza.html (最後瀏覽日:2015/09/10)。 [4]株式会社東京大学エッジキャピタル,http://www.ut-ec.co.jp/cgi-bin/WebObjects/1201dac04a1.woa/wa/read/1201e8150e4_0/(最後瀏覽日:2015/09/10)。 [5] UTEC チーム & ファーム理念,http://www.ut-ec.co.jp/cgi-bin/WebObjects/1201dac04a1.woa/wa/read/1201e782b5b_0/(最後瀏覽日:2015/09/10)。 [6] UTEC 運営ファンド,http://www.ut-ec.co.jp/cgi-bin/WebObjects/1201dac04a1.woa/wa/read/1201e815110/(最後瀏覽日:2015/09/10)。 [7]「普通合夥人」雖然負責管理執行私募股權基金業務,但實務上幾乎都會另外委任投資經理人來提供投資建議,投資經理人直接對普通合夥人負責。由於普通合夥人對外負無限責任,委任投資經理人能夠把從普通合夥人收取到的報酬隔離於無限責任範圍外,而保留在投資經理人手中。事實上,多數的股權私募基金真正的發起人就是投資經理人,普通合夥人只是投資經理人為了發起私募股權基金另外設立的新實體。 [8]許杏宜,〈有限合夥法最新草案之評析-兼談私募股權基金之運作〉,《全國律師》,第19卷第3期,頁40-51 (2015)。 [9]丁靜雯,〈從實驗室到市場—我國科技創新政策之探討〉,《科技部自行研究計畫成果報告》,頁44 (2014)。
NHTSA要求自動駕駛系統及L2自動駕駛輔助系統回報意外事件美國國家公路交通安全管理局(National Highway Traffic Safety Administration, NHTSA)2021年6月29日 「自駕車與配備等級2駕駛輔助系統車輛之意外事件回報命令(Standing General Order 2021-01:Incident Reporting for Automated Driving Systems and Level 2 Advanced Driver Assistance Systems)」,課予系統製造商與營運商意外事件回報義務,重點如下: (1)適用範圍:全美境內公共道路上發生之車輛碰撞事件,事發前30秒至事件結束期間內曾經啟用等級2駕駛輔助系統或自動駕駛系統。 (2)意外事件定義:事件中任何一方有人員死亡或送醫治療、車輛必須拖吊、安全氣囊引爆或事件涉及弱勢用路人(vulnerable road user)。 (3)回報期限:須於知悉事件後隔日立即回報,知悉後10日傳送更新資料,如後續仍有發現新事證,應於每月15號傳送更新。自駕車發生碰撞,即使無人傷亡、無車輛拖吊或安全氣囊引爆,仍需於次月15號傳送事件回報。 (4)回報方式及項目:需至NHTSA指定網站註冊帳號,線上填寫制式通報表格。項目包含車籍資料、事件時間、地點、天候、路況、傷亡及財損情形等等。 NHTSA收到的回報資料,原則上會在將個人資料去識別化後對大眾公開,惟若系統製造上或營運商主張部分資訊為商業機密,可另行向NHTSA之諮詢辦公室通報審核。如逾期未報或隱匿資訊,可處每日最高22,992美元罰金,累計最高罰金為114,954,525美元。
澳洲政府通過身分核驗服務法及其相應修正案澳洲政府於2023年12月通過身分核驗法(Identity Verification Services Act 2023,以下稱IVS法)及其相應修正案(Identity Verification Services (Consequential Amendments) Act 2023,以下稱修正案)。聯邦政府考量IVS法案將影響既有法規,同時提交修正案,兩法案旨在建構身分核驗服務架構,促進驗證流程之監管與透明化。澳洲政府規劃之數位身分系統正逐步法制化,IVS法與同年11月通過之法定聲明修正案(Statutory Declarations Amendment Act 2023)將為該系統奠定基礎。修正案涉及2005年澳洲護照法,以下僅簡要介紹IVS法之驗證服務內涵。 該法規定三項聯邦政府部門可提供之身分驗證服務:文件核驗服務(Document Verification Service, DVS)、臉部核驗服務(Face Verification Service, FVS)與臉部識別服務(Face Identification Service, FIS),並授權相關部門發展對應之認證設施,以電子通訊方式確認身分核驗請求。請求身分驗證服務需獲個人明確同意並告知相關權利後方可進行,其驗證型態分為:核驗(Verification)與識別(Identification),前者涉及確認個人為所宣稱之身分的過程,以一對一比對回傳個人所稱是否為真;後者則為識別個人身分之過程,透由多人或多份文件逐一比對後回傳個人身分。文件核驗使用頻率及範圍最廣泛,公、私部門皆可申請使用;臉部核驗目前僅聯邦政府有使用權限,地方與州政府及私部門未來將可透過書面協議參與。臉部識別因其驗證方式涉及個資使用與隱私議題,請求者限於證人保護機構、執法或情報人員。 IVS法案及其相應修正案於2023年9月提送國會討論,同年12月經參、眾兩院通過。法案審議期間曾有倉促立法的爭議,有論者認為當局急於為公、私部門行之有年的身分核驗行為提供法規依據,並安排極短的法案辦論時間以限縮討論。
醫療記錄能否受到著作權保護澳洲法院近來持續在著作權相關案件中強調個人精神智慧投入的重要性,在Primary Health Care Limited v Commissioner of Taxation一案中([2010] FCA 419)再度強調了這樣的趨勢。在本案中,原告Primary Health Care為一信託受益人,透過信託取得醫療與牙醫業務,原告主張相關的醫療記錄文件如:處方籤、健康記錄、轉診信(referral letters)以及諮詢意見都有著作權,而於計算稅基時,應從信託的淨收益中加以扣除。 本案法官則指出,醫療記錄必須要達到語文著作的創作性實質要求,才能主張著作權的存在。針對本案的相關醫療記錄法官分別分析如下: 一、 諮詢記錄 所有的諮詢紀錄中,法官認定只有一份諮詢記錄受到著作權的保護,該份記錄從頭到尾只有一個作者,並以連續記述的方式呈現出個人精神智慧的投入;而本案中其他的諮詢記錄則有多個作者,僅僅標記姓名、醫療狀態、藥物治療以及生理、病理資料,難以呈現出個人精神智慧的表現,僅為病人的診斷與治療資訊,因此法官認定這些記錄無法受到著作權的保護。 二、 處方籤與健康記錄 作為本案證據的處方籤,只有姓名、藥物治療、劑量以及制式醫囑等資訊,而健康記錄則只有一連串的病史與醫療程序。因此,法官認定本案中所有的處方籤與健康記錄都不足以作為著作權的保護的客體。 三、 轉診信 法官認定在本案中的轉診信都有一些個人精神智慧的投入,儘管轉診信都是依循固定的格式,但基於轉診信的目的考量,固定的格式與內容都是合理的,因此本案中的轉診信都可以受到著作權的保護。 在Primary Health Care一案中,法官認定相關的醫療記錄文件並不必然一律受到著作權的保護,必須個別的加以認定。在醫療記錄中,只有當所有作者是能夠被辨識、特別是在只有單一作者的醫療紀錄中,能達到著作權法中語文著作對於個人精神智慧投入的要求時,才會受到著作權的保護。