美國衛生及公共服務部提出雲端服務適用健康保險可攜與責任法之相關指引
美國醫療產業使用境內或境外雲端服務(Cloud Services)急速成長,導致「健康保險可攜與責任法」(Health Insurance Portability and Accountability Act,以下簡稱HIPAA)規範下之「適用機構」(Covered Entities)與其「商業夥伴」(Business Associate),對於雲端服務業者如何適用HIPAA感到疑惑。因此,衛生及公共服務部民權辦公室(Department of Health and Human Services, Office for Civil Rights)於10月7日公布相關業者如何適用HIPAA之指引,以釐清爭議。
於該指引中,該部指出,雲端服務業者若替適用機構或是商業夥伴創造、接收、維護、傳送被HIPAA所保護之「資療資訊」(Protected Health Information),則該雲端業者就被視為HIPAA下規範之商業夥伴,原因在於該服務具有儲存與維護醫療資訊功能,非屬該法排除適用之「網路服務業者」(Internet Service Providers)資料傳輸服務類型。
該指引有幾大重點:首先,雲端服務業者如將該醫療資訊提供加密儲存服務,仍應盡到HIPAA中規範商業夥伴之責任。原因在於加密資料不足以保護HIPAA有關資訊安全章節所要求醫療資訊之「機密性、完整性和可用性」之相關規範。再者,雲端業者皆須與委託方簽署商業夥伴協議(Business Associate Agreements)。此外,使用雲端服務儲存資療資訊時,委託方皆能使用行動設備進入雲端儲存之醫療資料,但應建立合乎HIPPA所要求相關之安全措施。最後,HIPAA並未禁止將醫療資訊儲存至伺服器為於美國境外之雲端業者,但使用前應自行評估該資訊遭駭客攻擊之可能性。
- Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016,
- Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016,
- Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services,
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
陳仕偉
法律研究員 編譯整理
Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016, http://www.natlawreview.com/article/department-health-and-human-services-issues-guidance-hipaa-and-cloud-providers (last visited Nov.8, 2016)
Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016, http://www.natlawreview.com/article/health-and-human-services-issues-guidance-hipaa-and-cloud-computing (last visited Nov.8, 2016)
Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services, http://www.hhs.gov/hipaa/for-professionals/special-topics/cloud-computing/index.html (last visited Nov. 8, 2016)
Ofcom在今(2013)年3月公佈「2012年第四季電信與付費電視申訴報告書」(Telecoms and Pay TV Complaints Q4 2012),以履行2003年通信法(Communications Act 2003)第26條規定:Ofcom應公布通訊資訊與建議於消費者。是故,為維護消費者之權益,並促進市場競爭,Ofcom從2011年4月起每季公佈「電信申訴報告書」 (Telecoms Complaints);同年10月修訂為「電信與付費電視申訴報告書」(Telecoms and Pay Tv Complaints)。這份報告書不僅協助消費者選擇較好供應商,更意在促進業者服務品質,而從幾次報告書中顯示,業者們被投訴量確實持續下降,可見效果斐然。 Ofcom選擇市占率超過4%、且每月被投訴超過30次的市話、固網寬頻、行動通信服務(月租),與付費電視為調查對象,以維護統計信度。當消費者申訴具有綑綁式服務(bundled services)業者,則視其申訴是否涵蓋多種服務,以Sky同時具有電話、網路服務為例,當民眾申訴廣告不實後,則此申訴僅被記錄於網路服務。由於,民眾申訴範圍相當廣泛而難以統整,Ofcom僅向外界公布業者被投訴的次數,且有下述研究限制: 1.Ofcom僅蒐集本身受理的申訴數據,而其他組織、供應商所受理的,一概不納入報告書。 2.Ofcom雖力求數據的合理性,但不會檢驗消費者投訴的真實性。 3.當Ofcom倡導某些政策時(例如打及廣告不實),可能會導致某些業者申訴量提高。 在這次報告中,各領域被投訴最多的業者如下:Talk Talk於市話服務被投訴最多,被投訴的理由多數為服務缺失與相關服務爭議。Orange則在固網寬頻、行動通信服務(月租)受到最多申訴,其原因是Orange採取民眾購買寬頻服務後,方得再取得免費網路,以取代原本免費網路的提供。在付費電視上,則是BT Vision受到最多申訴,而內容多為提供服務與處理申訴之缺失。Ofcom期以公佈這些資訊,讓消費者得於每個領域選擇最好的供應商。
