美國衛生及公共服務部提出雲端服務適用健康保險可攜與責任法之相關指引
美國醫療產業使用境內或境外雲端服務(Cloud Services)急速成長,導致「健康保險可攜與責任法」(Health Insurance Portability and Accountability Act,以下簡稱HIPAA)規範下之「適用機構」(Covered Entities)與其「商業夥伴」(Business Associate),對於雲端服務業者如何適用HIPAA感到疑惑。因此,衛生及公共服務部民權辦公室(Department of Health and Human Services, Office for Civil Rights)於10月7日公布相關業者如何適用HIPAA之指引,以釐清爭議。
於該指引中,該部指出,雲端服務業者若替適用機構或是商業夥伴創造、接收、維護、傳送被HIPAA所保護之「資療資訊」(Protected Health Information),則該雲端業者就被視為HIPAA下規範之商業夥伴,原因在於該服務具有儲存與維護醫療資訊功能,非屬該法排除適用之「網路服務業者」(Internet Service Providers)資料傳輸服務類型。
該指引有幾大重點:首先,雲端服務業者如將該醫療資訊提供加密儲存服務,仍應盡到HIPAA中規範商業夥伴之責任。原因在於加密資料不足以保護HIPAA有關資訊安全章節所要求醫療資訊之「機密性、完整性和可用性」之相關規範。再者,雲端業者皆須與委託方簽署商業夥伴協議(Business Associate Agreements)。此外,使用雲端服務儲存資療資訊時,委託方皆能使用行動設備進入雲端儲存之醫療資料,但應建立合乎HIPPA所要求相關之安全措施。最後,HIPAA並未禁止將醫療資訊儲存至伺服器為於美國境外之雲端業者,但使用前應自行評估該資訊遭駭客攻擊之可能性。
- Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016,
- Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016,
- Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services,
- 零售業個資保護及資訊安全教育講習
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
陳仕偉
法律研究員 編譯整理
Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016, http://www.natlawreview.com/article/department-health-and-human-services-issues-guidance-hipaa-and-cloud-providers (last visited Nov.8, 2016)
Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016, http://www.natlawreview.com/article/health-and-human-services-issues-guidance-hipaa-and-cloud-computing (last visited Nov.8, 2016)
Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services, http://www.hhs.gov/hipaa/for-professionals/special-topics/cloud-computing/index.html (last visited Nov. 8, 2016)
歐洲法院(Court of Justice of the European Union)日前(2015年10月22日)裁決,根據歐盟增值稅指令(Council Directive 2006/112/EC of 28 November 2006 on the common system of value added tax (OJ 11.12.2006 L 347, p. 1-118, ‘the VAT Directive’)),虛擬通貨比特幣(bitcoin)與其他傳統通貨的兌換交易免徵增值稅。 本案肇因於歐盟會員國瑞典之國民David Hedqvist欲申請線上比特幣交易平臺營利,預先向瑞典稅法委員會(Swedish Revenue Law Commission)申請先裁決定(preliminary decision),以確認比特幣與其他傳統通貨,諸如瑞典克朗,之間的兌換交易免徵增值稅。