美國衛生及公共服務部提出雲端服務適用健康保險可攜與責任法之相關指引
美國醫療產業使用境內或境外雲端服務(Cloud Services)急速成長,導致「健康保險可攜與責任法」(Health Insurance Portability and Accountability Act,以下簡稱HIPAA)規範下之「適用機構」(Covered Entities)與其「商業夥伴」(Business Associate),對於雲端服務業者如何適用HIPAA感到疑惑。因此,衛生及公共服務部民權辦公室(Department of Health and Human Services, Office for Civil Rights)於10月7日公布相關業者如何適用HIPAA之指引,以釐清爭議。
於該指引中,該部指出,雲端服務業者若替適用機構或是商業夥伴創造、接收、維護、傳送被HIPAA所保護之「資療資訊」(Protected Health Information),則該雲端業者就被視為HIPAA下規範之商業夥伴,原因在於該服務具有儲存與維護醫療資訊功能,非屬該法排除適用之「網路服務業者」(Internet Service Providers)資料傳輸服務類型。
該指引有幾大重點:首先,雲端服務業者如將該醫療資訊提供加密儲存服務,仍應盡到HIPAA中規範商業夥伴之責任。原因在於加密資料不足以保護HIPAA有關資訊安全章節所要求醫療資訊之「機密性、完整性和可用性」之相關規範。再者,雲端業者皆須與委託方簽署商業夥伴協議(Business Associate Agreements)。此外,使用雲端服務儲存資療資訊時,委託方皆能使用行動設備進入雲端儲存之醫療資料,但應建立合乎HIPPA所要求相關之安全措施。最後,HIPAA並未禁止將醫療資訊儲存至伺服器為於美國境外之雲端業者,但使用前應自行評估該資訊遭駭客攻擊之可能性。
- Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016,
- Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016,
- Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services,
- 零售業個資保護及資訊安全教育講習
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
陳仕偉
法律研究員 編譯整理
Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016, http://www.natlawreview.com/article/department-health-and-human-services-issues-guidance-hipaa-and-cloud-providers (last visited Nov.8, 2016)
Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016, http://www.natlawreview.com/article/health-and-human-services-issues-guidance-hipaa-and-cloud-computing (last visited Nov.8, 2016)
Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services, http://www.hhs.gov/hipaa/for-professionals/special-topics/cloud-computing/index.html (last visited Nov. 8, 2016)
美國新任總統歐巴馬上台後,終結小布希政府多年來的人類幹細胞研究補助禁令,於今(2009)年3月9日發佈了13505號執行命令(Executive Order)。此執行命令不僅擴大了可接受政府補助之人類幹細胞研究範圍,亦要求美國國家健康研究院(National Institutes of Health, NIH)檢視現存相關指導方針,並於120天內發佈新的規範。因此,NIH隨後於4月23日提出了幹細胞研究指導方針草案。 草案除將持續補助使用成體幹細胞及誘導多能幹細胞之研究外,針對過往無法接受補助之幹細胞類型(即原本為生殖目的之體外受精卵所衍生之幹細胞)也解除了禁令,使得美國科學家可取得更多樣及不受汙染的人類幹細胞。另外,草案也就幹細胞取得之告知後同意條約與流程做詳細的說明。最後,源自於體細胞核移轉(somatic cell nuclear transfer)、單性生殖(parthenogenesis)或為研究目的於體外所製造之胚胎等範疇之幹細胞,將無法接受草案的補助。 雖然草案大幅開放可受補助之範圍,但仍有些使用合乎規定之幹細胞之研究無法接受到補助,故對利害關係人來說,還是要注意草案所規定之限制條件。目前草案仍處於公眾評論之階段,預計不久之後將可正式生效。
