美國衛生及公共服務部提出雲端服務適用健康保險可攜與責任法之相關指引
美國醫療產業使用境內或境外雲端服務(Cloud Services)急速成長,導致「健康保險可攜與責任法」(Health Insurance Portability and Accountability Act,以下簡稱HIPAA)規範下之「適用機構」(Covered Entities)與其「商業夥伴」(Business Associate),對於雲端服務業者如何適用HIPAA感到疑惑。因此,衛生及公共服務部民權辦公室(Department of Health and Human Services, Office for Civil Rights)於10月7日公布相關業者如何適用HIPAA之指引,以釐清爭議。
於該指引中,該部指出,雲端服務業者若替適用機構或是商業夥伴創造、接收、維護、傳送被HIPAA所保護之「資療資訊」(Protected Health Information),則該雲端業者就被視為HIPAA下規範之商業夥伴,原因在於該服務具有儲存與維護醫療資訊功能,非屬該法排除適用之「網路服務業者」(Internet Service Providers)資料傳輸服務類型。
該指引有幾大重點:首先,雲端服務業者如將該醫療資訊提供加密儲存服務,仍應盡到HIPAA中規範商業夥伴之責任。原因在於加密資料不足以保護HIPAA有關資訊安全章節所要求醫療資訊之「機密性、完整性和可用性」之相關規範。再者,雲端業者皆須與委託方簽署商業夥伴協議(Business Associate Agreements)。此外,使用雲端服務儲存資療資訊時,委託方皆能使用行動設備進入雲端儲存之醫療資料,但應建立合乎HIPPA所要求相關之安全措施。最後,HIPAA並未禁止將醫療資訊儲存至伺服器為於美國境外之雲端業者,但使用前應自行評估該資訊遭駭客攻擊之可能性。
- Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016,
- Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016,
- Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services,
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
陳仕偉
法律研究員 編譯整理
Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016, http://www.natlawreview.com/article/department-health-and-human-services-issues-guidance-hipaa-and-cloud-providers (last visited Nov.8, 2016)
Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016, http://www.natlawreview.com/article/health-and-human-services-issues-guidance-hipaa-and-cloud-computing (last visited Nov.8, 2016)
Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services, http://www.hhs.gov/hipaa/for-professionals/special-topics/cloud-computing/index.html (last visited Nov. 8, 2016)
自2013年7月1日起,2013年國防授權法(2013 National Defense Authorization Act,NDAA)新規定生效,使得聯邦政府採購案件對告發不法行為者(whistleblower)的保護,由承包商的雇員擴及於分包商的雇員,在此之前,如果分包商的員工向政府直接告發不法行為時,絲毫沒有法律可以用於對抗雇主可能採取的報復措施。 2013 NDAA業於1月份經美國總統簽署,期中除新增對於分包商雇員保護外,該法案也擴張了主包商員工的保護範圍。新法之下,主包商員工如向其公司內部之主管告發不法行為,一樣可以受到法律對告發者的保護,強化了現行法下只有直接對政府申訴者始能得到法律保護。 根據2013 NDAA第828節之規定,承包商、分包商之雇員,都不能被解雇、降級或其他歧視行為以作為揭發行為之報復。當這些雇員合理認為有關於聯邦契約的管理不善、聯邦經費的浪費、或濫用聯邦契約授與之權力等行為,而可能造成潛在的或特定的對公共健康或安全之危害時,或違反聯邦契約行為有關法律或法規時,而向國會議員、稽查總長、政府課責辦公室(The Government Accountability Office)、聯邦契約管理人員、司法部人員、法院或陪審團、承包商或次包商負責調查不法之人員等提供資訊時。法規也明訂,條文中所謂報復,包括該等人員即使是受到行政機關人員在法定權限內的的正式要求而提供資訊時亦然。
