美國衛生部門公布個人健康資訊外洩責任實施綱領
美國健康與人類服務部(Secretary of Health and Human Services;以下簡稱HHS),於2009年4月17日公布「個人健康資訊外洩通知責任實施綱領」(Guidance Specifying the Technologies and Methodologies That Render Protected Health Information Unusable, Unreadable, or Indecipherable to Unauthorized Individuals for Purposes of the Breach Notification Requirements under Section 13402 of Title XIII (Health Information Technology for Economic and Clinical Health Act) of the American Recovery and Reinvestment Act of 2009; Request for Information;以下簡稱本綱領)。本綱領為美國迄今唯一聯盟層級之資料外洩通知責任實施細則,並可望對美國迄今四十餘州之個資外洩通知責任法制,產生重大影響。
本綱領之訂定法源,係依據美國國會於2009年2月17日通過之經濟與臨床健康資訊科技法(Health Information Technology for Economic and Clinical Health Act;以下簡稱HITECH),HITECH並屬於2009年「美國經濟復甦暨再投資法」(America Recovery and Reinvestment Act;簡稱ARRA)之部分內容。
HITECH將個人健康資訊外洩通知責任的適用主體,從「擁有」健康資訊之機構或組織,進一步擴大至任何「接觸、維護、保留、修改、紀錄、儲存、消除,或以其他任何形式持有、使用或揭露安全性不足之健康資訊」的機構或組織。此外,HITECH並規定具體之資料外洩通知方法,即必需向當事人(資訊主體)以「即時」(獲知外洩事件後60天內)、「適當」(書面、或輔以電話、網站公告形式)之方式通知。不過,由於通知之範圍僅限於發生「安全性不足之健康資訊」外洩,故對於「安全性不足」之定義,HITECH即交由HHS制定相關施行細則規範。
HHS本次通過之實施辦法,將「安全」之資料定義「無法為第三人使用或辨識」,至於何謂無法使用或辨識,本綱領明定有兩種情形,一是資料透過適當之加密,使其即使外洩亦無法為他人辨識,另一則是該外洩資訊之儲存媒介(書面或電子形式)已被收回銷毀,故他人無法再辨識內容。
值得注意的是,有異於美國各州法對於加密標準之不明確態度,本綱領已指明特定之技術標準,方為其認可之「經適當加密」,其認可清單包含國家標準與技術研究院(National Institute of Standards and Technology)公布之Special Publication 800-111,與聯邦資訊處理標準140-2。換言之,此次加密標準之公布,已為相關業者提供一可能之「安全港」保護,使業者倘不幸遭遇資料外洩事件,得主張資料已施行適當之加密保護,即無需承擔龐大外洩通知成本之衡平規定。
本文為「經濟部產業技術司科技專案成果」
Eolas,一家由加州大學資助成立的軟體技術研發公司,於1999年控告微軟侵犯了一個關於瀏覽器技術的專利 – US 5,838,906。該專利所揭露的技術讓微軟的IE瀏覽器得以嵌入互動式內容的外掛(plug-in)程式。2003年,美國芝加哥法院認定微軟侵犯906專利,並判決微軟必需賠償Eolas及加州大學5.21億美元。2007年,微軟終於暫時與Eolas達成和解,但兩家公司都不願透漏和解的內容。 美西時間2009年10月6日上午,Eolas大動作地控告包含科技業的Adobe、Amazon、Apple、eBay、Google、Sun Microsystems、Texas Instruments、Yahoo、YouTube,以及非科技業的Citigroup、JPMorgan Chase …等共22家公司,侵犯上述906專利以及其所衍生的US 7,599,985專利。Eolas表示:「985專利是 906專利的延續,其所揭露的技術能讓網站透過附加元件和Ajax網頁開發技術的使用,為其線上服務加入完全互動式的嵌入應用軟體。」 此外,Eolas總裁Michael Doyle博士也表示:「我們只想獲得公平的對待。本公司在15年前就已經研發並廣泛的展示這些技術。使用本公司的技術來營利且未付出合理報酬的情形對本公司並不公平。」 至於被控告的大多數公司目前都尚未做出正式的回應。
