揭露產品溯源資訊，兼顧防偽、永續！歐盟區塊鏈物流認證計畫進行試點，將於11月發布報告

　　美國健康與人類服務部（Secretary of Health and Human Services；以下簡稱HHS），於2009年4月17日公布「個人健康資訊外洩通知責任實施綱領」（Guidance Specifying the Technologies and Methodologies That Render Protected Health Information Unusable, Unreadable, or Indecipherable to Unauthorized Individuals for Purposes of the Breach Notification Requirements under Section 13402 of Title XIII (Health Information Technology for Economic and Clinical Health Act) of the American Recovery and Reinvestment Act of 2009; Request for Information；以下簡稱本綱領）。本綱領為美國迄今唯一聯盟層級之資料外洩通知責任實施細則，並可望對美國迄今四十餘州之個資外洩通知責任法制，產生重大影響。 　　本綱領之訂定法源，係依據美國國會於2009年2月17日通過之經濟與臨床健康資訊科技法（Health Information Technology for Economic and Clinical Health Act；以下簡稱HITECH），HITECH並屬於2009年「美國經濟復甦暨再投資法」（America Recovery and Reinvestment Act；簡稱ARRA）之部分內容。 　　HITECH將個人健康資訊外洩通知責任的適用主體，從「擁有」健康資訊之機構或組織，進一步擴大至任何「接觸、維護、保留、修改、紀錄、儲存、消除，或以其他任何形式持有、使用或揭露安全性不足之健康資訊」的機構或組織。此外，HITECH並規定具體之資料外洩通知方法，即必需向當事人（資訊主體）以「即時」（獲知外洩事件後60天內）、「適當」（書面、或輔以電話、網站公告形式）之方式通知。不過，由於通知之範圍僅限於發生「安全性不足之健康資訊」外洩，故對於「安全性不足」之定義，HITECH即交由HHS制定相關施行細則規範。 　　HHS本次通過之實施辦法，將「安全」之資料定義「無法為第三人使用或辨識」，至於何謂無法使用或辨識，本綱領明定有兩種情形，一是資料透過適當之加密，使其即使外洩亦無法為他人辨識，另一則是該外洩資訊之儲存媒介（書面或電子形式）已被收回銷毀，故他人無法再辨識內容。 　　值得注意的是，有異於美國各州法對於加密標準之不明確態度，本綱領已指明特定之技術標準，方為其認可之「經適當加密」，其認可清單包含國家標準與技術研究院（National Institute of Standards and Technology）公布之Special Publication 800-111，與聯邦資訊處理標準140-2。換言之，此次加密標準之公布，已為相關業者提供一可能之「安全港」保護，使業者倘不幸遭遇資料外洩事件，得主張資料已施行適當之加密保護，即無需承擔龐大外洩通知成本之衡平規定。

　　長久以來國際藥廠從大量販售的藥物中獲取上億元的營收，例如抗癌藥物與抗瘧藥物，均是萃取自中國的草本植物，但是這些擁有藥物傳統知識與遺傳資源的族群部落(the community)，卻只得到相對微薄的報酬。為此，世界智慧財產組織(The World Intellectual Property Organization)已經在過去五年中力圖達成將利益擴及到提供傳統知識與遺傳資源的族群部落。 　　許多先進國家到非洲、亞洲等地方蒐尋具有療效的植物後，回實驗室進行研發萃取其物質後做成藥物，但卻從來沒有主動的揭露其來源，也不曾主動的回饋其獲利給那些藥廠從中獲得藥物植物的族群部落。開發中國家已試著要去制止這非法的竊用傳統知識的行為。 　　但由於傳統知識是累積的，因此傳統知識的保護也面臨到如何認定其於何時已存在的困難。因此傳統的智慧財產保護體系對於不能確認個別權利人與權利標的範圍的傳統知識無法提供保護。 　　不過，世界智慧財產組織表示藥廠已開始關心並參與傳統知識利用的協議，因為這些投資億元於研發而已有成功結果的藥廠，並不希望他們處於一個法律上不確定的狀態。

　　美國能源部（Department of Energy, DOE）所屬之電力傳輸與能源可靠度辦公室（Office of Electricity Delivery and Energy Reliability, OE）與聯邦智慧電網工作小組（Federal Smart Grid Task Force）對於由智慧電網技術所生之資料相關隱私保護問題，經過一系列包括相關業者在內的公眾意見徵集與專家學者討論後，於2015年1月12日所發布之「自願行為守則」（Voluntary Code of Conduct, VCC），係屬美國總統歐巴馬同日宣示政策，公布對於強化消費者安全、處理身分盜用（identity theft）、並促進線上隱私保護之總體策略方向中的重要部份。 　　「自願行為守則」的適用對象是供電業者與第三方，目的在於保護包括能源使用資訊（energy usage information）在內的電業消費者資料，並提高消費者的隱私意識與相關資料在提供與近用上所須行使的同意與控制。「自願行為守則」揭示其三大目標，包括：（一）於鼓勵創新的同時，適切地保護消費者資料的隱私與機密性，並提供可靠與不致於無法負擔之電業與能源相關服務；（二）提供消費者對其自身資料的適當近用（appropriate access）；以及（三）不生違反或取代任何聯邦、州、或地方主管機關之法令或管制措施之效果。 　　而為求取前揭目標之達成與實現，「自願行為守則」訂有五大步驟。此五大步驟包括：（一）「消費者之注意與意識」：透過相關規定向消費者解釋資料蒐集的相關政策與程序，並聚焦於消費者的選擇與責任，藉以讓消費者了解其所必須行使之同意；（二）「消費者之選擇與同意」：透過相關規定讓消費者能為非原始目的（Secondary Purposes）——例如向數個第三方為差別化之近用授權、限制近用之期間、留存資料釋出之記錄、取消授權、以及於授權終止或不再需要相關資料時之資料處置或去識別化等——對其資料之近用進行相關管控、確認有哪些類型的資料與揭露無須消費者同意、以及要求特定資料應直接由消費者處取得；（三）「消費者資料近用」：透過相關規定允許消費者近用其資料、確認可能的錯誤、以及要求更正的相關程序，其中包括在特定情況下就非常態性要求收取費用的可能性；（四）「資料的完整性與安全性」：透過相關規定規範網路安全管理計畫，以及聚合性資料（Aggregated Data）或匿名性資料的建立方式；（五）「自發性執行、管理、與矯正」：透過相關規定對自願採納本「自願行為守則」之服務提供者的行動作出規範，以確保其遵守行為守則。「自願行為守則」雖屬自律規範，但其制定過程有包括電力業者在內之利害關係人的充分參與，並經充分之專家與公民意見徵集，被預期在公布之後將有相當程度之約束力量，並能令因智慧電網與能源資通訊技術所生之相關隱私權保護問題得到更進一步的解決。