法國國家資訊自由委員會(CNIL)於2023年10月16日至11月16日進行「人工智慧操作指引」(AI how-to sheets)(下稱本指引)公眾諮詢,並宣布將於2024年初提出正式版本。本指引主要說明AI系統資料集建立與利用符合歐盟一般資料保護規則(GDPR)之作法,以期在支持人工智慧專業人士創新之外,同時能兼顧民眾權利。
人工智慧操作指引主要內容整理如下:
1.指引涵蓋範圍:本指引限於AI開發階段(development phase),不包含應用階段(deployment phase)。開發階段進一步可分為三階段,包括AI系統設計、資料蒐集與資料庫建立,以及AI系統學習與訓練。
2.法律適用:當資料處理過程中包含個人資料時,人工智慧系統的開發與設計都必須確定其適用的法律規範為何。
3.定義利用目的:CNIL強調蒐集及處理個資時應該遵守「明確」、「合法」、「易懂」之原則,由於資料應該是基於特定且合法的目的而蒐集的,因此不得以與最初目的不相符的方式進一步處理資料。故明確界定人工智慧系統之目的為何,方能決定GDPR與其他原則之適用。
4.系統提供者的身分:可能會是GDPR中的為資料控管者(data controller)、共同控管者(joint controller)以及資料處理者(data processor)。
5.確保資料處理之合法性:建立AI系統的組織使用的資料集若包含個人資料,必須確保資料分析與處理操作符合GDPR規定。
6.必要時進行資料保護影響評估(DIPA)。
7.在系統設計時將資料保護納入考慮:包含建立系統主要目標、技術架構、識別資料來源與嚴格篩選使用…等等。
8.資料蒐集與管理時皆須考慮資料保護:具體作法包含資料蒐集須符合GDPR、糾正錯誤、解決缺失值、整合個資保護措施、監控所蒐集之資料、蒐集之目的,以及設定明確的資料保留期限,實施適當的技術和組織措施以確保資料安全等。
對於AI相關產業從事人員來說,更新AI相關規範知識非常重要,CNIL的人工智慧操作指引將可協助增強AI產業對於個資處理複雜法律問題的理解。
日本網路販售藥品爭議 科技法律研究所 2013年12月31日 壹、事件摘要 網路販售藥品的爭議,日本從早期未明文規定,但於2006年時,日本修正藥事法,將藥品區分為第一類、第二類、第三類藥品,並限制得販賣各類藥品之資格;2009年6月,日本厚生勞動省進一步公布修正日本藥事法施行細則,禁止於網路上販售第一類及第二類藥品,此一修正,引起日本網路商家的反對,認為施行細則禁止網路販售第一、二類藥品之規定已超出藥事法之授權範圍,並據以提起行政訴訟。歷經各審級的訴訟後,東京最高法院於2013年1月判決厚生勞動省敗訴確定,確認得於網路販藥品。 另一方面,2013年6月,日本內閣所提出的「日本經濟再興戰略」亦確認將網路販售藥品的解禁作為重要原則。在經過一連串的公聽會及檢討會議之後,日本於2013年12月通過新修正的藥事法(下稱新法),依新法之規定,除經厚生勞動省認定為危險性極高之劇藥或毒藥外,99.8%的一般用藥品已經可以合法於網路上販售。 以下,本文首先簡單說明日本2006年藥事法以及2009年厚生勞動省所公布的藥事法施行細則中針對藥品之分類與藥品販售等相關限制規定,並整理東京最高法院判決厚生勞動生敗訴之理由,最後再介紹2013年12月所修正之藥事法內容,盼能透過日本對於網路販售藥品之處理歷程,促使我國能夠重新思考網路販售藥品之管制及其容許性。 貳、重點說明 一、日本藥事法規 (一)藥事法(2006年) 2006年所通過之藥事法,對於藥品分類及販售限制等,其規定如下: 1.