美國衛生及公共服務部提出雲端服務適用健康保險可攜與責任法之相關指引
美國醫療產業使用境內或境外雲端服務(Cloud Services)急速成長,導致「健康保險可攜與責任法」(Health Insurance Portability and Accountability Act,以下簡稱HIPAA)規範下之「適用機構」(Covered Entities)與其「商業夥伴」(Business Associate),對於雲端服務業者如何適用HIPAA感到疑惑。因此,衛生及公共服務部民權辦公室(Department of Health and Human Services, Office for Civil Rights)於10月7日公布相關業者如何適用HIPAA之指引,以釐清爭議。
於該指引中,該部指出,雲端服務業者若替適用機構或是商業夥伴創造、接收、維護、傳送被HIPAA所保護之「資療資訊」(Protected Health Information),則該雲端業者就被視為HIPAA下規範之商業夥伴,原因在於該服務具有儲存與維護醫療資訊功能,非屬該法排除適用之「網路服務業者」(Internet Service Providers)資料傳輸服務類型。
該指引有幾大重點:首先,雲端服務業者如將該醫療資訊提供加密儲存服務,仍應盡到HIPAA中規範商業夥伴之責任。原因在於加密資料不足以保護HIPAA有關資訊安全章節所要求醫療資訊之「機密性、完整性和可用性」之相關規範。再者,雲端業者皆須與委託方簽署商業夥伴協議(Business Associate Agreements)。此外,使用雲端服務儲存資療資訊時,委託方皆能使用行動設備進入雲端儲存之醫療資料,但應建立合乎HIPPA所要求相關之安全措施。最後,HIPAA並未禁止將醫療資訊儲存至伺服器為於美國境外之雲端業者,但使用前應自行評估該資訊遭駭客攻擊之可能性。
- Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016,
- Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016,
- Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services,
- 零售業個資保護及資訊安全教育講習
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
陳仕偉
法律研究員 編譯整理
Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016, http://www.natlawreview.com/article/department-health-and-human-services-issues-guidance-hipaa-and-cloud-providers (last visited Nov.8, 2016)
Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016, http://www.natlawreview.com/article/health-and-human-services-issues-guidance-hipaa-and-cloud-computing (last visited Nov.8, 2016)
Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services, http://www.hhs.gov/hipaa/for-professionals/special-topics/cloud-computing/index.html (last visited Nov. 8, 2016)
FCC日前發佈一份關於電線寬頻上網之備忘錄命令及意見(MO&O, Memorandum Opinion and Order),除了再度確認FCC於2004年時就接取電線寬頻上網系統所為之決議外,同時也否決業餘無線電社群、電視廣播業者、航空工業等所提出限制電線寬頻上網之要求,但FCC採納保護無線電天文台以及航空站使免於電線寬頻上網干擾之規定。 FCC表示,推動電線寬頻上網可以幫助居住於鄉村地區之美國民眾接取高速網路,而且目前寬頻網路市場的主導者有線電視網路上網(cable)業者及數位用戶迴路業者(DSL)亦將會因電線寬頻上網之發展而被迫降價,讓消費者可以更低廉的價格接取寬頻網路。不過,FCC委員Michael Copps 提醒,雖然眼前FCC在電線寬頻上網以及可能產生之干擾間似乎已達成平衡,但FCC仍應繼續密切關注電線寬頻上網對其他使用者之干擾問題,尤其在卡崔那(Katrina)颶風的慘痛經驗中已證實業餘無線電之發展與貢獻具有高度價值,因此,對於電線寬頻上網可能對業餘無線電用戶之干擾部分應格外注意。
