美國衛生及公共服務部提出雲端服務適用健康保險可攜與責任法之相關指引
美國醫療產業使用境內或境外雲端服務(Cloud Services)急速成長,導致「健康保險可攜與責任法」(Health Insurance Portability and Accountability Act,以下簡稱HIPAA)規範下之「適用機構」(Covered Entities)與其「商業夥伴」(Business Associate),對於雲端服務業者如何適用HIPAA感到疑惑。因此,衛生及公共服務部民權辦公室(Department of Health and Human Services, Office for Civil Rights)於10月7日公布相關業者如何適用HIPAA之指引,以釐清爭議。
於該指引中,該部指出,雲端服務業者若替適用機構或是商業夥伴創造、接收、維護、傳送被HIPAA所保護之「資療資訊」(Protected Health Information),則該雲端業者就被視為HIPAA下規範之商業夥伴,原因在於該服務具有儲存與維護醫療資訊功能,非屬該法排除適用之「網路服務業者」(Internet Service Providers)資料傳輸服務類型。
該指引有幾大重點:首先,雲端服務業者如將該醫療資訊提供加密儲存服務,仍應盡到HIPAA中規範商業夥伴之責任。原因在於加密資料不足以保護HIPAA有關資訊安全章節所要求醫療資訊之「機密性、完整性和可用性」之相關規範。再者,雲端業者皆須與委託方簽署商業夥伴協議(Business Associate Agreements)。此外,使用雲端服務儲存資療資訊時,委託方皆能使用行動設備進入雲端儲存之醫療資料,但應建立合乎HIPPA所要求相關之安全措施。最後,HIPAA並未禁止將醫療資訊儲存至伺服器為於美國境外之雲端業者,但使用前應自行評估該資訊遭駭客攻擊之可能性。
- Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016,
- Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016,
- Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services,
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
陳仕偉
法律研究員 編譯整理
Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016, http://www.natlawreview.com/article/department-health-and-human-services-issues-guidance-hipaa-and-cloud-providers (last visited Nov.8, 2016)
Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016, http://www.natlawreview.com/article/health-and-human-services-issues-guidance-hipaa-and-cloud-computing (last visited Nov.8, 2016)
Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services, http://www.hhs.gov/hipaa/for-professionals/special-topics/cloud-computing/index.html (last visited Nov. 8, 2016)
美國著作權局已針對著作權法第 115 條提出修正案,以因應數位科技對音樂市場造成之衝擊。美國著作權法第 115 條主要係規範非戲劇類音樂之重製 (reproduction) 與散布 (distribution) ,並同時規範此二權利之強制授權及費率核定事宜。在數位音樂時代來臨之前,第 115 條之設計允許唱片業就已錄製之歌曲,在特定費率下加以重新詮釋灌錄。不過,隨著線上音樂的流行,第 115 條有關強制授權制度之設計,已喪失原先期待之功能,而核定之費率反而成為授權雙方協商時價格之上限,對整體音樂市場之發展造成障礙。此外,由於美國境內有關公開演出權 (public performance) 及重製 / 散布權之授權分屬不同之權利人團體 ( 目前美國三大公開演出權利人團體包括 ASCAP, BMI 及 SESAC ;而有關重製 / 散布權之權利人團體主要是 HFA, The Harry Fox Agency) ,因此在數位化音樂傳輸過程中利用人必須面對不同之權利人團體,就同一傳輸行為洽談不同之授權契約,並對同一著作權人支付二次使用報酬。如此繁複的過程及額外的成本,當然使合法音樂服務業者無法與網路音樂侵權者所提供之無成本音樂抗衡。因此,在此次美國著作權局所提出的「 21 世紀音樂授權改革法」中將廢止現行第 115 條,其修正重點包括: 1. 當權利人團體 ( 新法案中稱之為 music rights organization, MRO) 合法授予處理非戲劇類音樂之公開演出權事宜時,該權利人團體亦同時被授予處理重製及散佈權授權相關事項之權利。 2. 權利人團體就數位傳輸之非戲劇類音樂之公開演出權之授權應同時包含能協助公開演出順利進行必要之重製或散佈之權。 3. 著作權人就單一著作不得授權二個以上權利人團體進行該著作之授權談判事宜。 4. 鼓勵權利人團體就其所授權之非戲劇類音樂著作列明清冊,以協助利用人確認洽商授權之對象。
