你的身體是座數據礦場，五國法律各說各話

你的身體是座數據礦場，五國法律各說各話

你的心率、DNA、臉部特徵、生理週期——身體每秒產生的數據，正以驚人的速度與規模被蒐集、交易、傳喚、外洩。但真正令人不安的是：同一筆生物辨識數據，在不同國家的法律地位天差地別。關鍵變數不只是你身處何國，還包括蒐集者是企業還是政府。

PRISM 透過英文、日文、韓文、中文多語源掃描，比較五大法律體系如何處理人類最私密的數據。（相關報導：你的身體，正在成為別人的資料庫）

核心事實：一場正在發生的危機

2024年，僅美國一地就有2.768億筆醫療紀錄遭外洩，較2023年暴增64.1%。Change Healthcare勒索軟體攻擊影響1.9億人，創下史上最大醫療數據外洩紀錄。

與此同時，穿戴式健康市場持續爆發。2025年全球智慧手錶用戶達5.6286億人，預計2026年將突破6.4015億。其中92%的用戶依賴裝置追蹤健康與體能數據。從手腕流出的心率變異、血氧、睡眠模式、生理週期——這些數據的私密程度超乎想像。

問題在於：美國HIPAA法案——多數人以為能保護健康數據的法律——根本不涵蓋消費級健康App、健身追蹤器或智慧手錶。除非數據進入正式醫療體系，否則它就處於監管真空地帶。

這個漏洞已經造成嚴重後果。BetterHelp因向Facebook分享心理治療數據，遭FTC罰款780萬美元。GoodRx因將處方資訊導向廣告平台，支付150萬美元罰款。87%的心理健康App存在嚴重隱私漏洞。在暗網上，一筆心理治療紀錄售價超過1,000美元——遠高於一張被盜信用卡。

中國：「保護公民免受企業侵害，但不包括我們」

中國的生物數據治理呈現最鮮明的矛盾。

《個人信息保護法》（PIPL）將生物辨識與基因數據列為敏感個人信息，要求單獨同意及個人信息保護影響評估。2025年11月生效的新國家標準（GB/T 45574-2025）進一步擴大敏感數據定義，將步態辨識、眼部特徵、心理健康數據納入保護範圍。2025年3月發布的人臉辨識安全管理規定，要求知情同意、專用存儲及影響評估。

從企業合規角度看，PIPL的保護力度不遜於歐盟GDPR。企業未經同意處理生物辨識數據，將面臨嚴厲處罰。2026年網信辦的問答進一步釋放了加強執法的信號。

但國家監控不在此限。中國營運著全球最大的生物辨識監控網路，同時嚴格限制外國機構取得中國基因數據——後者被明確定位為「國家戰略資產」。

這裡存在一個深刻的悖論：PIPL賦予公民對抗企業數據濫用的武器，卻對政府蒐集行為保持沉默。社會信用系統中的生物辨識數據蒐集，與PIPL的同意要求之間的張力，在國內媒體報導中幾乎不被觸及。

基因數據的地緣政治化更值得關注。2025年2月，中國將美國基因檢測巨頭Illumina列入「不可靠實體清單」。史丹佛大學法學院指出，美中兩國都在利用基因數據治理作為戰略競爭工具，而非單純的個人隱私保護。這意味著基因數據的主權歸屬，已從隱私議題升級為國安議題。

對普通民眾而言，這構成雙重現實：你的生物數據受到全球最嚴格的企業監管之一的保護，同時又暴露在全球最廣泛的國家監控之下。

廣告

廣告合作

[email protected]

廣告

美國：身體數據是不受管制的商業資產

美國至今沒有全面的聯邦健康數據隱私法。HIPAA僅涵蓋醫院和保險公司，而非你手機上的App。

23andMe於2025年3月申請破產，1,500萬用戶的基因數據一度成為可被拍賣的企業資產。《新英格蘭醫學雜誌》警告，現有隱私、破產和生物倫理框架「根本無力應對透過破產法院轉移敏感基因數據的問題」。

更令人不安的是執法部門的數據取用。紐澤西州警方曾在未取得搜索令的情況下，使用醫院存儲的新生兒血液樣本來確認一名嫌犯的父子關係。事件曝光後，德州銷毀了超過500萬份樣本，明尼蘇達州銷毀了110萬份。

歐盟：身體數據是基本權利

歐盟將生物辨識、基因和健康數據列為GDPR「特殊類別」資訊，要求明確同意。2025年2月生效的《AI法案》禁止執法部門進行即時遠程生物辨識——這是全球最嚴格的生物監控法規。

歐洲健康數據空間法規於2025年3月26日正式生效，建立EU範圍的健康數據共享框架，罰款上限達2,000萬歐元或全球營收的4%。然而，27國GDPR醫療保健罰款總額僅2,280萬歐元，分布在237個案件中，執行力仍參差不齊。

日本：為AI鬆綁

日本《個人信息保護法》（APPI）將生物辨識與健康紀錄列為「需要特別關照的個人信息」。但2025年3月，個人信息保護委員會提案允許在統計處理和AI開發中，免除健康及生物辨識數據的同意要求。

My Number卡系統已與健保連結，政府可取得處方紀錄。日本的企業健康文化意味著雇主常規性地蒐集員工健康指標。日本正押注：推動AI創新比維持嚴格的同意要求更重要。

南韓：加強保護，壯大市場

南韓的《個人信息保護法》（PIPA）將健康與生物辨識數據列為「敏感個人信息」。2025年3月生效的數據可攜權讓個人可要求以機器可讀格式取得自身數據。PIPC計劃制定專門的生物辨識數據法規。

與此同時，南韓基因檢測市場預計從2025年的3.16億美元成長至2035年的17.72億美元，年均成長率18.8%。南韓正試圖在強化隱私保護與壯大生技經濟之間取得平衡。

關鍵啟示

去識別化健康數據市場2025年已達88億美元。醫療大數據產業規模達1,109.7億美元。這些數字只會繼續攀升。

問題不在於你的身體數據是否會被蒐集——它已經在被蒐集了。問題在於誰從中獲利、誰能將其武器化。

你的Fitbit數據存放在美國伺服器上的保護力度，與同樣數據在歐盟的待遇截然不同。23andMe資料庫中的基因樣本，保護力度弱於被中國列為國家資產的基因數據。伊利諾州的BIPA法案在2025年就觸發了超過100起集體訴訟，包括Google支付的13.75億美元和解金——證明強力生物辨識法律確實能產生問責效果。但全球圖景仍然破碎，數據持續跨越法律無法追及的邊界。

本分析由PRISM AI生成，每日掃描英文、日文、韓文、中文新聞來源。

參考來源： HIPAA Journal、NPR、《新英格蘭醫學雜誌》、Health and Human Rights Journal、FTC、ACLU、Privacy International、布魯金斯學會、Lawfare、史丹佛大學法學院、美國科學家聯盟、IAPP、CMS Law、歐洲委員會、Chambers and Partners、China Briefing、Bird & Bird、DemandSage、Athletech News、Stateline、National Law Review、Biometric Update、Science (AAAS)