藥品分類 藥品可分為「醫療用藥品」及「一般用藥品」,「醫療用藥品」需有醫師處方箋始可取得;「一般用藥品」則可在一般店鋪或藥局自行購買。一般用藥品,以對人體之副作用及風險之等級作區分,分為高風險之第一類藥品、風險較次之第二類藥品、以及低風險之第三類藥品(藥事法第36條之3)。 2.藥品販售 藥事法第36條之5規定,藥局開設者、店鋪販售業者或配製販售業者,對於一般藥品,應依照厚生勞動省令之規定進行販售或交付,第一類藥品須由藥劑師為之,而第二類及第三類藥品則得由藥劑師或登錄販售者為之。 3.資訊提供義務 第一類藥品之販售,須使用記載厚生勞動省所定事項之書面,提供適切服用之必要資訊(藥事法第36條之6第1項)。相對於第一類藥品之情報提供義務,藥事法對於第二類藥品之販售則係課予「努力義務」(藥事法第36條之6第2項)。 4.販售方式限制 藥局開設者或店鋪販售業者,不得透過店鋪販售或交付以外的方法,而配置販售業者(配置販售業係日本特有的藥品販賣行業,其業務型態是以將各項藥品裝箱後配送到需求單位,而在經過一段時間後依照需求單位之使用量來計算收費金額)不得透過配置以外方法,販售、交付藥品、或基於販售或交付目的而儲藏或陳列藥品(藥事法第37條)。 (二)藥事法施行細則(2009年) 2009年厚生勞動省所公布之藥事法施行細則,對於網路販售藥品之相關限制規定如下: 1. 禁止通信販售 藥事法施行細則第15條之4規定,除第三類藥品外,不得進行通信販售,即對於未親臨藥局之消費者,不得以郵寄等方式進行藥品之交付,亦不得以網路販售。 2.面對面販售原則 藥事法施行細則第159條之14規定,藥局開設者、店鋪販售業者或配置販售業者,為販賣各類藥品,應設有符合藥事法第36條之5所定資格之藥劑師或登錄販售者,並由其於販售現場與消費者面對面進行販售(面對面販售原則)。但是,如為第三類藥品之通信販售,則不在此限。 3.資訊提供義務的履行方式 藥事法第36條各項之情報提供義務或努力義務之履行,須於藥品販售時與消費者面對面進行之(藥事法施行細則第159條之15至第159條之17)。因為施行細則規定了面對面販售之原則,而網路販售藥品因無法符合面對面販售原則,故第一類及第二類藥品被認定為禁止於網路販售。 二、東京最高法院判決 2009年藥事法施行細則禁止網路販售第一、二類藥品後,相繼對網路販售藥品之業者開罰,其中二家業者認為藥事法施行細則之規定已超出藥事法所授權的範圍,並據此提起行政訴訟。如前所述,東京最高法院判決厚生勞動省敗訴確定,其理由如下: (一)對於藥品販售方式之限制須遵守法律保留原則 為確保藥品安全性,避免不良藥品侵害國民之生命、健康,藥事法對於藥品之製造、販售等設有各種規制,有其必要。對於藥品的販售方式是否限定須於「店舖內為之」或必須符合「面對面販售原則」,涉及到憲法第22條所保障之職業活動自由,若欲為限制,須以法律或授權命令為之。 (二)厚生勞動省所定之施行細則逾越法律授權範圍 藥事法第36條之5規定,販售第一類藥品必須由藥劑師,第二類、第三類藥品由藥劑師或登錄販售者進行販售,所限制者為販售藥品之資格,施行細則第159條之14要求藥劑師或登錄販賣者須在藥局、店鋪或配置場所等進行面對面販售,已超出藥事法第36條之5的授權範圍。 藥事法第36條之6規定藥品資訊提供之義務等,而應提供之資訊則由厚生勞動省定之,且藥事法第36條之6並未規定不得以電磁紀錄方式為之;施行細則第159條之15至第159條之17規定必須面對面進行,亦已超出藥事法第36條之6的授權範圍。 (三)立法者無限制網路販售之意 從立法體系觀之,藥事法第35條之5規定藥品販售資格;藥事法第36條之6則規定資訊提供義務;而對於藥品販售方式的限制,於藥事法第37條另有規定,故藥事法若對網路販售藥品進行限制,應於藥事法第37條規定。