美國衛生及公共服務部提出雲端服務適用健康保險可攜與責任法之相關指引
美國醫療產業使用境內或境外雲端服務(Cloud Services)急速成長,導致「健康保險可攜與責任法」(Health Insurance Portability and Accountability Act,以下簡稱HIPAA)規範下之「適用機構」(Covered Entities)與其「商業夥伴」(Business Associate),對於雲端服務業者如何適用HIPAA感到疑惑。因此,衛生及公共服務部民權辦公室(Department of Health and Human Services, Office for Civil Rights)於10月7日公布相關業者如何適用HIPAA之指引,以釐清爭議。
於該指引中,該部指出,雲端服務業者若替適用機構或是商業夥伴創造、接收、維護、傳送被HIPAA所保護之「資療資訊」(Protected Health Information),則該雲端業者就被視為HIPAA下規範之商業夥伴,原因在於該服務具有儲存與維護醫療資訊功能,非屬該法排除適用之「網路服務業者」(Internet Service Providers)資料傳輸服務類型。
該指引有幾大重點:首先,雲端服務業者如將該醫療資訊提供加密儲存服務,仍應盡到HIPAA中規範商業夥伴之責任。原因在於加密資料不足以保護HIPAA有關資訊安全章節所要求醫療資訊之「機密性、完整性和可用性」之相關規範。再者,雲端業者皆須與委託方簽署商業夥伴協議(Business Associate Agreements)。此外,使用雲端服務儲存資療資訊時,委託方皆能使用行動設備進入雲端儲存之醫療資料,但應建立合乎HIPPA所要求相關之安全措施。最後,HIPAA並未禁止將醫療資訊儲存至伺服器為於美國境外之雲端業者,但使用前應自行評估該資訊遭駭客攻擊之可能性。
- Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016,
- Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016,
- Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services,
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
陳仕偉
法律研究員 編譯整理
Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016, http://www.natlawreview.com/article/department-health-and-human-services-issues-guidance-hipaa-and-cloud-providers (last visited Nov.8, 2016)
Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016, http://www.natlawreview.com/article/health-and-human-services-issues-guidance-hipaa-and-cloud-computing (last visited Nov.8, 2016)
Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services, http://www.hhs.gov/hipaa/for-professionals/special-topics/cloud-computing/index.html (last visited Nov. 8, 2016)
2009年美國司法部特別報導,美國每年大約有26,000人為受全球定位系統(Global Positioning System, GPS, 一般稱作衛星導航系統)追蹤的受害者,其中也包括手機使用者。2010年4月,爆發Apple iPhone和Google Android 智慧型手機在當事人不知情的情況下,蒐集手機的位置資訊;更甚者,即使在當事人沒有使用定位應用程式時,仍繼續蒐集其位置資訊,而當事人卻無法拒絕蒐集。對此,手機公司反映,其蒐集的位置資訊行為係利用發射台與無線網路點,協助手機使用者更快速的計算與確認其位置,以提供更良善的定位服務。 美國參議員Al Franken 與Richard Blumenthal對於此議題非常關切,Franken參議員指出,1986年所通過的「電子通訊隱私法(Electronic Comunications Privacy Act of 1986)已無法因應現今網際網路普遍使用。其中「自願揭露客戶通訊或記錄」之規定 (18 U.S.C. §2702 Voluntary disclosure of customer communication or records)更是替手機公司、應用程式業者,與提供無線上網的電信業者開了一個漏洞,允許業者在當事人不知情的情況下,進行定位資訊的蒐集,或與第三人分享位置資訊。 參議員Al Franken 與Richard Blumenthal遂於2011年6月15日提出「2011位置隱私保護法案(Location Privacy Protection Act of 2011)」,提議要求提供位置資訊服務功能的行動裝置製造商,與軟體平台,在蒐集當事人位置資訊,以及與第三人分享位置資訊時,必須先行告知當事人,並取得當事人的同意後,才可進行蒐集與分享。目前該法案至6月16日為止已經過二讀,並提交到司法委員會。 不過,「位置隱私保護法案」僅作告知當事人並取得同意低度要求,另一目前也正在審議的 「地理位置隱私與監督法案(Geological Privay and Survillance (GPS) Act)」,更進一步提供執法單位或政府蒐集與使用定位資訊的指引規範。也有提案對於電子通訊隱私法,必須要因應資通訊科技的應用,為相對應的增修。