美國Farmers Insurance Group在加州以竊取營業秘密為由控告前員工以及Automobile Club of Michigan2017年10月,美國知名保險公司Farmers Insurance Group(下稱Farmers)在加州法院提訴,控告前員工Venkatesh Kamath(下稱Kamath)、前資訊長Shohreh Abedi(下稱Abedi)和競爭對手American Automobile Association(下稱AAA協會)旗下的Automobile Club of Michigan(下稱Auto Club)竊取營業秘密。 Farmers聲稱,於2015年起使用Guidewire Software(下稱Guidewire),以更新其理賠處理和保險服務系統。Kamath因Guidewire業務,接觸到Farmers高度敏感與機密資訊。Abedi前為Kamath上司,曾監督Guidewire計畫初期階段。之後Abedi至Auto Club任職,協助Auto Club轉換使用Guidewire,並挖角包括Kamath在內許多Farmers員工。Kamath離職前,從Farmers電腦中拷貝超過6400份檔案,其中包括與Guidewire計畫及Famers核心業務相關的營業秘密資訊。 Farmers控訴Kamath、Abedi及Auto Club違反加州營業秘密法(California Trade Secret Act)、從事不公平競爭、違反忠實義務及其他事由,除訴請賠償外,也請求法院禁止被告使用其營業秘密。 本案非Farmers與AAA協會首次因營業秘密事宜而對訟。2010年間,Farmers曾控告AAA協會旗下Auto Club Group竊取其投保客戶機密資訊,惟該案當時經法院以Farmers未能證明有何損失或損害為由,駁回其訴。Farmers公司於2017年10月對Auto Club提起的本件訴訟,法院實務的發展為何,值得後續觀察。
西班牙AEPD增加關於健康和個人資料保護關注領域西班牙個資監管機關(Agencia Española de Protección de Datos, AEPD)於2022年5月3日增加健康和個人資料保護有關的關注領域。觀2021年,計有680件與健康資料相關之爭議案件,與2020年相比增長了75%,又因健康資料為特殊類型之個人資料,故更應嚴加保障。 該領域的內容適用於公民、資料控制者、資料保護專業人員、健康中心或製藥行業等,共分六小節: 一、第一小節概述了與健康資料有關的權利,解釋了歐盟一般個人資料保護規則(General Data Protection Regulation, GDPR)第9條及西班牙當地規範有關處理健康資料定義、如何行使醫療記錄近用權(Right to access),以及與醫學研究相關的問題,其中規定了患者在使用資料和臨床文件方面權利和義務、在近用權被拒絕情況下如何向AEPD申訴、臨床病史保留及刪除權利之限制等。 二、第二小節重點介紹AEPD公布的相關報告和指南,包括勞資關係中之個人資料保護指南,及有關臨床病史、臨床試驗等相關主題之報告。 三、第三小節則著重在AEPD於新型冠狀病毒肺炎(COVID-19)爆發後,製作大量與COVID-19相關之聲明文件及法律報告,故在此彙整相關資料,以協助落實個人資料之保障。 四、第四小節健康研究和臨床試驗,其中彙編了相關指南,以及規範臨床試驗和其他臨床研究以及藥物安全監視所涉個人資料保護行為準則。 五、第五小節講述與健康狀況有關之申訴、賠償紀錄部分,其中包括AEPD收到多項涉及已故患者直系親屬近用醫療記錄之權利或醫療專業人員非法獲取臨床病史和醫療記錄之投訴。 六、第六小節側重於醫療組織洩露個人資料議題,概述了資料控制者之義務以及為確保遵循GDPR而應採取之措施,另強調以特殊方式處理健康資料之活動,如電子健康紀錄、物聯網醫療所使用之行動裝置或雲端等存取設備,皆存在外洩之風險因子。
美國司法部發布「防止受關注國家或個人近用美國敏感個人資料與政府相關資料」之最終規則,以因應國家安全威脅美國司法部(Department of Justice, DOJ)於2025年1月8日發布「防止受關注國家或個人近用美國敏感個人資料與政府相關資料」(Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons)之最終規則。該規則旨在避免特定國家或個人獲取大量國民敏感個人資料及政府相關資料,以降低國安威脅。 最終規則指出,去識別化敏感個人資料若經大量蒐集,仍可能被重新識別,因此原則上禁止或限制任何美國人在知情的情況下,與受關注的國家或個人進行該等資料的大量交易。其將敏感個人資料定義為社會安全碼、精確地理位置、車輛遙測資訊(vehicle telemetry information)、基因組以及個人健康、財務資料或其他足資識別個人之資料,並定義禁止及限制交易的型態。同時,最終規則除設有若干豁免交易類型外,也定有一般及特別許可交易規定,並授權司法部得核發、修改或撤銷前述許可。一般許可交易的類型將由總檢察長另行公布;特別許可則由總檢察長依個案酌情例外核准。 該規則課予交易方持續報告(reporting)、盡職調查(due diligence)、稽核(audit)、紀錄留存(recordkeeping)等義務,並針對涉及政府相關資訊或美國國民大量敏感個人資訊之商業交易,例如投資、雇傭、資料仲介(data brokerage)及供應商契約,提出資安要求,以降低受關注國家或個人獲取該類特定資訊的風險。最後,該規則定有民事罰款(37萬美金以下)、刑事處罰(100萬美金以下或20年以下徒刑),並設立申訴之救濟措施。