再從立法沿革觀之,藥事法於修正前並未針對網路販售藥品進行限制,而藥事法在2006年修正後亦無此限制。且參考修法討論之部會檢討報告書及厚生勞動大臣於國會審議時之答辯,均未表明禁止網路販售藥品之旨趣。故此,可推知立法者並無限制網路販售之意思,因此,厚生勞動省以施行細則限制網路販售藥品,已逸脫藥事法之立法意旨。 (四)自文義解釋無法得到禁止網路販售之意旨 藥事法第37條之文義,並無法看出明文禁止網路販售之意旨,其所稱「店鋪販售」,應指須在營業地點為之,而非僅得於店鋪進行販售。若解為僅得於實體店面交易,則藥事法施行細則第15條之4及第159條之14另規定第三類藥品得網路販售,豈非自相矛盾。 三、新藥事法(2013年) (一)要指導藥品 新藥事法第4條第5項增設「要指導藥品」,包括毒藥、劇藥、以及從醫療用藥品轉為一般用藥品後而未超過厚生勞動省所定評估期間之藥品等。對於「要指導藥品」之販售,必須讓藥劑師依面對面販售原則,將相關資訊提供給消費者。 (二)資訊提供義務 新藥事法第36條之10亦分別對於第一類及第二類藥品課予資訊提供義務及努力義務,與舊法不同之處在於使用記載厚生勞動省所定事項之書面,提供適切服用之必要資訊時,增設「電磁紀錄」之提供方式。亦即,網路販售藥品,以電磁紀錄方式履行資訊提供義務,只要該電磁紀錄包含厚生勞動省所定之事項及表示方法,亦符合法規範之要求。因此,無論第一、二、三類藥品,自新藥事法施行後,已經可以合法地進行網路販售。 參、事件評析 隨著電子商務的蓬勃發展,網路購物對於消費者而言已經從一個新鮮未知的事物變成了日常生活的一部分,而透過網路買賣一般用藥品,在替消費者帶來了莫大便利的同時,也為藥品販售業者帶來極大的商機。然而,在促進生活便利性以及網購商機的同時,國民健康的保護亦為政府所關心之課題。為保障國民服用藥品之安全,藥品販售者應使消費者充分瞭解藥品的正確服用方式、劑量以及服用之注意事項及風險等。 網路販售藥品的爭議,日本從早期未明文規定,歷經2006年藥事法修正、2009年厚生勞動省公布藥事法施行細則限制網路販售第一類及第二類藥品、2013年1月東京最高法院判決厚生勞動省敗訴確定、2013年6月「日本再興戰略」確認開放網路販售藥品之原則、一直到2013年12月再度修正藥事法,明文規定除了經厚生勞動省認定之劇藥、毒藥等「要指導藥品」(目前約有28項藥品)需由藥劑師依對面販售原則,面對面向消費者說明藥品資訊外,一般用藥品可藉由網路以電磁紀錄方式履行資訊提供義務。從此,網路販售藥品已成為合法的藥品販售方式之一。 網路販售藥品究竟應予開放或禁止,涉及到國民健康、國民生活便利性的保障、以及業者職業自由的限制,如何在三者間找到平衡點。一直為各界所爭執,而我國對於網路販售藥品之問題,一向採取嚴格禁止之作法,新聞時事亦常見到民眾因於網路販售隨處可見之一般藥品而遭受處罰之案例。然而,此種於一般商店亦可販售之藥品,其禁止於網路販售之理由何在?其依據為何?對照日本之處理歷程,我國未來是否仍要全面禁止網路販售藥品,值得吾人重新思考。
