美國衛生及公共服務部提出雲端服務適用健康保險可攜與責任法之相關指引
美國醫療產業使用境內或境外雲端服務(Cloud Services)急速成長,導致「健康保險可攜與責任法」(Health Insurance Portability and Accountability Act,以下簡稱HIPAA)規範下之「適用機構」(Covered Entities)與其「商業夥伴」(Business Associate),對於雲端服務業者如何適用HIPAA感到疑惑。因此,衛生及公共服務部民權辦公室(Department of Health and Human Services, Office for Civil Rights)於10月7日公布相關業者如何適用HIPAA之指引,以釐清爭議。
於該指引中,該部指出,雲端服務業者若替適用機構或是商業夥伴創造、接收、維護、傳送被HIPAA所保護之「資療資訊」(Protected Health Information),則該雲端業者就被視為HIPAA下規範之商業夥伴,原因在於該服務具有儲存與維護醫療資訊功能,非屬該法排除適用之「網路服務業者」(Internet Service Providers)資料傳輸服務類型。
該指引有幾大重點:首先,雲端服務業者如將該醫療資訊提供加密儲存服務,仍應盡到HIPAA中規範商業夥伴之責任。原因在於加密資料不足以保護HIPAA有關資訊安全章節所要求醫療資訊之「機密性、完整性和可用性」之相關規範。再者,雲端業者皆須與委託方簽署商業夥伴協議(Business Associate Agreements)。此外,使用雲端服務儲存資療資訊時,委託方皆能使用行動設備進入雲端儲存之醫療資料,但應建立合乎HIPPA所要求相關之安全措施。最後,HIPAA並未禁止將醫療資訊儲存至伺服器為於美國境外之雲端業者,但使用前應自行評估該資訊遭駭客攻擊之可能性。
- Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016,
- Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016,
- Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services,
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
陳仕偉
法律研究員 編譯整理
Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016, http://www.natlawreview.com/article/department-health-and-human-services-issues-guidance-hipaa-and-cloud-providers (last visited Nov.8, 2016)
Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016, http://www.natlawreview.com/article/health-and-human-services-issues-guidance-hipaa-and-cloud-computing (last visited Nov.8, 2016)
Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services, http://www.hhs.gov/hipaa/for-professionals/special-topics/cloud-computing/index.html (last visited Nov. 8, 2016)
聯邦檢察官指出 19 歲的 Curtis Salisbury ,在九月二十六日針對他在密蘇里州的聖路易市盜錄電影,並在網路上散佈等非法行為坦承犯案。 Salisbury 利用工作之便,於下班後使用數位錄影機及錄音器材盜錄兩部電影,進而在網路上散佈而遭到起訴。 Salisbury 因而成為第一位根據 “ 家庭娛樂及著作權法案 ” (Family Entertainment and Copyright Act) 而遭受起訴者。 家庭娛樂及著作權法案在 2005 年四月由國會通過,致力於遏止網路上的著作權侵害行為。法案中規定,運用視聽器材於電影院中盜錄電影者,可以處$ 250,000 罰金及三年以下有期徒刑,若進而在網路上傳播者,則需承擔額外的罰則。 儘管這樣的結果使大多數電影製片業者歡欣鼓舞。然而,如此嚴厲的刑罰具有爭議性,原因在於嚴厲的罰則是為暴力犯罪而設計,若應用於著作權相關議題時,實非一個明智的選擇。
美國聯邦民航局發布《先進空中移動執行計畫》,以利全面整合並促進產業安全擴展美國聯邦民航局(Federal Aviation Administration, FAA)於2023年7月18日發布《先進空中移動執行計畫》(Advanced Air Mobility (AAM) Implementation Plan),詳述FAA與利害關係人於短期內實現AAM運作需採取之步驟。 AAM是一個新興航空生態系統,透過創新先進技術與新型航空器,包括電動航空器或電動垂直起降航空器(electric vertical takeoff and landing, eVTOL),提供交通運輸更具效率、永續與公平的選擇機會。不過,本執行計畫所稱之AAM僅適用於有人駕駛之客貨運輸類型。為促進日常相關服務,該計畫以現行飛航程序與基礎設施為利用基礎,並就航空器與飛行員認證、空域進出管理、飛行員培訓、基礎設施開發、安全維護、公眾參與等事項進行處理,以引領產業安全擴展。此外,本計畫還包含可應用於任何場域之計畫指南(planning guide),並臚列關鍵整合目標與順序。本次計畫著重之處簡述如下: (1)運作:飛行員將能按預定飛行計畫駕駛新先進移動航空器往返多地;AAM航空器將盡可能使用機場周圍等級B與C空域範圍內之既有或修正的低空目視飛行規則(Visual Flight Rules, VFR)路線,飛行於城市與大都市地區上空4000英尺(約1219.2公尺)。 (2)基礎設施:營運商、製造商、州與地方政府,以及其他利害關係人將負責計劃、發展與利用直升機場(heliport)或垂直機場(vertiport)基礎設施;起初AAM將運作於既有的直升機場、商業服務機場與通用航空(general aviation, GA)機場,故需針對充電站、停機坪與滑行空間等進行改造與安裝。 (3)電網(Power Grid):電網可能需要升級以供AAM操作;FAA與美國國家再生能源實驗室(National Renewable Energy Laboratory, NREL)簽署機構間的協議,以確定航空器電氣化(electrification)對垂直機場、直升機場或機場電網的影響。 (4)安全:美國國土安全部(Department of Homeland Security, DHS)將確定必要的AAM安全類型;美國運輸安全管理局(Transportation Security Administration, TSA)與FAA亦評估基於先進技術的使用與操作協定(operational protocols)而提高資安要求之需求。 (5)環境:FAA將斟酌AAM運作的環境影響,包括噪音、空氣品質、視覺干擾及對野生生物的破壞等因素。 (6)公眾參與:為更了解公眾對AAM運作的擔憂(包括噪音與緩解措施),FAA將與機場、地方、州及社區進行合作;許多利害關係人(如AAM營運商、機場與垂直機場營運商)將於公眾參與中扮演重要角色。
科研資源整合之跨國合作趨勢研析與比較