西班牙AEPD增加關於健康和個人資料保護關注領域
西班牙個資監管機關(Agencia Española de Protección de Datos, AEPD)於2022年5月3日增加健康和個人資料保護有關的關注領域。觀2021年,計有680件與健康資料相關之爭議案件,與2020年相比增長了75%,又因健康資料為特殊類型之個人資料,故更應嚴加保障。
該領域的內容適用於公民、資料控制者、資料保護專業人員、健康中心或製藥行業等,共分六小節:
一、第一小節概述了與健康資料有關的權利,解釋了歐盟一般個人資料保護規則(General Data Protection Regulation, GDPR)第9條及西班牙當地規範有關處理健康資料定義、如何行使醫療記錄近用權(Right to access),以及與醫學研究相關的問題,其中規定了患者在使用資料和臨床文件方面權利和義務、在近用權被拒絕情況下如何向AEPD申訴、臨床病史保留及刪除權利之限制等。
二、第二小節重點介紹AEPD公布的相關報告和指南,包括勞資關係中之個人資料保護指南,及有關臨床病史、臨床試驗等相關主題之報告。
三、第三小節則著重在AEPD於新型冠狀病毒肺炎(COVID-19)爆發後,製作大量與COVID-19相關之聲明文件及法律報告,故在此彙整相關資料,以協助落實個人資料之保障。
四、第四小節健康研究和臨床試驗,其中彙編了相關指南,以及規範臨床試驗和其他臨床研究以及藥物安全監視所涉個人資料保護行為準則。
五、第五小節講述與健康狀況有關之申訴、賠償紀錄部分,其中包括AEPD收到多項涉及已故患者直系親屬近用醫療記錄之權利或醫療專業人員非法獲取臨床病史和醫療記錄之投訴。
六、第六小節側重於醫療組織洩露個人資料議題,概述了資料控制者之義務以及為確保遵循GDPR而應採取之措施,另強調以特殊方式處理健康資料之活動,如電子健康紀錄、物聯網醫療所使用之行動裝置或雲端等存取設備,皆存在外洩之風險因子。
何佳穎
副法律研究員 編譯整理
Agencia Española de Protección de Datos, New section on health and data protection https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/nueva-seccion-sobre-salud-y-proteccion-de-datos(last visited May. 11, 2022).
OneTrust DataGuidance, Spain: AEPD adds section on health and data protection https://www.dataguidance.com/news/spain-aepd-adds-section-health-and-data-protection(last visited May. 11, 2022).
歐盟執委會(European Commission)於2021年4月21日提出「人工智慧法律調和規則草案」(Proposal for a Regulation Laying Down Harmonised Rules on Artificial Intelligence (Artificial Intelligence Act) and Amending Certain Union Legislative Acts)(簡稱AI規則草案),旨在平衡「AI運用所帶來的優勢」與「AI對個人或社會所帶來的潛在負面衝擊」,促使會員國在發展及運用AI時,能採取協調一致的態度及方法,共同維護歐洲公民基本權利與歐盟價值。 歐盟自2019年起即倡議發展「值得信賴的AI」(Trustworthy AI)。AI規則草案之提出,除了落實執委會2019年至2024年之政策願景外,亦呼應2020年歐洲議會(European Parliament)之建議—針對AI應用之機會與利益採取立法行動,並確保合乎倫理原則。惟鑒於歐盟在環境、健康、公共事務、金融、交通、農業等領域對AI應用之高度需求,以及企業仰賴AI技術提升競爭優勢等因素,執委會係以「風險為基礎」之概念取向(risk-based approach)制定AI規則草案,避免對新技術發展造成不必要的限制或阻礙。 本規則草案將AI系統,依其「對歐盟基本權利或價值所創造的風險程度」,分為下列三種類型,並施以不同程度的監理方式: 一、不可接受之風險:原則上禁止使用此類型AI系統或使其進入歐盟市場。例如:利用潛意識技術操控個人、在公共場合利用「即時遠端生物辨識系統」進行執法、公務機關普遍對個人進行社會評分等。 二、高風險:於附錄中列出所謂高風險AI系統,要求高風險AI系統之提供者遵循風險管理、資料治理、文件紀錄保存、透明性與資訊揭露、人為監督、健全性、準確性與資安等要求;且AI系統進入歐盟市場前,需進行符合性評估(conformity assessment),進入市場後,則需持續監控。 三、非不可接受之風險亦非高風險:鼓勵AI系統提供者或使用者,自願建立行為準則(codes of conduct)。 AI規則草案亦鼓勵會員國建立AI監理沙盒(regulatory sandbox)機制,且以中小企業、新創公司為優先對象,使創新AI系統進入市場之前,能於可控環境中依明確計畫進行開發、測試與驗證。
