美伊利諾最高法院判決:醫療服務提供者例外不受生物資訊隱私法保護
美國伊利諾州伊利諾最高法院(Illinois Supreme Court)於2023年11月30日對Mosby v. The Ingalls Memorial Hospital et al.案做出判決:認定符合聯邦法規健康保險流通與責任法(Health Insurance Portability and Accountability Act, HIPAA)規定,基於「治療、付款或健康照護運作」之前提下,除病患外即使是醫療服務提供者的生物識別資訊被蒐集、利用或揭露,同樣不受伊利諾州生物資訊隱私法(Biometric Information Privacy Act, BIPA)的保護。
伊利諾州現行以BIPA對蒐集或保留任何個人的生物識別資訊(如虹膜、聲紋、指紋或生物樣本等)做了較為嚴格的限制,原則上這些資訊不能在未經當事人同意的情況下被蒐集、利用或揭露。除非是1.由醫療保健機構從患者身上蒐集的生物識別資訊;或2.根據HIPAA規定,基於進行治療、付款或健康照護運作的前提來蒐集、使用或儲存的生物識別資訊,才可例外免經當事人同意(biometric identifiers do not include information captured from a patient in a health care setting or information collected, used, or stored for health care treatment, payment, or operations under the federal HIPAA.)。然而,基於進行治療、付款或健康照護運作的前提,資料主體除接受治療或健康照護的病患外,是否涵蓋醫療服務提供者(如醫護人員),則有疑義。
本案因醫院的護理人員認為醫療院所未經同意,使用帶有指紋掃描功能的藥品櫃,來蒐集、使用或儲存了他們的生物識別資訊,因此提起訴訟。伊利諾州的地方法院和巡迴上訴法院於本案均支持原告提出的主張。然而,伊利諾州最高法院審理時則透過文義解釋以及條文結構分析之方式,認為立法者係有意於例外規定中重複使用「資訊」一詞,兩次「資訊」之內涵應有不同。故前段的資訊係指患者的資訊,而後段的資訊來源則應包含了醫療照護提供者,方符合立法者真意。
生物識別資訊風險較高,過去被認為需要取得當事人積極同意授權;於本案中伊利諾州最高法院權衡認為基於「治療、付款或健康照護運作」情境下,如本案情形係用來確保醫藥品被正確分配給需要的患者,因此對患者以外的醫療人員隱私權做出限制符合例外規定。本案揭示了個資隱私得為合理利用的情境之一,然而HIPAA對於資料傳輸較寬鬆的規範會否又與資料保護的趨勢有所違背,仍須持續關注相關案例發展。
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 【下午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
黃昱揚
副法律研究員 編譯整理
Illinois Supreme Court Holds Healthcare Employee Fingerprint Data Exempt from BIPA, LEXOLOGY, https://www.lexology.com/library/detail.aspx?g=57924c64-79fe-4262-8d36-e1276a3bd820 (last visited Jan. 2, 2024).
Mosby v. The Ingalls Mem'l Hosp., 2023 IL 129081 (Ill. 2023)
柯元惠,〈新加坡公布「於安全性應用程式負責任地利用生物特徵識別資料指引」協助組織合理利用生物特徵識別資料〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8861(最後瀏覽日:2024/01/30)。
蔡毓華,〈紐約市實施《生物辨識隱私法》強化生物特徵保護〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8713&no=64(最後瀏覽日:2024/01/30)。
朱翊瑄,〈美國欲修改HIPAA規則以促進「整合醫療照護」,並發表公眾意見徵詢書〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8169&no=64 (最後瀏覽日:2024/1/2)。
蔡毓華,〈2016年生物支付技術將可能取代傳統支付型態〉,資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=64&tp=0&i=72&d=7139 (最後瀏覽日:2024/01/02)
