美伊利諾最高法院判決:醫療服務提供者例外不受生物資訊隱私法保護

美國伊利諾州伊利諾最高法院(Illinois Supreme Court)於2023年11月30日對Mosby v. The Ingalls Memorial Hospital et al.案做出判決:認定符合聯邦法規健康保險流通與責任法(Health Insurance Portability and Accountability Act, HIPAA)規定,基於「治療、付款或健康照護運作」之前提下,除病患外即使是醫療服務提供者的生物識別資訊被蒐集、利用或揭露,同樣不受伊利諾州生物資訊隱私法(Biometric Information Privacy Act, BIPA)的保護。

伊利諾州現行以BIPA對蒐集或保留任何個人的生物識別資訊(如虹膜、聲紋、指紋或生物樣本等)做了較為嚴格的限制,原則上這些資訊不能在未經當事人同意的情況下被蒐集、利用或揭露。除非是1.由醫療保健機構從患者身上蒐集的生物識別資訊;或2.根據HIPAA規定,基於進行治療、付款或健康照護運作的前提來蒐集、使用或儲存的生物識別資訊,才可例外免經當事人同意(biometric identifiers do not include information captured from a patient in a health care setting or information collected, used, or stored for health care treatment, payment, or operations under the federal HIPAA.)。然而,基於進行治療、付款或健康照護運作的前提,資料主體除接受治療或健康照護的病患外,是否涵蓋醫療服務提供者(如醫護人員),則有疑義。

本案因醫院的護理人員認為醫療院所未經同意,使用帶有指紋掃描功能的藥品櫃,來蒐集、使用或儲存了他們的生物識別資訊,因此提起訴訟。伊利諾州的地方法院和巡迴上訴法院於本案均支持原告提出的主張。然而,伊利諾州最高法院審理時則透過文義解釋以及條文結構分析之方式,認為立法者係有意於例外規定中重複使用「資訊」一詞,兩次「資訊」之內涵應有不同。故前段的資訊係指患者的資訊,而後段的資訊來源則應包含了醫療照護提供者,方符合立法者真意。

生物識別資訊風險較高,過去被認為需要取得當事人積極同意授權;於本案中伊利諾州最高法院權衡認為基於「治療、付款或健康照護運作」情境下,如本案情形係用來確保醫藥品被正確分配給需要的患者,因此對患者以外的醫療人員隱私權做出限制符合例外規定。本案揭示了個資隱私得為合理利用的情境之一,然而HIPAA對於資料傳輸較寬鬆的規範會否又與資料保護的趨勢有所違背,仍須持續關注相關案例發展。

相關連結
你可能會想參加
※ 美伊利諾最高法院判決:醫療服務提供者例外不受生物資訊隱私法保護, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=9142 (最後瀏覽日:2024/12/11)
引註此篇文章
你可能還會想看
歐盟個人資料保護委員會提出關於資料主體接近使用其個人資料權利之指引

  歐盟《一般資料保護規則》(General Data Protection Regulation, GDPR)第15條為「資料主體之接近使用權(Right of access)」,其第1項規定「資料主體有權向控管者確認其個人資料是否正被處理」,資料主體並得知悉其個資處理之目的、所涉及之類型等事項。該條係為使資料主體在獲得充分、透明且容易接近之資訊,使其得更輕易的行使如資料刪除或更正等權利。   因條文在文字上具抽象性,就具體內涵仍須有一定基準,故歐盟個人資料保護委員會(European Data Protection Board, EDPB)於2022年1月18日,針對GDPR中之接近使用權提出指引(Guidelines 01/2022 on data subject rights - Right of access),闡明在不同的情況中,資料主體應如何向資料控管者(Data Controller)主張接近使用權,並且說明資料控管者針對此項權利之義務內涵。   就具體內容,該指引包含:接近使用權之範圍、資料控管者應向資料主體提供之資訊內容、資料主體請求資訊之格式、資料控管者應如何提供資訊、GDPR第12條第5項所稱「資料主體之請求明顯無理由或過度者」之概念為何。指引並製作流程圖,以便利資料主體輕易的了解向資料控管者主張權利之步驟。   而對於資料控管者,指引亦說明其應如何解釋與評估資料主體之請求、應如何回覆特定請求、限制接近使用權之例子。該指引旨在從各方面分析接近使用權,經由舉例與設想特殊情形,以求為該權利提供更精確之指導。

