美伊利諾最高法院判決:醫療服務提供者例外不受生物資訊隱私法保護
美國伊利諾州伊利諾最高法院(Illinois Supreme Court)於2023年11月30日對Mosby v. The Ingalls Memorial Hospital et al.案做出判決:認定符合聯邦法規健康保險流通與責任法(Health Insurance Portability and Accountability Act, HIPAA)規定,基於「治療、付款或健康照護運作」之前提下,除病患外即使是醫療服務提供者的生物識別資訊被蒐集、利用或揭露,同樣不受伊利諾州生物資訊隱私法(Biometric Information Privacy Act, BIPA)的保護。
伊利諾州現行以BIPA對蒐集或保留任何個人的生物識別資訊(如虹膜、聲紋、指紋或生物樣本等)做了較為嚴格的限制,原則上這些資訊不能在未經當事人同意的情況下被蒐集、利用或揭露。除非是1.由醫療保健機構從患者身上蒐集的生物識別資訊;或2.根據HIPAA規定,基於進行治療、付款或健康照護運作的前提來蒐集、使用或儲存的生物識別資訊,才可例外免經當事人同意(biometric identifiers do not include information captured from a patient in a health care setting or information collected, used, or stored for health care treatment, payment, or operations under the federal HIPAA.)。然而,基於進行治療、付款或健康照護運作的前提,資料主體除接受治療或健康照護的病患外,是否涵蓋醫療服務提供者(如醫護人員),則有疑義。
本案因醫院的護理人員認為醫療院所未經同意,使用帶有指紋掃描功能的藥品櫃,來蒐集、使用或儲存了他們的生物識別資訊,因此提起訴訟。伊利諾州的地方法院和巡迴上訴法院於本案均支持原告提出的主張。然而,伊利諾州最高法院審理時則透過文義解釋以及條文結構分析之方式,認為立法者係有意於例外規定中重複使用「資訊」一詞,兩次「資訊」之內涵應有不同。故前段的資訊係指患者的資訊,而後段的資訊來源則應包含了醫療照護提供者,方符合立法者真意。
生物識別資訊風險較高,過去被認為需要取得當事人積極同意授權;於本案中伊利諾州最高法院權衡認為基於「治療、付款或健康照護運作」情境下,如本案情形係用來確保醫藥品被正確分配給需要的患者,因此對患者以外的醫療人員隱私權做出限制符合例外規定。本案揭示了個資隱私得為合理利用的情境之一,然而HIPAA對於資料傳輸較寬鬆的規範會否又與資料保護的趨勢有所違背,仍須持續關注相關案例發展。
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 【下午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
黃昱揚
副法律研究員 編譯整理
Illinois Supreme Court Holds Healthcare Employee Fingerprint Data Exempt from BIPA, LEXOLOGY, https://www.lexology.com/library/detail.aspx?g=57924c64-79fe-4262-8d36-e1276a3bd820 (last visited Jan. 2, 2024).
