因應美國華盛頓州《我的健康我的資料法》施行,受監管對象隱私權政策應更新
美國華盛頓州《我的健康我的資料法》(My Health, My Data,以下簡稱該法)於2024年3月31日生效,該法係於2023年4月27日通過。目標在於保護華盛頓州消費者的健康資料,特別是生殖健康相關資料(data related to reproductive healthcare)。所拘束對象並不在HIPAA之監管範圍內,包括穿戴式裝置(wearables)、特定零售購物和非HIPAA 所規範之遠距醫療服務(telehealth services)所蒐集之資料。
該法最繁瑣合規要求之一為,受監管對象必須在其主頁上公佈消費者健康資料相關隱私權政策(下統稱隱私權政策)連結,連結必須為獨立、特定且不得包含該法所未要求之額外資訊。另針對小型企業,則設有三個月之緩衝時間,即應於 2024 年 6 月 30 日前遵循該要求。
隱私權政策必須清楚且醒目地揭露以下內容:
1. 所蒐集之健康資料類別和蒐集目的,包括將如何使用這些資料;
2. 所蒐集健康資料來源及類別;
3. 共享之健康資料類別;
4. 共享消費者健康資料的第三方或相關企業之類別;以及
5. 消費者如何行使該法所賦予之權利,包括撤銷同意和要求刪除之權利。
最重要的是,除特殊情形外(即1.已揭露其他特定目的2.取得消費者對其他特定目的所為蒐集、使用、揭露之明確同意),受監管對象不得基於隱私權政策中未明確揭露之任何其他目的,蒐集、使用或共享消費者健康資料。
若違反該法相關規定,即被視為違反《華盛頓州消費者保護法》(the Washington Consumer Protection Act),可由華盛頓州總檢察長提出強制執行。另該法為美國第一部保護大量健康資料之法律,顯現對消費者資料保護監管逐漸嚴格之趨勢。
- K&L Gates LLP, The Countdown to Complete Your Consumer Health Data Privacy Policy Under the Washington My Health My Data Act, LEXOLOGY, Mar.19, 2024
- Whitney E. McCollum, Gina L. Bertolini, Jane E. Petoskey, "MY HEALTH, MY DATA" IS FIRST OF ITS KIND PRIVACY LAW FOCUSED ON PROTECTING CONSUMER HEALTH DATA, KLGATES, May 2, 2023
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
謝淯婷
法律研究員 編譯整理
K&L Gates LLP, The Countdown to Complete Your Consumer Health Data Privacy Policy Under the Washington My Health My Data Act, LEXOLOGY, Mar.19, 2024, https://www.lexology.com/library/detail.aspx?g=cf068ed8-d1c9-46c2-a281-cf68d9d3587a (last visited June 24, 2024).
Whitney E. McCollum, Gina L. Bertolini, Jane E. Petoskey, "MY HEALTH, MY DATA" IS FIRST OF ITS KIND PRIVACY LAW FOCUSED ON PROTECTING CONSUMER HEALTH DATA, KLGATES, May 2, 2023, https://www.klgates.com/My-Health-My-Data-Is-First-of-Its-Kind-Privacy-Law-Focused-on-Protecting-Consumer-Health-Data-5-2-2023 (last visited June 24, 2024)
陳政陽,〈美國發布防止特定國家存取大量敏感個人資料與政府相關資料之行政命令〉,資策會科法所法律要聞,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9173&no=64(最後瀏覽日:2024/06/24)。
洪亮瑄,〈美國州隱私法要求企業揭露資訊 企業應如何平衡隱私法與營業秘密的衝突〉,資策會科法所法律要聞,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9030&no=64,(最後瀏覽日:2024/06/24)。
黃昱揚,〈美國聯邦貿易委員會(FTC)持續開鍘違約揭露用戶個資的業者〉,資策會科法所法律要聞,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9006&no=64,(最後瀏覽日:2024/06/24)。
在農產品業,食品安全在所有人的心中佔了極重要的位置。美國食品及藥物管理局(Food and Drug Administration,下稱FDA)在2015年9月發佈了食品安全現代化法(Food Safety Modernization Act;下稱FSMA)之產品安全建議規則(Produce Safety Proposed Rule;下稱PSPR)的最終版(final rule)。該規則的發布,預將使零售商尋找供應商的方向,轉變為以有遵守FSMA的供應商作為交易的對象。 PSPR主要是在規定人類消費之蔬果產品生長、繁殖、包裝、販售之規則。新增規範重點如下: 1. 農業用水(Agricultural Water):針對農業用水之品質標準、水質測試方式,作出規範。 2. 生物土壤改良(Biological Soil Amendments):對於改良土壤可能使用到之肥料或相關之微生物,作出規範。 