吳盈德觀點:從個資跨境傳輸看精準醫療、健康聯網及純網銀的挑戰

2020-12-17 06:40

? 人氣

當前,我國針對個資的國際傳輸規範仍在摸索與探究中,一邊學習國際經驗,一方面調適本國的法治架構。筆者認為,針對個資跨境傳輸,行政單位應緊抓三大原則:

★一手掌握熱門話題

原則一、相互尊重他國企業在本國的資料可近權

資料可近權 (Right to Access) 為 GDPR第 15 條所闡述的原則。當事人有權向資料控管者確認,其有權取得或近用個人資料及衍生資訊。外國企業來台,應與台灣本國企業擁有相同的資料可近權,不應有歧視或差別待遇。同樣的,我國應向他國要求相同的權利。

原則二、尊重國際雙方認同的資料傳輸格式

GDPR 第 20 條強調資料可攜權 (Right to Data Portability)。即當事人有權向資料控管者以具結構化的、使用共通性 (Commonly Used) 且機械性可讀 (Machine- Readable) 檔案格式,取得其所提供之開放資料。資料格式的設計,應尊重兩國雙方及所參與之跨國協約平台的互惠精神,亦可參考歐盟為數據資料處理的監管措施所提出的 EOSC 宣言條款(EOSC Declaration Action),強調資料的開放、應符合 FAIR 原則(Findable, Accessible, Interoperable, Reusable),亦即「可搜尋」、「可取得」、「可相互運用」、「可重複使用」之原則。

原則三、針對相關廠商資安等級的全面要求

以精準醫療為例,無論是民眾的就醫病例、基因體資訊或健保就診紀錄,皆為相對敏感的資訊。自2016年政府啟動生醫產業創新推動方案以來,隨著生物檢測技術開發與診斷系統的蓬勃發展,中小型新創企業已達數百家。允許醫療健康資訊進行國際傳輸時,如何同步落實對所有企業的資安監理,將是行政部門必須面對的考驗。

大數據與資料公共治理時代的來臨,對於身為科技島國的台灣而言,無疑是一個產業飛躍不可多得的機會。在產業起跑前,若能預先做好法令規劃、制定遵循原則,必能為台灣企業掃除創新的障礙。

*作者為中國文化大學法律系教授

關鍵字:
風傳媒歡迎各界分享發聲,來稿請寄至 opinion@storm.mg

本週最多人贊助文章