美國聯邦交易委員會延展紅旗規則之施行日

　　美國國家標準暨技術研究院（National Institute of Standards and Technology, NIST）於2022年7月21日發布更新《網路安全資源指南》（A Cybersecurity Resource Guide, NIST SP 800-66r2 ipd）。本指南源自於1996年美國《健康保險流通與責任法》（Health Insurance Portability and Accountability Act, HIPAA）旨在避免未經患者同意或不知情下揭露患者之敏感健康資料，並側重於保護由健康照護組織所建立、接收、維護或傳輸之受保護電子健康資訊（electronic protected health information, ePHI），包括就診紀錄、疫苗接種紀錄、處方箋、實驗室結果等患者資料之機密性、完整性及可用性。其適用對象包含健康照護提供者（Covered Healthcare Providers）、使用電子方式傳送任何健康資料的醫療計畫（Health Plans）、健康照護資料交換機構（Healthcare Clearinghouses）及為協助上述對象提供健康照護服務之業務夥伴（Business Associate）均應遵守。 　　本指南最初於2005年發布並經2008年修訂（NIST SP 800-66r1 ipd），而本次更新主要為整合其他網路安全相關指南，使本指南與《網路安全框架》（Cybersecurity Framework, NIST SP 800-53）之控制措施等規範保持一致性。具體更新重點包括：（1）簡要概述HIPAA安全規則；（2）為受監管實體在ePHI風險評估與管理上提供指導；（3）確定受監管實體可能考慮作為資訊安全計畫的一部分所實施的典型活動；（4）列出受監管實體在實施HIPAA安全規則之注意事項及其他可用資源，如操作模板、工具等。特別在本指南第三章風險評估與第四章風險管理提供組織處理之流程及控制措施，包括安全管理流程、指定安全責任、員工安全、資訊近用管理、安全意識與培訓、應變計畫、評估及業務夥伴契約等。而在管理方面包括設施權限控管、工作站使用及安全、設備媒體控制；技術方面則包含近用與審計控管、完整性、個人或實體身分驗證及傳輸安全。上述組織要求得由政策、程序規範、業務夥伴契約、團體健康計畫所組成，以助於改善醫療領域的網路安全及隱私保護風險管理。預計本指南更新將徵求公眾意見至2022年9月21日止。

　　美國亞利桑那州曾於2014年通過違反本人意願散布隱私內容之條文（泛稱為情色報復法Revenge Porn Law），構成要件未涵蓋行為人需有傷害的主觀不法構成要件，只要未經本人同意散布隱私內容即有可能觸犯本法而被判重罪（Felony），最高將可處三年又九個月之有期徒刑。然而，因構成要件過於廣泛，甚至未排除具新聞、藝術、教育價值之內容，未考慮本人之隱私期待性和傷害有無，美國公民自由聯盟遂代表出版業、媒體業和攝影業等，以該條文侵害言論自由有違憲之虞，於同年9月向亞利桑那州提告。該案於2015年7月10日達成和解，亞利桑那州地方法院宣告該條文將不會生效施行。 　　在經過漫長的修法後，亞利桑那州參議院最終於2016年3月7日無異議通過情色報復法之最新修法法案（House Bill 2001），待州長簽署核准後便立即生效施行。本次修法與2014年的版本不同處為，檢察官需證明隱私內容之本人具有合理的隱私期待，若被害人曾將自拍的影像寄送與他人，更需證明被害人未有分享的意思。此外，檢察官需證明行為人具有意圖傷害、騷擾、威脅或迫使他人之主觀意思。在此條文尚未通過前，實務上已有檢察官多次反應現行法無從對違反本人意願散布隱私內容之行為論罪，至多僅能以網路跟蹤或霸凌法等追究，對受害人保護甚為不周。

