美國衛生及公共服務部提出雲端服務適用健康保險可攜與責任法之相關指引
美國醫療產業使用境內或境外雲端服務(Cloud Services)急速成長,導致「健康保險可攜與責任法」(Health Insurance Portability and Accountability Act,以下簡稱HIPAA)規範下之「適用機構」(Covered Entities)與其「商業夥伴」(Business Associate),對於雲端服務業者如何適用HIPAA感到疑惑。因此,衛生及公共服務部民權辦公室(Department of Health and Human Services, Office for Civil Rights)於10月7日公布相關業者如何適用HIPAA之指引,以釐清爭議。
於該指引中,該部指出,雲端服務業者若替適用機構或是商業夥伴創造、接收、維護、傳送被HIPAA所保護之「資療資訊」(Protected Health Information),則該雲端業者就被視為HIPAA下規範之商業夥伴,原因在於該服務具有儲存與維護醫療資訊功能,非屬該法排除適用之「網路服務業者」(Internet Service Providers)資料傳輸服務類型。
該指引有幾大重點:首先,雲端服務業者如將該醫療資訊提供加密儲存服務,仍應盡到HIPAA中規範商業夥伴之責任。原因在於加密資料不足以保護HIPAA有關資訊安全章節所要求醫療資訊之「機密性、完整性和可用性」之相關規範。再者,雲端業者皆須與委託方簽署商業夥伴協議(Business Associate Agreements)。此外,使用雲端服務儲存資療資訊時,委託方皆能使用行動設備進入雲端儲存之醫療資料,但應建立合乎HIPPA所要求相關之安全措施。最後,HIPAA並未禁止將醫療資訊儲存至伺服器為於美國境外之雲端業者,但使用前應自行評估該資訊遭駭客攻擊之可能性。
- Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016,
- Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016,
- Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services,
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
陳仕偉
法律研究員 編譯整理
Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016, http://www.natlawreview.com/article/department-health-and-human-services-issues-guidance-hipaa-and-cloud-providers (last visited Nov.8, 2016)
Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016, http://www.natlawreview.com/article/health-and-human-services-issues-guidance-hipaa-and-cloud-computing (last visited Nov.8, 2016)
Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services, http://www.hhs.gov/hipaa/for-professionals/special-topics/cloud-computing/index.html (last visited Nov. 8, 2016)
2025年8月6日,行動支付技術開發公司Fintiv向喬治亞州北區聯邦地方法院亞特蘭大分院控訴Apple科技公司以詐欺手段竊取Fintiv公司的前身公司CorFire的專屬行動支付技術,違反《保護營業秘密法》(Defend Trade Secrets Act,DTSA)及《喬治亞州營業秘密法》(Georgia Trade Secrets Act,GTSA)等規定,向法院尋求賠償。 Fintiv公司主張Apple公司在2011年至2012年間,以行動支付技術之業務合作為由,與CorFire公司進行多次技術性洽談。Apple公司利用雙方簽訂之保密契約,取得CorFire公司的行動支付技術的詳細實施方案之接觸權限,並要求CorFire公司上傳部分機密資料至Apple公司管理的共享平臺,以促進合作交流關係,最終Apple公司放棄與CorFire公司的合作計畫,Apple公司卻將協商期間所獲技術內容整合,並應用於其在2014年推出的Apple Pay行動支付服務。Fintiv公司進一步主張Apple公司為將Apple Pay商業化,與信用卡處理商及銀行組成企業聯盟,並隱瞞其非法取得技術的真相,宣稱Apple公司自主研發Apple Pay。Fintiv公司指出,Apple公司此舉不僅損害Fintiv公司的合法權益,也嚴重破壞市場競爭秩序。此外,Fintiv公司表示,Apple公司多年來有系統地採取類似策略,如以合作名義獲取其他企業之機密,進而不當使用多項機密以進行商業化使用。 觀察前述實務案例可得知,即使雙方基於保密契約交換機密資料,仍存在終止合作衍生的機密外洩糾紛,如:機密資料歸屬不清、逾越授權範圍使用機密資料等風險。建議企業在「資料提供前」,應先透過「盤點」營業秘密與機密「分級」,確認合適揭露的機密資料,再藉由「審查」機制確認必要揭露的內容;在「資料提供後」,要求他方提供機密資料之「收受證明」以明確歸屬,並在合作關係結束後,要求他方「聲明返還或銷毀機密資料」,以降低他方不當使用機密資料的風險。 前述建議之管理作法已為資策會科法所創意智財中心於2023年發布之「營業秘密保護管理規範」所涵蓋,企業如欲精進系統化的營業秘密管理作法,可以參考此規範。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
