美國通過最新的電子醫療紀錄之隱私與安全標準
美國衛生部隸屬之醫療資訊科技標準委員會(Health IT Standards Committee)為了因應「2009年經濟復甦暨再投資法」(America Recovery and Reinvestment Act, “ARRA”)的通過,制定了新的電子醫療紀錄的隱私、安全標準,以擴大保護電子醫療紀錄的使用安全。
這次制定的電子醫療紀錄的隱私、安全標準,將透過具有足夠防護能力的醫療資訊科技系統標準,來保護電子醫療紀錄的交換,並且擴大適用範圍到醫療照護廠商與提供者,要求其必須在2011年前達到幾項資訊的使用控制標準,包括「醫療保險可攜與責任法」(Health Insurance Portability and Accountability Act, “HIPAA”)與「加密促進標準」(Advanced Encryption Standard)之相關規定,以完備個人電子醫療資訊的保護網。
在此次訂立的標準之下,任何人員或是應用程式欲使用與接近電子醫療紀錄,應符合法律所授予的接近與使用之要件。同時,處理個人醫療資訊的系統,也必須具備對個人醫療資訊加密與解密的能力,以保障個人醫療資訊的安全與完整。除了以上的要求,這些標準也要求相關的適用機構,必須在2013年以前完成符合病歷交換格式(HL7)的使用接近控制、安全宣示標記語言(Security Assertion Mark-up Language, “SAML”)、網路服務認證(Web Service Trust, “WS-Trust”)以及促進資訊標準建置組織(Organization for the Advancement of Structured Information Standards, “OASIS”)的機制,以保障醫療資訊的安全。
本文為「經濟部產業技術司科技專案成果」
宋佩珊
資深管理師 編譯整理
Healthcare IT News,2009年09月16日,http://www.healthcareitnews.com/news/federal-panel-approves-ehr-security-privacy-standards,最後瀏覽日:2009年09月28日
美國知名研究機構雷克斯研究公司 ,九月底 應經濟部邀請,在國際招商論壇上,以「奈米科技的創新與創投」為題,發表專題演講。其副總裁挪登馬修( Matthew M.Nordan )指出,奈米科技的重要性,在於其未來將應用到各個產業上,改變各個產業原有風貌。從創投業者立場,所選擇投資對象,是要能以奈米科技來促進原有產品功能,或能大幅降低原有產品成本。此外,如何避開專利地雷,亦將是各企業在投入奈米科技時,必須正視的問題。 挪登表示,二○○三年全球在奈米科技的相關研究經費約為八十六億美元,其中只有二億美元來自於創投基金,創投業界對奈米科技的投入如此保守,除受到網路經濟泡沫衝擊,主要是因為奈米科技的商品化,還有一段很長的路要走,加上創投業者多半對材料工業比較陌生,業界過去又傳出多起投資失敗的案例,均讓創投業者不敢對奈米科技有大手筆投入。相對於創投業者的保守態度 , 如何判斷優質的奈米科技投資案更形重要 。 其表示,除企業必須提出如何能避開國際已有的「專利地雷」,或取得國際專利的交互授權外,更重要的是,投資人必須瞭解,奈米科技的應用,並不是要開發出一個全新的「奈米產品」,或者應用奈米科技就能帶來超額的利潤,而是能對現存產業,帶來功效的提升或成本的降低。
英國通過《資料(使用與存取)法》,提升資料使用的便利性2025年6月19日,英國《2025年資料(使用與存取)法》(Data(Use and Access)Act 2025,下簡稱DUA法)正式生效。DUA法的宗旨是在《英國一般資料保護規則》(United Kingdom General Data Protection Regulation, UK GDPR)的基礎上,放寬在特定情形下執法機關、企業與個人使用資料的限制,以提升資料管理及使用的便利性。 DUA法預計將於2025年8月開始分階段實施,重點如下: (1) 放寬自動化決策(Automated Decision-Making, ADM)條件:依據UK GDPR規定,個人有不受純粹基於自動化處理且產生法律效果或類似重大影響之決策所拘束之權利。