歐洲創新委員會發布2022年影響力報告,總結近年投資創新領域取得之成效歐洲創新委員會發布2022年影響力報告,總結近年投資創新領域取得之成效 資訊工業策進會科技法律研究所 2023年03月13日 歐洲創新委員會(European Innovation Council, EIC)於2022年12月7日發布「2022年歐洲創新委員會影響力報告」(European Innovation Council Impact report 22)[1],展示歐盟執委會近年投資百億歐元預算於創新領域之成效。 壹、事件摘要 歐洲創新委員會為基於EU「展望歐洲」(Horizon Europe)計畫所成立之機構,而「展望歐洲」計畫則為資助歐盟研究創新之主要計畫,其預算高達955億歐元,而歐洲創新委員會亦擁有101億歐元之預算,其主要任務在於從整個生命週期支持突破性創新技術之商業化,包括早期研發、概念驗證、技術移轉、新創與小型企業之融資與規模化[2],其所發布之「2022年歐洲創新委員會影響力報告」即為總結近年協助創新領域之成效。 一、歐洲創新委員會之資助項目 歐洲創新委員會秉持創新、卓越與發揮影響力之原則,藉由支援創新鏈上之每個階段,支援歐洲研究團隊與新創公司之創造性想法,其主要任務為確認、發展與擴大突破性創新。歐洲創新委員會所提供之資金與協助機會包括下列項目[3]: 1.EIC探路者(EIC Pathfinder):支持深度技術研發,支持研究團隊研究、或開發新興突破性技術,其提供超過15億歐元之資金,其主要關注跨學科及前瞻性技術,其同時開放所有領域亦針對特定挑戰提供資助。 2.EIC轉型者(EIC Transition):以有前景之研究成果為基礎,展示技術以及促進新興技術之成熟,並為特定應用制定商業計畫,將想法從實驗室帶到產業界。 3.EIC加速器(EIC Accelerator):於EIC加速器中設有EIC基金(EIC Fund),其有義務投資透過EIC加速器評估程序(EIC Accelerator evaluation process)所選出之新創企業與小公司,可以純粹股權(equity-only)之方式或贈款與股權(grant and equity)混和之方式提供財務資助,並將重組為另類投資基金(Alternative Investment Fund, AIF),期將成為歐洲最大規模之早期深度科技投資者,並期利用100億歐元之資金吸引私人投資者而創造出300至500億歐元之槓桿效應,投資決策將由外部另類投資基金經理人來進行與管理。 4.業務加速服務(Business Acceleration Services):所有EIC支持之項目與公司皆可獲得指導、合作與其他客製化業務加速服務;其藉由四項主要計畫使公司與研究人員得以與企業、投資者、買家、加速器、創意工作室(venture builders)進行連結,包括:企業夥伴計畫、創新採購夥伴計畫、投資者夥伴計畫、學界與業界之連結。 5.歐洲創新生態系統(European Innovation Ecosystems):支持使生態系統參與者能於整個歐洲開展合作。 6.EIC獎勵(EIC Prizes):鼓勵歐洲領先之創新者接受挑戰相互競爭獎項。 二、歐洲創新委員會之資助成效[4] 於2022年歐洲創新委員會影響力報告中指出,於2014至2021年已資助503個EIC探路者項目,而從2019至2020年已有55個EIC移轉者項目將研究成果成立衍生公司(spinout)與帶來商業化機會。於歐洲創新委員會支持下之公司就業成長達44%,於無形資產投資(包括研發投資、智財權、商譽)成長109%,有形資產投資成長67%,資金流動性提高140%,孕育出12家獨角獸公司(Unicorn)與112家半人馬公司(Centau),受支持之公司估值超過400億美元。通過EIC基金為個別新創企業與小公司提供資金投資支持且發展其規模之結果,於2014至2021年已支持超過1600家新創企業與小公司,其所支持之公司超過4成之成立期間介於6-10年間。 此外,EIC提供多項措施促進與支持女性企業家與研究員,例如提出EU科技女性計畫(Women TechEU)、女性領導者計畫(Women Leadership Programme)、提供女性創新者EU獎項(EU Prize for Women Innovators)等,這些措施施行之結果,於2020與2021年期間,於EIC加速器所資助之公司有20%為女性所領導,EIC探路者中由女性所領導之項目也達到24%,且三分之一的研究人員為女性。 