英國實行個人健康和社會照護資訊連結服務(care.data)
隨著英國國家健康服務(National Health Service, NHS)的改革,英國於去(2012)年3月27日通過衛生和社會照護法(The Health and Social Care Act 2012)。當中一項主要的變革即是成立衛生與社會照護資訊中心(The Health and Social Care Information Centre, HSCIC)作為醫療健康資料的專責機構。而這樣的變革,也影響過去病歷資料的蒐集、分享和分析方式。依據衛生和社會照護法的規定,HSCIC若受到衛生部長(Secretary of State for Health)指示、或來自照護品質委員會(Care Quality Commission, CQC)、英國國家健康與臨床卓越研究院(National Institute for Health and Clinical Excellence, NICE)、醫院監管機構Monitor的命令要求時,在這類特定情況之下,可以無需尋求病患同意,而從家庭醫師(GP Practice)處獲得病患的個人機密資料(Personal Confidential Data, PCD)。
今(2013)年3月獲NHS授權, 由HSCIC於6月開始執行的care.data服務,即是依據前述立法所擬定之方案。care.data藉由定期蒐集醫療照護過程中的相關資料,對病患於國內所為的各項健康和社會照護資訊(例如病患的住院、門診、意外事故和緊急救護記錄)進行具延續性之連結。以提供即時、正確的NHS治療和照護資訊給民眾、門診醫師和相關部門之官員,進而達到care.data所設定的六項目標,支援病患進行治療的選擇、加強顧客服務、促進資訊透明性、優化成果產出、增加問責性,並驅動經濟成長。
然而,由於care.data是以英國民眾就醫行為中,屬於基礎醫療的家庭醫師(General Practitioner, GP)系統為基礎,所提取的資料包括家族歷史、接種疫苗、醫師診斷、轉診記錄、生理指標,以及所有NHS處方。其次,care.data在進行初級和次級資料連結時,將會透過NHS號碼、生日、性別和郵遞區號,這四項可識別資料的比對。因此雖然care.data在涉及敏感性資料時會加以排除,但此項服務仍引起社會上相當大的爭議。包括部分醫師、隱私專家和的社會團體皆提出質疑,質疑care.data是否有充分告知病人、HSCIC所宣稱的匿名性是否足夠、此項服務對醫病關係的衝擊、該服務所宣稱的資料分享退出機制(opt-out)並未妥善等。
care.data是NHS所推出的創新資料現代化服務,但同時也涉及病患隱私權保護之議題。反觀我國近來所推動的醫療健康資訊加值再利用政策,英國的案例值得我們持續觀察其發展。
- Data and information, NHS England
- Care.data – modern data service for the NHS, NHS England
- Rebecca Todd, Care.data extract needs explanation, EHEALTH INSIDER, Feb. 20, 2013
- Rebecca Todd, Care.data IG reconsidered, EHEALTH INSIDER, Mar. 27, 2013
- Rebecca Todd, Care.data approved, EHEALTH INSIDER, Apr. 10, 2013
- Rebecca Todd, Care.data implemented this month, EHEALTH INSIDER, June 3, 2013
- Rebecca Todd, GP group does care.data campaign, EHEALTH INSIDER, Agu 2, 2013
美國布希政府最近向國會正式提出一個以打擊恐怖主義及大規模毀滅性武器為目的的法案—出口執行法(The Export Enforcement Act of 2007),以期為執法者—美國商務部產業安全局(Bureau of Industry and Security, BIS)提供更有效的工具,防止最具有敏感性的技術或產品落入危險份子手中。 長久以來,美國用以管理敏感性技術與產品的法源是1979年制定的出口管理法(Export Administration Act),該法對軍民兩用的技術與產品,施以出口管制。出口法在2001年失效,同年發生911攻擊事件,因此,布希政府除希望獲得國會重新就出口管理法予以授權外,也希望可以有更強而有力的出口管理權限。不過行政部門迄今未得到國會就出口管理法予以重新授權。 