又到了報稅的季節。依據財政部統計,台灣使用網路報稅人口年年成長,在2002年約有35萬人使用網路報稅,2003年成長超過1倍,有75萬人口使用網路報稅,而去年則有102萬人口使用網路報稅,較前年成長36%。 使用金融憑證網路報稅可簡化繁瑣報稅程序,去年只有8家金融機構提供報稅服務,今年則提高至22家,預估今年透過網路報稅的納稅人,可望衝破歷年人數。包括元富證、元京証、台証證、日盛金控、國泰、新光人壽等22家金融機構,己於3月17日經財政部審核通過,可使用台灣網路認證公司之網路銀行、網路下單及網路保險憑證用於94年個人綜合所得稅網路結算申報,透過申報軟體,使用「金融憑證」即可查詢下載93年度「夫、妻、未成年子女」之戶籍資料、扣 (免)繳及股利憑單所得資料,逐筆確認修正無誤,由電腦自動試算稅額後,傳輸申報資料,並自行列印收執聯保存,完成報稅手續。
英國提出「緊急應變與復原準則」強化災難時之應變規定英國內閣辦公室(Cabinet Office)於2013年10月29日提出「緊急應變與復原準則:依循2004年國民緊急應變法之不成文準則」(Emergency Response and Recovery: Non statutory guidance accompanying the Civil Contingencies Act 2004),針對「應變與復原」作相關規定,以補充內閣辦公室於2006年1月1日提出「緊急準備規則」(Emergency Preparedness)對複合式緊急管理(Integrated emergency management, IEM)規定的不足之處。 英國「2004年國民緊急應變法」(The Civil Contingency Act 2004),為英國處理緊急事件之主要依據,「緊急應變與復原準則」即根據「2004年國民緊急應變法」制訂。此規則於「緊急應變章節」規定地方政府之緊急事件依嚴重程度區分為三級:銅(Bronze),僅需要操作指揮(Operational)、銀(Silver),需要策略指揮 (Tactical)、金(Gold),需要戰略指揮(Strategic),用以判斷是否區需要跨機關合作來因應緊急事故。如事故屬於重大緊急災難時,則屬於需要跨機關協調合作,藉由層級指揮及指令下達掌控應變程序與資訊傳遞,以因應長期及廣泛區域之災難。中央政府的權責在於全國性重大緊急事件,並且災難發生時之首相為最高行政首長,最高緊急機構為「內閣緊急應變會議」(Cabinet Office Brifing Rooms, COBR,又稱為眼鏡蛇),同時國民緊急秘書處(Civil Contingencies Secretariat, CCS)也需要協調跨部門及跨機構事務。 為提升災難應變與復原效率,2013年10月的「緊急應變與復原準則」,說明藉由地方的地方抗災議會(Local Resilience Forum)到中央等全國性之系統與網路串聯以傳遞緊急訊息,並建立三種層級之共同認知資訊圖像(Common Recognized Information Picture, CRIP),包括地方層級、區域以及國家級。此項系統必須足以傳遞並收集來自各方的大量資訊、能評估所收集各資料之性質,如緊急性、關聯性、說明性及可使用性等,並且能夠使大眾週知。 然,處理資料的過程仍有可能面臨數種問題,包括各機關之資料不同、判斷不同、理解錯誤及通訊超載等。2013年10月緊急應變與復原準則亦說明建立資訊管理系統(information management system)並安裝至多機構緊急管理中;而民間機構也應作為多機構之一環,並擔任資訊管理機構。同時,在共享資料之同時,必須注意資料保護,因此必須遵守「資料保護與共享-緊急計畫人與應變人準則」(Data Protection and Sharing-Guidance for Emergency Planner and Responders)。英國地域性與台灣近似,皆屬易於發生水患的國家,英國在緊急災難之應變於各方面的法制皆以趨於完善,殊值得持續觀察未來發展方向。
論數位經濟下研究報告開放近用及著作權例外國際新發展 美國司法部稱Google的隱私權考慮是藉口美國司法部曾在2006年1月要求Google公司交出100萬張網頁資料,並提供一週內用戶搜尋關鍵字的紀錄,以協助布希政府舉證說明現行網頁過濾技術的漏洞,為捍衛兒童線上保護法(1998 Child Online Protection Act)提供辯護。但Google公司於2月17日,以大型企業商業機密外洩和用戶隱私權遭到侵犯為由,向加州法院提出措辭強硬的法律摘要報告,並拒絕美國司法部的要求。 針對Google所提出的摘要報告,美國司法部於2月24日提出回應。美國司法部公開表示,Google公司所宣稱:「提供用戶搜尋資訊將侵犯用戶的隱私權」,只不過是一個藉口。司法部進一步指出,美國線上、雅虎以及微軟等其他搜尋引擎業者都已按照要求提供了搜尋資訊。最後,司法部表示,政府為案件所需,擁有向一切機構徵求資訊的正當權利,因此Google公司仍必須將要求的資料提出。