美國衛生及公共服務部提出雲端服務適用健康保險可攜與責任法之相關指引
美國醫療產業使用境內或境外雲端服務(Cloud Services)急速成長,導致「健康保險可攜與責任法」(Health Insurance Portability and Accountability Act,以下簡稱HIPAA)規範下之「適用機構」(Covered Entities)與其「商業夥伴」(Business Associate),對於雲端服務業者如何適用HIPAA感到疑惑。因此,衛生及公共服務部民權辦公室(Department of Health and Human Services, Office for Civil Rights)於10月7日公布相關業者如何適用HIPAA之指引,以釐清爭議。
於該指引中,該部指出,雲端服務業者若替適用機構或是商業夥伴創造、接收、維護、傳送被HIPAA所保護之「資療資訊」(Protected Health Information),則該雲端業者就被視為HIPAA下規範之商業夥伴,原因在於該服務具有儲存與維護醫療資訊功能,非屬該法排除適用之「網路服務業者」(Internet Service Providers)資料傳輸服務類型。
該指引有幾大重點:首先,雲端服務業者如將該醫療資訊提供加密儲存服務,仍應盡到HIPAA中規範商業夥伴之責任。原因在於加密資料不足以保護HIPAA有關資訊安全章節所要求醫療資訊之「機密性、完整性和可用性」之相關規範。再者,雲端業者皆須與委託方簽署商業夥伴協議(Business Associate Agreements)。此外,使用雲端服務儲存資療資訊時,委託方皆能使用行動設備進入雲端儲存之醫療資料,但應建立合乎HIPPA所要求相關之安全措施。最後,HIPAA並未禁止將醫療資訊儲存至伺服器為於美國境外之雲端業者,但使用前應自行評估該資訊遭駭客攻擊之可能性。
- Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016,
- Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016,
- Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services,
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
陳仕偉
法律研究員 編譯整理
Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016, http://www.natlawreview.com/article/department-health-and-human-services-issues-guidance-hipaa-and-cloud-providers (last visited Nov.8, 2016)
Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016, http://www.natlawreview.com/article/health-and-human-services-issues-guidance-hipaa-and-cloud-computing (last visited Nov.8, 2016)
Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services, http://www.hhs.gov/hipaa/for-professionals/special-topics/cloud-computing/index.html (last visited Nov. 8, 2016)
日本厚生勞動省對於利用電話、視訊等資通訊機器所為之遠距醫療,因應明年修正健康保險診療報酬,提高遠距醫療服務給付項目及支付標準,為了明確適用健康保險之相關要件與規定,成立研究委員會以作成相關適用指引。隨著資通訊技術發展,利用資通訊機器所為之遠距醫療漸漸普及。在擔保醫療之安全性、必要性及有效性下,為了更進一步普及並推進適當之診療,有必要整備相關法令規定。厚生勞動省於11月設置研究委員會,預定在2018年3月底前訂定「遠距醫療適用指引(情報通信機器を用いた診療に関するガイドライン)」。 日本1948年制定之醫師法第20條規定醫師非親自診療,不得為治療等行為。此一規定迄今未修正,遠距醫療並非當時所能想像與規範。目前,厚生勞動省以函釋通知方式,對於該條之適用為相關通知與事務聯絡,以擴大遠距醫療適用之可能性。厚生勞動省於1997年第一次發出之通知(平成9年12月24日健政發第1057號厚生省健康政策局長通知),對於遠距醫療與醫師法第20條的適用關係提出基本見解,認為醫師法第20條親自診療原則規定,不一定等於直接見面診療,以代替方式而對於病患身心狀況得以獲得有用資訊下,使用遠距醫療並非違反本條親自診療規定。在本號通知「留意事項」中,對於遠距醫療之適用對象地區與病患,有以下規定:1. 初診原則上必須為面對面診療;2.直接面對面診療有困難之離島及偏遠地區;3. 對於病況穩定之病患,在確保緊急對應處理及聯絡體制下,以「別表」列舉適用之慢性疾病(例如:居家氧氣治療病患)為對象。但是本來只是例式規定的「非初診」「離島及偏遠地區」、「特定慢性疾病」,卻被解釋成限定列舉規定,導致遠距醫療適用範圍非常狹窄,變成原則禁止之情形。 直至2015厚生勞動省再發出通知(平成27年8月10日厚生勞動省事務連絡),明確非初診、離島及偏遠地區、「別表」所列舉之慢性疾病等,僅是例式規定,對象地區及病患不限於此,以及就算是初診,直接為親自診療有困難時,基於病患要求下充分考量病患有利條件下,依據醫師之判斷,活用各種可能之工具,結合社交網路服務(SNS)、視訊影像以及電子郵件等方式組合而為適當之遠距醫療。於「別表」列舉遠距醫療之九種病患對象為,居家氧氣治療病患、居家罕見疾病病患、居家糖尿病患、居家氣喘病患、居家高血壓病患、居家過敏性皮膚炎病患、褥瘡居家療養病患、居家腦血管病患以及居家癌症病患等。 2015年通知使得遠距醫療之適用對象範圍大為擴大,因此日本醫療院所積極整備資通訊設備環境。同時,厚生勞動省在2017年底提出之2018年度福祉預算中,明確修正健康保險診療報酬,提高遠距醫療之醫療服務給付項目與支付標準,使得利用遠距醫療為診療服務之利益大為提高,更加速提高遠距醫療之利用可能性。惟,前述2015年通知之內容,對於適用對象與診療內容,尚有不明確之處,因此邀集醫療、法學、遠距醫療專門等12名專家成立研究委員會,以訂定明確適用規則,防止未來對於病患造成不利益之判斷。