Mosby v. The Ingalls Mem'l Hosp., 2023 IL 129081 (Ill. 2023)
柯元惠,〈新加坡公布「於安全性應用程式負責任地利用生物特徵識別資料指引」協助組織合理利用生物特徵識別資料〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8861(最後瀏覽日:2024/01/30)。
蔡毓華,〈紐約市實施《生物辨識隱私法》強化生物特徵保護〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8713&no=64(最後瀏覽日:2024/01/30)。
朱翊瑄,〈美國欲修改HIPAA規則以促進「整合醫療照護」,並發表公眾意見徵詢書〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8169&no=64 (最後瀏覽日:2024/1/2)。
蔡毓華,〈2016年生物支付技術將可能取代傳統支付型態〉,資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=64&tp=0&i=72&d=7139 (最後瀏覽日:2024/01/02)
英國衛生部(Department of Health)於5月21日公布新的國家衛生政策,政策中指出,未來將建立資料庫,透過建設完善醫藥資訊之流通分享機制可改善對於病患之醫療服務以及促進學術研究之發展,當局承諾將採取適當之保護措施以妥善保護當事人之個人資料。然而,該政策同時亦承認對於病患資料匿名化之措施仍可能侵害當事人之隱私權。 當局指出,為了保護當事人之權益,將個人資料匿名化實屬必要,然而,對於醫療院所而言,縱使已經將個人資料匿名化,但透過其他相關資訊包含年齡、性別、血型、身高或者體重等,仍可能間接識別出當事人之個人資料。 衛生部重申建立資料庫分享當事人之個人醫療資料將可有效促進學術研究之發展,但將會透過當事人同意以及確實匿名化之機制保護當事人之個人資料。另外,衛生部於該政策中指出未來將要求英國之醫療機構必須於內部建立系統,使患者、當事人可有管道查詢其留存於資料庫之資料。 英國之隱私保護專員指出,由於此政策涉及敏感性個人資料之蒐集,所以其針對衛生部之政策規畫將持續關注,以確保當事人之隱私權。
CAR-T細胞治療產品Yescarta美國專利侵權訴訟逆轉勝,CAFC認定專利不符書面說明要件而無效Gilead Sciences之子公司Kite Pharma(以下簡稱Kite)所推出之Yescarta®(Axicabtagene Ciloleucel)為治療復發型或難治型瀰漫性大B細胞淋巴瘤(Diffuse Large B-Cell Lymphoma, DLBCL)之CAR-T細胞治療產品,其為美國FDA第二個核准上市之CAR-T產品。 上述產品於2017年獲美國FDA核准上市後,Juno therapeutics公司隨即於美國加州中區聯邦地院起訴Kite,主張Yescarta侵害Juno therapeutics之美國7,446,190號專利「編碼嵌合T細胞受體之核酸(Nucleic acids encoding chimeric T cell receptors)」(以下簡稱190專利),2019年陪審團認定Kite成立專利侵權,裁定損害賠償額為7.78億美元;於2020年法院進一步認定Kite有蓄意侵權行為,再判定需增加50%之損害賠償金,使損害賠償總額超過11億美元。 本案上訴後,美國聯邦巡迴上訴法院(US Court of Appeals for the Federal Circuit, 以下簡稱 CAFC)於2021年8月26日推翻原審判決,認定190專利不符書面說明(Written Description)要件而無效。CAFC認為190專利請求項所請求之單鏈可變區片段抗體(single-chain variable fragment, scFv)結合部涵蓋過廣,包括可結合「任何」標的之「任何」scFv,惟其說明書未能提供其中之代表性物種(species)、或界定其共通結構特徵,於說明書中僅揭露可結合兩種不同標的之兩種scFv作為實施例,但未能說明此二物種如何、或是否能夠代表其所請求的整個上位之屬(genus)。CAFC指出,若要滿足書面說明要件之要求,說明書應揭露與代表性數量之標的結合之特定scFv物種,Juno雖提出專家證詞主張此二scFv實施例已具代表性,惟CAFC仍認為該證詞過於籠統而未能解釋何種scFv將與何種標的結合。