美國衛生部門公布個人健康資訊外洩責任實施綱領

  美國健康與人類服務部(Secretary of Health and Human Services;以下簡稱HHS),於2009年4月17日公布「個人健康資訊外洩通知責任實施綱領」(Guidance Specifying the Technologies and Methodologies That Render Protected Health Information Unusable, Unreadable, or Indecipherable to Unauthorized Individuals for Purposes of the Breach Notification Requirements under Section 13402 of Title XIII (Health Information Technology for Economic and Clinical Health Act) of the American Recovery and Reinvestment Act of 2009; Request for Information;以下簡稱本綱領)。本綱領為美國迄今唯一聯盟層級之資料外洩通知責任實施細則,並可望對美國迄今四十餘州之個資外洩通知責任法制,產生重大影響。

 

  本綱領之訂定法源,係依據美國國會於2009年2月17日通過之經濟與臨床健康資訊科技法(Health Information Technology for Economic and Clinical Health Act;以下簡稱HITECH),HITECH並屬於2009年「美國經濟復甦暨再投資法」(America Recovery and Reinvestment Act;簡稱ARRA)之部分內容。

 

  HITECH將個人健康資訊外洩通知責任的適用主體,從「擁有」健康資訊之機構或組織,進一步擴大至任何「接觸、維護、保留、修改、紀錄、儲存、消除,或以其他任何形式持有、使用或揭露安全性不足之健康資訊」的機構或組織。此外,HITECH並規定具體之資料外洩通知方法,即必需向當事人(資訊主體)以「即時」(獲知外洩事件後60天內)、「適當」(書面、或輔以電話、網站公告形式)之方式通知。不過,由於通知之範圍僅限於發生「安全性不足之健康資訊」外洩,故對於「安全性不足」之定義,HITECH即交由HHS制定相關施行細則規範。

 

  HHS本次通過之實施辦法,將「安全」之資料定義「無法為第三人使用或辨識」,至於何謂無法使用或辨識,本綱領明定有兩種情形,一是資料透過適當之加密,使其即使外洩亦無法為他人辨識,另一則是該外洩資訊之儲存媒介(書面或電子形式)已被收回銷毀,故他人無法再辨識內容。

 

  值得注意的是,有異於美國各州法對於加密標準之不明確態度,本綱領已指明特定之技術標準,方為其認可之「經適當加密」,其認可清單包含國家標準與技術研究院(National Institute of Standards and Technology)公布之Special Publication 800-111,與聯邦資訊處理標準140-2。換言之,此次加密標準之公布,已為相關業者提供一可能之「安全港」保護,使業者倘不幸遭遇資料外洩事件,得主張資料已施行適當之加密保護,即無需承擔龐大外洩通知成本之衡平規定。

本文為「經濟部產業技術司科技專案成果」

相關附件
※ 美國衛生部門公布個人健康資訊外洩責任實施綱領, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=3072&no=67&tp=1 (最後瀏覽日:2026/07/08)
引註此篇文章
你可能還會想看
歐盟執委會將修正ePrivacy指令

ePrivacy指令修正背景   原資料保護指令將於2018年由一般資料保護規則所取代,在此一背景下,電子隱私指令除補充資料保護指令外,亦訂定關於在電子通訊部門的個人資料處理的具體規則。具體作法,如在利用流量和位置資訊於商業目的之前,應徵得用戶的同意。在ePrivacy指令未特別規定的適用對象,將由資料保護指令(以及未來的GDPR)所涵蓋。如,個人的權利:獲得其個人資料的使用,修改或刪除的權利。   歐盟執委會為進行ePrivacy指令(Richtlinie über den Datenschutz in der elektronischen Kommunikation)改革,於2016年8月4日提出意見徵詢摘要報告,檢討修正ePrivacy指令時著重的的幾個標的: (1)確保ePrivacy規則與未來的一般資料保護規則之間的一致性。亦即評估現有規定是否存在任何重複、冗餘、不一致或不必要的複雜情況。(如個人資料洩漏時的通知) (2)指令僅適用於傳統的電信供應商,而在必要時應該以新市場和技術的現實的眼光,重行評估更新ePrivacy規則。對於已成為電子通信行業新興創新的市場參與者,如:提供即時通訊和語音通話(也稱為“OTT供應商”),由於目前不需要遵守ePrivacy指令主要規定,而應納入修正對象。 (3)加強整個歐盟通訊的安全性和保密性。ePrivacy指令在規範上,確保用戶的設備免受侵入、確保通信的安全性和保密性。本指令第5條第3項,儲存資訊、或近用已存儲在用戶設備之資訊,需得其的同意。該條款的有效性已有爭論,因為新的追踪技術,如:指紋識別設備可能無法被現有的規則所涵攝。最後,有認需得同意的例外規定列表,有必要延伸到對資訊之其他非侵入性的儲存/近用:如網路分析等。這些都是應予以仔細評價和檢視之對象。 公眾諮詢摘要報告內容   經過4月13日到7月5日的公眾諮詢,歐盟執委會於8月4日提出報告。   諮詢意見主要來自德(25.9%)、英(14.3%)、比(10%)、法(7.1%)的回覆。   一、是否有必要在電子通訊部門訂定隱私特別規定? 市民與公民團體咸認有必要在電子通訊部門,甚至流量資料和位址資訊也應該訂定新規(83%)、企業則認為無甚需要,只有在秘密性規則(31%)與流量資料(26%)有需要訂定;主管機關則咸認需要特別規定。   二、現行指令是否已足達成其立法目的?76%市民和公民團體認為未達立法目的,理由如下: ePrivacy指令的範圍太狹小,不包括即時訊息、語音通話(VoIP)和電子郵件應用服務。 規範太模糊,導致會員國之間適用結果和保護程度的差異、不一致。 法律遵循的程度展法程度太差。   三、是否應為新通訊服務訂定新規?   76%市民和公民團體認為適用範圍應該涵蓋到OTT上。