美國聯邦通訊委員會(Federal Communications Commission,FCC)提議恢復網路中立相關規範,並發布規則草案美國FCC主席Jessica Rosenworcel於2023年9月26日發表演說,並於內容中提案恢復在美國前總統川普任期間被廢止的網路中立性(Net Neutrality)相關規定,包含禁止寬頻網路業者對給付額外費用者提供「快速線路(fast lanes)」,或禁止電信業者對其網路服務減慢網速等規定。 FCC表示網路中立性規範可維護以下4大要點,包含: 1. 開放性:避免消費者觀看合法內容受阻,或是需要支付額外費用取得。 2. 國家安全:將寬頻網路渠道重新分配,以對抗潛在國安威脅。 3. 資訊安全:FCC得以強化寬頻網路韌性(resiliency),並要求網路業者在中斷網路時,需先行通知FCC與消費者。 4. 全國標準性:將樹立全國統一標準取代各州自行規範。 然而,有產學界的反對意見指出,在相關規定廢止期間,並未發現有網路業者因額外收費而對消費者的網路內容或網速進行干預。故認為FCC誇大了這些隱憂。 2023年10月19日,FCC在內部表決後,確定開始恢復網路中立規則程序,並於隔日發布包含最新草案內容之擬議規則制定通知(Notice of Proposed Rulemaking),草案除包含以上4要點相關規範以外,亦包含對寬頻網路近用業者(Broadband Internet Access Service,BIAS)等相關業者要求與限制,例如: 1. BIAS業者必須為殘疾消費者(disabilities)提供網路使用相關幫助。 2. BIAS業者將劃分為電信業者(telecommunications service)並適用相關規定。 針對目前草案內容,FCC目前正在公開徵詢意見,預定徵詢期限至2023年12月24日,並在2024年1月17日將意見彙整回報後,再進行後續表決及相關程序。 若網路中立性規範恢復,可能影響具跨國業務的網路業者,進一步影響其他國家的網路政策與法規,故亦可能對台灣網路業者與網路政策產生影響,值得我國持續關注後續發展。 本文同步刊登於TIPS網(https://www.tips.org.tw)
歐洲央行提出7500億歐元之「緊急債券收購計畫」以因應新冠肺炎疫情歐洲央行(European Central Bank, ECB)於2020年3月18日提出7500億歐元之「緊急債券收購計畫」(Pandemic Emergency Purchase Programme),紓困金額占歐盟年GDP之7.3%,以協助歐盟面臨新型冠狀病毒(covoid-19)所帶來之經濟衝擊,同時也減緩再生能源產業因疫情所帶來之影響。 就此,歐洲央行總裁Christine Lagarde表示,對於紓困對象及方法,歐洲央行將採取不分產業類別自市場購買公債或私人債券之方式,以因應疫情所帶來之影響,其中也包含歐盟投資銀行(European Investment Bank, EIB)所發行之「綠色債券」(Green Bond)。又綠色債券係歐盟投資銀行於2007年所發行,又名「氣候意識債券」(Climate Awareness Bond),職是故,歐洲央行針對歐盟投資銀行綠色債券進行紓困將使再生能源產業蒙受其利。 依歐洲央行之「緊急債券收購計畫」,歐洲央行僅得自次級市場(Secondary Market)購買債券,而不得直接自初級市場(Primary Market)購買,亦即歐洲央行僅得自價證券買賣之交易市場購買債券,而不得直接購買首次出售之有價證券,此項限制,也包含歐盟投資銀行所發行之綠色債券。 以歐盟投資銀行綠色債券為例,歐洲央行之操作機制在於透過此項購買手段,提升歐盟投資銀行綠色債券之市場價格,同時讓歐盟投資銀行面對投資人時,可以享有較為優渥之議價空間,以降低歐盟投資銀行未來所要付給投資人之利率。同時歐洲央行可再進一步降低對於歐盟投資銀行之利息,進一步降低歐盟投資銀行因發行綠色債券所帶來之利息壓力,促使綠色產業得以因應疫情之衝擊。 如此歐洲央行即達成其目的,減緩投資市場之震盪,同時達到振興經濟產業效益。這也是為何,歐洲央行僅得自次級市場(Secondary Market)購買債券,而不得直接自初級市場(Primary Market)購買債券之原因。
新加坡金融管理局發布穩定幣監管架構,以降低金融風險新加坡金融管理局(Monetary Authority of Singapore, MAS)於2023年8月15日發布穩定幣監管架構,旨在維持金融穩定發展,並將與新加坡幣或十大工業國(G10)貨幣掛勾之單一貨幣穩定幣(single-currency stablecoins, SCS)納入監管,確保穩定幣的安全可靠。符合監管規範之穩定幣發行人,可向MAS申請標註為「MAS監管之穩定幣(MAS-regulated stablecoins)」,有助於區分其他不受政府監管之數位支付代幣(digital payment tokens),以保障穩定幣持有人權益及降低金融穩定之潛在風險。 依據本監管架構,穩定幣發行人需遵循的監管要求包括:(1)價值穩定性,穩定幣儲備資產須遵守其構成、估值、託管與審計方面的要求,以維持價值穩定性;(2)資本,發行人必須維持最低資本與流動資產,以降低破產風險;(3)贖回,持有人可在發行人收到贖回請求後5個工作天內,以穩定幣面值贖回;(4)資訊揭露,發行人必須向持有人揭露相關重要資訊,包括有關穩定幣價值穩定機制、穩定幣持有人權利以及儲備資產審計結果等資訊。MAS表示,穩定幣若受到適當監理,維持價值穩定,將可成為可信賴的數位交易媒介,開創更多創新的金融科技應用,促進金融穩健發展。