美伊利諾最高法院判決:醫療服務提供者例外不受生物資訊隱私法保護
美國伊利諾州伊利諾最高法院(Illinois Supreme Court)於2023年11月30日對Mosby v. The Ingalls Memorial Hospital et al.案做出判決:認定符合聯邦法規健康保險流通與責任法(Health Insurance Portability and Accountability Act, HIPAA)規定,基於「治療、付款或健康照護運作」之前提下,除病患外即使是醫療服務提供者的生物識別資訊被蒐集、利用或揭露,同樣不受伊利諾州生物資訊隱私法(Biometric Information Privacy Act, BIPA)的保護。
伊利諾州現行以BIPA對蒐集或保留任何個人的生物識別資訊(如虹膜、聲紋、指紋或生物樣本等)做了較為嚴格的限制,原則上這些資訊不能在未經當事人同意的情況下被蒐集、利用或揭露。除非是1.由醫療保健機構從患者身上蒐集的生物識別資訊;或2.根據HIPAA規定,基於進行治療、付款或健康照護運作的前提來蒐集、使用或儲存的生物識別資訊,才可例外免經當事人同意(biometric identifiers do not include information captured from a patient in a health care setting or information collected, used, or stored for health care treatment, payment, or operations under the federal HIPAA.)。然而,基於進行治療、付款或健康照護運作的前提,資料主體除接受治療或健康照護的病患外,是否涵蓋醫療服務提供者(如醫護人員),則有疑義。
本案因醫院的護理人員認為醫療院所未經同意,使用帶有指紋掃描功能的藥品櫃,來蒐集、使用或儲存了他們的生物識別資訊,因此提起訴訟。伊利諾州的地方法院和巡迴上訴法院於本案均支持原告提出的主張。然而,伊利諾州最高法院審理時則透過文義解釋以及條文結構分析之方式,認為立法者係有意於例外規定中重複使用「資訊」一詞,兩次「資訊」之內涵應有不同。故前段的資訊係指患者的資訊,而後段的資訊來源則應包含了醫療照護提供者,方符合立法者真意。
生物識別資訊風險較高,過去被認為需要取得當事人積極同意授權;於本案中伊利諾州最高法院權衡認為基於「治療、付款或健康照護運作」情境下,如本案情形係用來確保醫藥品被正確分配給需要的患者,因此對患者以外的醫療人員隱私權做出限制符合例外規定。本案揭示了個資隱私得為合理利用的情境之一,然而HIPAA對於資料傳輸較寬鬆的規範會否又與資料保護的趨勢有所違背,仍須持續關注相關案例發展。
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 【下午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
黃昱揚
副法律研究員 編譯整理
Illinois Supreme Court Holds Healthcare Employee Fingerprint Data Exempt from BIPA, LEXOLOGY, https://www.lexology.com/library/detail.aspx?g=57924c64-79fe-4262-8d36-e1276a3bd820 (last visited Jan. 2, 2024).
Mosby v. The Ingalls Mem'l Hosp., 2023 IL 129081 (Ill. 2023)
柯元惠,〈新加坡公布「於安全性應用程式負責任地利用生物特徵識別資料指引」協助組織合理利用生物特徵識別資料〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8861(最後瀏覽日:2024/01/30)。
蔡毓華,〈紐約市實施《生物辨識隱私法》強化生物特徵保護〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8713&no=64(最後瀏覽日:2024/01/30)。
朱翊瑄,〈美國欲修改HIPAA規則以促進「整合醫療照護」,並發表公眾意見徵詢書〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8169&no=64 (最後瀏覽日:2024/1/2)。
蔡毓華,〈2016年生物支付技術將可能取代傳統支付型態〉,資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=64&tp=0&i=72&d=7139 (最後瀏覽日:2024/01/02)
