美國民權辦公室發布遠距醫療隱私和資訊安全保護相關建議

　　歐盟執委會（European Commission）於2022年7月29日提出《近用電錶及用電資料之相互操作性要求及非歧視性與透明性程序實施規則草案》（Commission Implementing Regulation (EU) on interoperability requirements and non-discriminatory and transparent procedures for access to metering and consumption data），於2022年9月5日草案第二階段之公眾意見徵集結束。本草案以進一步落實《內部電力市場指令》（Directive (EU) 2019/944）中賦予用戶近用有關用電及包括行政手續費用、使用輸配電過路費等資料，促進智慧電錶系統（smart metering system）於資料模型階段及應用層面之相互操作性（interoperability），提高市場參與者資料近用與交換之標準，以及未來創新能源服務標準等目標。 為落實上述指令之要求，本草案旨在規定系統相互操作性以及資料近用的非歧視性與透明性要求，其重點如下： （1）本草案適用對象為經認證之歷史計量及用電資料、未經認證的近即時計量（non-validated near-real time metering）、用電資料形式的計量以及用電資料。 （2）確保供應商於用戶同意下能夠以透明且連續性的方式近用用戶資料（包括判讀及使用）。用戶亦得近用其於智慧電錶系統的資料。 （3）根據會員國的實踐，定義歐盟層級在商業模式層面、功能層面及資訊層面等一般性規則與程序規定的「參考模型」（reference model）。參考模型為特定服務及程序所需的基本工作程序，包括： A. 由各種角色、職責及其相互作用組成的「角色模型」，包括計量資料管理員（metered data administrator）、計量站管理員（metering point administrator）、資料近用提供者及權限管理員的角色和職責； B. 由資訊對象、屬性以及該對象間關係組成的「資訊模型」； C. 詳細說明程序步驟的「程序模型」。 （4）為有效確保資料近用程序的透明度，有必要收集會員國提供的國家實踐報告，並報告至歐盟層級，同時協助會員國報告其國家實踐。 （5）適用本草案之個人資料需遵守《歐盟一般資料保護規則》（GDPR）；由於智慧電錶符合終端設備的要求，也適用《電子通訊個人資料處理暨隱私權保護指令》（Directive 2002/58/EC）。

　　德國聯邦及各邦獨立資料保護監督機關（unabhängige Datenschutzaufsichtsbehörden）共同於2019年4月3日，召開第97屆資料保護會議通過哈姆巴爾宣言（Hambacher Erklärung，以下簡稱「Hambacher宣言」）。該宣言指出人工智慧雖然為人類帶來福祉，但同時對法律秩序內自由及民主體制造成巨大的威脅，特別是人工智慧系統可以透過自主學習不斷蒐集、處理與利用大量個人資料，並且透過自動化的演算系統，干預個人的權利與自由。 　　諸如人工智慧系統被運用於判讀應徵者履歷，其篩選結果給予女性較不利的評價時，則暴露出人工智慧處理大量資料時所產生的性別歧視，且該歧視結果無法藉由修正資料予以去除，否則將無法呈現原始資料之真實性。由於保護人民基本權利屬於國家之重要任務，國家有義務使人工智慧的發展與應用，符合民主法治國之制度框架。Hambacher宣言認為透過人工智慧系統運用個人資料時，應符合歐盟一般資料保護規則（The General Data Protection Regulation，以下簡稱GDPR）第5條個人資料蒐集、處理與利用之原則，並基於該原則針對人工智慧提出以下七點個資保護之要求： （1）人工智慧不應使個人成為客體：依據德國基本法第1條第1項人性尊嚴之保障，資料主體得不受自動化利用後所做成，具有法律效果或類似重大不利影響之決策拘束。 （2）人工智慧應符合目的限制原則：透過人工智慧系統蒐集、處理與利用個人資料時，即使後續擴張利用亦應與原始目的具有一致性。 （3）人工智慧運用處理須透明、易於理解及具有可解釋性：人工智慧在蒐集、處理與利用個人資料時，其過程應保持透明且決策結果易於理解及可解釋，以利於追溯及識別決策流程與結果。 （4）人工智慧應避免產生歧視結果：人工智慧應避免蒐集資料不足或錯誤資料等原因，而產生具有歧視性之決策結果，控管者或處理者使用人工智慧前，應評估對人的權利或自由之風險並控管之。 （5）應遵循資料最少蒐集原則：人工智慧系統通常會蒐集大量資料，蒐集或處理個人資料應於必要範圍內為之，且不得逾越特定目的之必要範圍，並應檢查個人資料是否完全匿名化。 （6）人工智慧須設置問責機關進行監督：依據GDPR第12條、第32條及第35條規定，人工智慧系統內的控管者或處理者應識別風險、溝通責任及採取必要防範措施，以確保蒐集、處理與利用個人資料之安全性。 （7）人工智慧應採取適當技術與組織上的措施管理之：為了符合GDPR第24條及第25條規定，聯邦資料保護監督機關應確認，控管者或處理者採用適當的現有技術及組織措施予以保障個人資料。 　　綜上所述，Hambacher宣言內容旨在要求，人工智慧在蒐集、處理及利用個人資料時，除遵守歐盟一般資料保護規則之規範外，亦應遵守上述提出之七點原則，以避免其運用結果干預資料主體之基本權利。