英國財政部宣布將不再採用二代民間融資英國財政部於2018年10月29日宣布將不再採用二代民間融資(Private Finance 2,PF2)。 PF2是英國自1992年推行的民間融資提案(Private Finance Initiative, PFI)的進階版。PFI屬於「公私協力」(Public Private Partnerships)範疇,其概念為政府運用民間機構的管理能力及商業的專業知識,和民間機構簽訂PFI契約,先由民間機構興建、營運公共建設,政府再向民間機構購買該公共建設之公共服務。政府在民間機構營運公共建設後,依據雙方契約所訂之評估指標及規範,檢視民間機構之服務品質有無符合約定,再予以付款,倘未達到績效指標或資產無法提供服務時,則有扣款機制。 PFI在英國運作20多年,雖確實有效減輕政府財政負擔,但也有長期計劃缺乏彈性、私部門獲利太多、採購耗時等缺點。因此,英國於2011年對PFI進行改革,推出PF2。PF2有PFI制度及基本架構,但讓政府參股投入部分資金,成為投資者之一;簡化案件行政程序,從計畫啟動到選出最優申請人,原則不得超過18個月;要求民間機構披露公開資產報酬,提升透明度等。 PFI和PF2契約雖然已用於資助學校、醫院和其他基礎設施的建設,但此二模式的使用率近來已顯著下降,此可從英國雖修正PFI推出PF2,但PF2迄今僅使用了六次,以及目前的PFI及PF2契約,有86%是在2010年前簽立可證。此外,採用PFI或PF2契約後,如發生契約提前終止情形,機關須依約買回公共建設,導致仍須支付高額費用,凸顯PFI或PF2契約難以調整的不靈活性而飽受批評。又,預算責任辦公室(Office of Budget Responsibility)亦表示民間融資提案(private finance initiative)對政府的財政具有風險。 英國財政部已聽取前述各個關注,並且決定未來的施政規劃不再採用PF2 ,但財政部同時表示不會終止現有的PFI和PF2契約,會履行承諾完成履約,因為契約終止所生之高額補償,將使PFI或PF2不具「公帑節省價值」(Value for Money),故政府仍將繼續致力提高現有PFI契約的價值。 PFI起源於英國,此模式受不少國家效尤。而今英國宣布不再採用PFI的進階模式-PF2,此政策對PFI有無影響,以及英國政府未來是否會再規劃新的採購模式或公私協力措施以建設公共服務設施,相信將受到各國的關注。
新加坡金融管理局於2017年12月19日發出對加密貨幣之投資警告警告中提及,新加坡金融管理局(The Monetary Authority of Singapore, MAS)建議公眾在選擇投資加密貨幣時必須具備高度警覺,謹慎行事,並理解其所可能承擔之重大風險。金管局擔心由於近期加密貨幣之價格上漲,例如比特幣,人民可能會被吸引而投資加密貨幣。其他警告內容如下: MAS提醒社會大眾加密貨幣並非法定貨幣。它們非由政府發行,亦無任何資產或發行者之支持。 MAS認為近期加密貨幣價格之上漲係由投機所致,故價格急劇下跌之風險相當高,加密貨幣之投資者對於他們承擔著可能失去全部資本的風險應有所警覺。 加密貨幣之投資無任何監管保障。與大多數的司法管轄區一樣,MAS並未對加密貨幣進行管制。MAS法規既未對加密貨幣中介之安全性進行規制,亦未對加密貨幣交易有適當處理。 由於大多數加密貨幣交易平台之營運者並未存在於新加坡,故難以驗證其真實性或可信性。投資者與營運情形難以被輕易驗證之實體往來時,欺詐風險就更大。 加密貨幣之交易通常是匿名進行,使其易被誤用於非法活動。若發現加密貨幣中介平台非法使用加密貨幣,其執法機構可能會使其關閉。當加密貨幣平台沒有足夠強大的安全特徵時,可能會有被駭客攻擊進而造成損失之風險。 投資加密貨幣而蒙受損失之人民,將無法依賴由MAS法規所提供之任何保障。在投資加密貨幣之前,公眾應該仔細考慮產品所宣稱之高度獲利性,如果得輕易獲取可觀之利潤程度使人難以置信,那很可能就有問題。投資者應仔細評估加密貨幣之投資是否適合其投資目標與風險偏好。 人民若懷疑所涉及之加密貨幣投資可能會被詐欺或誤用於其他非法活動,應向警方舉報。
日本經濟產業省所屬研究機構提議「日本能源基本計畫修正研析建議」報告日本經濟產業省(Minister of Economy, Trade and Industry)所屬「自然資源及能源諮詢委員會(Advisory Committee for Natural Resources and Energy)」於2011年12月提出一份「日本能源基本計畫修正研析建議(Establishment of a New Basic Energy Plan for Japan)」,對於現有日本能源基本計畫,研析討論重要議題,並提出修正建議。 日本能源基本計畫,係因日本政府為因應2020年應達25%減碳目標(相較1990年水準),於2010年所規劃擬訂之推動計畫。而自然資源及能源諮詢委員會則是陸續招開會議研商討論,並提供建議給日本經濟產業作為省調修參考。此份報告指出,此份報告指出,能源基本計畫之推動架構必須重新思考,包括提議能源政策應強調重視「需求端(Demand Side)」,與兼顧「消費者(Consumers)」、「社會公民(Ordinary Citizens)」、「區域社區(Regional Communities)」等方面意見及利益,並建立社會公眾信心(Public’s Trust),以及必須能達到多元化不同電力能源之來源應用,並對於日本國家所需能源組成結構(Desired Energy Mix)進行討論議訂。 並且,對於推動實施,建議能源政策改革應朝向,以改革需求端架構(Reform of the Demand Structure)來達到能源節約社會目標,,以及改革供給端(Reform of the Supply Structure)來達到下一代分散式能源系統目標,並且倡議以創新技術來協助國家能源組成結構轉型,與能源供給端至需求端應備建設(Energy Supply-Demand Structure)之改革工作。 此研究報告於2011年12月提出後,歷經多次修改(最新更新為2012年1月),未來提交給經濟產業省供政策參考後,將產生如何影響內容,將再持續觀察最新進度。