美國知名玩具娛樂商「孩之寶」(後稱Hasbro)日前宣布以40億美金收購知名卡通「佩佩豬」之加拿大母公司「娛樂一體」(Entertainment One Ltd,後稱eOne),Hasbro將藉著eOne所擁有的學齡前動畫資產,透過相關智財組合與品牌布局,再度擴大其在玩具娛樂市場中之優勢地位。 eOne旗下擁有《佩佩豬》(或譯為粉紅豬小妹;Peppa Pig)、《睡衣小英雄》(PJ Masks)、《瑞奇衝衝衝》(Ricky Zoom)、《小杯與小龍:萬能服務》(Cupcake & Dino: General Services)等知名動畫品牌,以及強大的故事主導特質與家庭導向故事述說能力,Hasbro表示該些優勢將吸引遊戲玩家、動畫粉絲與家庭等多元視聽者與消費者,以至將該些動畫拓展至全球。 而Hasbro已擁有許多知名玩具品牌,包括彩虹小馬(My Little Pony)、培樂多黏土(Play-Doh)等,經過本收購交易將能擴大其品牌智財之授權營收,並將該些新增動畫之智財,朝向玩具、遊戲、影片、電視、音樂及家庭品牌等多面向之全球性經營。 目前eOne董事會於10月17日以99.9%之票數同意該交易案,並已獲得美國與德國等相關監管單位之認可,尚待加拿大官方同意。期待後續Hasbro與eOne共同藉著品牌建立、創造力與故事述說等優勢能力,創造更多品牌智財之可能性。 「本文同步刊登於TIPS網站(https://www.tips.org.tw)」
日本修訂《教育資訊安全政策指引》以建構安全的校園ICT環境日本文部科學省於2022年3月發布「教育資訊安全政策指引」(教育情報セキュリティポリシーに関するガイドライン)修訂版本,該指引於2017年10月訂定,主要希望能作為各教育委員會或學校作成或修正資訊安全政策時的參考,本次修訂則是希望能具體、明確化之前的指引內容。本次修訂主要內容如下。 (1)增加校務用裝置安全措施的詳細說明: 充實「以風險為基礎的認證」(リスクベース認証)、「異常活動檢測」(ふるまい検知)、「惡意軟體之措施」(マルウェア対策)、「加密」(暗号化)、「單一登入的有效性」(SSOの有効性)等校務用裝置安全措施內容敘述。 (2)明確敘述如何實施網路隔離與控制存取權的相關措施: 對於校務用裝置實施網路隔離措施,並將網路分成校務系統或學習系統等不同系統,若運用精簡型電腦技術(シンクライアント技術)則可於同一裝置執行網路隔離。另外,針對校務用裝置攜入、攜出管理執行紀錄,並依實務運作調整控制存取權措施,例如安全侵害影響輕微者則可放寬限制以減輕管理者負擔。
歐盟執委會公布《可信賴的AI政策及投資建議》歐盟執委會於2018年6月成立人工智慧高級專家組(The High-Level Expert Group on Artificial Intelligence, AI HLEG),主要負責兩項工作:(1)人工智慧倫理準則;(2)人工智慧政策與投資建議。並於2019年4月8日提出《可信賴的人工智慧倫理準則》(Ethics Guidelines for Trustworthy AI),2019年6月公布之《可信賴的AI政策及投資建議》(Policy and Investment Recommendations for Trustworthy Artificial Intelligence)則是人工智慧高級專家組所交付之第二項具體成果。 該報告主要分為兩大部分,首先第一部分是要透過可信賴的人工智慧建立對歐洲之正面影響,內容提及人工智慧應保護人類和社會,並促進歐洲公司各部門利用人工智慧及技術移轉,而公部門則扮演人工智慧增長及創新之催化劑,以確保歐洲具有世界一流之研究能力;第二部分則是影響歐洲各成員國建立可信賴之人工智慧,內容則提及將發展人工智慧相關基礎設施、教育措施、政策規範及資金投資,同時合法、有道德的使用各項數據。 在本報告中關於法規面的建議則是進一步制定政策和監管框架,確保人工智慧在尊重人權、民主及創新下發展,因此將建立人工智慧政策制定者、開發者及用戶間的對話機制,若是遇到將對社會或是人類產生重大影響之敏感性人工智慧系統,除透過歐洲人工智慧聯盟(The European AI Alliance)進行對話之外,也需要在尊重各成員國之語言及文化多樣性下展開協調機制。另外,報告中也特別提到如果政府以「保護社會」為由建立一個普遍的人工智慧監督系統是非常危險的作法,政府應該承諾不對個人進行大規模監視,並在遵守法律及基本權利下進行人工智慧系統之發展。
韓國公平交易委員會推動制定《平臺競爭促進法》韓國公平交易委員會(Fair Trade Commission, FTC)於2023年12月19日宣布將制訂《平臺競爭促進法》(Platform Competition Promotion Act, PCPA),針對市場中大型線上平臺業者,提前認定為具有市場主導地位,禁止提供優惠待遇(preferential treatment)及搭售(tie-sale)等不公平競爭行為,保護小型企業及避免消費者受到大型線上平臺業者壟斷市場的影響。 《平臺競爭促進法》將透過營業收入、使用者數量、市場份額及市場參進障礙等特定條件,認定平臺業者是否具有市場主導地位,被指定具有主導地位的業者則會被禁止從事以下行為:(1)自我偏好行為,禁止平臺業者在平臺上以較競爭者更有利之方式,曝光其本身販售的產品;(2)搭售行為,迫使平臺使用者在購買平臺所提供的產品或服務時,必須同時購買其他產品;(3)限制多棲(multi-homing)或禁止使用者使用其他平臺;(4)要求比其他平臺更優惠的交易條件。 依據韓國《公平交易法》現行法規規定,企業從事不公平競爭行為,最多僅能處以其營業額6%的罰鍰;若於《平臺競爭促進法》制定後,被認定具有市場主導地位的平臺業者從事不公平競爭行為時,將依《平臺競爭促進法》最高可處其營業額10%之罰鍰。平臺業者被委員會指定為具市場主導地位的平臺時,業者仍可在(1)指定前提交意見;(2)指定後提出異議,或以(3)提出行政訴訟等方式保障其權利。 我國公平交易委員會於2022年12月提出數位經濟競爭政策白皮書,內容包含數位經濟下可能面臨的議題及執法立場與方向。近來韓國科技產業與社會經濟發展屢次成為我國相關產業比較對象,未來可持續關注韓國對於跨領域科技產業影響市場公平競爭之治理發展,作為我國因應數位經濟競爭法相關議題之參考基礎。