美國衛生及公共服務部提出雲端服務適用健康保險可攜與責任法之相關指引
美國醫療產業使用境內或境外雲端服務(Cloud Services)急速成長,導致「健康保險可攜與責任法」(Health Insurance Portability and Accountability Act,以下簡稱HIPAA)規範下之「適用機構」(Covered Entities)與其「商業夥伴」(Business Associate),對於雲端服務業者如何適用HIPAA感到疑惑。因此,衛生及公共服務部民權辦公室(Department of Health and Human Services, Office for Civil Rights)於10月7日公布相關業者如何適用HIPAA之指引,以釐清爭議。
於該指引中,該部指出,雲端服務業者若替適用機構或是商業夥伴創造、接收、維護、傳送被HIPAA所保護之「資療資訊」(Protected Health Information),則該雲端業者就被視為HIPAA下規範之商業夥伴,原因在於該服務具有儲存與維護醫療資訊功能,非屬該法排除適用之「網路服務業者」(Internet Service Providers)資料傳輸服務類型。
該指引有幾大重點:首先,雲端服務業者如將該醫療資訊提供加密儲存服務,仍應盡到HIPAA中規範商業夥伴之責任。原因在於加密資料不足以保護HIPAA有關資訊安全章節所要求醫療資訊之「機密性、完整性和可用性」之相關規範。再者,雲端業者皆須與委託方簽署商業夥伴協議(Business Associate Agreements)。此外,使用雲端服務儲存資療資訊時,委託方皆能使用行動設備進入雲端儲存之醫療資料,但應建立合乎HIPPA所要求相關之安全措施。最後,HIPAA並未禁止將醫療資訊儲存至伺服器為於美國境外之雲端業者,但使用前應自行評估該資訊遭駭客攻擊之可能性。
- Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016,
- Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016,
- Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services,
- 零售業個資保護及資訊安全教育講習
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
陳仕偉
法律研究員 編譯整理
Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016, http://www.natlawreview.com/article/department-health-and-human-services-issues-guidance-hipaa-and-cloud-providers (last visited Nov.8, 2016)
Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016, http://www.natlawreview.com/article/health-and-human-services-issues-guidance-hipaa-and-cloud-computing (last visited Nov.8, 2016)
Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services, http://www.hhs.gov/hipaa/for-professionals/special-topics/cloud-computing/index.html (last visited Nov. 8, 2016)
巴拿馬避稅文件被揭露後,引發歐洲議會(European Parliament)重新檢視正待審核的歐盟營業秘密指令草案(the proposed Directive on Trade Secrets Protection),避免企業營業秘密之保護影響揭弊人(whistleblowers)舉發企業弊端之意願。 執委會2013年11月正式提出歐盟營業秘密指令草案,目的為調合歐洲內部市場營業秘密規範,以建立保護創新者的環境,並維持歐洲企業競爭優勢。2015年12月執委會、歐洲議會及理事會(the Council of the European Union)召開三方會議協商,對於歐盟營業秘密指令內容達成共識,準備進入立法表決。 巴拿馬事件發生後,公民團體Corporate Europe Observatory之代表Martin Pigeon認為,歐盟營業秘密指令可能成為企業對付揭弊人的工具,以掩蓋不當或違法行為,而公開弊端資訊的揭弊人可能因洩漏營業秘密而有刑事責任。但主導該指令立法程序之歐洲議會議員Constance Le Grip表示,營業秘密指令會明確地將記者及揭弊人除罪化。 事實上,為了保障公共利益所為之揭露行為,執委會2013年提出的草案已納入揭弊人排除條款。根據草案第4條第2項規定,會員國應確保為了公共利益目的而揭露不當、錯誤或不法活動(revealing a misconduct, wrongdoing or illegal activity),不會觸犯(entitle)營業秘密法之任何罪名。換句話說,即便取得企業機密之方式違法,揭弊人為了公共利益之行為不會違反營業秘密指令。 歐盟營業秘密指令僅建立歐盟保障營業秘密之最低標準,若歐盟營業秘密指令順利通過,仍待會員國依據該指令各自立法,訂立境內營業秘密相關規範,以落實營業秘密之保護。
