美國FDA醫療器材與放射健康中心發布2024財政年度醫療器材指引

南韓個資保護委員會（Personal Information Protection Commission, PIPC）於2024年7月18日發布《人工智慧（AI）開發與服務處理公開個人資料指引》（인공지능(AI) 개발·서비스를 위한 공개된 개인정보 처리 안내서）（以下簡稱指引）。該指引針對AI開發與服務處理的公開個人資料（下稱個資）制定了新的處理標準，以確保這些資料在法律上合規，且在使用過程中有效保護用戶隱私。 在AI開發及服務的過程中，會使用大量從網路上收集的公開資料，這些公開資料可能包含地址、唯一識別資訊（unique identifiable information, UII）、信用卡號等個資。這些公開的個資是指任意人可藉由網路抓取技術自公開來源合法存取的個資，內容不限於個資主體自行公開的資料，還包括法律規定公開的個資、出版物和廣播媒體中包含的個資等。由於公開資料眾多，在現實中很難在處理這些公開個資以進行AI訓練之前，取得每個個資主體的單獨同意及授權，同時，南韓對於處理這些公開個資的現行法律基礎並不明確。 為解決上述問題，PIPC制定了該指引，確認了蒐集及利用公開個資的法律基礎，並為AI開發者和服務提供者提供適用的安全措施，進而最小化隱私問題及消除法律不確定性。此外，在指引的制定過程中，PIPC更參考歐盟、美國和其他主要國家的做法，期以建立在全球趨勢下可國際互通的標準。 指引的核心內容主要可分為三大部分，第一部分：應用正當利益概念；第二部分：建議的安全措施及保障個資主體權利的方法；及第三部分：促進開發AI產品或服務的企業，在開發及使用AI技術時，注意可信任性。 針對第一部分，指引中指出，只有在符合個人資料保護法（Personal Information Protection Act, PIPA）的目的（第1條）、原則（第3條）及個資主體權利（第4條）規定範圍內，並滿足正當利益條款（第15條）的合法基礎下，才允許蒐集和使用公開個資，並且需滿足以下三個要求：1.目的正當性：確保資料處理者有正當的理由處理個資，例如開發AI模型以支持醫療診斷或進行信用評級等。2.資料處理的必要性：確保所蒐集和利用的公開資料是必要且適當的。3.相關利益評估：確保資料處理者的正當利益明顯超越個資主體的權利，並採取措施保障個資主體的權利不被侵犯。 而第二部分則可區分為技術防護措施、管理和組織防護措施及尊重個資主體權利規定，其中，技術防護措施包括：檢查訓練資料來源、預防個資洩露（例如刪除或去識別化）、安全存儲及管理個資等；管理和組織防護措施包括：制定蒐集和使用訓練資料的標準，進行隱私衝擊影響評估（PIA），運營AI隱私紅隊等；尊重個資主體權利規定包括：將公開資料蒐集情形及主要來源納入隱私政策，保障個資主體的權利。 最後，在第三部分中，指引建議AI企業組建專門的AI隱私團隊，並培養隱私長（Chief Privacy Officers, CPOs）來評估指引中的要求。此外，指引亦呼籲企業定期監控技術重大變化及資料外洩風險，並制定及實施補救措施。 該指引後續將根據PIPA法規修訂、AI技術發展及國際規範動向持續更新，並透過事前適當性審查制、監管沙盒等途徑與AI企業持續溝通，並密切關注技術進步及市場情況，進而推動PIPA的現代化。

　　瑞士諾華藥廠成立於1996年，為全球前十大藥廠之一，其首創新藥Entresto，係作用於心臟神經內分泌系統，以對抗心力衰竭症狀，其在美國也取得相關專利(US8101659、US8796331、US8877938和US9388134)，專利效期大致落在2023~2027年間。藥品上市後統計至2019年6月，Entresto的全球收入已達約7.78億美元。 　　印度學名藥廠Macleods、Alembic、Natco公司於2019年9月向美國食品藥品監督管理局(下簡稱FDA)提交Entresto學名藥簡易新藥上市申請(下簡稱ANDA)，諾華於2019年9月11日接獲通知後，即於2019年10月24日，針對上述申請ANDA之印度學名藥廠提起專利侵權訴訟，試圖阻止該些印度學名藥廠仿製Entresto。 　　依照美國規定，當學名藥廠提出ANDA申請時，若專利權人在45天內提出專利訴訟，則會限制美國FDA不得於30個月內核准該ANDA申請。因此，在實務上ANDA從申請到上市，需花費約三年時間，使得學名藥廠往往會選擇在原廠藥物專利尚未到期前，提早申請藥品查驗；而原廠也通常會積極於45天內發起專利訴訟，已鞏固其專利期間之市場地位。 　　我國西藥專利連結制度業於2019年8月20日正式上路，建議我國相關生醫藥廠商應了解相關制度規範、與國外規定之差異，並提早納入企業內部之智財管理與智財策略規劃。 「本文同步刊登於TIPS網站（https://www.tips.org.tw ）」