智慧城市-「智慧城市世界大會展覽」暨歐盟政策

  今年11月17日到19日為期三天的第五屆「智慧城市世界大會展覽(Smart City Expo World Congress)-都會平台(Urban Platforms):串聯資料數據以及城市之間的連結」於西班牙巴塞隆納舉行。該大會凝聚了世界500個城市、450個參展單位,以及400位講者於一堂,主要觸及了城市如何因應大量成長的數據、從新的管理方式中,要如何以及在哪裡得到價值,以及在加速城市中的都會平台過程中,要付出什麼樣的代價等議題。   今年度的大會展覽令人耳目一新的創新作品包括:綠色環保無人駕駛小公車、提醒視力受損者,道路上有障礙物的智慧應用程式、能夠辨識在範圍內的射擊,並且精準地指出事件發生地點的麥克風系統,還有其他諸如無人飛機、物流和都會區內遞送服務等等創意新點子。   「智慧城市」一詞,意味著一個能夠合於未來發展的都會,同時轉變為一個可以在提升資源以及能源效率的同時,還能夠減少對於生態衝擊的環境。而歐洲的智慧城市發展,主要是在「歐洲2020戰略」(Europe 2020)中,由歐盟執行委員會所實施的「歐洲創新夥伴計畫」(The European Innovation Partnership, EIP)帶領歐洲倡議都會平台於以下三個交互運作的活動以及發展:(一)以城市需求為導向的發展,使得能快速地適應都會平台;(二)由備忘錄(Memorandum of Understanding, MoU)所鞏固的供給導向發展;(三)在信任的基礎上所建立的標準化導向發展。   歐盟於2011年6月公布的「智慧城市與社群歐洲創新夥伴計畫」(The European Innovation Partnership on Smart Cities and Communities, EIP-SCC)目的是為了要將城市、企業與市民結合起來,共同藉由永續的解決方案,來改善都會城市現有的問題,並提升城市的整體生活。此計畫期許以資通訊科技(Information and Communication Technology, ICT)、能源與交通管理的結合,共同提出創新的解決方案,為今日歐洲城市面對來自於環境、社會與健康等挑戰進行解套,計畫發展核心包含開放資料(Open Data)、商業模式(Business Models)、政策與法規(Policy and Regulation)、能源效率與低碳解決方案(Energy Efficiency and Low Carbon Solutions)、財政金融與採購(Finance and Procurement)、都會移動(Urban Mobility)、能源整合網絡(Integrated Energy Networks)等。   從歐盟所發展的大戰略計畫,到今年第五年的「智慧城市世界大會展覽」,明顯嶄露出歐盟在積極推動經濟發展的同時,帶著永續環境的思維,這是之所以歐盟能持續引領歐洲,甚至世界未來發展趨勢的關鍵原因。

