美國衛生及公共服務部提出雲端服務適用健康保險可攜與責任法之相關指引
美國醫療產業使用境內或境外雲端服務(Cloud Services)急速成長,導致「健康保險可攜與責任法」(Health Insurance Portability and Accountability Act,以下簡稱HIPAA)規範下之「適用機構」(Covered Entities)與其「商業夥伴」(Business Associate),對於雲端服務業者如何適用HIPAA感到疑惑。因此,衛生及公共服務部民權辦公室(Department of Health and Human Services, Office for Civil Rights)於10月7日公布相關業者如何適用HIPAA之指引,以釐清爭議。
於該指引中,該部指出,雲端服務業者若替適用機構或是商業夥伴創造、接收、維護、傳送被HIPAA所保護之「資療資訊」(Protected Health Information),則該雲端業者就被視為HIPAA下規範之商業夥伴,原因在於該服務具有儲存與維護醫療資訊功能,非屬該法排除適用之「網路服務業者」(Internet Service Providers)資料傳輸服務類型。
該指引有幾大重點:首先,雲端服務業者如將該醫療資訊提供加密儲存服務,仍應盡到HIPAA中規範商業夥伴之責任。原因在於加密資料不足以保護HIPAA有關資訊安全章節所要求醫療資訊之「機密性、完整性和可用性」之相關規範。再者,雲端業者皆須與委託方簽署商業夥伴協議(Business Associate Agreements)。此外,使用雲端服務儲存資療資訊時,委託方皆能使用行動設備進入雲端儲存之醫療資料,但應建立合乎HIPPA所要求相關之安全措施。最後,HIPAA並未禁止將醫療資訊儲存至伺服器為於美國境外之雲端業者,但使用前應自行評估該資訊遭駭客攻擊之可能性。
- Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016,
- Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016,
- Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services,
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
- 【北部場1】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場2】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場3】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場4】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【南部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【中部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
陳仕偉
法律研究員 編譯整理
Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016, http://www.natlawreview.com/article/department-health-and-human-services-issues-guidance-hipaa-and-cloud-providers (last visited Nov.8, 2016)
Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016, http://www.natlawreview.com/article/health-and-human-services-issues-guidance-hipaa-and-cloud-computing (last visited Nov.8, 2016)
Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services, http://www.hhs.gov/hipaa/for-professionals/special-topics/cloud-computing/index.html (last visited Nov. 8, 2016)
美國行政管理預算局(United States Office of Management and Budget, OMB)於2020年1月發布「人工智慧應用監管指南(Guidance for Regulation of Artificial Intelligence Applications)」備忘錄草案。該備忘錄草案係基於維護美國人工智慧(AI)領導地位之目的,而依據美國總統川普(Donald John Trump)於2019年2月簽署之「維持美國人工智慧領導地位(Maintaining American Leadership in Artificial Intelligence)─行政命令13859號」,並在啟動美國人工智慧計畫後180天內,經OMB偕同科技政策辦公室(Office of Science and Technology Policy, OSTP)、美國國內政策委員會(United States Domestic Policy Council)與美國國家經濟委員會(National Economic Council)與其他相關機構進行協商,最後再由OMB發布人工智慧應用監管指南備忘錄草案,以徵詢公眾意見。 