美國通過最新的電子醫療紀錄之隱私與安全標準
美國衛生部隸屬之醫療資訊科技標準委員會(Health IT Standards Committee)為了因應「2009年經濟復甦暨再投資法」(America Recovery and Reinvestment Act, “ARRA”)的通過,制定了新的電子醫療紀錄的隱私、安全標準,以擴大保護電子醫療紀錄的使用安全。
這次制定的電子醫療紀錄的隱私、安全標準,將透過具有足夠防護能力的醫療資訊科技系統標準,來保護電子醫療紀錄的交換,並且擴大適用範圍到醫療照護廠商與提供者,要求其必須在2011年前達到幾項資訊的使用控制標準,包括「醫療保險可攜與責任法」(Health Insurance Portability and Accountability Act, “HIPAA”)與「加密促進標準」(Advanced Encryption Standard)之相關規定,以完備個人電子醫療資訊的保護網。
在此次訂立的標準之下,任何人員或是應用程式欲使用與接近電子醫療紀錄,應符合法律所授予的接近與使用之要件。同時,處理個人醫療資訊的系統,也必須具備對個人醫療資訊加密與解密的能力,以保障個人醫療資訊的安全與完整。除了以上的要求,這些標準也要求相關的適用機構,必須在2013年以前完成符合病歷交換格式(HL7)的使用接近控制、安全宣示標記語言(Security Assertion Mark-up Language, “SAML”)、網路服務認證(Web Service Trust, “WS-Trust”)以及促進資訊標準建置組織(Organization for the Advancement of Structured Information Standards, “OASIS”)的機制,以保障醫療資訊的安全。
本文為「經濟部產業技術司科技專案成果」
宋佩珊
資深管理師 編譯整理
Healthcare IT News,2009年09月16日,http://www.healthcareitnews.com/news/federal-panel-approves-ehr-security-privacy-standards,最後瀏覽日:2009年09月28日
法國國家資訊自由委員會(Commission Nationale de l'Informatique et des Libertés, CNIL)於2025年9月18日作成裁罰決定,認定巴黎百貨公司SAMARITAINE SAS(La Samaritaine)(莎瑪麗丹百貨公司,下稱該公司)於職場內設置「偽裝成煙霧偵測器」的隱藏攝影機,該設備具備錄音功能且未適當評估風險與內部控制紀錄,並涉及個資事件通報義務未即時履行等多項違反《一般資料保護規則》(General Data Protection Regulation, GDPR)規定,最終遭裁處10萬歐元(約新台幣355萬元)的行政罰鍰。 本次事件係因該公司聲稱庫房商品失竊率增加,遂於2023年8月在兩處庫房安裝5台外觀形似煙霧偵測器但可錄音的攝影機,但員工並未事前知悉。然而,攝影機於裝設後數週即被員工發現,並在2023年9月被拆除而停止運作。CNIL之所以介入,係因2023年11月經媒體報導及後續申訴事件引發關注,進而啟動稽查程序。以下為CNIL認定本案的主要違規事項: 1.違反公平、透明與可歸責性(GDPR Art. 5(1)(a)、5(2)):隱藏式攝影機設計使員工難以察覺且未予以告知;該公司未完成事前分析或影響評估、未妥善文件化紀錄,因此難認有以公平且透明方式處理個資。 2.違反資料最小化(GDPR Art.5(1)(c)):攝影機具備「收音」功能,導致員工私領域對話等資料被蒐集,與所稱之防竊等特定目的未有相符,屬過度蒐集行為。 3.未建立個資侵害通報與紀錄(GDPR Art. 33(1)、33(5)):員工拆除設備時留存載有錄影錄音內容的SD卡,公司在知悉後未於法定時限內通報並建檔紀錄;CNIL指出此類「失去對載體控制」情形並無任何模糊空間,且因其中內含員工影音資料,對自由權具有風險,依法應通報。 4.個人資料保護長(Data Protection Officer, DPO)未及時參與(GDPR Art. 38(1)):DPO直至該攝影機拆除後才被告知,未能於事前提供風險控管與審酌是否符合法規範建議,而違反應「適時、適當參與」之要求。 本案可視為CNIL對職場監視劃出的紅線警告,雇主即使基於特定目的而採用不易察覺的監視措施,仍須在保護財產和人身安全的目標,與保護員工隱私間取得合理平衡,例如:蒐集期間具有「暫時性」;蒐集範圍最小化,無不必要收音等較小侵害手段;並應讓組織的DPO事前參與把關,完成比例性分析與風險評估,否則可能構成對員工基本權利與自由的重大干預。同時,內部也應建立事故應變流程,避免因誤判或延誤而使單一事件擴大成多重違規與裁罰風險。
日韓電子商務法制環境與發展之比較 Hasbro以40億美金收購「佩佩豬」母公司eOne,擴大其品牌智財價值美國知名玩具娛樂商「孩之寶」(後稱Hasbro)日前宣布以40億美金收購知名卡通「佩佩豬」之加拿大母公司「娛樂一體」(Entertainment One Ltd,後稱eOne),Hasbro將藉著eOne所擁有的學齡前動畫資產,透過相關智財組合與品牌布局,再度擴大其在玩具娛樂市場中之優勢地位。 eOne旗下擁有《佩佩豬》(或譯為粉紅豬小妹;Peppa Pig)、《睡衣小英雄》(PJ Masks)、《瑞奇衝衝衝》(Ricky Zoom)、《小杯與小龍:萬能服務》(Cupcake & Dino: General Services)等知名動畫品牌,以及強大的故事主導特質與家庭導向故事述說能力,Hasbro表示該些優勢將吸引遊戲玩家、動畫粉絲與家庭等多元視聽者與消費者,以至將該些動畫拓展至全球。 而Hasbro已擁有許多知名玩具品牌,包括彩虹小馬(My Little Pony)、培樂多黏土(Play-Doh)等,經過本收購交易將能擴大其品牌智財之授權營收,並將該些新增動畫之智財,朝向玩具、遊戲、影片、電視、音樂及家庭品牌等多面向之全球性經營。 目前eOne董事會於10月17日以99.9%之票數同意該交易案,並已獲得美國與德國等相關監管單位之認可,尚待加拿大官方同意。期待後續Hasbro與eOne共同藉著品牌建立、創造力與故事述說等優勢能力,創造更多品牌智財之可能性。 「本文同步刊登於TIPS網站(https://www.tips.org.tw)」
飛利浦推出新授權機制,光碟片廠仍有所質疑繼2001年引起國內科技產業界關注的公平會處分飛利浦CD-R授權案、2004年7月28日智慧局依循專利法第76 條規定,做成CD-R技術之強制授權決定,准予國碩公司針對飛利浦公司五項專利權所提出的強制授權申請後,飛利浦與台灣光碟片廠的權利金拔河仍未停歇,近日飛利浦宣布,將推動全新的CD-R光碟片專利授權模式—Veeza,根據此一授權模式,每片CD-R光碟片的授權金降幅高達44%。 飛利浦認為Veeza有助於恢復產業競爭的公平性,台灣光碟片卻不這樣認為,首先台灣最主要的競爭對手印度MBI,因飛利浦在印度沒有專利權保護,當地生產的光碟片出貨並不用繳納權利金。另外大陸業者也不按照規定繳交權利金,故即使調降權利金,我國廠商仍認為一旦與飛利浦簽訂新契約,屆時反而更加綁手綁腳,更無法與印度與大陸廠商競爭,市場公平競爭性反而降低,故截至目前為止,並沒有任何一家台灣光碟片廠與飛利浦簽訂新契約。