美國國會圖書館發布例外規則,將10項科技使用行為合法化美國國會圖書館(Library of Congress)依據著作權法(Digital Millennium Copyright Act,簡稱DMCA)第1201(a)(1)條授權,於2015年10月28日發布著作權法相關之例外規則(final regulations),明定10項與使用者權益相關的行為屬於著作權法保障之例外情況,將納入合理使用(fair use)範圍,不再視為侵害原著作權人之權利。上述合法的科技使用行為包含: 1.為了教育及其他非商業用途之目的,對視聽媒體所為之重製行為。 2.為了讓視覺或其他功能障礙者使用,對已購買之電子書所為之破解或形式轉換行為。 3.為了連結其他電信公司之網絡,針對手機及其他行動裝置之應用程式,所為之解鎖行為(unlocking)。 4.智慧型手機及其他行動裝置之越獄(jailbreaking)行為。使用者得利用外部工具取得系統最高權限,且不受原系統限制而安裝或解除安裝合法軟體。 5.智慧型電視之越獄行為。使用者得利用外部工具取得系統最高權限,不受原系統限制而安裝或解除安裝合法軟體。 6.汽車軟體之診斷、修理或改裝行為。車主或修車廠等人員得自行診斷、修理或改裝汽車軟體,不限於僅有汽車原廠得檢測或變更軟體。 7.為了促進電腦軟體的安全性,針對個人擁有之消費性家電、車輛及醫療裝置所為之軟體相關安全研究與測試行為。 8.某些需要透過與官方伺服器連線方能正常運作之遊戲軟體,於官方永久結束營運之後,使用者可自行建立伺服器,供擁有合法軟體的使用者繼續使用,但此項條款不包含主要內容儲存於官方伺服器之遊戲。 9.使用者可修改軟體程式,並使用其他的3D列印原料,不限於原廠預設之原料。 10.病人取得自身醫療裝置或監視系統數據之行為。本例外規則通過後,病人可合法取得自身醫療裝置之數據,而不違反著作權法之科技保護措施,不再受限於原先僅有醫院或醫療裝置公司可取得植入式醫療裝置之數據。 美國著作權法授權國會圖書館每三年發布一次例外規則,用以改善著作權法之「科技保護措施」的負面影響,並維護公眾接觸資訊之公共利益。上述第6至10項為本次新增之項目,但本次例外規則並未通過視聽著作空間轉換(space-shifting)及格式轉換(format-shifting)之行為、電子書專用閱讀器之越獄行為、或遊戲機(Video Game Consoles)之越獄行為。 針對開放汽車軟體之破解,某些汽車製造業者基於安全理由表示反對,但消費者方面,表達贊成意見人數明顯多於反對意見者。尤其是福斯汽車(Volkswagen)設計作弊程式通過廢棄排放檢驗的事件發生後,開放消費者得自行診斷、修理或改裝汽車軟體,將能降低此類弊端發生之機率,讓具有汽車軟體相關知識的消費者有機會能檢測汽車本身軟體是否符合法令規範或有任何異常。
複製牛肉即將上桌?-複製動物作為食品之歐盟規範觀察 美國聯邦通訊傳播委員會徵詢智慧電網技術施行意見美國參眾兩院於2009年「美國經濟復甦與再投資法」(American Recovery and Reinvestment Act of 2009)─即「振興經濟方案」─要求聯邦通訊傳播委員會(Federal Communications Commission, FCC) 在國家寬頻發展計畫中,須使用寬頻建設及服務,促進節能減碳與能源自主要求。智慧電網(Smart Grid)被認為係符合此要求的新技術。FCC遂公開徵求有關此一技術對國家寬頻發展計畫要求事項更進一步的評論與建言: 1. 使用公私網絡的智慧電網是否適合發展於通訊技術; 2. 何種通訊技術與網絡可符合且最常用於智慧電網科技; 3. 既有商用通訊網絡是否合於智慧電網的運用; 4. 在一般與緊急狀況下,商用無線通訊網絡得否可靠地藉由智慧電網傳輸資料; 5. 現有且合適於發展智慧電網的電力設備於全美的普及率為何; 7. 智慧電網對已發照釋出之頻譜需求為何; 8. 智慧電網使用毋須核照之頻譜是否遭遇介面(interface)上的問題; 9. 是否需要釋出額外或未使用的頻譜?原因為何; 10.如何確保消費者能即時獲知實際能源減耗數據與支付價額; 11.設備、技術提供者與消費者如何相互連結相關家電用品與網路; 12.何種資訊會在一類、二類與電力供應者間被擷取; 13.管理能源之家用網路區域(Home Area networks)在智慧電網中的角色為何? FCC對智慧電網所蒐集的資料與意見,將對欲發展節能減碳政策的台灣,有相當幫助,值得持續關注。