美國衛生及公共服務部提出雲端服務適用健康保險可攜與責任法之相關指引
美國醫療產業使用境內或境外雲端服務(Cloud Services)急速成長,導致「健康保險可攜與責任法」(Health Insurance Portability and Accountability Act,以下簡稱HIPAA)規範下之「適用機構」(Covered Entities)與其「商業夥伴」(Business Associate),對於雲端服務業者如何適用HIPAA感到疑惑。因此,衛生及公共服務部民權辦公室(Department of Health and Human Services, Office for Civil Rights)於10月7日公布相關業者如何適用HIPAA之指引,以釐清爭議。
於該指引中,該部指出,雲端服務業者若替適用機構或是商業夥伴創造、接收、維護、傳送被HIPAA所保護之「資療資訊」(Protected Health Information),則該雲端業者就被視為HIPAA下規範之商業夥伴,原因在於該服務具有儲存與維護醫療資訊功能,非屬該法排除適用之「網路服務業者」(Internet Service Providers)資料傳輸服務類型。
該指引有幾大重點:首先,雲端服務業者如將該醫療資訊提供加密儲存服務,仍應盡到HIPAA中規範商業夥伴之責任。原因在於加密資料不足以保護HIPAA有關資訊安全章節所要求醫療資訊之「機密性、完整性和可用性」之相關規範。再者,雲端業者皆須與委託方簽署商業夥伴協議(Business Associate Agreements)。此外,使用雲端服務儲存資療資訊時,委託方皆能使用行動設備進入雲端儲存之醫療資料,但應建立合乎HIPPA所要求相關之安全措施。最後,HIPAA並未禁止將醫療資訊儲存至伺服器為於美國境外之雲端業者,但使用前應自行評估該資訊遭駭客攻擊之可能性。
- Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016,
- Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016,
- Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services,
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
陳仕偉
法律研究員 編譯整理
Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016, http://www.natlawreview.com/article/department-health-and-human-services-issues-guidance-hipaa-and-cloud-providers (last visited Nov.8, 2016)
Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016, http://www.natlawreview.com/article/health-and-human-services-issues-guidance-hipaa-and-cloud-computing (last visited Nov.8, 2016)
Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services, http://www.hhs.gov/hipaa/for-professionals/special-topics/cloud-computing/index.html (last visited Nov. 8, 2016)
英國資訊專員辦公室進行獨立調查時發現, 1、40%的企業沒有充分認識提出的主要條文; 2、87%的企業無法估計公司中業務為因應改革可能支出的成本; 3、82%的受訪者是無法量化其當前資訊保護的開支; 4、在少數的大型組織觀測調查中發現,估計資訊保護的平均花費時常會受到扭曲; 5、當公司擁有超過250名員工或處理超過10萬筆個資紀錄時,絕大多數都已經聘請資訊保護專人; 6、重點業別包括服務業、金融保險業以及公共管理等,需要針對資訊管理有所計畫。 而調查報告在2013年5月14日於柏林舉辦的第三次歐洲資訊保護日會議中提出,資訊專員Christopher Graham表示「必須說,有少數人不同意為面臨21世紀的挑戰,而需要修訂歐洲資訊保護法。但真正進步之實現在於,今日或將來的法律面,針對個人資料有更好的體現。關鍵點在於確實地衡平理論面與執行面中資訊保護權利之平衡點。」 「已經談論過很多關於『什麼是最好的商業』,但這必須基於合法證據。此次的改革的結果會是非常重要的,我們希望敦促歐盟委員會可以考慮並將重點放在制定法律,為消費者提供真正的保障。」 「同樣的,企業和其他的利益相關者必須參與具建設性的義務與隱私權權利的重要性改革,在此過程中仍然可以受到影響」
南韓個人資料保護委員會宣布通過修訂個人資料保護法施行法2024年3月6日,南韓個資保護委員會(Personal Information Protection Commission, PIPC)宣布通過個人資料保護法施行法(Enforcement Decree of the Personal Information Protection Act, PIPA Enforcement Decree)修正案,並於2024年3月15日正式實行。 本次修法重點如下: 1.明訂個資主體可要求公開自動化決策過程之權利及應對不利結果時可採取之措施 針對使用AI等自動化系統處理個資並做出的自動化決策,個資主體(即,個人)有權要求解釋決策過程並進行審查,尤其當決策結果對個資主體權益有重大影響時(例如:不通過其社福補助申請),個資主體可拒絕自動化決策結果,並要求改為人為決策及告知重新決策結果。另為確保透明、公平,自動化決策依據的標準與程序亦須公開,並於必要時向公眾說明決策過程。 