蕃茄醬瓶身相似設計引發商標侵權之爭今年(2014)3月6日美國號稱蕃茄醬巨人的H.J. Heinz Co. (以下簡稱Heinz)於美國德州聯邦法院向一家德州公司Figueroa Brothers Inc. (以下簡稱Figueroa)提起商標侵權訴訟,主張Figueroa製造販售的蕃茄醬採用與其設計幾近相同的瓶身(ketchup bottle),侵害其極具識別性、代表性的商業表徵(trade dress)。 Heinz目前針對該玻璃瓶設計已註冊取得3個聯邦商標,其除了主張聯邦商標法保護外,亦基於普通法(common law)提起商標侵權主張。然而,Heinz表示,在提起訴訟前,已數次嘗試與Figueroa私下解決此爭議,但未果,所以最後才會訴諸法律途徑,提起訴訟。 Heinz於訴狀中表示從1890年代開始,便開始行銷販售有名的蕃茄醬產品,該產品的包裝即為系爭具有高度識別性的玻璃瓶設計。Heinz認為被告Figueroa未經同意擅自使用此瓶身設計的行為會造成消費者混淆,搭便車利用Heinz花費大量心力、時間和費用所累積的良好商譽來牟利。此外,Heinz並注意到Figueroa其他醬料產品例如莎莎醬、辣醬皆使用不相似的包裝,惟獨蕃茄醬產品包裝跟其有名的玻璃瓶設計幾乎完全相同。 自Heinz提起訴訟過了近一個禮拜,案情有了變化,Figueroa於4月初與Heinz和解,雖然Figueroa並未承認其侵害Heinz商標權,但同意從今年12月開始停止使用該玻璃瓶設計,並從此不再侵害Heinz的商業表徵(玻璃瓶設計)。然而,和解金額相關條款並未揭露。 此案之後,對於其他欲仿冒或剽竊Heinz的玻璃瓶設計者,是否會有遏阻影響,值得後續觀察。
《2022年保護美國智慧財產法》公布至今,所造成的影響仍有待觀察繼2023年1月5日美國總統拜登(Joe Biden)簽署《2022年保護美國智慧財產法》(Protecting American Intellectual Property Act of 2022)並生效後,至今尚未見任何根據該法規展開行動的報告,不過各界仍相當關注該法案的動向,因為其與過往的經濟制裁措施有著顯著的差異。 《2022年保護美國智慧財產法》與其他經濟制裁措施之差異包括: 1.僅針對營業秘密之重大竊盜,不包括其他智慧財產權如專利、著作權等; 2.未要求行為人主觀是為他國政府之利益而竊取營業秘密; 3.法規中使用到關鍵術語的標準及定義較少; 4.某些制裁措施具有強制性; 5.制裁的對象不僅包括竊取美國營業秘密者,也包括從他人竊取美國營業秘密中獲利者; 6.營業秘密盜竊行為須有合理可能性或已經對美國國家安全、外交、經濟、金融穩定構成重大威脅。 雖然《2022年保護美國智慧財產法》即將成為重要的政府工具,以解決營業秘密損失及其對國家安全之影響,且允許當事人面臨營業秘密訴訟或威脅時,將制裁措施武器化,但仍有部分問題有待解決,包括: 1.營業秘密受各州法律管轄,各州之管理機構是否會制定自己的營業秘密定義標準? 2.若在訴訟進行期間實施制裁措施,將產生甚麼影響? 3.是否產生《經濟間諜法》(Economic Espionage Act)之待審案件?美國司法部(US Department of Justice)是否必須參與? 4.判斷是否制裁的標準與美國司法部所採用的《經濟間諜法》之標準是否相同?若不同,則差異為何? 5.當事人或法院是否知道判定營業秘密盜竊行為時該適用什麼證據標準?(法規僅規定由總統決定) 6.法院能否將此類制裁措施作為其決策的一部分? 儘管《2022年保護美國智慧財產法》所衍生的問題及將產生的影響尚有待觀察,但建議企業採取下列合規措施,以避免成為美國新制裁措施的目標,包括: 1.制定並實施合規的營業秘密保護政策與程序; 2.對員工進行教育訓練,使其瞭解有關《2022年保護美國智慧財產法》的基礎知識以及對營業秘密之管理要求; 3.對有可能被盜竊營業秘密的流程進行稽核審查。 本文同步刊登於TIPS網站(https://www.tips.org.tw)。
何謂「證券型代幣發行(STO)」?運用區塊鏈技術發行加密貨幣(Cryptocurrency,又稱虛擬貨幣)進行募資,為當前熱門的新創募資手段之一,此種募資方式稱為首次代幣發行(Initial Coin Offering,ICO)。由於ICO過去並未受到監管,其發行也僅有發行人所撰寫的白皮書(Whitepaper)可供參考,投資人與發行人間有相當大的資訊落差,也因此導致以ICO為名的詐騙案件層出不窮。 對此各國監管機關紛紛對ICO進行分類與監管,美國證券交易委員會(SEC)即將加密貨幣區分為效用型代幣(Utility Token)與證券型代幣(Security Token),並將後者納入監管。SEC採用1946年美國聯邦最高法院在SEC v. W.J. Howey Co.案判決中所適用的標準(Howey Test),若「投資人基於對合理報酬的預期,對特定事業進行金錢的投資,且該獲利來自於他方的努力」,即屬於證券型代幣而需要受到監管。 SEC據此對涉及詐欺的ICO案件嚴格執法,並積極輔導非屬詐欺案件依法辦理註冊發行程序。證券型代幣發行(Security Token Offering,STO)即為配合SEC監管規範下,為消除過去對於ICO募資疑慮所產生的法遵解套辦法。對此我國金管會亦積極評估是否將STO的標準引進我國,惟因我國對有價證券之定義與要件,與SEC所採之Howey Test有所不同,而尚在研議當中。