貳、重點說明 由2022年歐洲創新委員會影響力報告中可發現,擁有百億歐元預算之歐洲創新委員會就各項目資助之成效斐然,非但順利推動實驗室之突破性技術商業化,帶動新創公司林立、孕育多家獨角獸與半人馬公司,促進就業成長、有形與無形資產投資踴躍投入、公司估值提升,同時亦兼顧性別平等,促進女性研究人員進入新創事業並成為領導者。 參、事件評析 由2022年歐洲創新委員會影響力報告中可知,過去幾年歐洲創新委員會透過不同項目之資助,已取得相當不錯的成績,而歐洲創新委員會並不以目前取得之成就為限,仍繼續探究以不同方式協助突破性技術商業化之各種可能。例如其於2023年1月25日即與歐洲潔淨科技(Cleantech for Europe)簽署加強合作意向書,其可使雙方更系統化分享潔淨科技交易流(deal flow),且可共同合作於對於歐洲潔淨科技生態系之分析,藉此有助於被投資公司擴大其規模,且更瞭解市場需求所在,同時對於融資優先順序發生影響,並將可使公共與私人投資者增強對於潔淨科技之支持,促進潔淨科技之規模化,而將可使歐盟成為未來數十年氣候與工業之領導者[5];此外其亦於2023年2月21日宣布啟動EIC技術至市場計畫(EIC Tech to Market Programme, T2M),內涵包括EIC「技術至市場創業家精神計畫」(Tech to Market Entrepreneurship),提供培訓與發展課程,藉以幫助創業之研究者獲取開發深度科技之關鍵知識,且提供建立價值與可行商業模式之支持;以及「技術至市場風險創建模式計畫」(Tech to Market Venture Building)以客製化、靈活方式來支持利用研究成果建立新企業,協助新創產業包括從確認有前景之商業概念至風險投資創建與發展等服務,期能協助EIC探路者(EIC Pathfinder)與EIC轉型者(EIC Transition)度過將技術從實驗室轉化至市場之歷程[6]。我國近年來政府亦積極投入新創產業之推動,歐洲創新委員會各種協助新創產業之作法,如區分項目資助、擴大合作範圍、提供客製化課程等方式,或皆可作為我國未來參考之依據。 [1]EIC Impact report 2022, European Innovation Council, Dec. 7, 2022, https://eic.ec.europa.eu/news/eic-impact-report-2022-2022-12-07_en (last visited Mar. 13, 2023). [2]Who we are, European Innovation Council, https://eic.ec.europa.eu/about-european-innovation-council_en (last visited Mar. 13, 2023). [3]EIC Funding opportunities, https://eic.ec.europa.eu/eic-funding-opportunities_en (last visited Mar. 13, 2023). [4]EIC impact report 2022, European Innovation Council, Dec. 6, 2022, https://eic.ec.europa.eu/system/files/2023-02/2022-EIC-Impact-Report-141222.pdf (last visited Mar. 13, 2023). [5]European Innovation Council and Cleantech for Europe sign partnership to accelerate funding for EU clean technologies, European Innovation Council, Jan. 25, 2023, https://eic.ec.europa.eu/news/european-innovation-council-and-cleantech-europe-sign-partnership-accelerate-funding-eu-clean-2023-01-25_en (last visited Mar. 13, 2023). [6]The European Innovation Council launches Tech to Market Entrepreneurship & Venture Building Programme, European Innovation Council, Feb. 21, 2023, https://eic.ec.europa.eu/news/european-innovation-council-launches-tech-market-entrepreneurship-venture-building-programme-2023-02-21_en (last visited Mar. 13, 2023).
