美國衛生及公共服務部提出雲端服務適用健康保險可攜與責任法之相關指引
美國醫療產業使用境內或境外雲端服務(Cloud Services)急速成長,導致「健康保險可攜與責任法」(Health Insurance Portability and Accountability Act,以下簡稱HIPAA)規範下之「適用機構」(Covered Entities)與其「商業夥伴」(Business Associate),對於雲端服務業者如何適用HIPAA感到疑惑。因此,衛生及公共服務部民權辦公室(Department of Health and Human Services, Office for Civil Rights)於10月7日公布相關業者如何適用HIPAA之指引,以釐清爭議。
於該指引中,該部指出,雲端服務業者若替適用機構或是商業夥伴創造、接收、維護、傳送被HIPAA所保護之「資療資訊」(Protected Health Information),則該雲端業者就被視為HIPAA下規範之商業夥伴,原因在於該服務具有儲存與維護醫療資訊功能,非屬該法排除適用之「網路服務業者」(Internet Service Providers)資料傳輸服務類型。
該指引有幾大重點:首先,雲端服務業者如將該醫療資訊提供加密儲存服務,仍應盡到HIPAA中規範商業夥伴之責任。原因在於加密資料不足以保護HIPAA有關資訊安全章節所要求醫療資訊之「機密性、完整性和可用性」之相關規範。再者,雲端業者皆須與委託方簽署商業夥伴協議(Business Associate Agreements)。此外,使用雲端服務儲存資療資訊時,委託方皆能使用行動設備進入雲端儲存之醫療資料,但應建立合乎HIPPA所要求相關之安全措施。最後,HIPAA並未禁止將醫療資訊儲存至伺服器為於美國境外之雲端業者,但使用前應自行評估該資訊遭駭客攻擊之可能性。
- Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016,
- Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016,
- Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services,
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
陳仕偉
法律研究員 編譯整理
Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016, http://www.natlawreview.com/article/department-health-and-human-services-issues-guidance-hipaa-and-cloud-providers (last visited Nov.8, 2016)
Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016, http://www.natlawreview.com/article/health-and-human-services-issues-guidance-hipaa-and-cloud-computing (last visited Nov.8, 2016)
Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services, http://www.hhs.gov/hipaa/for-professionals/special-topics/cloud-computing/index.html (last visited Nov. 8, 2016)
高達十億美元的著作權訴訟案件大大挑戰YouTube,YouTube之母公司Google的律師向美國曼哈頓地方法院(U.S. District Court in Manhattan)提交文件對Viacom最新提出的訴訟作出以下回應: 『對受著作權保護的資訊無法出現在該網站上的指控,將威脅兩億用戶在網路上交換資訊的權益』。 自從Viacom於2007年提出訴訟以來,這兩家公司之間的交鋒戰況日益激烈。Viacom聲稱,由於用戶能夠不經允許地看到該公司的傳播內容,YouTube反而一貫縱容未經授權的流行電視劇和電影在其網站上放置,並被瀏覽數萬次,並稱Google對此視而不見,已使該公司遭受嚴重損失。 Google在上周五提交給法官的文件中宣稱,『YouTube在幫助著作內容擁有者保護其著作權方面做的已遠遠超過法律應承擔的義務』。同時,Google表示:『為了尋求上傳者和網路服務業者的合法性,Viacom反而威脅了兩億網路用戶合法交換資訊、新聞、娛樂、政治和藝術表達的方式與自由』。 Google稱所屬的YouTube乃忠實執行1998年『千禧年著作權法』(1998 Digital Millennium Copyright Act) 的要求,認為聯邦法會保護YouTube等對著作權擁有者的要求做出適當回應。但Viacom卻認為YouTube開啟了一個不良示範。
