美國衛生及公共服務部提出雲端服務適用健康保險可攜與責任法之相關指引
美國醫療產業使用境內或境外雲端服務(Cloud Services)急速成長,導致「健康保險可攜與責任法」(Health Insurance Portability and Accountability Act,以下簡稱HIPAA)規範下之「適用機構」(Covered Entities)與其「商業夥伴」(Business Associate),對於雲端服務業者如何適用HIPAA感到疑惑。因此,衛生及公共服務部民權辦公室(Department of Health and Human Services, Office for Civil Rights)於10月7日公布相關業者如何適用HIPAA之指引,以釐清爭議。
於該指引中,該部指出,雲端服務業者若替適用機構或是商業夥伴創造、接收、維護、傳送被HIPAA所保護之「資療資訊」(Protected Health Information),則該雲端業者就被視為HIPAA下規範之商業夥伴,原因在於該服務具有儲存與維護醫療資訊功能,非屬該法排除適用之「網路服務業者」(Internet Service Providers)資料傳輸服務類型。
該指引有幾大重點:首先,雲端服務業者如將該醫療資訊提供加密儲存服務,仍應盡到HIPAA中規範商業夥伴之責任。原因在於加密資料不足以保護HIPAA有關資訊安全章節所要求醫療資訊之「機密性、完整性和可用性」之相關規範。再者,雲端業者皆須與委託方簽署商業夥伴協議(Business Associate Agreements)。此外,使用雲端服務儲存資療資訊時,委託方皆能使用行動設備進入雲端儲存之醫療資料,但應建立合乎HIPPA所要求相關之安全措施。最後,HIPAA並未禁止將醫療資訊儲存至伺服器為於美國境外之雲端業者,但使用前應自行評估該資訊遭駭客攻擊之可能性。
- Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016,
- Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016,
- Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services,
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
陳仕偉
法律研究員 編譯整理
Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016, http://www.natlawreview.com/article/department-health-and-human-services-issues-guidance-hipaa-and-cloud-providers (last visited Nov.8, 2016)
Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016, http://www.natlawreview.com/article/health-and-human-services-issues-guidance-hipaa-and-cloud-computing (last visited Nov.8, 2016)
Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services, http://www.hhs.gov/hipaa/for-professionals/special-topics/cloud-computing/index.html (last visited Nov. 8, 2016)
基改動物的技術研發腳步雖不如植物快速,不過自1980年出現重大的技術突破後,基改動物的研發成果不斷產出,目前基改動物的研發方向以醫藥用途最多,其次像是環保、食用、抗氣候變遷等,均有相關的研究投入。隨著研發成果的累積,美國也開始構思基改動物的規範議題,2008年9月,美國FDA及APHIS分別就基改動物提出規範細節及資訊調查的公告。 由於美國並未對基改生物訂定管理專法,而是利用既有的法規體系來管理基因改造生物,而既有法規原各有其規範目的,因此如何從這些既有法規的規範目的出發,闡述其用來規範基改動物的適當連結,以及相關主管機關將如何運用既有法規來管理基改動物,便成為研議的重點。 目前FDA內的CVM(Center for Veterinary Medicine)已率先宣告其對基改動物的主管權限,並公告「基因重組動物管理之產業指導原則(草案)」(Draft Guidance for Industry on the Regulation of Genetically Engineered Animals)。FDA認為,由於轉殖進入基改動物體內的重組DNA構體(rDNA construct),已對動物本身的結構與功能(construct and function)產生影響,符合其依聯邦食品藥品及化妝品管理法(Federal Food, Drug, and Cosmetic Act)規定所稱之藥(drug)的定義,因此,FDA宣告其對所有的基改動物(精確來說是轉殖於其體內的重組DNA構體),將視以動物用新藥(new animal drug)管理之,至於基改動物後續可能有不同的用途,則另須符合相關的產品主管法規,始可上市。在APHIS部分,其主要負責動物健康之把關,目前APHIS正對外進行廣泛的資訊蒐集與調查,以作為其後續研擬進一步的管理規則或政策之參考依據。