　　美國食品及藥物管理局（Food and Drug Administration, FDA）於2020年2月14日，發布於海內外應對2019年新型冠狀病毒之行動聲明，其包括： 主動監控供應鏈：由於疫情可能影響醫療產品供應鏈，FDA已與數百家藥品與醫療器材製造商保持聯繫，並與歐洲藥品管理局等全球監管機構保持同步，以評估監控潛在之製造中斷的警訊，且與生物製劑製造商聯繫，以評估有關原料之供應問題。若FDA確定醫療產品可能會短缺，則可能會採取與製造商緊密合作、加快對替代供應之審查等措施來防止短缺。 針對海外生產之FDA產品合規性之查驗與監控：FDA採取基於風險之模型來確認要進行查驗之公司，基於某些特定條件，會被認為具有較高風險之場所會被優先查驗，這些條件包括固有之產品風險、患者接觸產品之程度、過去查驗之歷史紀錄等等。除了查驗之外，其他防止不符FDA標準之產品進入美國市場之工具包括進口警示、增加進口採樣與篩查、替代查驗之紀錄要求（requesting records）。FDA可對市場上不合法之產品或違法之公司或個人採取監管與強制措施，例如警告信、扣押或禁制令。 消費品安全：美國海關暨邊境保護局將輸入美國、受FDA監管之產品交由FDA審查，其必須遵守與美國國內產品相同之標準，在FDA決定其可接受性之前不得將其分銷至美國。FDA並成立跨機關之專案小組，密切監控聲稱可預防、治療或治癒新型冠狀病毒疾病之詐欺性產品和虛假產品，並採取可能之執法行動。 對於診斷、治療與預防疾病之努力：FDA致力於促進安全有效之醫療對策的發展，提供法規建議、指導和技術援助，以促進針對用於此病毒之疫苗、治療和診斷測試之開發和可用性。FDA已核發緊急使用授權（Emergency Use Authorization, EUA），以便立即使用由美國疾病管制與預防中心所開發之診斷試劑，並已制定用於檢測病毒之EUA審查範本，其中概述申請EUA前所需之資料要求，目前已提供給表示有興趣開發該病毒之診斷工具之多位開發者。 後續行動：FDA將密切監視疫情並與跨部門合作夥伴、國際合作夥伴、醫療產品開發商與製造商合作，以幫助推進針對病毒之應對措施。

　　2021年7月中旬，日本經濟產業省（下稱經產省）發布《促進資料價值創造的新資料管理方法與框架（暫定）（データによる価値創造（Value Creation）を促進するための新たなデータマネジメントの在り方とそれを実現するためのフレームワーク（仮））》之綱要草案（下稱資料管理框架草案），並公開對外徵求意見。 　　近年日本在「Society5.0」及「Connected Industries」未來願景下，人、機器與科技的跨界連接，將創造出全新附加價值的產業社會，然而達成此願景的前提在於資料本身須為正確，正確資料的自由交換，方能用於創造新資料以提供附加價值，因此正確的資料可說是確保網路空間連結具有可信性的錨點。為此，經產省提出資料管理框架草案，透過資料管理、識別資料在其生命週期中可能發生的風險，以確保資料在各實體間流動的安全性，從而確保其可信性。 　　該框架將資料管理定義為「基於資料的生命週期，管理各場域中資料屬性因各種事件而變化的過程」，由「事件（資料的產生／取得、加工／利用、轉移／提供、儲存和處置）」、「場域（例如：各國家／地區法規、組織內規、組織間的契約）」和「屬性」（例如：類別、揭露範圍、使用目的、資料控制者和資料權利人）三要素組成的模組。經產省期望未來能透過三要素明確資料的實際情況，讓利害關係人全體在對實際情況有共同理解的基礎上，能個別確保適當的資料管理，達成確保資料正確之目的。 「本文同步刊登於TIPS網站（https://www.tips.org.tw ）」