此項規範確立自動化決策之原則性禁止,僅於符合特定例外事由時始得為之。DUA法則放寬此一限制,未來企業只要確保有向當事人提供自動化決策的資訊、決策結果申訴的管道,以及得人為干預設計之保障措施以後,即可做出對個人有重大影響的自動化決策。 (2) 資料主體存取請求權(Subject Access Request, SAR)規範明確化:當事人有權向持有自身個資的單位請求查閱,DUA法明訂組織在收到請求後應回應的時間,而當事人請求的範圍也應合理且合於比例,避免組織浪費人力搜索不重要的資訊。 (3) 建立有效申訴管道:規定任何使用個人資料的組織都必須設立有效的申訴機制、提供電子化申訴管道、並回報處理結果,若訴求未獲得解決,當事人即可向英國資訊專員辦公室(Information Commissioner’s Office, ICO)提出申訴。 (4) 科學研究得採概括同意機制,商業研究亦屬適用範疇:DUA法明確指出,基於科學研究目的,研究人員於確保適當個人資料保護措施之前提下,得以概括同意(broad consent)方式取得當事人之同意,以利進行科學研究活動。DUA法並明確界定科學研究之範疇可涵蓋商業研究(commercial research),擴大其適用領域。 (5) 允許網站直接使用Cookie:網站與應用程式的儲存與存取技術(Storage and Access Technologies)在低風險情況下,可不取得使用者事前同意,即紀錄使用者瀏覽紀錄。 DUA法將於2025年8月開始分階段實施。如何在科技發展的便利性與個人資料的安全性間取得平衡,是當代社會不容忽視的議題,可持續觀察追蹤英國施行DUA法的成效供我國參考。
英國個人資料保護最新案例發展及其對我國法制之啟示 歐盟正式通過資料治理法(DGA),歐盟資料共享發展跨出一大步歐盟理事會(Council of the European Union)於2022年5月16日正式通過了資料治理法(Data Governance Act, 簡稱DGA),本法是歐盟執委會(European Commission)於2020年11月提案,經過一年多的意見徵詢與協商,歐盟議會(European Parliament)於今(2022)年4月6日以501票贊成通過,隨後由歐盟理事會通過公布,本法預計將於2023年8月正式生效。 DGA包含幾大面向,除了針對資料中介服務(data intermediation)、資料利他主義(data altruism)、歐盟資料創新委員會(European Data Innovation Board)等機制建立的規定外,在第二章特別針對公部門所持有之特定類別資料的再利用(reuse)進行規定。當公部門持有的資料涉及第三方受特定法律保護的權利時(如涉及第三方之商業機密、智慧財產、個資等),本法規定公部門只要符合特定條件下可將此類資料提供外界申請利用;若為提供符合歐盟整體利益的服務且具有正當理由和必要性的例外情況下,得授予申請對象專有權(exclusive rights),但授權期間不得超過12個月;歐盟應以相關技術確保所提供資料之隱私和機密性。 再者,各會員國應指定現有機構或創建一個新機構擔任提供上述資料類型的單一資訊點(Single Information Point, SIP),以電子方式公開透明地提供資料清單,包含可申請利用之資料的來源及相關描述(至少包含資料格式、檔案大小、再利用的條件等),以提供中小企業、新創企業便利、可信的資料查詢管道。此外,歐盟執委會應建立一個單一近用點(Single Access Point, SAP),提供一個可搜尋公部門資料的電子登記機制(a searchable electronic register of public-sector data),讓使用者得直接搜尋各會員國單一資訊點(SIP)中所提供的資料及相關資訊。 DGA是歐盟2020年2月發布歐盟資料戰略(European Data Strategy)後的第一個立法,歐盟希望透過本法建立一套能提升資料可利用性和促進公私部門間資料共享的機制,以創造歐盟數位經濟的更高價值。 「本文同步刊登於TIPS網站(https://www.tips.org.tw)」