美國州隱私法要求企業揭露資訊 企業應如何平衡隱私法與營業秘密的衝突

經濟合作發展組織（Organisation for Economic Co-operation and Development，下稱OECD）於2023年11月公布「促進AI風險管理互通性的通用指引」（Common Guideposts To Promote Interoperability In AI Risk Management）研究報告（下稱「報告」），為2023年2月「高階AI風險管理互通框架」（High-Level AI Risk Management Interoperability Framework，下稱「互通框架」）之延伸研究。 報告中主要說明「互通框架」的四個主要步驟，並與國際主要AI風險管理框架和標準的風險管理流程進行比較分析。首先，「互通框架」的四個步驟分別為： 1. 「定義」AI風險管理範圍、環境脈絡與標準； 2. 「評估」風險的可能性與危害程度； 3. 「處理」風險，以停止、減輕或預防傷害； 4.「治理」風險管理流程，包括透過持續的監督、審查、記錄、溝通與諮詢、各參與者的角色和責任分配、建立問責制等作法，打造組織內部的風險管理文化。 其次，本報告指出，目前國際主要AI風險管理框架大致上與OECD「互通框架」的四個主要步驟一致，然因涵蓋範圍有別，框架間難免存在差異，最大差異在於「治理」功能融入框架結構的設計、其細項功能、以及術語等方面，惟此些差異並不影響各框架與OECD「互通框架」的一致性。 未來OECD也將基於上述研究，建立AI風險管理的線上互動工具，用以協助各界比較各種AI風險管理框架，並瀏覽多種風險管理的落實方法、工具和實踐方式。OECD的努力或許能促進全球AI治理的一致性，進而減輕企業的合規負擔，其後續發展值得持續追蹤觀察。

　　奈米科技發展愈加成熟，藥物和生物製劑包括主成分、賦形劑等都可能使用奈米物質，奈米藥品可包括口服藥、注射劑及局部外用藥，且適應症亦愈來愈多樣化。隨著奈米藥物申請送審的件數增加，美國食品及藥物管理局（U.S. Food and Drug Administration, USFDA）對於此類藥物的審查，除了依既有的藥品審查原則，亦必須針對奈米物質粒徑小的特性，評估粒徑之改變，是否會影響藥品製劑安全性、療效及品質。 　　美國食品及藥物管理局於2022年4月22日發布含有奈米粒子藥物之最終版產業指引，該指引的範圍涵蓋生物製劑以及基因治療，其要點包含：相關藥物開發原則、品質、研究具體考量因素，以及學名藥的簡易新藥查驗登記申請方式（Abbreviated New Drug Application, ANDA）。 　　USFDA 曾於2017年12月18日發布該指引的草案，在綜整各方意見後，本次最終版指引新增兩點修正，首先是於第27頁以下新增指引裡常用的26個名詞解釋，以協助讀者理解該份指引的重要術語；其次是學名藥廠於查驗登記時不能只證明製劑相等性，更要提供藥物動力學、藥理學、毒物學等證據以證明足夠的生物相等性，才可取得上市許可。 　　台灣目前仍在藥事法與特定醫療技術檢查檢驗醫療儀器施行或使用管理辦法，甚至過渡至再生製劑管理條例之法令結構調整過程中，並深受國內醫療環境與產業現況的影響；面對新興藥物研發方法在後疫情時代的快速發展，對產業可能帶來的衝擊與影響，如何並重藥物監理的審驗標準與前瞻性的促進更多有助新興藥物的發展，助益於我國老齡化社會結構的轉變，可更前瞻的參考USFDA最終版指南與標準，以加速台灣細胞治療或奈米藥物發展。

　　美國白宮在2015年2月27日發布了「消費者隱私權法」（Consumer Privacy Bill of Rights Act）草案，目的在於擴大消費者資料的保護範圍。 該草案的重點分列如下： 透明性：受規範主體必須提供資訊主體簡潔、明顯、易懂的公告，公告內容必須提供簡潔、明瞭及即時的隱私與安全運作，包含資訊保存、揭露以及個人資料存取機制。 個人控制：受規範主體應該在合理範圍內提供機制，讓資料主體能控制其個人資料之處理，同時也規範應讓消費者撤銷個人資料使用的同意。 注重資料蒐集與合理使用：受規範的公司機構必須依據其清楚、合理的說明規則來進行個人資料的蒐集、保存與利用。同時，在資料蒐集之特定目的完成後的合理時間內，必須針對所蒐集的個人資料進行刪除或是去識別化。 安全性的維護：為了維護個人資料之安全性，以防止其遺失、陷入危險、改變以及未經授權之使用或是揭露，公司機構必須進行安全風險評估，並且採取合理的資訊安全防護措施。 存取與正確性：受規範的公司機構必須提供資訊主體合理的存取權利，同時也應該採取合理的步驟，來維護資料的正確性。 擔負隱私維護的責任：受規範的公司機構必須針對員工實施資安教育訓練、進行隱私評估、隱私設計、遵守隱私保護義務以及採取適當的措施來遵循本草案之規定。 不受本草案規範之公司機構： 25名員工以下的小型公司，且其處理者僅限於員工與求職者之個人資料。 未刻意蒐集、處理、使用、保存或揭露個人病史、原生國籍、性傾向、性別、宗教信仰、資產狀況、精確的位置資訊、獨一無二的生物識別資料或是社會安全號碼，並符合以下要件之一者： 在12個月內蒐集個人資料筆數在10,000筆下； 5名員工以下。 　　除了要求產業發展處理消費者資料的標準或規則，該草案也要求「聯邦貿易委員會」（Federal Trade Commission, FTC）確認產業所制定的標準或規則必須符合「消費者隱私權法」的規定，包括提供消費者有關其資料如何被收集、使用與分享的明確通知。如果進行消費者資料收集的公司機構違反了「消費者隱私權法」，將會面臨FTC或是州檢察長所發起的法律行動。 　　該草案引起了產業界極大的反彈，隱私團體也批評該草案太過寬鬆，留給產業界太多自由空間，同時目前國會由共和黨所主導，因此後續立法工作的進行將會面臨極大的挑戰。

　　日本經濟產業省於2017年起提倡「Connected Industries」，其中一項重點任務為「平台、基礎設施安全」。為達成上述任務，經產省召開「平台資料活用促進會議」（プラントデータ活用促進会議），於2018年4月26日制定公布「資料契約指引產業保安版」（データの利用に関する契約ガイドライン産業保安版）及「物聯網安全對應手冊產業保安版」（IoTセキュリティ対応マニュアル産業保安版），以因應資料經濟時代資訊外洩及網路攻擊等風險。 　　日本經產省為促進業界資料流通與利用，已陸續於2015年、2017年和2018年制定「推動現有資料交易為目的之契約指引」（既存のデータに関する取引の推進を目的とした契約ガイドライン）、「資料利用權限契約指引」（データ利用権限に関するガイドラインVer.1.0）。本次「資料契約指引產業保安版」則進一步整理資料權利歸屬判斷方式，提供模範條款及說明各條款內容，並羅列作為資料提供者可能具備之優點。此外，隨著物聯網等資訊科技發展，資安風險逐漸受到重視，為提升物聯網產品安全防護，經產省亦以平台管理者為對象，制定「物聯網安全對應手冊產業保安版」，提供適當安全對策及案例。