歐盟發布孤兒著作指令(2012/28/EU),期促進成員國數位典藏之流通運用為促進歐盟境內各成員國的典藏機構(圖書館、資料館、博物館等)之典藏數位化以及數位作品的流通,歐盟於2012年10月28日頒布Directive 2012/28/EU(俗稱孤兒著作指令),本指令允許典藏機構基於「公益」目的利用孤兒著作從事營利之商業行為,並要求各成員國應於2014年10月29日前完成國內法的轉換程序,本指令有以下特色: (一)界定適用之機構與標的:適用之機構包括各成員國境內為公共利益所建立的公有典藏機構,包括公共圖書館、教育機構、博物館、資料館、電影與錄音典藏單位、公共電視台等。適用標的亦限制在前述機構數位典藏之作品,包括傳統出版品之書籍與報刊雜誌,以及電影、影音與錄音作品等。此外,指令同樣適用於附著在其他作品或構成他作品一部分(如書中的一張照片)的著作物,以及未出版之作品,例如書信、手稿等。 (二)明確定義「勤勉尋找」(diligent search)之最低標準:根據指令第3條第2項規定,所謂「勤勉尋找」之標準可由各會員國自行界定,但至少要包括本指令附件所載之各類資料庫、法定送存處(legal deposit)、以及相關著作權集體管理組織等。 (三)確立孤兒著作狀態相互承認機制:當一項著作在特定會員國被視為孤兒著作時,該效力便及於整個歐盟。另外,本指令第3條第6項亦規定歐盟各成員國應當將孤兒著作之狀態回報給歐盟內部市場調何局(Office for Harmonization in the Internal Market)。 (四)得基於公益性質(public-interest missions)將孤兒著作為商業授權之利用:典藏機構得基於公益性質將孤兒著作為商業授權之利用,特別是為保存或復原典藏物、或提供文化或教育上之近用等,可與其他公、私部門共同利用孤兒著作從事商業授權行為,並將收益彌補因前述典藏數位化所耗費的成本。 從歐盟孤兒著作指令的立法緣由與內容來看,其主要目的係在於釋放公有數位典藏的能量,以便可以達到歐盟在2010年所設定之活絡數位單一市場之目標。另本指令為加速典藏機構針對孤兒著作釋出的配套措施,例如明確定義勤勉搜尋的範圍,以及典藏機構得基於公益性質而將孤兒著作為商業授權之利用等,亦值得我國借鏡。
「英國開放網路守則」英國2011年3月由寬頻政策顧問小組(Broadband Stakeholder Group, BSG)公布促進流量管理政策透明化守則,2012年並依該流量管理政策守則公布「開放網路守則」,此即英國之網路中立性規範,ISP業者必須遵守流量管理規定且不得阻礙服務競爭。2016年6月,BSG公布新修訂之開放網路守則(Open Internet Code of Practice),支持業者以開放網路做為原則,網路使用者得於網路上取得合法內容,並確保ISP業者依據網路中立性原則提供管理或其他服務。在對於流量管理的分配調整方面,ISP業者必須依據開放網路原則提供相關服務,而不得因商業競爭的考量影響使用者權益與服務品質。在使用者權益保障方面,流量管理資訊必須透明化,ISP業者同意依合理方式提供清楚正確之流量管理原則,且該原則必須具有適當性且不得歧視。此外,透過定期公布關鍵事實指標(Key Facts Indicator, KFI),ISP業者應讓消費者瞭解流量使用與管理情形。在我國,目前僅於電信法第21條訂有網路中立性之宣示性規範。通訊傳播委員將提出之新匯流五法中的電信法與數位通訊傳播法當中,不論是否訂有網路中立性之具體規範,在此之前亦得參考英國之自律管理模式,以建構平等開放之網路環境。
網路搜尋引擎龍頭Google 控告Microsoft剽竊搜尋結果網路搜尋引擎龍頭Google質疑Microsoft研發的“Bing”搜尋引擎有剽竊Google搜尋結果的狀況,對此Google已提出訴訟。Google表示,為了要調查是否有搜尋結果被剽竊的情形,故意在搜尋引擎中創造近100個毫無意義的搜尋關鍵字,例如“Hiybbprqag”、“Mbzrxpgiys”和“Indoswiftjobinproduction”等,同時對應該關鍵字插入虛假的搜尋結果。在幾個禮拜之後,Google發現競爭對手Microsoft 的Bing搜尋引擎也出現相同的搜尋結果,因此認為Bing有剽竊之疑。Google表示:「Google的搜尋結果是經過多年辛苦努力的成果,這件事情對我們來說像是一場馬拉松賽跑中有人在背後偷襲你,然後突然跳到終點站前迎接勝利,是一種欺騙的行為。」 Microsoft否認剽竊搜尋結果,認為這是Microsoft用來提高搜尋品質結果的方法之一,Bing實際上使用不同的符號和方法來對於不同的搜尋結果加以分級,用來辨別不同的搜尋結果。同時針對搜尋結果提供多數關連的答案,藉此增加消費者對於Bing搜尋引擎的良好經驗,Google使用間諜手法(Spy-novelesque stunt)對競爭對手進行調查,此舉已抹黑Bing,蒙上不好的評價。 Google提出抗辯認為Bing的行為構成簡單而顯然的詐欺,造成不同的搜尋引擎產生同樣的搜尋結果。況且搜尋引擎的功能,若可以出現與Google搜尋下相同的結果,並無法保證能創造出更好的搜尋品質,Microsoft的說法無法獲得肯認,後續延燒的訴訟爭議,有待日後進一步觀察。