淺談美國行動健康服務應用程式之管理規範

歐美貿易與技術理事會（EU－U.S. Trade and Technology Council，TTC） 2024年4月4日至5日在比利時魯汶舉行第6屆部長會議，依據會後聯合聲明，雙方針對數位轉型所帶來的機遇與挑戰，同意在新興技術和數位環境等面向促進雙邊貿易和投資、進行經濟安全合作，並捍衛人權價值。未來雙方將針對AI、半導體、量子技術和6G無線通訊系統等制定互通機制及標準，簡述如下： (1) AI技術：採取「風險基礎方法」（risk-based approach）實施「可信任人工智慧和風險管理聯合路徑圖（Joint Roadmap for Trustworthy AI and Risk Management），提高透明度以降低公民及社會使用AI的風險；更新關鍵AI術語清單（a list of key AI terms），減少雙方於概念認知上的誤差；承諾建立對話機制，以深化雙邊合作。 (2) 半導體：為促進半導體供應鏈韌性（resilience）與協調（coordination），將延長實施「供應鏈早期預警機制」（joint early warning mechanism）及「透明機制」（transparency mechanism）兩項行政安排，共同解決半導體產業市場扭曲、供應鏈過度依賴特定國家等挑戰。 (3) 量子技術：雙方將成立量子工作小組（Quantum Task Force），以制定統一量子技術標準，加速技術研發。 (4) 6G技術：雙方通過「6G願景」（6G vision），並對於未來研究合作簽署行政安排（administration arrangement），建立6G技術開發共同原則。 歐美雙方期望透過上述作法，促進半導體和關鍵技術研發和供應鏈多元化，以確保經濟安全及落實數位轉型，確保歐美於新興技術和數位環境之領導地位。

一、立法背景 　　由於美國國家海洋暨大氣總署（National Oceanic and Atmospheric Administration，縮寫NOAA）於2018年間發布關於氣候變遷將導致經濟發展受到影響之相關報告，同時間，美國最高法院拒絕駁回2015年由21位民眾及美國Our Children’s Trust（非政府組織）對聯邦政府所提起之訴訟，主張美國政府並未循正當法律程序，即鼓勵對環境保護傷害甚鉅之石化能源開發。因此聯合國人權暨環境特別報告（UN Special Rapporteur on human rights and the environment）呼籲各國盡快針對環境變遷採取相關行動，美國國會議員Ed Markey及Alexandria Ocasio-Cortez遂基於上述情事於2019年2月7偕同提出綠色經濟草案（下稱本草案）。 二、草案簡介 　　所謂綠色經濟，是因應全球經濟危機、氣候變遷、石油資源枯竭而提出，其內容包括金融及租稅政策的重建以及再生能源的運用，初始概念於2007年由一位記者刊載於時代雜誌與紐約時報，後相關倡議人士遂依此成立非政府組織The Green New Deal Group，並於2008年廣泛發行相關刊物。 三、草案內容 　　本草案賦予政府五大義務：溫室氣體零排放、創造百萬高薪工作機會、投資基礎設施及工業、永續環境（諸如確保空氣、水質、氣候、食品之安全、韌性社區之推動）、反壓迫等，且內容上更將前開義務再行細分為14項目標計畫，並訂定10年執行期間。 　　上揭14項目標計畫的內容大致可分為五類，分別為：提升基礎設施以因應各種氣候變遷所造成之災害、將政府所需能源全數轉換為零碳排放、提升電力及能源效率、消除製造業與農業所造成之汙染與溫室氣體的排放，另外亦全面將大眾運輸設施改建為高速及零碳排放系統。 　　為達成前述14項目標，本草案一共訂定15項須政府配合之細項，方向上包括：給予社區、組織、機關、地方政府及各法人相關協助、提供適切之訓練課程及高等教育、針對新興科技之研究與開發進行投資、提高家庭所得及保障各級勞工組織工會之權利、提供全民高品質之健康照護。

　　美國國家標準暨技術研究院（National Institute of Standards and Technology, NIST）於2022年7月21日發布更新《網路安全資源指南》（A Cybersecurity Resource Guide, NIST SP 800-66r2 ipd）。本指南源自於1996年美國《健康保險流通與責任法》（Health Insurance Portability and Accountability Act, HIPAA）旨在避免未經患者同意或不知情下揭露患者之敏感健康資料，並側重於保護由健康照護組織所建立、接收、維護或傳輸之受保護電子健康資訊（electronic protected health information, ePHI），包括就診紀錄、疫苗接種紀錄、處方箋、實驗室結果等患者資料之機密性、完整性及可用性。其適用對象包含健康照護提供者（Covered Healthcare Providers）、使用電子方式傳送任何健康資料的醫療計畫（Health Plans）、健康照護資料交換機構（Healthcare Clearinghouses）及為協助上述對象提供健康照護服務之業務夥伴（Business Associate）均應遵守。 　　本指南最初於2005年發布並經2008年修訂（NIST SP 800-66r1 ipd），而本次更新主要為整合其他網路安全相關指南，使本指南與《網路安全框架》（Cybersecurity Framework, NIST SP 800-53）之控制措施等規範保持一致性。具體更新重點包括：（1）簡要概述HIPAA安全規則；（2）為受監管實體在ePHI風險評估與管理上提供指導；（3）確定受監管實體可能考慮作為資訊安全計畫的一部分所實施的典型活動；（4）列出受監管實體在實施HIPAA安全規則之注意事項及其他可用資源，如操作模板、工具等。特別在本指南第三章風險評估與第四章風險管理提供組織處理之流程及控制措施，包括安全管理流程、指定安全責任、員工安全、資訊近用管理、安全意識與培訓、應變計畫、評估及業務夥伴契約等。而在管理方面包括設施權限控管、工作站使用及安全、設備媒體控制；技術方面則包含近用與審計控管、完整性、個人或實體身分驗證及傳輸安全。上述組織要求得由政策、程序規範、業務夥伴契約、團體健康計畫所組成，以助於改善醫療領域的網路安全及隱私保護風險管理。預計本指南更新將徵求公眾意見至2022年9月21日止。

　　新加坡將從八月起發行擁有生物認證辨識晶片和更多防偽功能的電子護照。為確保新加坡人使用新護照在國外不會遇到困難，有必要進行周全的測試，從使用者的實際經驗中查知不易察覺的問題，確保新護照不會對出國者在各國出入境時造成不便。因此，新加坡移民與關卡局將從 四月二十九日 開始，讓新加坡官員和新加坡航空公司空服員率先試用。第一階段測試完成後，移民與關卡局將全面推廣電子護照，所有在今年八月以後發出的護照，都將是電子護照，取代現有的傳統護照。 　　移民與關卡局也將與夥伴國對新加坡電子護照進行測試，以便在新加坡推出電子護照時，外國的入境處判讀儀器能判讀電子護照內的資料。事實上早在今年一月，新加坡即與美國、澳洲和紐西蘭三國聯合展開三個月的電子護照測試，測試將在 五月十五日 結束。如果測試進展順利，相關國家的機場都將安裝可以判讀電子護照的儀器，蓋唯有各國都安裝相關系統配合運作，電子護照才能發揮功效。目前，美國已經確認新加坡電子護照符合美國免簽證入境第二級認證，這意味著美國國土安全部測試證實新加坡電子護照與美國的護照判讀儀器相容。此外，新加坡移民與關卡局也將持續積極參與國際民航組織會議，確保新加坡了解國際電子護照的最新發展與概況，以取得同步進展。