美國衛生及公共服務部提出雲端服務適用健康保險可攜與責任法之相關指引
美國醫療產業使用境內或境外雲端服務(Cloud Services)急速成長,導致「健康保險可攜與責任法」(Health Insurance Portability and Accountability Act,以下簡稱HIPAA)規範下之「適用機構」(Covered Entities)與其「商業夥伴」(Business Associate),對於雲端服務業者如何適用HIPAA感到疑惑。因此,衛生及公共服務部民權辦公室(Department of Health and Human Services, Office for Civil Rights)於10月7日公布相關業者如何適用HIPAA之指引,以釐清爭議。
於該指引中,該部指出,雲端服務業者若替適用機構或是商業夥伴創造、接收、維護、傳送被HIPAA所保護之「資療資訊」(Protected Health Information),則該雲端業者就被視為HIPAA下規範之商業夥伴,原因在於該服務具有儲存與維護醫療資訊功能,非屬該法排除適用之「網路服務業者」(Internet Service Providers)資料傳輸服務類型。
該指引有幾大重點:首先,雲端服務業者如將該醫療資訊提供加密儲存服務,仍應盡到HIPAA中規範商業夥伴之責任。原因在於加密資料不足以保護HIPAA有關資訊安全章節所要求醫療資訊之「機密性、完整性和可用性」之相關規範。再者,雲端業者皆須與委託方簽署商業夥伴協議(Business Associate Agreements)。此外,使用雲端服務儲存資療資訊時,委託方皆能使用行動設備進入雲端儲存之醫療資料,但應建立合乎HIPPA所要求相關之安全措施。最後,HIPAA並未禁止將醫療資訊儲存至伺服器為於美國境外之雲端業者,但使用前應自行評估該資訊遭駭客攻擊之可能性。
- Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016,
- Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016,
- Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services,
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
陳仕偉
法律研究員 編譯整理
Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016, http://www.natlawreview.com/article/department-health-and-human-services-issues-guidance-hipaa-and-cloud-providers (last visited Nov.8, 2016)
Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016, http://www.natlawreview.com/article/health-and-human-services-issues-guidance-hipaa-and-cloud-computing (last visited Nov.8, 2016)
Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services, http://www.hhs.gov/hipaa/for-professionals/special-topics/cloud-computing/index.html (last visited Nov. 8, 2016)
歐盟於2018年11月間通過Regulation (EU) 2018/1807,即促進非屬個人資料(下簡稱個資)之資料流通規則(下簡稱規則),藉以促進歐洲單一數位市場之規模經濟,並於2019年05月28日開始適用,據此,歐盟執委會亦因應該規則而頒布指引(COM(2019) 250 final),以釐清規則與GDPR之互動關係。 該規則開宗明義表示其制定係為了促進非屬個資之資料(下稱資料)流通,即其適用範圍包含(1)提供予歐盟境內之用戶使用,或(2)在歐盟境內之人依其需要所衍生者等資料,但排除GDPR第4條所定義之個資,故不排除GDPR之適用可能,申言之,若資料集中同時含有資料與個資,則流通則應分別適用本規則及指引(資料部份)與GDPR(個資部份)。 此外,為有效達成資料流通,各個歐盟成員國原則上禁止作出資料在地化要求(Data Localisation Requirements),例外僅於公共安全之前提下,且有充分的理由,方得做出合比例性之要求,並於單一資訊網站上即時更新資料在地化要求之清單,不過至遲在2021年05月30日前,成員國須確認其境內之相關規範已無前開例外之資料在地化要求。 又,為使歐盟各成員國就資料流通之無礙溝通,各成員國應設單一聯繫窗口,而在(1)歐盟相關規定或(2)國與國間不具特定合作機制,致成員國無法取得資料之近用權限時,該成員國之單一聯繫窗口得向資料所屬成員國之單一聯繫窗口發出協助請求,並附上請求之原因說明與近用資料之法律依據。 綜上,本規則及其指引與GDPR及其相關規定,對於資料與個資等流通分別建構出穩固的法律系統與環境。