CAFC指出,書面說明要件之目的在於確保專利排他權範圍不會超出發明人記載於說明書中之貢獻範圍,190專利發明人證稱其申請發明時只使用過說明書所載之兩個scFv實施例,且說明書未提供確認何種scFv將結合至何種標的之方法與指導,但190專利卻請求可與任何標的結合之scFv,因此,190專利之揭露內容未能證明發明人擁有結合至各種選定標的之所有可能scFvs,無法滿足書面說明要件之要求。 醫藥專利以上位請求項(genus claim)尋求保護時,可能因說明書記載內容不容易滿足書面說明與可據以實施(Enablement)要件而受到挑戰。除本案外,美國近期亦有數件醫藥專利因不符書面說明要件與可據以實施要件而被宣告無效,如Amgen Inc. v. Sanofi(Fed. Cir. 2021)、Idenix Pharmaceuticals LLC v. Gilead Sciences Inc.(Fed. Cir. 2019)、Enzo v. Roche(Fed. Cir. 2019),未來醫藥專利以上位請求項尋求保護是否會變得更加困難,值得繼續觀察。
世界61個個資保護主管機關發布聯合聲明,避免AI生成私密影像危害兒少安全61個來自世界各國及歐盟之個資保護主管機關於2026年2月23日發布「AI生成影像及隱私保護聯合聲明」(Joint Statement on AI-Generated Imagery and the Protection of Privacy),旨在警示AI生成影像工具之開發者與使用者,未經當事人同意生成逼真私密影像及有害內容,不僅可能侵害個人隱私或名譽,亦可能嚴重威脅兒少安全。 本聯合聲明是在全球隱私大會(Global Privacy Assembly)國際執法合作工作小組(Internal Enforcement Cooperation Working Group)協調下所發起。其內容強調AI生成影像因廣泛融入社群媒體平臺,更易對兒少造成網路霸凌或剝削等潛在危害,呼籲開發及使用AI生成內容系統時,應遵循隱私與個資保護規則,並注意未經同意創建私密影像在某些國家可能構成刑事犯罪。 針對AI生成內容系統之開發者與使用者,聯合聲明提出下列基本指導原則: (1)實施健全的防護措施,避免濫用個人資料及未經同意生成私密影像或其他描述兒少之有害內容。 (2)確保透明度,有意義地揭露AI系統之功能、安全措施、可接受之用途及濫用後果。 (3)提供有效且易於使用之機制,以接收並快速回應移除有害內容之請求。 (4)向兒童、家長、監護人及教育工作者提供清晰、適齡之資訊,以應對特定兒少風險。 簽署聯合聲明之個資保護主管機關,將持續交流分享相關執法、政策推行與教育宣導經驗,共同努力應對全球隱私及兒少風險。
新興產業五年免稅優惠 未來擬改採總量管制鑑於促進產業升級條例 2010 年底屆滿,且立法院在去年底通過所得基本稅額條例(即最低稅負制)時,同步做成附帶決議要求,財經兩部必須在今年年底前完成促產條例減免優惠的檢討,財經兩部已經展開促產條例與相關子法規的修正方向檢討會議, 未來促產條例該不該限縮對產業別的獎勵項目,面對產業持續對外投資的趨勢,租稅獎勵工具是不是該增列「創造就業」指標,做為未來獎勵項目等,都是修法的考量方向之一。 目前促產條例的主要租稅優惠有兩種,除投資抵減之外即為五年免稅,財政部統計,民國 90 年的抵稅總額只有 547 億元,其中科技業享有的減稅優惠就有 276 億元;至 93 年時,產升條例的抵稅總額已經暴升至 1,694 億元,僅高科技業者就抵掉 1,096 億元稅捐。財經兩部預估, 94 年的抵稅額將突破 2,000 億元。由於產業五年免稅優惠被認為過於浮濫,財經兩部正研商未來新興重要策略性產業享有五年免稅的減稅優惠,將採總量管制,企業享有的五年免稅優惠,改朝配額制進行「專案許可」管理,配額一滿即不再提供免稅。 目前促產條例中有關租稅獎勵的認定,採較消極的作法,僅訂定一些適用條件,只要符合促產條例揭櫫或獎勵的產業升級研發或投資在促產條例獎勵的新興策略產業,都適用租稅優惠。業者只要據此向經濟部提出申請,經濟部依慣例,即發給免稅證明。但財政部要求未來應調整為專案許可制,除了基本資格規定外,經濟部應該再成立審查委員會,就每個產業租稅優惠,訂出總量管制,據此准駁。 所謂「專案許可」的總量管制措施,財經兩部初步交換的意見是指,現在明列在新興重要策略性產業五年免稅辦法中的九大產業、 305 項免稅產品,都要依據發展成熟度,訂出適用免稅的家數。家數額滿,同一產業、同性質產品,即使符合五年免稅條件,也不再提供租稅優惠。