日本公布資料信託功能認定指引ver1.0並進行相關實驗日本總務省及經濟產業省於2017年11月至2018年4月間召開6次「資料信託功能認定流程檢討會」(情報信託機能の認定スキームの在り方に関する検討会),檢討具備資料信託功能之「資料銀行」認定基準及模範條款等事項,於2018年6月公布「資料信託功能認定指引ver1.0」(情報信託機能の認定に係る指針ver1.0),以利實現個人資料流通並創造新服務型態。資料銀行係指基於與個人間資料利用契約,透過PDS(personal data store)等系統管理個人資料,根據個人指示或預先設定的條件,於判斷妥當性後向第三方提供資料之行業。目前指引內容包括︰(1)資料信託機能認定基準︰具體內容包括業者適格性、資訊安全原則、資訊安全具體基準、治理體制、業務內容等;(2)模範條款記載事項︰針對個人與資料銀行、資料銀行與資料提供者、資料銀行與接受資料提供者間關係,列出具體應記載事項;(3)資料信託機能認定流程。 作為日本總務省「資料信託功能運用推動計畫」(情報信託機能活用促進事業)一環,日立製作所、東京海上日動火災保險、日本郵局等於2018年9月10日發表將根據「資料信託功能認定指引ver1.0」,進行「資料銀行」個資管理、提供及運用等實驗,參與者分別扮演資料提供者、資料銀行和資料利用者三種角色,未來將會參考實驗結果,提出認定基準改善建議。
美國上訴法院:行為人不得以「主觀上對犯罪行為之無意識」阻卻著作權之侵害在電腦與網際網路普及與便利的今日,只要上網搜尋一些特定軟體,非常容易就能下載侵害智慧財產權的音樂或是影片,這樣的行為當然是非法的,但在美國出現爭議,若未成年人利用電腦非法下載,可否用「不知道這是犯罪行為」來抗辯侵權呢? 美國就發生了這樣的案例,現年22歲Whitney Harper,於2004年被美國唱片業協會(The Recording Industry Association of America,RIAA)控告其使用Kazaa分享軟體,下載阿姆(Eminem)、瑪麗亞凱莉(Mariah Carey)等37首歌曲,並將該37首歌曲透過線上分享軟體讓其他使用者亦得下載,RIAA認為此行為侵害了這些歌曲的智慧財產權,要求Whitney Harper每首歌曲需付750美元懲罰性賠償。 在訴訟中,唱片公司主張,其已於每張CD上貼上警示標籤;而Whitney Harper則抗辯自己不應該負擔如此高的罰款,係因當時她只有16歲,沒有意識到未經授權下載歌曲是違法行為,且認為下載就像利用網路聽收音機節目一樣,應該是免費的,認為自己無罪。 雖然有一些法官支持Whitney Harper的爭辯,不過第五巡迴上訴法院認為,無論Whitney Harper是否知悉其下載音樂之行為係屬違法,只要唱片公司有公告未經授權之重製行為即侵害著作權,與被告Whitney Harper之主觀意識無關。最後第五巡迴上訴法院確認Whitney Harper有罪,並判定 Whitney Harper共需賠償27,750美元。 Whitney Harper不滿其判決結果,向美國最高法院提起上訴,但法院拒絕其上訴。
英國交通部將擬議新增無人機規管措施在過去幾年,涉及無人機的事故發生頻率急遽上升,從2014年的6起事件至2017年增加到93起,根據英國交通部(The Department for Transport)研究顯示,重達400克的無人機可撞碎一架直升機的擋風玻璃、2000克無人機可嚴重損壞一架客機的擋風玻璃。為防止濫用無人機,保障大眾安全,英國交通部將提出更嚴格的規管措施,並於2018年7月26日起於網站上公開徵求意見,若通過將成為無人機法案(Drones Bill)草案的一部分。 擬議之規管措施包括:(1)設定小型無人機持有者之最低年齡;(2)賦予警察對於違規無人機之執法權力,如對於違規之無人機,即時開立罰緩處分;(3)使用新的反無人機技術(counter-drone technology)以保護公眾活動,確保國家關鍵基礎設施免受滋擾,並防止物品走私至監獄;(4)規定無人機操作員於無人機起飛前,透過應用程式(apps)提交飛行計劃。 無人機應用產業在未來十年將迅速成長,新措施之目的係為確保無人機之使用安全。交通部政務次長(Parliamentary Under Secretary of State for Transport)Baroness Sugg表示,無人機為社會和經濟帶來良好效益,為防止無人機造成的滋擾超過其潛在利益,將新增規管措施,並進行公開諮詢。 此外,從2018年7月30日起,禁止無人機飛行高度超過122公尺(400英尺),及不得於距離機場邊界1公里(0.6英里)內飛行之飛航令(Air Navigation Order)已正式施行,違反者將面臨高達2,500英鎊的罰金或處五年以下有期徒刑。