歐盟將投入五千萬歐元投入5G研究

  行動寬頻使用人數已達1.2億,且估計每年將成長數億人口,許多研究估計2020年行動流量將比現在增加33倍。為了奪回全球手機領導者地位,歐盟不僅從2007年開始,投入超過三千五百萬歐元發展4G與4G以上的無線技術,歐盟執行委員會副主席Neelie Kroes於今年更宣佈將投入五千萬歐元研究5G通信(2013年~2020年)。   在現有的第七框架研究與發展計畫(Seventh Framework Programmefor research and development )中,歐盟已有8項關於5G的研究計畫。其中,以易利信(Ericsson)所主導的METIS(Mobile and wireless communications Enablers for Twenty-twenty Information Society),備受各界矚目。METIS的研究團隊來自共10個國家,涵蓋領域包括電信營運商、製造商、學術機構與商用軟體業者。METIS將進行網路拓樸(Network Topologies)、無線連結(Radio Links)與頻譜使用研究、以為歐洲建立一個5G的行動與無線通信系統。   目前,METIS對於未來整體目標是希望達到:   1.行動寬頻流量每單位面積能比現在高出1000倍,使網路營運商能同時服務更多消費者。   2.聯網設備比現在多出10倍至100倍。   3.行動寬頻使用速度將比現在高出10倍至100倍,觀看視頻將更為容易。   4.機器對機器通訊(Machine-to-Machine-Communications)的電池使用時間將多出10倍。   5.網路延遲的時間將會降低5倍。   雖然,5G發展僅為初期,而各歐盟會員也僅英國投入三千五百萬英鎊,但是,部分輿論從英國4G不斷延遲的例子,認為現在發展至少降低5G重蹈覆轍的可能性。

日本經產省公布產業版資料契約指引和資安手冊

  日本經濟產業省於2017年起提倡「Connected Industries」,其中一項重點任務為「平台、基礎設施安全」。為達成上述任務,經產省召開「平台資料活用促進會議」(プラントデータ活用促進会議),於2018年4月26日制定公布「資料契約指引產業保安版」(データの利用に関する契約ガイドライン産業保安版)及「物聯網安全對應手冊產業保安版」(IoTセキュリティ対応マニュアル産業保安版),以因應資料經濟時代資訊外洩及網路攻擊等風險。   日本經產省為促進業界資料流通與利用,已陸續於2015年、2017年和2018年制定「推動現有資料交易為目的之契約指引」(既存のデータに関する取引の推進を目的とした契約ガイドライン)、「資料利用權限契約指引」(データ利用権限に関するガイドラインVer.1.0)。本次「資料契約指引產業保安版」則進一步整理資料權利歸屬判斷方式,提供模範條款及說明各條款內容,並羅列作為資料提供者可能具備之優點。此外,隨著物聯網等資訊科技發展,資安風險逐漸受到重視,為提升物聯網產品安全防護,經產省亦以平台管理者為對象,制定「物聯網安全對應手冊產業保安版」,提供適當安全對策及案例。

2015年世界智慧財產報告:突破創新與經濟成長

  在一片低迷的全球經濟成長中,2015年11月11日世界智慧財產權組織(WIPO),公布了最新的「世界智慧財產報告:突破創新與經濟成長( World Intellectual Property Report: Breakthrough Innovation and Economic Growth)」,探討知識產權的角色與創新及經濟成長之關連,並鎖定在突破性創新之影響。該報告除討論具代表性歷史創新技術,另也探討當今具有潛在突破性發展之創新技術,同時敦促各國政府及企業,應增加此三領域創新技術相關之投資。   在過去300年來的創新技術發展,已經觸及人類活動的各個層面,並改變了世界的經濟結構。依據2015年WIPO報告,顯示出三領域歷史創新技術如何觸發當時新的企業活動:即飛機、抗生素和半導體。該報告考量到創新驅動成長及未來展望,另探究了三領域具有潛在突破性發展之當今技術:即3D列印、奈米和機器人技術。調查報告也顯示,日本和美國正帶領著一小群國家,推動此三領域創新技術進行突破研究,正因此三領域前瞻技術,掌握著推動未來經濟增長之潛力。   朝向工業化發展的新興中等收入國家中國大陸,自2005年以來在3D列印和機器人領域的專利申請量占全球四分之一以上,為全球國家中比率最高;在奈米技術方面,中國大陸專利申請人占全球近15%,是第3大申請國,但與其他資深創新國家不同的是,中國大陸的大學和公立研究機構申請案所占比例相當高。   WIPO報告強調,創新生態系統的成功要素有三:政府資助科學技術研究,並協助具前景技術從實驗室走到商品化階段;透過充滿活力的金融市場和健全的法規,以及鼓勵企業創新來加強市場競爭力;促進公、私部門創新單位的連結溝通流暢。   該報告亦說明大學和公立研究機構與創新如何日形密切,和傳統飛機、抗生素和半導體領域相較,學研機構在3D列印、奈米技術和機器人領域的專利申請所占比例較高,尤其是在奈米技術領域,全球的學術機構申請人約占四分之一。另外著作權在技術創新也變得更加常見且緊密相關,包括電腦軟體納入著作權保護標的,及3D物品設計和電腦IC晶片設計等的任何形式數位表達之保護。   WIPO「世界智慧財產報告」每兩年發行一次,每期的重點放在不同的IP領域新趨勢,先前的報告已探討「品牌在全球市場的角色(the role that brands play in a global marketplace)」及「不斷變化的創新(the changing face of innovatio)」。

TOP