自2001年以來,BIS係依國際緊急情形經濟權力法(International Emergency Economic Powers Act, IEEPA)行使出口管理權限,不過根據IEEPA,美國總統必須每年發布行政令(Executive Order)始能動用出口管理權限,而IEEPA對於違反出口管制規定的處罰也不若出口管理法重,因此,IEEPA除了對執法者造成出口管理的不便的困擾外,寬鬆的處罰也使得美國過去幾年非法技術外移的事件頻傳。 本次布希政府再次提出2007年出口執行法,其內容除了請求國會同意在未來五年再度授權行政部門行使1979年的出口管理法之權限外,其他重要內容尚有:(1)修正1979年的出口管理法之執行與違法規定:除增列構成犯罪之違法出口行為態樣外,並對違法者大幅加重其民刑事處罰。根據修正草案,企業之出口行為若被認定為違法,最高可科處500萬美元或違法出口技術或產品價值之十倍罰金;(2)強化了執法者打擊軍民兩用技術與產品非法出口的職權,明訂商務部特派員擁有海外調查以及秘密調查的權限;(3)對企業所提出之秘密資訊負有保護義務。 整體而言,本法案除了重新授權美國商務部管理軍民兩用技術與產品實施出口管制體系外,同時也代表美國政府於二十一世紀為維護國家安全與處理所面臨之經濟挑戰的長期與根本性改革。目前法案仍須國會討論通過後,始能生效適用。
美國聯邦地方法院就Sanford Wallace散佈間諜軟體案作成判決美國聯邦交易委員會指控 Sanford Wallace 氏及其所經營的 Smartbot.Net 公司,利用 IE 瀏覽器的安全漏洞散佈間諜軟體一案,日前新罕布夏州聯邦地方法院作成判決。 被告散佈之軟體會將受害者的光碟機托盤彈出,同時在螢幕顯示「最後警告」等字樣,附帶一則訊息告訴受害者,「如果您面臨光碟機托盤彈出的狀況,代表間諜軟體已經入侵您的電腦系統,安全已經出現漏洞,敬請立刻下載本公司出品,以資因應!」趁機推銷該公司出品,定價 30 美元之 Spy Wiper 跟 Spy Deleter 軟體,號稱足以因應間諜軟體相關問題。實際上,被告未經用戶同意逕予散佈植入的,性質上即係間諜軟體,不僅會偷偷更改用戶電腦的設定,持續不斷跳出廣告視窗,造成用戶之電腦運作不順或者當機,還可能洩漏電腦裡頭所儲存的資料。 日前新罕布夏州聯邦地方法院就本件作成判決,命被告必須償還不法取得的利益,共計 408 萬餘美元;不得繼續傳輸散佈間諜軟體至用戶之個人電腦;不得未經同意逕行傳輸任何軟體予用戶;不得將用戶之電腦導向彼等並未打算瀏覽或連結的網站或伺服器;不得更動用戶瀏覽器所預設的首頁;不得更動或調整搜尋引擎的功能或成果。
論網路環境下的通訊監察法制 德國聯邦內政部提出「資訊科技安全法」(草案),保障關鍵基礎設施及資訊安全德國聯邦內政部繼與德國聯邦經濟暨能源部與交通暨數位基礎設施部共同擬定之「數位議程2014 - 2017」(Digitale Agenda 2014 – 2017)政策裏,於本年8月19日提出資訊科技安全法(草案)(IT-Sicherheitsgesetz)。該草案的提出目的為保障德國公民與企業使用的資訊系統安全,特別是在全國數位化進程中,攸關國家發展的關鍵基礎設施。德國內政部長de Maizière在新聞發表會上,宣稱要讓德國成為全球資訊科技系統及數位基礎設施安全的先驅與各國的模範。除外,亦欲藉此強化德國資訊科技安全企業的競爭力,提升外銷實力。 該草案的主要對象係關鍵基礎設施營運者(Kritische Infrastrukturbetreiber),例如在能源、資訊科技、電信、運輸和交通、醫療、水利、食品、金融與保險等領域的企業。「關鍵基礎設施」的定義並未涵蓋德國聯邦政府部門之間使用的數據通信系統。不過,究竟係在這些基礎設施領域的哪些企業該受到資訊科技法的約束,德國內政部將陸續與各相關部會研討後再以行政法規的方式明確表列出來。 關鍵基礎設施企業必須採取適當的保護措施以保障關鍵基礎設施的正常運行。所採取的保護措施可符合同業或同業公會裡所認可的最新資訊安全標準,且得符合一定的付出成本比例。不過衡量標準,最後還是得由德國聯邦資訊安全局(Bundesamt für Sicherheit in der Informationstechnik, BSI)〉做認定。上述之企業需兩年內完成安全防護措施的設置。為防止電信系統非法入侵,該草案也修增德國電信法(Telekommunikationsgesetz)為施予電信業者更高的資訊安全防護標準。針對網際網路服務提供者(Internet Service Providers, ISP)也特別施加設置防範駭客攻擊的尖端防護措施義務。 關鍵基礎設施業者的資訊安全系統均須透過德國聯邦資訊安全局(Bundesamt für Sicherheit in der Informationstechnik, BSI)每兩年定期審核,若沒通過則會被要求依德國聯邦資訊安全局的標準去處裡該安全漏洞。 若是上述業者的資訊安全系統有受損,並且可導致關鍵基礎設施的故障或損毀,該企業需通報德國聯邦資訊安全局,且該記錄可匿名化。但是,若是因駭客攻擊直接導致關鍵基礎設施的故障或損毀,該企業則需立即通報德國聯邦資訊安全局,不可匿名。