　　2019年2月澳洲政府依據「我的健康紀錄法」（My Health Records Act 2012），執行全國國民納入「我的健康紀錄系統」（My Health Record System）（下稱系統）之政策，有將近9成的國民被納入系統，為解決急診醫師在緊急救治時，需查看病患醫療資訊的需求；澳洲數位健康局（Australian Digital Health Agency, ADHA）於2019年11月發布了一項全國倡議的政策:急診醫師能使用我的健康紀錄系統，在急迫情形下即時做診斷。因此澳洲健康安全與品質委員會（Australian Commission on Safety and Quality in Health Care）與澳洲急診醫學院（Australasian College for Emergency Medicine, ACEM）共同訂定「急診醫師使用我的健康紀錄之指引」（Emergency Department Clinicians’ Guide to My Health Record）（下稱指引）提供急診科醫師參考，說明如下: 　　原則上只有病患之家庭醫師或主治醫師才能進入系統查看病患的醫療資訊，其他未經同意的醫師不得隨意查看病患的醫療資訊，但若病患發生急救狀況時，則允許急診醫師得使用系統查看病患之醫療資訊，例如:使用藥物資訊、各醫師之醫療診斷書、照顧資訊、處方簽紀錄，病患用藥歷史、住院紀錄、家族病史、專家建議信（Specialist letters）、器官捐贈與預立醫療決定（Advance care plans）、病理診斷、病人自行輸入的資訊，例如過敏反應等，協助急診醫師能使用病患就醫紀錄迅速的做診斷；允許急診醫師得直接查看病患之醫療資訊，也解決急診醫師在救治時，無法即時與病患之家庭醫師聯繫問題。另外，系統之病歷電子化也為急診醫師帶來益處，例如:醫療資訊的合併，整合病患的就醫資料、減少不必要及重複的檢查，即時傳遞醫療資料等。此外，為了保障國民之資訊自主，醫師必須尊重病患的權利，例如病患得使用取消功能來刪除病歷資訊、限制特定醫療人員或醫療機構查看、限制查看資料的類型等。 　　這項指引使急診醫師能更了解如何使用系統、在緊急救護時，得隨時能查病歷資料做出最佳的處置、系統化的便利性為急診醫師節省許多處理時間，並促進與提升醫療品質。

美國FCC主席Jessica Rosenworcel於2023年9月26日發表演說，並於內容中提案恢復在美國前總統川普任期間被廢止的網路中立性（Net Neutrality）相關規定，包含禁止寬頻網路業者對給付額外費用者提供「快速線路（fast lanes）」，或禁止電信業者對其網路服務減慢網速等規定。 FCC表示網路中立性規範可維護以下4大要點，包含： 1. 開放性：避免消費者觀看合法內容受阻，或是需要支付額外費用取得。 2. 國家安全：將寬頻網路渠道重新分配，以對抗潛在國安威脅。 3. 資訊安全：FCC得以強化寬頻網路韌性（resiliency），並要求網路業者在中斷網路時，需先行通知FCC與消費者。 4. 全國標準性：將樹立全國統一標準取代各州自行規範。 然而，有產學界的反對意見指出，在相關規定廢止期間，並未發現有網路業者因額外收費而對消費者的網路內容或網速進行干預。故認為FCC誇大了這些隱憂。 2023年10月19日，FCC在內部表決後，確定開始恢復網路中立規則程序，並於隔日發布包含最新草案內容之擬議規則制定通知（Notice of Proposed Rulemaking），草案除包含以上4要點相關規範以外，亦包含對寬頻網路近用業者（Broadband Internet Access Service，BIAS）等相關業者要求與限制，例如： 1. BIAS業者必須為殘疾消費者（disabilities）提供網路使用相關幫助。 2. BIAS業者將劃分為電信業者（telecommunications service）並適用相關規定。 針對目前草案內容，FCC目前正在公開徵詢意見，預定徵詢期限至2023年12月24日，並在2024年1月17日將意見彙整回報後，再進行後續表決及相關程序。 若網路中立性規範恢復，可能影響具跨國業務的網路業者，進一步影響其他國家的網路政策與法規，故亦可能對台灣網路業者與網路政策產生影響，值得我國持續關注後續發展。 本文同步刊登於TIPS網（https://www.tips.org.tw）