委員會表示,比特幣作為一種支付方式,其使用與合法的支付方式相似,因此比特幣與傳統通貨之間的兌換免徵增值稅。然而瑞典稅務機關(Skatteverket; the Swedish Tax Authority)對該決定不符因而上訴至瑞典最高行政法院(Högsta förvaltningsdomstolen; Supreme Administrative Court, Sweden)。法院認為本案涉及歐盟增值稅指令之解釋,因此以之為先決問題暫停訴訟而提交至歐洲法院,請求先行裁決(the reference for a preliminary ruling)。先行裁決是歐盟法院進行的程序之一,由各會員國法院請求其對歐盟法內容或效力作出解釋並拘束所有會員國,藉此保證歐盟法的法確定性及適用上的一致性。 瑞典最高行政法院認為,固然可以從歐洲法院先前判決推導出:從傳統通貨與虛擬通貨的兌換交易中,取得買賣虛擬通貨之差額作為對價,構成「提供服務以獲取對價」。有疑者,該等交易是否被歐盟增值稅指令第135條第1項各款規定所涵蓋,而屬於得免除增值稅之金融服務提供。其提交歐盟法院請求解釋之問題有二:第一,系爭交易是否屬於歐盟增值稅指令第2條第1項所定之「提供服務以獲取對價」之交易;第二,如是,該等交易是否屬於同法第135條第1項所規定得免除增值稅之交易? 歐洲法院認為,比特幣具有雙向通貨流的性質,而其除了作為支付工具之外別無意義。該虛擬通貨與傳統通貨的兌換,性質上屬於不同支付方式的交換;此外,比特幣販售者所獲得報酬等同於其買賣比特幣的價差,與交易有直接連結,屬於歐盟增值稅指令第2條第1項c款「提供服務以獲取對價」之交易。 關於第二個爭點,歐洲法院認為,歐盟增值稅指令第135條第1項e款之目的即在於避免金融交易中,決定應稅額及增值稅抵扣額的困難。更重要者,傳統通貨與虛擬通貨比特幣之相互兌換,在交易雙方都可接受比特幣作為支付方式之情況下,僅是不同支付方式之交換而屬於金融交易。若將系爭交易排除於該款適用範圍之外,將會剝奪規範目的的部份效果,因此應認定其免徵增值稅。 至於此裁決是否代表歐盟全面肯認,諸如比特幣等具有雙向通貨流性質之虛擬通貨,其作為通貨的性質?裁決中提到,就歐盟指令而言,虛擬通貨與電子錢不同,且前者並非以諸如歐元之傳統記帳單位(traditional accounting units)表示,僅是虛擬記帳單位。因此,比特幣乃至虛擬通貨於歐盟法上之定位,仍有待觀察。
為杜絕網路盜版行為,美國網路服務提供者合作建置Six Strikes系統美國電影協會(Motion Picture Association of America, MPAA)和美國唱片業協會(Recording Industry Association of America, RIAA)於2011年6月共同組成著作權資訊中心(Center for Copyright Information,簡稱CCI),並說服Verizon、AT&T、Time Warner、Comcast、Cablevision等美國5大網路服務提供者加入,簽訂備忘錄,表示合作建置「著作權警告系統(Copyright Alert System,簡稱CAS)」,又謂「Six Strike系統」,該網站可向有提供下載非法檔案服務之網站業者發出警告或給予處罰,預計於2013年正式運作。 所謂「Six Strikes」,係指網路服務提供者發現有盜版行為時,會發出不同程度的6次警告。至於Six Strikes系統運作方式,係由各網路服務提供者自行決定要採取可有效打擊網路盜版的方式。目前美國5大網路服務提供者中,除Comcast及Cablevision以外,其它3個網路服務提供者已公開Six Strikes警告措施內容。 基本上,第1、2次警告屬於「通知(notice)」,僅利用電子郵件或電話通知使用者已侵害著作權;第3、4次警告屬「承認(acknowledgement)」,即利用彈跳視窗(pop-up)告知使用者侵害著作權情形已有3次以上等訊息,並且使用者應點選該告知侵權訊息之彈跳視窗方可進入其欲瀏覽的網站,使用者若點選視窗則視為其承認本身侵權行為;第5、6次警告則屬「因應措施(mitigation)」,即其它3個網路服務提供者會讓使用者感受到上網速度變慢,或是直到使用者上完著作權教育課程前,不讓其進入常瀏覽的網站等措施,而使用者亦可對網路服務提供者採取的措施提出異議。 但仍有論者對此提出不同看法,諸如若使用者利用虛擬私人網路(VPN)或非BitTorrent之檔案共享形式,分享檔案,即可迴避Six Strikes系統,或有論者認為侵權與否應由法院判斷,而非由網路服提供者逕行判斷等質疑,此一系統後續發展有待進一步關注。