FCC主席Julius Genachowski警告美國恐有頻譜危機美國聯邦通訊傳播委員會(Federal Communications Commission, FCC )主席Julius Genachowski表示,美國政府正努力規劃商業用途頻譜(spectrum)供給量,以滿足通訊科技服務發展需求。惟諸多產業專家預測無線通訊服務運用導致頻寬需求快速增加,無線通訊擁塞情況恐將嚴重惡化。 儘管FCC已藉頻譜拍賣釋出不少頻譜,且2009年6月全美廣電數位化後(DSO),一定要件開放業者毋須取得頻譜執照便可使用所謂的「閒置頻譜」(interleaved/white space),但是頻譜匱乏的問題仍無法解決。 對此,FCC允諾將會弭平頻譜供給需求間的落差,並且列為FCC的首要任務之一。未來FCC將透過非商用頻譜重分配與鼓勵發展更有效率使用頻譜之科技,以期解決頻譜不足的窘境。 產業界與公眾安全通訊相關組織呼籲FCC應提供更多頻譜供無線通訊服務使用。不過FCC亦要求資通訊產業於研發行動寬頻新產品時,須設想頻譜供給不足,研發更有效率使用頻率的通訊技術。產官學三者間,必須相互配合與協調(尤其是業者間的「不歧視原則」),方能有效解決網路通訊擁塞及頻譜匱乏問題。
英國金融科技未來政策展望英國為眾多國家中致力發展金融科技的佼佼者,其相關政府部門-英國金融行為監理總署(Financial Conduct Authority, FCA)早於2016年即推出世界首例金融監理沙盒(Financial Regulatory Sandbox)制度,同時也與英格蘭銀行致力發展開放銀行業務、金融創新項目以及監管措施改革等等。也因為英國為金融科技提供了良好的環境以及養分,使目前英國金融科技佔全球市場總額10%,並有71%的英國公民至少接受一間金融科技公司提供服務;2020年金融科技為英國吸引了41億美元的投資,遠超德國、瑞典、法國、瑞士和荷蘭的總和。 為使英國金融科技持續成長,英國財政大臣於2020年要求針對英國金融科技現況及未來發展進行獨立性研究,該研究並於2021年2月公布。根據研究報告指出,英國金融科技正面臨下述三大問題: 其他國家紛紛仿效英國之成功模式,致使英國金融科技不再具有獨占地位。 英國脫離歐盟導致監管措施的不確定性。 新冠肺炎的來襲,迫使各國均快速發展並靈活運用金融科技,導致英國金融科技優勢地位逐漸喪失。 為了解決上述三大問題,研究報告提出了五項建議計畫: 針對政策以及監管方式之持續進步 雖然英國目前仍處於金融科技政策以及監管的領先地位,但隨著業務、科技等發展,必須確保政策以及監管方式繼續保護金融消費者,同時創造鼓勵創新和競爭的環境。因此建議的方案包含:實施新型態監理沙盒(Scalebox);建立一個數位經濟工作小組以確保政府各部門之一致性;確保金融科技成為貿易政策的一部分。 培養人才 英國需要確保金融科技擁有充足的國內和國際人才供應,以及因為預計在2030年,英國有90%勞動者需要學習新技能,因此也需要培訓和提升現有和未來勞動力技能的方案。因此建議的方案包含:辦理針對成年人進行再培訓和提高技能之短期課程;創建一個新的簽證類型,以提高獲得全球人才的機會;為學習金融科技的學生以及創業者建立媒合平台,設置金融科技人才管道。 建立友善的投資環境 英國雖然透過私募基金成功地為英國金融科技事業募資,但英國仍應該持續加強金融科技事業從初創到公開發行的一系列融資過程,尤其是融資的後期階段。因此建議的方案包含:擴大金融科技獎勵措施以及便利金融科技事業籌資(包含:擴大研發稅收抵免額度、企業投資計畫、風險投資信託);英國應該另行增設一個約10億英鎊之基金供金融科技發展使用;放寬英國上市公司限制(例如:雙層股權結構);創設一個全球金融科技指數以擴大金融科技事業知名度。 與國際合作 雖然英國目前取得金融科技的成功和未來數位貿易崛起的機會,但仍應採取更多的措施用以獲得更多國際支持,這將會成為英國在脫離歐盟後針對國際開放性作出的重大表態。因此建議的方案包含:針對金融科技提出國際行動方案;推動設立金融、創新和技術中心,並成立國際金融科技工作小組;推出國際金融科技認證組合。 英國國內整合 金融科技在國家的支持下,英國各地皆分布大量的金融科技人才。為了保持英國作為金融科技中心的地位,英國須注重規模和支持區域專業,尤其是大學正在創造的重要的智慧財產權。因此建議的方案包含:培育十大金融科技重鎮,而每個重鎮均應設置一個以強化金融科技、培養專家以及增加國家競爭力為目的的三年目標;通過金融、創新和技術中心協調國內金融科技發展策略;通過進一步的投資計畫加快金融科技重鎮的發展以及成長。
日本金融廳全面整治虛擬貨幣交易所今年1月底日本Coincheck虛擬貨幣交易所爆出最大規模的駭客攻擊事件後,日本金融廳開始擴大調查國內虛擬貨幣交易平台營運狀況;3月8日首次對2家虛擬貨幣交易平台業者Bit Station及FSHO祭出為期一個月「勒令停業」之行政處分,前者主因係公司內部高階主管擅自挪用客戶資金,違反資金結算法中用戶財產管理與用戶保護措施規範;後者則係發現多筆高額交易時,網路系統並未進行用戶認證,公司亦未對員工進行內部培訓課程,違反資金結算法中關於用戶保護措施之規範。 同時,日本金融廳亦對Coincheck、Bicrements、GMO Coin、Tech Bureau,及Mr.Exchange等5家虛擬交易平台業者發布下令改善之行政處分,要求業者重新審視經營漏洞,限期建立有效且完善的風險管理系統、保護消費者機制、反洗錢與打擊資恐、資金管理系統、內部稽核與內部控制系統及用戶客服系統等,避免再度發生大型駭客攻擊事件。 另為能有效地建立虛擬貨幣交易市場管制規範,日本金融廳宣布成立「虛擬貨幣交易產業研究小組」,並由學者、金融業者及虛擬貨幣業者為主要成員,為將來虛擬貨幣市場可能面臨各種議題,研析相關監管政策及法制規範。 面對襲捲而來之虛擬貨幣交易經濟,日前法務部邀集金管會、內政部、央行、警政署、調查局等單位跨部會協商,並就管制面、執法面等持續進行研商;我國或可以日本該次事件為借鏡,於行政管制強度做適當之調整,尤其我國為亞太防制洗錢組織(APG)創始會員,而虛擬貨幣交易之匿名性,已成為反洗錢與反資恐之最大風險,隨著虛擬貨幣交易行為頻繁與發展態樣多變,日後對於虛擬貨幣交易之管制政策與範圍都將備受矚目。