巴西可能對美國非法補貼政策採取智慧財產報復行動為了報復美國非法補貼國內棉花業者,造成巴西的損失,巴西先是在3月初公布一份含102項美國產品之關稅調高名單,將在4月7日生效;在3月中旬又提出另外一份含21個項目的名單,包括中止(suspend)美國化學、醫藥、軟體、書籍和電影方面的專利權和智慧財產權,這份新的名單在公布後的未來20天,任何人都可以提出意見。 巴西的制裁措施是依據去年8月世界貿易組織(WTO)針對巴西和美國的貿易糾紛所作出的決定,WTO認為美國在1999年到2002年違法補貼其國內棉花業者,違反作為WTO成員所應遵守的義務,而給予巴西對美國進行8.29億美元的跨業報復(cross-sector retaliation)權利。 巴西政府估計3月初的調高進口關稅總值可達5.91億美元,3月中旬的智慧財產權報復行動可產生2.39億美元的衝擊。此外,如果3月中旬的制裁措施最後真的付諸實行,將會是WTO糾紛中第一次成功地利用智慧財產權作為報復手段的案例。 巴西政府希望藉由最新的報復手段可以迫使美國正視這個問題,美國貿易代表團則認為巴西此舉會帶來負面的先例影響,並且希望能和巴西政府協商共同解決這項議題,盡可能不使報復行動發生。
美國商務部產業安全局公布「確保聯網車輛資通訊技術及服務供應鏈安全」法規預告美國商務部產業安全局(Bureau of Industry and Security, BIS)於2024年9月23日公布「確保聯網車輛資通訊技術及服務供應鏈安全」(Securing the Information and Communications Technology and Services Supply Chain: Connected Vehicles)法規預告(Notice of Proposed Rulemaking, NPRM),旨在透過進口管制措施,保護美國聯網車供應鏈及使用安全,避免國家受到境外敵對勢力的威脅。 相較於BIS於2024年3月1日公告之法規制定預告(Advanced Notice of Proposed Rulemaking, ANPRM)意見徵詢中的討論,本次法規預告明確指出受進口管制的國家為中國及俄國,並將聯網車輛資通訊技術及服務之定義,限縮於車載資通訊系統、自動駕駛系統及衛星或蜂巢式通訊系統,排除資訊洩漏風險較小的車載操作系統、駕駛輔助系統及電池管理系統。法規預告中定義三種禁止交易型態:(1)禁止進口商將任何由中國或俄國擁有、控制或指揮的組織(下稱「中俄組織」)設計、開發、生產或供應(下稱「提供」)的車輛互聯系統(vehicle connectivity system, VCS)硬體進口至美國;(2)禁止聯網車製造商於美國進口或銷售含有中俄組織所提供的軟體之聯網整車;(3)禁止受中俄擁有、控制或指揮的製造商於美國銷售此類整車。 本次法規預告中亦提出兩種例外授權的制度:在特定條件下,例如年產量少於1000輛車、每年行駛公共道路少於30天等,廠商無須事前通知BIS,即可進行交易,然而須保存相關合規證明文件;不符前述一般授權資格者,可申請特殊授權,根據國安風險進行個案審查。其審查重點包含外國干預、資料洩漏、遠端控制潛力等風險。此外,為提升供應鏈透明度並檢查合規性,BIS預計要求VCS硬體進口商及聯網車製造商,每年針對涉及外國利益的交易,提交符合性聲明,並附軟硬體物料清單(Bill of Materials, BOM)證明。BIS針對此規範是否有效且必要進行意見徵詢,值得我國持續關注。
IBM同意中國大陸政府檢視部份產品原始碼近年來中國大陸政府為了資安考量,制訂相關法規要求外國科技公司進入中國大陸市場時必須提供程式原始碼,避免他方非法(例如利用病毒)透過電腦軟體進入中國大陸的系統和資料。 IBM公司近日發表聲明,允許特定國家在其嚴格的監控下,檢視其部份產品的軟體原始碼,確保產品沒有資訊安全的漏洞,中國大陸也在這些特定國家之列。這是美國重要的科技大廠,首次公開同意遵守中國大陸政府對於外國技術的資訊安全審查,然而此舉讓美國政府與其他矽谷科技公司頗有微詞。 IBM開放檢視其程式碼的對象為中華人民共和國工業與信息化部。IBM在聲明中表示,原始碼的檢視必須在IBM公司內,於無網路連線並受IBM安全應用程式監控的環境下進行,並保證這些軟體原始碼不會被釋出、被複製,或以任何方式改作。在嚴格的環境和時間限制下,IBM不會讓中國大陸政府有機會接觸其客戶資料庫,也不會涉及後門程式(back door)。至於會提供哪些產品的原始碼檢視,或中國大陸官方可檢視的時間有多長,IBM尚無明確說明。事實上IBM並非唯一提供程式碼的科技公司,微軟公司早在2003年即允許中國大陸、俄國、英國等國家檢視微軟Windows部分產品的原始碼。 有市場分析公司指出,IBM為降低智慧財產權被複製的風險,所釋出的原始碼可能只涉及基本功能,不包含專有的演算碼,且像IBM此類的公司,應該擁有閉源軟體(closed-source)或特別的軟體以嚴密地維護底層的原始碼,避免中國大陸政府藉由檢視原始碼執行反向工程(Reverse Engineering)。 IBM公司願意提供中國大陸政府檢視部分產品原始碼,目的在於展示其產品安全性,試圖擴展IBM在中國大陸的商業版圖。IBM旗下的雲端運算平台Bluemis未來將與中國大陸的數據中心服務公司—北京世紀互聯寬帶數據中心有限公司合作。該公司同時也是微軟在中國大陸的合作夥伴。