AT&T 控告資料掮客非法竊取客戶通話紀錄AT&T 在 8 月 24 日 控告 25 個販賣資料的掮客( data broker ),在其訴狀中指出大約有 2500 個客戶的個人紀錄被非法竊取, AT & T 已通知相關客戶已被通知並凍結其帳戶。 AT&T 並未於訴狀中明確地列出被告的名字,表示目前必須利用電腦郵件以及電腦 IP 位址來確認被告為哪些人, AT&T 宣稱一旦這些資料掮客經鑑定被確認後,除了賠償 AT&T 的損害之外,還須償還其販賣資料所獲得的不法利益。 PrivacyToday.com 網站的總裁表示,「買資料的人無處不在,但只有少數的人會非法竊取客戶資料,而這少部分的人大多都可以被追蹤的到。」 這並非唯一的案例,未來將會有越來越多相似的問題產生。被竊取的資料不僅僅只有電話紀錄,還有銀行、醫療或其他個人敏感資料,每分每秒都有人在想著如何取到私密資料並從中獲得不法利益。目前州及聯邦已經考慮立法,將有關電話紀錄的欺騙行為判定為不法行為。
美國衛生及公共服務部提出雲端服務適用健康保險可攜與責任法之相關指引美國醫療產業使用境內或境外雲端服務(Cloud Services)急速成長,導致「健康保險可攜與責任法」(Health Insurance Portability and Accountability Act,以下簡稱HIPAA)規範下之「適用機構」(Covered Entities)與其「商業夥伴」(Business Associate),對於雲端服務業者如何適用HIPAA感到疑惑。因此,衛生及公共服務部民權辦公室(Department of Health and Human Services, Office for Civil Rights)於10月7日公布相關業者如何適用HIPAA之指引,以釐清爭議。 於該指引中,該部指出,雲端服務業者若替適用機構或是商業夥伴創造、接收、維護、傳送被HIPAA所保護之「資療資訊」(Protected Health Information),則該雲端業者就被視為HIPAA下規範之商業夥伴,原因在於該服務具有儲存與維護醫療資訊功能,非屬該法排除適用之「網路服務業者」(Internet Service Providers)資料傳輸服務類型。 該指引有幾大重點:首先,雲端服務業者如將該醫療資訊提供加密儲存服務,仍應盡到HIPAA中規範商業夥伴之責任。原因在於加密資料不足以保護HIPAA有關資訊安全章節所要求醫療資訊之「機密性、完整性和可用性」之相關規範。再者,雲端業者皆須與委託方簽署商業夥伴協議(Business Associate Agreements)。此外,使用雲端服務儲存資療資訊時,委託方皆能使用行動設備進入雲端儲存之醫療資料,但應建立合乎HIPPA所要求相關之安全措施。最後,HIPAA並未禁止將醫療資訊儲存至伺服器為於美國境外之雲端業者,但使用前應自行評估該資訊遭駭客攻擊之可能性。
Ericsson專利訴訟新打手—專利蟑螂據報載,瑞典電信鉅業愛立信公司(Ericsson)已經將超過兩千筆的專利組合出售給Unwired Planet公司,此舉將更有利於Unwired Planet公司在智慧型手機的侵權官司當中繼續爭訟。此外,Unwired Planet公司宣稱Ericsson公司所移轉的2185件專利當中,包括美國及他國之專利權、專利申請案件給Unwired Planet公司,在這些移轉的專利組合當中,多數的技術都是與2G、3G,以及長期演進技術(Long Term Evolution,簡稱LTE)的專業技術領域有關。 Unwired Planet公司成立於1996年,同時宣稱自己為”行動網路的發明家”。透露說為了這次的合作,從公司成立時不久,即開始與授權公司以及Ericsson公司接洽。公司高層並指出,透過與Ericsson公司的合作,事實上已經傳達了高值的社會價值,反映出我們所承諾要保護並展現創新的觀點。 Unwired Planet公司是一間藉由把持專利權,以在各科技公司間興頌,並從中獲得利益的公司,通常被稱為專利蟑螂(patent troll)。