美國CVAA義務豁免之案例介紹與分析

資訊揭露與市場競爭評估–研析英國水平協議指引中之資訊交換

資訊揭露與市場競爭評估– 研析英國水平協議指引中之資訊交換 資訊工業策進會科技法律研究所 2023年09月23日 英國競爭與市場管理局(Competition and Markets Authority,CMA)於2023年8月16日發布《1988年競爭法第一章禁令適用於水平協議之指引》(Guidance on the application of the Chapter I prohibition in the Competition Act 1998 to horizontal agreements,以下簡稱CMA水平協議指引),以規範實際或潛在競爭者間之協議[1]。CMA水平協議指引提供事業擬定協議內容的參考,事業間於業務合作的同時,亦能符合法遵之要求,以維護市場公平競爭。 壹、事件摘要 英國CMA水平協議指引解釋競爭法之適用,尤其是《1998年競爭法》(Competition Act 1998,CA98)第1章禁止水平協議。2023年1月1日,《1998年競爭法(專業協議集體豁免)2022年指令》(SABEO)與《1998年競爭法(研發協議集體豁免)2022年指令》(R&D BEO)生效,於2023年8月16日發布之CMA水平協議指引,協助事業評估特定類型的水平協議是否受益於SABEO和R&D BEO,和遵守競爭法之相關規範[2]。申言之,CMA水平協議指引協助事業評估其所簽訂之協議內容,是否屬於法規範豁免之類型,且合乎競爭法之規定。 CMA水平協議指引說明研發協議[3]、生產協議[4]、採購協議[5]、商業化協議[6]和標準化協議[7]之適用與範例。鑒於大數據分析與機器學習需使用大量的資料;而大數據分析的結果,或機器學習的應用,將影響決策的形成,資訊交換因而更顯重要[8],CMA水平協議指引亦引導事業為合理的資訊交換。 資訊交換不僅為競爭市場的共同特徵,在一般的情形亦有利於消費者;例如資訊交換有助於解決資訊不對等而提升市場效率,事業能藉由比較最佳實踐方案,以提高內部效率;能減少庫存以節省成本,並處理不穩定的需求;或藉由演算法以開發新的產品或服務;[9]或減少搜尋成本,以提供消費者利益[10]。依據實際情況,資訊交換可以是有利於競爭,競爭中立或限制競爭[11]。換言之,競爭市場中適當的資訊交換,有助於事業降低成本,提升效率。 貳、重點說明 CMA水平協議指引第8章為資訊交換(Information Exchange),目的即在指導事業為資訊交換的競爭評估[12]。資訊交換是否會引發限制競爭之效應,取決於市場的特性,包含[13]: (1)市場透明度:越透明的市場,競爭之不確定性越小[14]。 (2)市場集中度:若市場中僅有少數事業,則易於達成共識,與控制市場偏差。若市場高度集中,則訊息的交換,將有助於事業了解競爭者的市場地位和策略,而扭曲競爭,甚而增加共謀(collusion)的風險;若市場分散,則競爭者間資訊的傳播與交換,對市場而言,可能為競爭中立或有利於競爭[15]。 (3)參進障礙:此使外部競爭者無法破壞市場中的共謀結果(collusive outcome)[16]。 (4)市場穩定度:在供需穩定的市場,亦可能有共謀的結果;而需求的波動、市場中事業內部的大幅成長、新事業的參進、顛覆性創新(disruptive innovation),均可能顯示市場的穩定度不足,需提升交流,以促進競爭[17]。 競爭對手間的資訊交換,依據共享資訊的內容、目的、法律與經濟背景,可能為侵權而應受限制。包含與競爭對手交換事業目前或未來的訂價方向、生產能力、商業策略、針對需求的規劃,對未來銷售的預測,和在特定市場上的財務狀況與經營策略[18],提供價格資料而能預測事業未來的行為,和與競爭對手交換潛在參進者所提出之計畫要點[19]。申言之,事業應避免資訊所生之侵權行為;並需考量市場的特性,以評估資訊交換對競爭之限制。 參、事件評析 CMA水平協議指引第8章,提供事業間交換資訊的相關建議。為提升資訊交換對市場的效益,以資訊內容而言,事業須考量資訊交換的目的,以及藉由收集資訊、確認資訊交換的參與者係使用其具有所有權的原始資料、使用歷史資訊、僅交換與達到目標相符且必要的資訊,而能減少具有商業敏感性質的內容[20]。換言之,事業須避免機敏資料的流通,並具有使用資料的權限。 以資訊應用的角度,事業應採取措施,以控制資訊的交換與使用,包含減少頻繁的交換,以特定團隊(clean team)或信託方式進行資訊交換,或使用資料池(data pool)以確認近用資料之所有權[21]。亦即事業須確認資料的來源,與交換資料的相對人,並能管理資料流通的過程。 綜上所論,足夠的資料量,使大數據分析的結果能充分反映市場的實際需求,事業的決策和布局亦更為準確,適當的資訊交換有助於提升事業的市場競爭力。CMA水平協議指引協助事業評估資訊交換對競爭之影響,事業之資訊管理,除內部資訊之維護外,亦包含外部資訊之交換,如資訊交換之必要性,與資訊近用之權限、方式等,或可提供臺灣事業參考。 本文同步刊登於TIPS網站(https://www.tips.org.tw) [1]Guidance on Horizontal Agreements, GOV. UK, Competition and Markets Authority, https://www.gov.uk/government/publications/guidance-on-horizontal-agreements (last visited Aug. 23, 2023). [2]CMA COMPETITION & MARKETS AUTHORITY, Guidance on the application of the Chapter I prohibition in the Competition Act 1998 to horizontal agreements, CMA184 (Aug. 2023), 6, at 6, https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/1178791/Horizontal_Guidance_FINAL.pdf (last visited Sept. 01, 2023). [3]Id., at 35 below. [4]Id., at 83 below. [5]Id., at 124 below. [6]Id., at 145 below. [7]Id., at 203 below. [8]Id., at 165. [9]Id. [10]Id., at 166. [11]CMA Competition & Markets Authority, supra note 8. [12]Id. [13]Id., at 188. [14]Id. [15]Id., at 188-189. [16]Id., at 189. [17]Id. [18]Id., at 190. [19]Id., at 191. [20]Id., at 201. [21]Id.

TOP