澳洲政府發布國家區塊鏈路線圖,建立澳洲區塊鏈技術發展策略與目標澳洲產業創新科技部(Department of Industry, Innovation and Science)於2020年2月7日發布「國家區塊鏈路線圖:向區塊鏈賦能之未來前進(National Blockchain Roadmap: Progressing towards a blockchain-empowered future)」政策文件。此路線圖為澳洲政府為彰顯其對區塊鏈技術之重視,並認知到區塊鏈與其他科技結合後將可進一步增進工作機會、促進經濟成長、減少商業成本與提升整體生產力,因此提出之區塊鏈發展方向規劃。 本路線圖文件指出,為實現區塊鏈技術,澳洲政府將於三個關鍵領域建立相關策略:一、建立有效且合理的規範與標準;二、建立可驅動創新之技術與能力;以及三、促進國際投資與合作。 路線圖文件並針對2020至2025年之區塊鏈發展進行規劃,相關措施包含: 重新命名國家區塊鏈諮詢委員會為國家區塊鏈路線圖推動委員會,並使其具有監督路線圖推動之職權。 建立由產業、研究團隊以及政府合作之團隊,以分析未來可能之應用案例。 對目前使用案例進行經濟分析與研究可能措施選項。 建立與連結政府端區塊鏈使用者,以促進學習交流與進一步應用。 進行國際研究以辨識出其他國家中適合學習做為政府服務之實際案例。 與區塊鏈服務提供商密切合作進行商業創新研究,以提出可供實際案例運用之解決方案。 確保區塊鏈發展涵蓋於整體國家策略中以促進數位科技能力管理。 使產業與教育機構合作發展關於區塊鏈資格技能之共同框架與課程內容。 為澳洲區塊鏈新創公司提出能力發展協助計畫,使其可向全球擴張並與支持合格企業。 引導外資投資以促進澳洲區塊鏈生態系建立。 引導既有雙邊協議進行區塊鏈前端計畫之合作與發展。 增加政府部門合作以確保澳洲企業可與發展中之新興數位貿易基礎設施進行連結等。 澳洲政府期待透過推動本路線圖與結合先前提出之AI路線圖政策,達成於2030年前成為數位經濟國家之目標。
席丹於世足賽的驚世頭槌圖像被登記作為商標ㄧ位中國北京人士已將法國足球隊長席丹(Zinedine Zidane)於上月(七月)進行的世足賽冠軍戰中,以頭槌攻擊義大利隊球員馬特拉齊(Marco Materazzi)的圖像進行商標註冊。北京日報表示,申請人趙曉凱,是一間體育公關公司的總經理,目前考慮將這個黑白剪影圖像拍賣。曹先生以2,000元人民幣(250美元,196歐元,8,000台幣)註冊了服裝、鞋類、帽子以及啤酒產品之商標,並且準備以一百萬人民幣(125,000美元,98,000歐元、4,000,000台幣)的代價拍賣該等商標權。趙先生在受訪時表示,「在世界盃決賽後結束二天後,我就開始構思商標圖像。」。「這個圖像的識別率極高。此外,藉由使用剪影的創作方式,讓我可以避免侵犯這位足球明星的肖像權」。趙先生的公司只是眾多想利用這位球星的不光采行為而獲利的眾多公司之ㄧ。舉例而言,一首諷刺這記頭槌的歌曲目前高居法國音樂聊天室的排行榜首位。此外,這個犯規同時也成為許多網路笑話、線上遊戲以及諷刺影片的主題。
美國第七巡迴上訴法院於Wallace v. IBM, Red Hat, and Novell 一案認定GPL或自由軟體授權模式不違反聯邦反托拉斯法美國第七巡迴上訴法院( U.S. Court of Appeals (7thCir) )最近就 Wallace v. IBM, Red Hat, and Novell 一案做出判決,本案爭執重點在於 GPL 授權條款與反托拉斯法之間的關係,美國第七巡迴上訴法院認為 GPL 授權條款並不違反反拖拉斯法,法院也同時明確表示,一般而言自由軟體無須擔心會違反反托拉斯法。 本案上訴人 Daniel Wallace 係程式設計師,其欲販售由 BSD ( Berkeley Software Distribution )所開發出來的競爭軟體給各級學校。 BSD 是 Linux 的衍生版本,而 Linux 作業系統則是屬於自由軟體的一種,想要使用 Linux 的人就必須遵守 GPL 授權條款。依 GPL 授權條款規定,不論 Linux 或 Linux 之衍生著作均不得收取授權費用,上訴人因此指控 IBM 、 Red Hat 、 Novell 與自由軟體協會涉嫌共謀將軟體價格設定在零,涉嫌以掠奪性定價( predatory pricing claim )方式削減作業系統市場之競爭,已違反反托拉斯法。 法院認為,本案並無法主張掠奪性定價,蓋被上訴人 IBM 、 Red Hat 及 Novell 並無法因此而取得獨佔價格,其授權價格之所以為零乃是遵照 GPL 授權條款的結果,且消費者並未因此受到損害。其次,法院也指出,著作權法通常對他人之改作權加以限制,其目的是為了收取授權金,不過著作權法人亦可用以確保自由軟體維持零授權金,因此任何嘗試想要販售自由軟體之衍生著作者,將會違反著作權法,即令改作人不同意接受 GPL 授權條款的約束。