日本下議會通過綠色法案為加強促進日本相關產業與政府政策對於太陽能和其他再生能源之投資比重,日本下議院(lower house of parliament)日前於8月23日通過綠色法案(目前未有正式名稱,外媒多以Green Bill稱之),該法案近日將由日本上議院(upper house of parliament)進行進一步的確認與審議。目前預計綠色法案和其他相關的配套法律措施將於2012年7月生效實施。 目前日本境內的總電力生產來源中,經由核能發電廠所生產之電力占日本總生產電量之30%,而日本政府預計於2030年將該種核能發電廠所生之電力提升至總生產電量比例之50%。然而,在日本福島於今年(2011)3月遭受地震和海嘯波及之後,其所衍生之核能發電廠輻射外漏事件,促使日本政府對於其現有之核能電廠興建計畫開始進行反思,且日本大眾對於此種原子能量之安全性,及相關的國家能源政策亦產生了質疑聲浪。日前,日本政府在思考其現有的能源政策走向,以及相關現況之檢視後,乃於2011年8月23日由其下議院通過綠色法案。 日本綠色法案的主要目的乃為減少當前日本主要電力生產來源為核能發電之現況,並且達成國際共同協議所訂定之減少溫室氣體排放目標。即便該綠色法案具有促進相關綠色能源電力發電設施的建置率升高,並且加速相關投資市場活絡的連帶效應,然而由於該法案目前針對各項綠色能源的使用收費價格細節尚未加以規範,因此對於未來消費者權益與鼓勵投資者投資各項新興綠色能源設施間之支出費用該如何加以平衡,仍為一個不確定的問題,而有待日後各相關部會加以討論規範。
歐洲人權法院認定義大利稅務機關對銀行用戶資料存取享過大且欠缺有效司法或獨立監督之裁量權,違反ECHR歐洲人權法院(European Court of Human Rights,簡稱ECtHR)於2026年1月8日就Ferrieri and Bonassisa v. Italy一案作成判決,認定義大利稅務機關儘管為稅務稽查目的享有查閱當事人銀行資料,但相關授權規定賦予了政府查閱措施之範圍與條件的絕對裁量權,缺乏避免恣意裁量之程序保障,違反歐洲人權公約(European Convention on Human Rights, ECHR)對隱私權之保障。 本案起源於申訴人接獲其銀行通知,表示接獲稅務機關要求,須提供特定時間段內與申訴人相關或可追溯至申訴人之銀行帳戶、交易紀錄及其他金融活動之資料。銀行並表示將配合稅務機關之要求。 申訴人不服,主張法律及相關規定未就請求銀行提供資料的情形或條件進行足夠細緻的規定,亦未就稅務機關行使調閱權設計有效的事前及事後控制程序,從而賦予稅務機關不受約束的裁量空間。 義大利稅務機關則回應,為履行其「核查納稅人提交的申報資料及繳納款項,偵測任何遺漏事項,並據此進行應繳稅款的核定與徵收」職權,法律賦予其要求銀行提供納稅人的相關資料之權限。 法院強調,凡涉及人權的政府措施,均必須保障個人免受任意干預,並接受在獨立機構進行前進行的某種對抗性程序審查,以適時審核決策依據及相關證據,始符合法治之要求。在本案中,法院認為,若義大利稅務機關發布行政規則,能補充並進一步界定了銀行資料之調閱事由及權限,且對執行單位具有拘束力,相關規定應能符合法治之要求。 但法院發現,在事前的內部授權流程中,執行單位可以不附理由地提出調閱申請,不須就前述行政規則例示之調閱事由,如「稅務申報存在異常」等情形提供證據。 法院也發現,申訴人也無法在事後針對調閱決定透過法院獲得有效救濟。一方面,若申訴人依附於稅務評定書(tax assessment notice)向稅務法庭就調閱行為進行爭執,由於根據義大利判決先例,調閱缺乏授權或授權理由不足,不足以構成撤銷稅務評定書的正當理由,調閱行為之合法性本身可能因此被視為訴訟上不相關的爭議,在訴訟過程中並不受到審查。另一方面,即便直接針對向民事法院請求救濟,在調閱決定可不附理由之情形下,也難以想像法院如何進行審查。 因此,法院判決最後認為,義大利法律框架賦予了稅務機關不受約束的調閱裁量權,違反ECHR第8條對隱私權之保障。
韓國通過《有關區域發展之法規鬆綁特區及經濟特區法》修法,放寬監理沙盒機制減輕業者法規遵循負擔韓國中小企業暨新創事業部(Ministry of SMEs and Startups)於2025年12月23日宣布,國務會議已審議通過《有關區域發展之法規鬆綁特區及經濟特區法》(Act on Special Cases Concerning the Regulation of Regulation-free Special Zones and Special Economic Zones for Specialized Regional Development)修正案,修法目標在於降低參與業者的法規遵循負擔,活絡「特區」內之創新活動。 所謂「特區」,係指透過監理沙盒、暫時許可(Temporary Approval)等特別措施,使業者在特定區域內享有部分或全部之法規適用豁免,因而得以進行產品、服務及商業模式測試的「指定區域」。該制度在推動以創新為導向之區域成長方面發揮了重要功能,惟實務運作上,業者有時仍因主管機關基於安全考量所附加之額外條件,而面臨一定程度的法規遵循負擔。 根據修正法案規定,當主管機關擬對監理沙盒或暫時許可案附加額外條件時,必須明確證明該額外條件的必要性及比例原則。此一改變預期將大幅降低參與業者之法規遵循負擔,並提供更可預測的監理實驗環境。 此外,修正法案還包含多項制度性改善措施,以提升「特區」制度的有效性與問責性: 一、即使核准辦理實驗之期間屆滿或被撤銷,中央及地方主管機關仍得要求提供績效評估及後續管理措施報告,以確保政策經驗之延續性及成果導向管理。 二、政府得發布正式指引,說明特區計畫之審查標準,並在申請被駁回時告知申請人原因,以提升程序透明度及程序明確性。 三、為保障實驗期間因事故受影響人員之人身安全,新增人身傷害損害賠償條款。明定該項請求權禁止讓與或扣押,以落實保護受害者之基本經濟生活權益。 本次修正法案預計自公布後六個月施行。中小企業暨新創事業部表示,將配合修法,儘速修訂相關附屬法規,以確保制度順利落實發揮最大效益。 在加速創新應用落實之時,如何同時兼顧安全並促進創新,已成為各國重要政策課題。韓國此次修正《有關區域發展之法規鬆綁特區及經濟特區法》之實務作法,非常值得我國持續觀察與參考。