3. 抽芽(Sprouts):對於植物在抽芽時相關預防微生物汙染、微生物測試,作出規範。 4. 馴養動物與野生動物(Domesticated and Wild Animals):針對在農場內放牧之動物,或用來幫助耕作動物之管理,作出規範。 5. 人員訓練、健康與衛生管理(Worker Training and Health and Hygiene):針對相關人員之教育訓練、衛生管理以及健康,作出規範。 6. 設備、工具與建築物(Equipment, Tools and Buildings):為了預防生產過程中可能遭受汙染之情況,對於硬體設備作出規範。 FSMA是美國第一個關於食品安全之立法,美國農業部(Department of Agriculture;USDA)為了讓零售商或中盤商更了解其自身對食品安全之需求以找尋適合之供應商,更預計在2016年春季推行集團優良農業作業準則前導計畫( Group Gap Pilot Program),提供第三方認證服務,以確認農產品所有之作業都有遵守FSMA及FDA之建議。
專利連結專利連結(patent linkage,亦有稱patent registration linkage)是1984年美國《藥品價格競爭及專利期回復法(Hatch-Waxman Act, HWA)》所創設。傳統上,醫藥主管機關與專利主管機關的權責是有所區分的。然而,醫藥主管機關因為醫藥管理制度與專利制度的連結,使得醫藥主管機關須審查專利相關事務,即醫藥主管機關在審查學名藥上市許可申請時,必須同時判斷該藥品是否侵害專利藥公司就該藥品所掌握的專利。 專利連結制度可以採取幾種形式,最簡單形式的專利連結可能涉及了以下的要求:當有學名藥廠對專利藥公司所生產的的專利藥品提出學名藥,並尋求醫藥主管機關批准時,則應向專利藥公司告知學名藥廠的身份。強度較強的專利連結,在該專利藥品的專利到期或者無效之前,可以禁止醫藥主管機關核發上市許可給學名藥品。而更強的專利連結不僅可以禁止核發上市許可,也可以禁止在專利期間內對學名藥品的審查。 我國目前並未採納專利連結制度,但在我國目前擬積極參與的《泛太平洋夥伴協議(TPP)》中則要求成員應採納專利連結制度,故未來我國動向將值得關注。
新加坡通訊與資訊部發布「數位連結性藍圖」,以提升數位基礎設施數量、效能、安全性與能源效率作為戰略性優先事項新加坡通訊與資訊部(The Ministry of Communications and Information)轄下資通訊媒體發展管理局(Infocomm Media Development Authority)於2023年6月5日公布「數位連結性藍圖」(Digital Connectivity Blueprint, DCB),指出新加坡將透過數位基礎設施的建置,實現提升網路容量、最大化運算能量、整合基礎設施集合(infrastructure stack,即將多個基礎設施作為一整體進行定義、提供與更新)、確保安全與韌性,以及永續性設計(Design for sustainability)目標,並識別五項戰略性優先事項如下: (1)在未來十年將海底電纜數量提升為現有的兩倍; (2)透過將新加坡國家寬頻網路(Nationwide Broadband Network, NBN)的頻寬提高十倍、分配頻譜予5G專網(Standalone, SA)等方法,於未來五年內建構並提供無縫、端到端且速度高達10 Gbps的國內網路; (3)與供應商合作,強化運算基礎設施的透明性與可歸責性,並與國際最佳作法保持一致; (4)為新的綠色資料中心(Green data centre)制定長期成長路線圖並使其更具能源效率; (5)推動對新加坡數位公用設施(Digital Utility, DU)集合的採用,以擴張無縫數位交易的優勢,並持續探索能從現有DU中受益的使用案例。 除戰略性優先事項外,新加坡將在更新興且前沿的領域中採取行動,具體措施包含: (1)在未來十年推動新加坡量子安全(Quantum-safe)願景; (2)為普遍的自動化系統使用奠定基礎; (3)透過測試平台與沙盒建立利害關係者生態系統,推動綠色軟體(green software)的開發、標準制定與評估; (4)透過低軌道衛星服務為關鍵產業提供創新解決方案。
英國衛生部提出健康照護科技行為準則,以增進資訊安全以及新技術操作品質英國近來透過電子醫療紀錄的應用,以智慧演算法(intelligent algorithms)開發結合數位技術的創新醫療科技,這些成果多是以國民健保署(National Health Service, NHS)的資料做為基礎,因此關於資訊保障等議題也開始受到政府之重視。 2018年9月5日,英國衛生部(Department of Health and Social Care)在NHS健康與護理創新博覽會(NHS Health and Care Innovation Expo Conference 2018)中公布「以資料導向的健康照護科技之行為準則」(Code of Conduct for Data-driven Health and Care Technology)。此準則主要鼓勵研發公司在設計產品時,將患者的資訊安全以及新技術的操作品質列入考量。 此行為準則的目的主要在於改善整體研發環境,內容包含十項原則,分別為:界定使用者、界定價值(value proposition)、對使用的資料保持合理(fair)、透明(transparent)以及當責(accountable)的立場、符合一般資料保護規則(General Data Protection Regulation, GDPR)的資料最小化原則(data minimisation principle)、利用公開之標準、公開被使用的資料以及演算法的極限、在設計中內建合適的安全性設定、界定商業策略、展示技術使用上的有效性、以及公開演算法的類型、開發原因、與操作過程的監控方式。 官方期望接下來能廣納相關人員的建議,以增進此指引在產業運作上的適用性,並預期於2018年12月公布更新的版本。