資通安全法律案例宣導彙編 第3輯

美國醫療保險和醫療補助服務中心（Centers for Medicare and Medicaid Services, CMS）於2024年4月10日發布了2025財年（Fiscal year 2025, Oct. 1, 2024, to Sept. 30, 2025）醫療保險醫院住院預期支付系統（Inpatient Prospective Payment System, IPPS）規則草案（proposed rule）。 考量到細胞療法費用高、可近用性低，2025財年規則草案便包含為醫院提供治療鐮狀細胞疾病（Sickle Cell Disease, SCD）基因療法，其新技術附加支付（New Technology Add-on Payment, NTAP）附加百分比從原本的65%提高到75%的創新支付措施。 NTAP方案是2001年由CMS推出，旨在激勵醫院採用新技術和新療法。NTAP規定新的醫療服務或技術必須滿足以下3個標準，才有資格獲得附加支付： 1.新穎性：醫療服務或技術必須是新的。一旦此治療已經被認為不是新技術，附加支付就會結束。 2.費用過高：醫院在使用新技術時，可能會產生成本超出標準的住院病患支付限額，該技術在現有醫療保險嚴重程度診斷相關群組（Medicare Severity Diagnosis-Related Groups, MS-DRG）系統下不足以支付。 3.實質的臨床改善：與目前可用的治療方法相比，使用該技術其臨床資料必須要顯示確實能改善特定病人群體的臨床結果。 NTAP透過提供經濟激勵，支持醫療機構在初期階段採用新技術，從而促進醫療創新並改善患者治療效果。SCD為一種遺傳性疾病，對美國黑人影響嚴重，且治療選擇有限。因此該創新支付鼓勵措施將使醫院可以獲得更多的資金來執行昂貴的SCD基因療法，進一步促進SCD病人獲得最新的治療，且能減少SCD長期醫療照護的相關成本。 本文同步刊載於stli生醫未來式網站（https://www.biotechlaw.org.tw）

　　英國在今年10月1日正式實施新的消費者保護法，除了明確規定30天內可以退還瑕疵商品外（舊法並無規定明確的期間），最主要重要變革在於納入數位內容商品消費的相關條款，以促進目前蓬勃發展的數位內容產業。 　　依照新法的規定，所謂的數位內容係指以數位形式（in digital form）所產製或提供之資料，據此包括了任何可以下載的商品以及串流服務，例如app、音樂、電影、遊戲以及電子書。其中關於消費者之保障如下： 一、在一定要件下有權利要求企業經營者修復或替換有瑕疵之數位內容商品； 二、若數位內容商品之瑕疵無法回復時，得要求企業經營者退還百分之百所支付的款項； 三、除此之外，若是數位內容商品因故而造成消費者的載具損害時，例如因所販售的軟體帶有電腦病毒而使消費者電腦中毒，企業經營者應負損害賠償責任。 　　根據英國娛樂產業公會（Entertainment Retailers Association），英國在去年(2014)有關數位內容商品（音樂、影片、遊戲）的消費額達到28億英鎊（約897億新台幣），英國舊消費者保護法並未針對數位內容商品有明確的規範，尤以近年數位內容商品的糾紛不斷（尤以遊戲為大宗），此次修法無疑是對常在網路購買數位商品的消費者一大保障。

　　印第安那州首席檢察官Greg Zoeller對Wellpoint保險公司提起訴訟標的金額30萬美元之損害賠償訴訟，主張該公司因遲延向首席檢察署及超過32,000萬因個人資料外洩影響所及之客戶通報個資外洩事件，而違反印第安那州通報法〈Indiana notification laws〉中通報及揭露規定〈Chapter 3. Disclosure and Notification Requirements及Chapter 3. Disclosure and Notification Requirements〉，依法各得請求15萬美元罰金，此為印第安那州提起之首件違反通報義務之訴訟。 　　前述法令於2009年7月生效，新法規定個人資料擁有者〈database owners〉負有「通報義務」，其於個資外洩事件發生後，必須在「合理期間」〈within a reasonable period of time〉內，對「潛在受影響之個人」〈both the individuals potentially affected by a data breach〉，以及檢察署通報，惟經調查，該公司未於合理時間內通報前述應通報之對象。 　　經查該公司於今〈2010〉年2、3月間即發現客戶個資外洩，卻6月18日始通知客戶，檢察署展開調查後認定其遲延通報無正當理由，故代表印地安那州向其提起民事賠償。 　　前述所指外洩之個人資料包括：提出投保申請者之個人資料內容，諸如「社會安全碼」〈social security number〉、「財務資訊」〈financial information〉、「健康記錄」〈health records〉，因該保險公司網頁之照管者〈siteminder〉未能實行安全防護，使盜竊身分之人〈identity thief〉得以改變統一資源定址器〈URL〉而窺見申請者的個人資訊。 　　除印第安那州客戶外，該保險公司因客戶個資外洩亦使其他州投保申請者資訊曝露，包括：美國加州、科羅拉多、康乃迪克、肯特基、密蘇里、內華達、新罕布夏、俄亥俄及威思康辛等九個州，約有47萬個客戶可能因此受影響。