英國推出《藥品和醫療器材法》草案英國政府於2020年2月13日發布了《藥品和醫療器材法》(Medicines and Medical Devices Bill)草案。根據英國國民保健署(NHS)的聲明,新法草案修改以及補充了現有的英國藥品、醫療器材、臨床試驗監管框架,確保英國能夠開發具有開拓性的醫療技術。 本次草案的提出原因之一為英國計劃自2020年12月31日起退出歐盟,過去英國藥品與醫療器材法律乃援引歐盟相關指令與規則(例如:歐盟醫療器材法規,Medical Device Regulation, (EU) 2017/745),一旦脫歐過渡期結束,英國將無法再透過1972年《歐洲共同體法》(ECA 1972)援用歐盟的規定來規範與更新藥品、醫療器材與臨床試驗法律。 本次法案另有幾項新增重點: 醫療器材主管機關英國藥品和醫療產品監管署(Medicines and Healthcare Products Regulatory Agency)成為唯一有權簽發執行通知書(enforcement notices)的機關。 草案第23條明確指出哪些違反英國《2002年醫療器材法規》(Medical Devices Regulations 2002)的行為可能導致刑事犯罪。 草案第26條針對違反英國《2002年醫療器材法規》的人有新的民事制裁(civil sanctions)規範框架。例如在本法草案附表1(Schedule 1)中提及將賦予內閣大臣權力,得對違反《2002年醫療器材法規》之個人處以罰款(monetary penalty)。 草案第34條賦予內閣大臣權力向公眾分享有關醫療器材的資訊,例如受個資法保護或屬商業機密的醫療器材安全的資訊。 目前法案草案在國會二讀階段。
英國政府發佈「網路安全規範與誘因評論」,評估是否有必要新增規範或誘因 來加強整體經濟活動中的網路風險管理英國文化、媒體暨體育部(Department for Culture, Media & Sport)於2016年12月21日發佈「網路安全規範與誘因評論」(Cyber Security Regulation and Incentives Review)(下稱本評論),本評論旨在評估新增規範或誘因對於強化整體經濟活動中之網路風險管理的必要性。 本評論的主要結論與建議為: 1.保護公民免於受到犯罪或其它形式的傷害具備明確的公益性,保護個人資料的相關規範亦具有強烈的正當性基礎。 2.有鑑於此,英國政府將藉由施行歐盟「一般資料保護規則」(General Data Protection Regulation,下稱GDPR)來增進整體經濟活動中的網路安全風險管理。英國政府藉由GDPR所課與企業在合理時間內向主管機關通報資料外洩事件之法律義務,以及GDPR在企業違反個資保護義務之罰鍰機制,要求產業界對網路安全的風險管理積極採取行動。 3.英國政府將採取若干措施來增加資料保護與網路安全之間的連結,以強化網路風險的管理。這些措施包括加強資訊委員辦公室(Information Commissioner’s Office),以及國家網路安全中心(National Cyber Security Center)之業務上合作關係、與投資人社群合作來制定網路安全規範,以及經由新的管理者論壇(Regulators’ Forum)與管理者合作,並且彼此分享良好的做法以及網路威脅的資訊等。 4.目前英國政府暫不在GDPR以外訂定其他的一般網路安全規範。