該備忘錄草案不僅是為了規範新型態AI應用技術,更希望相關的聯邦機構,在制定AI應用產業授權技術、監管與非監管方法上,能採取彈性的制定方向,以避免過度嚴苛的規定,反而阻礙AI應用的創新與科技發展,繼而保護公民自由、隱私權、基本權與自治權等價值。同時,為兼顧AI創新與政策之平衡,應以十大管理原則為規範制定之依據,十大管理原則分別為: 培養AI公眾信任(Public Trust in AI); 公眾參與(Public Participation); 科學研究倫理與資訊品質(Scientific Integrity and Information Quality); AI風險評估與管理(Risk Assessment and Management); 獲益與成本原則(Benefits and Costs); 彈性原則(Flexibility); 公平與反歧視(Fairness and Non-Discrimination); AI應用之揭露與透明化(Disclosure and Transparency); AI系統防護與措施安全性(Safety and Security); 機構間之相互協調(Interagency Coordination)。 此外,為減少AI應用之阻礙,機構制定AI規則時,應採取降低AI技術障礙的方法,例如透過聯邦資料與模型方法來發展AI研發(Federal Data and Models for AI R&D)、公眾溝通(Communication to the Public)、自發性共識標準(Voluntary Consensus Standards)之制定及符合性評鑑(Conformity Assessment)活動,或國際監管合作(International Regulatory Cooperation)等,以創造一個接納並利於AI運作的環境。
英政府推動開源碼計劃由英國政府所資助成立的一項計畫,希望透過開放原始碼廠商目錄及程式碼資料庫的建立等措施,加速公家單位對開放原始碼軟體的採用。這項名為「開放原始碼學院」( Open Source Academy )的計畫,是由副首相辦公室( Office of the Deputy Prime Minister )的電子創新投資計畫所贊助,預計在本月內將正式宣佈。 參與該計畫的開放原始碼協會( Open Source Consortium )執行總監表示,英國的公家機關在開放原始碼的採用上落後於歐洲各國,而這項計畫將改變目前的現況。地方政府已經可以透過網站開始分享程式碼,例如「地方政府軟體協會」( Local Authority Software Consortium )的網站。這項計畫裡的其他專案還包括了政府機構的入口網站計畫,可藉以尋找開放原始碼供應商的資訊;以及開放原始碼顧問的專業鑑定模式。
美國聯邦貿易委員會推動「不留痕」機制,使消費者可選擇不在網路上留下個人資訊美國聯邦貿易委員會(Federal Trade Commission ,FTC)最近開始推動一套「不留痕」(do-not-track)機制,旨在防止網站蒐集未經使用者授權之個人資料。 FTC所出具的報告,旨在幫助政策制訂者和立法者形塑隱私規則,同時要求網站揭露更多其所蒐集之資料的相關事項,諸如蒐集的資料種類、如何使用該資料、以及保存期間。該報告並建議企業提供使用者更多拒絕被蒐集資料的退出選擇方案。 FTC主席Jon Leibowitz在最近的記者會中指出,目前有許多尚未受到網路隱私規範之行銷方式,普遍受到廣告商、社群網站或是搜尋引擎運用。FTC當局的建議由五人所組成的委員會無異議通過,由於網路廣告商、媒體經營者以及零售商所建立的新的行銷模式均建基於個人資料的使用上,因此此建議亦同時考量到該等業者之利益平衡,至2011年1月31日前持續蒐集業者之意見。Leibowitz表示,FTC希望確保新興成長的資訊市場是建立在促進隱私、透明、商業革新和消費者選擇的框架上,而這也是多數美國民眾所希望的。」 此一「不留痕」機制是參照FTC另外一套受歡迎的「勿來電」機制,也就是將電話號碼註冊在一特定的名單上,以防止電話推銷員來電,不過實際上的運作模式仍略有差異。相較於將姓名註冊在一份中央管控的名單,此一機制則是透過網頁瀏覽器的工具,傳送不願被追蹤或接受特定廣告的訊息,Google、Microsoft和 Mozilla都已測試過此套技術。 在此一報告提出後不久,麻州參議員John F. Kerry表明他將會推動一部隱私權相關法律,使FTC有更多規則制訂權以實現其報告所提建議。因為作為相關主管機關,FTC制訂規則的權利其實很有限。
歐盟議會對於電信改革法案並無達成任何協議2009年05月06日歐盟議會對於大幅度改革之電信法審議並未通過,議會各會員對於創設一強而有力的電信管制體有共識,惟包裹立法中有一條款對「公民之接近網路權」干涉甚鉅,而引發疑慮。 歐盟電信法改革法案乃採取「包裹式立法」,該改革法案主要著重在科技的進步與高速網路接取的迅速成長。歐盟議會支持其他的改革,包括創設一歐盟電信管制體,賦予其權力以監督電信單一市場;分配電信頻譜予新興行動科技以及促進公民線上資訊保護的隱私權。 然而,針對人民接近使用網路權的限制範圍,卻無法達成協議,導致整個電信包裹立法仍在捷克的議會主席與議會代表之間繼續尋求妥協之道。 如果人民被發現正下載非法的著作物時,法國與英國代表則主張欲擁有較大的權限,以限制人民的接近網路使用權(此乃因其內國法已有針對下載盜版著作的處罰性規定)。其他會員國則採取較為寬容的態度,認為此涉及人民隱私範圍之保護、行為自由、表意自由與資訊接近權,應更審慎為之。 縱使該包裹立法並未被全部支持,一些觀察家認為大部分的改革條款應會通過。然而議會代表與電信委員會對此則未表達肯定之意。有意者認為:若此改革法案繼續維持包裹立法架構,恐將導致整個法案因此延宕,若能針對共識部份先行通過,似乎較能達成有效率的管制措施。