美國針對政府雲端運算應用之資訊安全與認可評估提案為建構政府雲發展的妥適環境,美國於今年度啟動「聯邦風險與認可管理計畫」(Federal Risk and Authorization Management Program, FedRAMP),由國家技術標準局(National Institute of Standards and Technology, NIST)、公共服務行政部(General Service Administration)、資訊長聯席會(CIO Council)及其他關連私部門團體、NGO及學者代表共同組成的跨部會團隊,針對外部服務提供者提供政府部門IT共享的情形,建構一個共同授權與持續監督機制。在歷經18個月的討論後,於今(2010)年11月提出「政府雲端資訊安全與認可評估」提案(Proposed Security Assessment & Authorization for U.S Government Cloud Computing),現正公開徵詢公眾意見。 在FedRAMP計畫中,首欲解決公部門應用雲端運算所衍伸的安全性認可問題,因此,其將研議出一套跨部門共通性風險管理程序。尤其是公部門導入雲端應用服務,終究會歸結到委外服務的管理,因此本計劃的進行,是希望能夠讓各部門透過一個機制,無論在雲端運算的應用及外部服務提供之衡量上,皆能依循跨機關的共通資訊安全評定流程,使聯邦資訊安全要求能夠協調應用,並強化風險管理及逐步達成效率化以節省管理成本。 而在上述「政府雲端資訊安全與認可評估」文件中,可分為三個重要範疇。在雲端運算安全資訊安全基準的部份,主要是以NIST Special Publication 800-535中的資訊安全控制項作為基礎;並依據資訊系統所處理、儲存與傳輸的聯邦資訊的敏感性與重要性,區分影響等級。另一部份,則著重在持續性的系統監控,主要是判定所部署的資訊安全控制,能否在不斷變動的環境中持續有效運作。最後,則是針對聯邦資訊共享架構,出示模範管理模式、方策與責任分配體系。
利用安裝SPYWARE擅自寄送廣告,挨告美國紐約州律師 Eliot Spitzer 4 月 4 日 表示, 他已經 對 Direct Revenue LLC 這家網路公司提出告訴。控訴其秘密安裝上百萬之間諜軟體( Spyware )至網路使用者的電腦中,或利用已安裝於使用者硬碟中之間諜軟體,以彈出視窗方式進行廣告,而其中有很多都屬於色情廣告;這些程式具追蹤網路使用者活動之功能,且一經下載,使用者就極難移除甚至不易察覺。 Spitzer 將此訴訟上訴到紐約州之最高法院,認為 Spitzer 應該為未經使用者同意秘密安裝間諜軟體,或透過已存在的間諜軟體寄送廣告之行為負責。 Spitzer 同時要求 Direct Revenue ,應對其所受之利益和不特定的金錢損害,負擔賠償責任。 去年( 2005 ), Spitzer 也對在洛杉磯的 Intermix Media Inc. 提起告訴。這家公司擁有一個相當受歡迎的 MySpace 的社交網絡網站,卻將間諜軟體隱藏附隨在上百萬的免費程式中,最後 Intermix Media Inc. 因而付了 750 萬美元。 Spitzer 表示這種詐欺的行為對消費者極不公平,且將對利用正當管道行銷的企業以及需要消費者信任的小型網路商家造成損害。 Spitzer 也說到,他將會繼續的與消費者站在同一陣線,與消費者共同為他們的掌控權而戰。 Direct Revenue 網站說明指出,他們已事先取得消費者之同意,而其提供之內容資訊和免費軟體,目的在交換傳遞廣告之功能。
美國財政部制裁向俄羅斯運送伊朗製無人機之空運業者及製造商美國財政部外國資產管制辦公室(Office of Foreign Assets Control,簡稱OFAC)根據《防止大規模殺傷性武器擴散與恐怖主義》(Preventing Weapons of Mass Destruction Proliferation and Terrorism, 50 U.S. Code Ch. 43)聯邦法律之授權、第13382號總統行政命令(Executive Order,下稱行政命令)以及第14024號行政命令,於2022年9月8日將向俄羅斯運送伊朗製無人機(Unmanned Aerial Vehicles,簡稱UAVs)之空運業者納入制裁清單;另將3家公司與1位參與無人機及其零組件研究、開發、生產與採購之個人納入制裁清單,避免非來自伊朗及俄羅斯之實體支持伊朗製無人機之研發,或向俄羅斯出售任何用於對付烏克蘭的軍事裝備。 此次列於清單中之空運業者Safiran Airport Services,總部位於伊朗德黑蘭,其將伊朗製無人機、人員和相關設備從伊朗運送到俄羅斯。根據情報顯示,俄羅斯軍隊打算將伊朗製無人機與俄羅斯無人機運用在對烏克蘭的戰爭中,故OFAC依據第14024號行政命令,將該空運業者納入制裁清單。另針對無人機製造商,以Paravar Pars為例,其參與伊朗Shahed-171無人機研發和生產,故OFAC依據第13382號行政命令,將其列入制裁清單。 上述空運業者及製造商在遭受制裁後,可能會受到的影響包括: (1)在美國或由美國籍公民或企業所有或控制的所有財產和財產利益皆被凍結;禁止與美國籍公民或企業交易;或禁止與在美國境內被制裁對象的任何財產或利益交易(如金流過境美國的交易);與前述列為清單對象進行交易之人,亦可能會被列為清單對象。 (2)任何外國金融機構故意與前述列為清單制裁對象,促成重大交易或提供重要金融服務,都可能受美國相應的制裁或對「支付過渡帳戶」(payable-through account)的制裁。而此「制裁」不限於凍結帳戶,參考OFAC官網中的第36則FAQ之說明(https://home.treasury.gov/policy-issues/financial-sanctions/faqs/topic/1601),某些案例中之交易應該被禁止,但該交易沒有可凍結的利益時(如該帳戶已為制裁清單所列對象或已被凍結的個人或政府),OFAC會以「要求美國金融機構拒絕非制裁以外的第三國企業間的交易」或以「透過禁令使美國金融機構拒絕處理該交易且退回款項予匯款人,除非有得到事前個別授權」等方式處理。