美國能源部發布「電力資料自願行為守則」保護消費者資料與隱私權利美國能源部(Department of Energy, DOE)所屬之電力傳輸與能源可靠度辦公室(Office of Electricity Delivery and Energy Reliability, OE)與聯邦智慧電網工作小組(Federal Smart Grid Task Force)對於由智慧電網技術所生之資料相關隱私保護問題,經過一系列包括相關業者在內的公眾意見徵集與專家學者討論後,於2015年1月12日所發布之「自願行為守則」(Voluntary Code of Conduct, VCC),係屬美國總統歐巴馬同日宣示政策,公布對於強化消費者安全、處理身分盜用(identity theft)、並促進線上隱私保護之總體策略方向中的重要部份。 「自願行為守則」的適用對象是供電業者與第三方,目的在於保護包括能源使用資訊(energy usage information)在內的電業消費者資料,並提高消費者的隱私意識與相關資料在提供與近用上所須行使的同意與控制。「自願行為守則」揭示其三大目標,包括:(一)於鼓勵創新的同時,適切地保護消費者資料的隱私與機密性,並提供可靠與不致於無法負擔之電業與能源相關服務;(二)提供消費者對其自身資料的適當近用(appropriate access);以及(三)不生違反或取代任何聯邦、州、或地方主管機關之法令或管制措施之效果。 而為求取前揭目標之達成與實現,「自願行為守則」訂有五大步驟。此五大步驟包括:(一)「消費者之注意與意識」:透過相關規定向消費者解釋資料蒐集的相關政策與程序,並聚焦於消費者的選擇與責任,藉以讓消費者了解其所必須行使之同意;(二)「消費者之選擇與同意」:透過相關規定讓消費者能為非原始目的(Secondary Purposes)——例如向數個第三方為差別化之近用授權、限制近用之期間、留存資料釋出之記錄、取消授權、以及於授權終止或不再需要相關資料時之資料處置或去識別化等——對其資料之近用進行相關管控、確認有哪些類型的資料與揭露無須消費者同意、以及要求特定資料應直接由消費者處取得;(三)「消費者資料近用」:透過相關規定允許消費者近用其資料、確認可能的錯誤、以及要求更正的相關程序,其中包括在特定情況下就非常態性要求收取費用的可能性;(四)「資料的完整性與安全性」:透過相關規定規範網路安全管理計畫,以及聚合性資料(Aggregated Data)或匿名性資料的建立方式;(五)「自發性執行、管理、與矯正」:透過相關規定對自願採納本「自願行為守則」之服務提供者的行動作出規範,以確保其遵守行為守則。「自願行為守則」雖屬自律規範,但其制定過程有包括電力業者在內之利害關係人的充分參與,並經充分之專家與公民意見徵集,被預期在公布之後將有相當程度之約束力量,並能令因智慧電網與能源資通訊技術所生之相關隱私權保護問題得到更進一步的解決。
臺北高等行政法院103年度訴更一字第120號判決對健保資料作目的外運用之態度 Blizzard使用Battle Tag取代網路實名制,並提供驗證器保護玩家帳戶自從2010年07月Blizzad曾經宣布針對旗下網站論壇欲推動實名制引起廣大爭議後,於沈寂一年後宣布採用Battle Tag取代原本想推動的實名方式,Battle Tag 類似連網帳號綁定的方式,由玩家自行選擇一個名稱,而該名稱最終將整合成為玩家在Blizzard旗下所有遊戲的官方網站或社群論壇的身分。 Battle Tag讓玩家用新的方式管理他們的帳戶資料,同時可以讓曾經在遊戲中並肩作戰的玩家,在不同遊戲間找到彼此,而能保持聯繫。原本Blizzard推實名制的目的之一在於確保玩家是否年滿18歲,但因引發爭議而作罷。現在他們使用Battle Tag作為替代方法,而Battle Tag 其實是由玩家自行選擇一個帳號名稱,另外再由系統隨機分配4位數的代碼方式(例如:名稱#1234),藉此創設出玩家自己獨特的名稱。 另一方面,為了保護這些整合的帳戶,且提昇玩家的帳戶安全,Blizzard並採用驗證器(Keychain Authenticator、 Mobile Authenticator),實際上驗證器就是一種憑證,玩家將驗證器與帳號連結後,即可讓自己的帳戶增加一層防護,Blizzard藉此希望降低玩家帳戶被盜的風險,因為越多玩家參與的遊戲,其帳戶實體價值可能越高,且2012年5月15日發售的暗黑破壞神3(Diablo Ⅲ),更開放了亞洲區以外的遊戲虛擬物品的現金拍賣場,如此玩家的帳戶更需要重重保護,不過才發售不到一週的時間,就有許多玩家回報帳戶遭盜用,其中亦有使用驗證器保護帳戶的玩家聲稱仍然遭盜用。