美國衛生及公共服務部提出雲端服務適用健康保險可攜與責任法之相關指引
美國醫療產業使用境內或境外雲端服務(Cloud Services)急速成長,導致「健康保險可攜與責任法」(Health Insurance Portability and Accountability Act,以下簡稱HIPAA)規範下之「適用機構」(Covered Entities)與其「商業夥伴」(Business Associate),對於雲端服務業者如何適用HIPAA感到疑惑。因此,衛生及公共服務部民權辦公室(Department of Health and Human Services, Office for Civil Rights)於10月7日公布相關業者如何適用HIPAA之指引,以釐清爭議。
於該指引中,該部指出,雲端服務業者若替適用機構或是商業夥伴創造、接收、維護、傳送被HIPAA所保護之「資療資訊」(Protected Health Information),則該雲端業者就被視為HIPAA下規範之商業夥伴,原因在於該服務具有儲存與維護醫療資訊功能,非屬該法排除適用之「網路服務業者」(Internet Service Providers)資料傳輸服務類型。
該指引有幾大重點:首先,雲端服務業者如將該醫療資訊提供加密儲存服務,仍應盡到HIPAA中規範商業夥伴之責任。原因在於加密資料不足以保護HIPAA有關資訊安全章節所要求醫療資訊之「機密性、完整性和可用性」之相關規範。再者,雲端業者皆須與委託方簽署商業夥伴協議(Business Associate Agreements)。此外,使用雲端服務儲存資療資訊時,委託方皆能使用行動設備進入雲端儲存之醫療資料,但應建立合乎HIPPA所要求相關之安全措施。最後,HIPAA並未禁止將醫療資訊儲存至伺服器為於美國境外之雲端業者,但使用前應自行評估該資訊遭駭客攻擊之可能性。
- Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016,
- Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016,
- Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services,
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
陳仕偉
法律研究員 編譯整理
Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016, http://www.natlawreview.com/article/department-health-and-human-services-issues-guidance-hipaa-and-cloud-providers (last visited Nov.8, 2016)
Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016, http://www.natlawreview.com/article/health-and-human-services-issues-guidance-hipaa-and-cloud-computing (last visited Nov.8, 2016)
Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services, http://www.hhs.gov/hipaa/for-professionals/special-topics/cloud-computing/index.html (last visited Nov. 8, 2016)
今年5月26日,歐盟高等法院做出裁決,認為魔術方塊不應擁有立體商標權的保護,結束了長達十年的魔術方塊立體商標權爭議。而本案於11月10日已結束聽證會(full hearing),多數意見仍然支持法院的觀點。 歐盟高等法院認為,魔術方塊的立體造型外觀,已成為他3D多面旋轉功能不可或缺的一部分,如果賦與其商標權保護,由於商標權可無限期展延的特性,等於永久阻止所有相同或類似造型外觀的產品上市,間接妨礙了技術上的突破與創新,形成一種相同或類似技術上的獨占地位(monopoly)。裁決更指出,其應以專利權作為申請標的,以保障發明人智慧財產權,而非以商標權變相延伸專利權的保護範圍。 在類似的案例中,雀巢的四指造型巧克力被歐盟法院(CJEU)駁回,理由之一為產品形狀為達到技術結果的必須條件(該造型提供了掰開巧克力的獨特方式),與本案有異曲同工之妙。 然而,反對見解認為,如不賦與魔術方塊立體商標,等於鼓勵仿冒者用相同或類似外觀作為商標使用,而不論該仿品外觀是否確實賦與相同之技術結果,間接限縮了立體商標權的保護效力。 我國立體商標審查基準中也有類似的規定,排除具有功能性的外觀造型註冊立體商標。然而,應該思考的毋寧是,當產品技術水準無法成功申請專利權保護時,如同時駁回該產品外觀的立體商標註冊,則該如何維護該產品的智慧財產權,又該如何防止他人抄襲與仿冒,是本案遺留下的重要問題。
基因改良作物命運大不同身為世上最大基因改良( GMO)棉花生產者的 中國大陸 ,已經批准將經過基因改良的混種棉花進行商業化,預料可以解決生活日用品上的短缺。相對於此, 歐盟 的農業部長們,卻對於是否批准編號1507的基因改良玉米,陷入一個進退維谷的困境。但是經過8年激烈的反對, 丹麥 卻允許基因改良玉米的進口。 而在 美國 有 85﹪的大豆,76﹪的棉花,45﹪的小麥是經過基因改良的。至於 澳洲 農業與資源經濟局則最近則對基因改良作物做出一份報告,認為各省禁止基因改良食品會減小經濟效益,使 澳洲 面對世界各地日益增多的基因改良作物發展,屈居弱勢。至終可能會在十年後造成1.5億到6億澳幣的損失。
澳洲證券投資委員會發布監理沙盒架構澳洲證券投資委員會(Australian Securities and Investments Commission, ASIC) 於2016年12月15日發布第257號法規指導(Regulatory Guide 257,RG 257)-在未持有AFS或信用執照的狀態下測試fintech產品與服務(Testing fintech products and services without holding an AFS or credit licence)。RG 257並包含澳洲的監理沙盒架構。重要內容如下: 1.有別於其他國家的監理沙盒需要申請方能適用,透過法規以及ASIC澳洲已經提供一些鬆綁機制,換句話說並不需要事先申請就可以取得監管沙盒鬆綁。例如非現金支付產品,包含儲值卡,以及某些國外交易服務。 2.ASIC的fintech 執照豁免見諸於ASIC Corporations (Concept Validation Licensing Exemption) Instrument 2016/1175 以及ASIC Credit (Concept Validation Licensing Exemption) Instrument 2016/1176。 3.ASIC也可個別提供客製化的執照豁免以促進產品或服務測試,個別豁免就比較接近其他國家的監管沙盒架構。 因此基本上,只要符合法定以及上述兩個instruments的規定,就可以自動取得監管沙盒的鬆綁,而無需另外申請,唯需「通知」ASIC,並提供相關資料。監理沙盒的適用期間為十二個月。但是如果不符法定以及Instrument 2016/1175、Instrument 2016/1176的規定,也可以另外向ASIC申請客製化的豁免。 目前可適用Instrument 2016/1175的金融服務包含: •掛牌的澳洲證券; •簡易管理的投資架構; •存款產品; •某些一般的保險商品;以及 •「授權存款取用機構(authorised deposit-taking institutions,ADIs)」發行的支付產品。 唯須注意的是,Instrument 2016/1176允許有限的信用協助,但是不得提供借貸。另外,使用監理沙盒的fintech企業最多只能有100個零售客戶,以有效控制風險。