　　日本國會於本會期（2015年1月）中，進行個人資料保護法修正草案（個人情報保護法の改正案）的審議。修正草案研擬之際，歷經多次討論，IT總合戰略本部終於在2014年6月公布修正大綱，後於同年12月公布其架構核心。 　　本次修正，主要目標之一，是使日本成為歐盟（EU）所認可之個人資料保護程度充足的國家，進而成為歐盟所承認得為國際傳輸個人資料的對象國；為此，此次修正新增若干強化措施，包含（1）設立「個人資料保護委員會」;（2）明訂敏感資料（包含種族、病歷、犯罪前科等）應予以嚴格處理；（3）明訂資料當事人就其個人資料得行使查詢或請求閱覽等權利。 　　本次修正的另一個目標，則是促進個人資料利用及活用的可能性。2014年中，日本內閣府提出「有關個人資料利活用制度修正大綱」，提倡利用、活用個人資料所帶來的公共利益，並指出，過往的法規僅建構於避免個人資料被濫用的基礎，已不符合當今需求，且易造成適用上的灰色地帶，應透過修法予以去除；未來應推動資料的利用與活用相關制度，來提升資料當事人及公眾的利益。本次修正因此配合鬆綁，允許符合下述法定條件下，得變更個人資料之利用目的：（1）於個人資料之蒐集時，即把未來可能變更利用目的之意旨通知資料當事人；（2）依個人資料保護委員會所訂規則，將變更後的利用目的、個人資料項目、及資料當事人於變更利用目的後請求停止利用的管道等，預先通知本人；（3）須使資料當事人容易知悉變更利用目的等內容；（4）須向個人資料保護委員會申請。 　　目標間的兩相衝突，使得該案提送國會審議時，引發諸多爭議。論者指出：允許在特定條件上變更個人資料的利用目的，雖顧全資料利用的價值，但似不符合歐盟個人資料保護指令對於個人資料保護的基準，恐使日本無法獲得歐盟認可成為資料保護程度充足的國家，亦徹底喪失此次修正的最重要意義。

　　美國食品藥物管理署（U.S. Food & Drug Administration, FDA）在2021年1月12日發布有關人工智慧醫療器材上市管理的「人工智慧/機器學習行動計畫」（Artificial Intelligence/Machine Learning (AI/ML)-Based Software as a Medical Device (SaMD) Action Plan）。該行動計畫的制定背景係FDA認為上市後持續不斷更新演算法的機器學習醫療器材軟體（Software as Medical Device, SaMD），具有極高的診療潛力，將可有效改善醫療品質與病患福祉，因此自2019年以來，FDA嘗試提出新的上市後的監管框架構想，以突破現有醫療器材軟體需要「上市前鎖定演算法、上市後不得任意變更」的監管規定。 　　2019年4月，FDA發表了「使用人工智慧/機器學習演算法之醫療器材軟體變更之管理架構—討論文件」（Proposed Regulatory Framework for Modifications to Artificial Intelligence/Machine earning (AI/ML)-Based Software as a Medical Device (SaMD) - Discussion Paper and Request for Feedback）。此一諮詢性質的文件當中提出，將來廠商可在上市前審查階段提交「事先訂定之變更控制計畫」（pre-determined change control plan），闡明以下內容：(1)SaMD預先規範（SaMD Pre-Specification, SPS）：包含此產品未來可能的變更類型（如：輸入資料、性能、適應症）、變更範圍；(2)演算法變更程序（Algorithm Change Protocol, ACP）：包含變更對應之處理流程、風險控制措施，以及如何確保軟體變更後之安全及有效性。 　　根據「人工智慧/機器學習行動計畫」內容所述，「事先訂定之變更控制計畫」構想被多數（包含病患團體在內）的利害關係人肯認，並於相關諮詢會議當中提出完善的細部建言。FDA將根據收到的反饋意見，於2021年以前正式提出有關人工智慧/機器學習上市後監管的指引草案（Draft Guidance），並持續研究提高演算法透明度、避免演算法偏見的方法。