2.確立隱私長(Chief Privacy Officers, CPOs)的資格要求及適用範圍 為確保CPO能順利開展個資保護工作,要求處理大量或敏感個資機關之CPO至少具有4年個資、資安相關經驗,且個資經驗至少2年。適用機關包括:年營業額達1,500億韓元以上、處理超過100萬人個資或超過5萬人特種資料者;學生超過2萬人的大學;處理大量特種個資的教學醫院或大型私人醫院等;疾管局、社福、交通、環保等公共系統運營機構。 3.明訂評估公共機構個資保護效能之標準及程序 依據個資法第11-2條規定,PIPC每年需對公共機構(如:中央行政機關及其所屬機關、地方政府及總統令規定者)進行個資保護程度評估,而為使評估作業有所依循,本次新增評估標準及相關程序包括:政策和業務表現及其改進情形、管理體系適當性、保護個資措施及執行情形、防範個資侵害及確保安全性措施及執行情形等。 4.調整需要承擔損害賠償責任的適用範圍及門檻 為確保機關履行個資主體損害賠償責任,將需履行投保保險等義務之適用範圍由網路業者擴大至實體店面及公共機構等。同時,調整適用門檻,將年銷售額由5千萬韓元調整為10億韓元、個資主體數由1千人調整為1萬人,以減輕小型企業負擔。另亦明訂可豁免責任的對象包括:不符合CPO資格的公共機構,公益法人或非營利組織,及已委託給已投保保險之專業機構的小型企業。 PIPC另將公布一份指引草案,內容包括自動決策權利、CPO資格要求、公共機構個資保護評估標準、賠償責任保障制度等,並舉行說明會來收集回饋意見。
歐盟執行委員會與蘋果和解 承諾開放第三方行動錢包歐盟執行委員會(European Commission,下稱執委會)於2024年7月11日宣布與蘋果公司和解並接受蘋果公司提出的承諾,未來十年在歐洲經濟區(European Economic Area, EEA)內允許第三方行動錢包提供者存取iOS裝置的NFC(Near-Field-Communication)功能,並設有監督受託人(monitoring trustee)進行監督。 自2020年6月執委會對蘋果公司啟動反壟斷調查,並於2022年5月執委會提出聲明認為蘋果公司在iOS裝置行動錢包市場具有主導地位,對競爭對手產生排他性影響,涉及違反《歐盟運作條約》(Treaty on the Functioning of the European Union, TFEU)第102條禁止濫用市場地位規定。蘋果公司為解決涉及違法問題,於2024年1月承諾提供第三方行動錢包提供者和支付服務提供者應用程式介面(Application Programming Interfaces, APIs)存取iOS裝置的NFC功能,並經由執委會1個月的第三方意見諮詢後,蘋果公司根據該意見修改部分內容,並提出以下承諾: ● 提供終端設備支付功能。 ● 取消存取NFC功能的資格條件。 ● 允許第三方行動錢包提供者為存取NFC功能預先設置支付應用程式。 ● 持續更新架構以符合行業標準。 ● 允許開發者提示使用者設定預設支付應用程式並導向設定頁面。 ● 縮短爭端解決期程。 ● 由監督受託人提供獨立性及程序保證。 執委會認為蘋果公司提出的承諾能有效解決蘋果公司限制第三方行動錢包提供者在iOS裝置提供NFC支付功能的競爭,執委會與蘋果公司和解並承認該承諾對蘋果公司產生法律約束力,監督受託人將定期向執委會報告,執委會與蘋果公司和解並結束為期4年的調查,但蘋果公司仍須承擔《數位市場法》(Digital Markets Act)等其他法規之義務。 相較於Android系統開放NFC功能提供行動錢包存取,iOS系統對行動錢包存取NFC功能有所限制,澳洲競爭與消費者委員會(Australian Competition and Consumer Commission)及美國司法部對於蘋果公司壟斷iOS裝置的行動錢包市場也展開調查或訴訟,蘋果公司面臨行動錢包市場競爭的挑戰,在歐洲經濟區內可能掀起行動錢包市場競爭的蓬勃發展,是否帶動在其他國家或地區的法制政策改變,可持續觀察各國行動錢包市場動態。
歐盟執委會發布新產業策略指導方針,協助企業面對氣候中和及數位領導轉型之挑戰歐盟執委會於2020年3月10日公布產業策略指導方針,名為「因應全球競爭、綠色、和數位歐洲的新產業策略」(A new industrial strategy for a globally competitive, green and digital Europe),以幫助歐洲產業在面臨近年氣候中和及數位領導變遷時,因轉型而產生的過渡期。此次公布的產業策略指導方針,包含三大主題,分別是:(1)新產業策略(A new industrial strategy)、(2)新中小型企業策略(A new SME strategy)以及(3)企業與消費者的單一市場(A single market that delivers for our businesses and consumers);而其中又以「新產業策略」為該指導方針之重點。 為提升歐洲的產業領導地位,「新產業策略」中論以三個關鍵優先事項,分別為:維持歐洲產業的全球競爭力和公平競爭環境、2050年以前達成氣候中和(climate-neutral)目標,以及塑造歐洲未來數位化。為達成前述優先事項,歐盟執委會提出一系列未來行動: 推行智財權行動計畫(Intellectual Property Action Plan)以保護歐盟技術主權,並採行適合綠色和數位轉型的法規框架; 持續檢討修正歐盟競爭相關法令(EU competition rules),確保法規能適應快速變化的經濟環境; 為維護產業在歐盟境內外的公平競爭環境,執委會將於在2020年中以前出版白皮書,處理歐盟單一市場中因外國補貼而引起的扭曲效應,以及歐盟境內的外國採購和外國資金問題; 推行關鍵原料行動方案(Action Plan on Critical Raw Materials),確保關鍵原物料穩定供應;支持戰略數位基礎設施和關鍵技術發展,增強歐洲產業及戰略自主地位; 其它則有對綠色公共採購進一步立法、發展低碳產業和技術、支持永續型智慧交通產業等。