美國能源部(Department of Energy, DOE)所屬之電力傳輸與能源可靠度辦公室(Office of Electricity Delivery and Energy Reliability, OE)與聯邦智慧電網工作小組(Federal Smart Grid Task Force)對於由智慧電網技術所生之資料相關隱私保護問題,經過一系列包括相關業者在內的公眾意見徵集與專家學者討論後,於2015年1月12日所發布之「自願行為守則」(Voluntary Code of Conduct, VCC),係屬美國總統歐巴馬同日宣示政策,公布對於強化消費者安全、處理身分盜用(identity theft)、並促進線上隱私保護之總體策略方向中的重要部份。 「自願行為守則」的適用對象是供電業者與第三方,目的在於保護包括能源使用資訊(energy usage information)在內的電業消費者資料,並提高消費者的隱私意識與相關資料在提供與近用上所須行使的同意與控制。「自願行為守則」揭示其三大目標,包括:(一)於鼓勵創新的同時,適切地保護消費者資料的隱私與機密性,並提供可靠與不致於無法負擔之電業與能源相關服務;(二)提供消費者對其自身資料的適當近用(appropriate access);以及(三)不生違反或取代任何聯邦、州、或地方主管機關之法令或管制措施之效果。 而為求取前揭目標之達成與實現,「自願行為守則」訂有五大步驟。此五大步驟包括:(一)「消費者之注意與意識」:透過相關規定向消費者解釋資料蒐集的相關政策與程序,並聚焦於消費者的選擇與責任,藉以讓消費者了解其所必須行使之同意;(二)「消費者之選擇與同意」:透過相關規定讓消費者能為非原始目的(Secondary Purposes)——例如向數個第三方為差別化之近用授權、限制近用之期間、留存資料釋出之記錄、取消授權、以及於授權終止或不再需要相關資料時之資料處置或去識別化等——對其資料之近用進行相關管控、確認有哪些類型的資料與揭露無須消費者同意、以及要求特定資料應直接由消費者處取得;(三)「消費者資料近用」:透過相關規定允許消費者近用其資料、確認可能的錯誤、以及要求更正的相關程序,其中包括在特定情況下就非常態性要求收取費用的可能性;(四)「資料的完整性與安全性」:透過相關規定規範網路安全管理計畫,以及聚合性資料(Aggregated Data)或匿名性資料的建立方式;(五)「自發性執行、管理、與矯正」:透過相關規定對自願採納本「自願行為守則」之服務提供者的行動作出規範,以確保其遵守行為守則。「自願行為守則」雖屬自律規範,但其制定過程有包括電力業者在內之利害關係人的充分參與,並經充分之專家與公民意見徵集,被預期在公布之後將有相當程度之約束力量,並能令因智慧電網與能源資通訊技術所生之相關隱私權保護問題得到更進一步的解決。
美國公民權利辦公室就Sentara醫療機構違反個資外洩通知義務予以重罰美國衛生及公共服務部(Department of Health and Human Services, 下稱HHS)轄下的公民權利辦公室(Office for Civil Right, 下稱OCR)在2019年11月27日,正式對Sentara醫療機構處以217萬美元行政罰,主因該機構違反《健康保險可攜與責任法》(Health Insurance Portability and Accountability Act, 下稱HIPAA)的醫療個資外洩通知義務。 HIPAA是美國有關醫療個資管理的主要規範,依據HIPAA第164.400條以下「違反通知規則」(Breach Notification Rule)規定,當超過500位病患的「受保護健康資訊」(Protected Health Information, 下稱PHI)遭受不當使用或被外洩時,除應通知受害人外,還必須立即告知HHS以及在當地知名媒體發布新聞。而OCR主要負責檢查受規範機構,是否確實執行HIPAA隱私、安全和違反通知規則。 而在2017年4月,HHS收到指控Sentara將含有病患姓名、帳號、就診日期等涉及PHI的帳單發送到錯誤地址,造成557名病患個資外洩。Sentara卻認為該帳單內容未含有病患病歷、治療資訊或其他診斷紀錄,且僅有8人被影響,並非HIPAA應進行個資外洩通知義務之範疇,故不依規定程序通報HHS。不過OCR認為依HIPAA第160.103條規定,PHI包含病史、保險資訊、就醫紀錄(含日期)、身心健康狀態等可識別個人之健康資訊。因此認為Sentara確實違反個資外洩通知義務,予以罰款並命檢討改善。 Sentara醫療機構服務範圍橫跨美國維吉尼亞州(Virginia)和北卡羅來納州(North Carolina),共有12家急性照護醫院、10家護理中心和3家照護機構,為美國最具知名的大型非營利醫療機構之一。這次重罰也告誡國內醫療機構當發生敏感性醫療個資外洩時應從嚴判斷,以避免民眾對醫療照護單位失去信任,確保國內醫療機構體系應恪遵HIPAA規範。
從國內外實務見解談企業對員工之電子郵件監控 自日本產業競爭力強化法暨特區立法談監理沙盒立法之推動與課題