美國衛生及公共服務部提出雲端服務適用健康保險可攜與責任法之相關指引
美國醫療產業使用境內或境外雲端服務(Cloud Services)急速成長,導致「健康保險可攜與責任法」(Health Insurance Portability and Accountability Act,以下簡稱HIPAA)規範下之「適用機構」(Covered Entities)與其「商業夥伴」(Business Associate),對於雲端服務業者如何適用HIPAA感到疑惑。因此,衛生及公共服務部民權辦公室(Department of Health and Human Services, Office for Civil Rights)於10月7日公布相關業者如何適用HIPAA之指引,以釐清爭議。
於該指引中,該部指出,雲端服務業者若替適用機構或是商業夥伴創造、接收、維護、傳送被HIPAA所保護之「資療資訊」(Protected Health Information),則該雲端業者就被視為HIPAA下規範之商業夥伴,原因在於該服務具有儲存與維護醫療資訊功能,非屬該法排除適用之「網路服務業者」(Internet Service Providers)資料傳輸服務類型。
該指引有幾大重點:首先,雲端服務業者如將該醫療資訊提供加密儲存服務,仍應盡到HIPAA中規範商業夥伴之責任。原因在於加密資料不足以保護HIPAA有關資訊安全章節所要求醫療資訊之「機密性、完整性和可用性」之相關規範。再者,雲端業者皆須與委託方簽署商業夥伴協議(Business Associate Agreements)。此外,使用雲端服務儲存資療資訊時,委託方皆能使用行動設備進入雲端儲存之醫療資料,但應建立合乎HIPPA所要求相關之安全措施。最後,HIPAA並未禁止將醫療資訊儲存至伺服器為於美國境外之雲端業者,但使用前應自行評估該資訊遭駭客攻擊之可能性。
- Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016,
- Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016,
- Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services,
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
陳仕偉
法律研究員 編譯整理
Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016, http://www.natlawreview.com/article/department-health-and-human-services-issues-guidance-hipaa-and-cloud-providers (last visited Nov.8, 2016)
Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016, http://www.natlawreview.com/article/health-and-human-services-issues-guidance-hipaa-and-cloud-computing (last visited Nov.8, 2016)
Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services, http://www.hhs.gov/hipaa/for-professionals/special-topics/cloud-computing/index.html (last visited Nov. 8, 2016)
歐盟電子通訊隱私指令(Directive 2002/58/EC on Privacy and Electronic Communications, e-Privacy Directive)第五條(3)中對於cookie(即業者為辨別使用者身份而儲存在用戶端上的資料)設置的規範,將於2011年5月全面施行。惟對於cookie之使用,部分網路業者認為如果網路使用者沒有選擇不要裝置cookie (opt-out),那麼就等同於同意裝置,而不需另外取得使用者的同意。針對此點,歐盟第29條資料保護工作小組(Article 29 Data Protection Working Party)於2010年06月22日對於網際行為廣告作出一份意見(Opinion 2/2010 on online behavioural advertising)。 意見中澄清,網際行為廣告係一種透過cookie的使用,追蹤蒐集網路使用者上網行為的資料,其網路資訊將被使用於日後發放與使用者上網行為相對應的廣告之用。除非是屬於網路使用者明白要求使用cookie,或是使用網路服務所『必要』的cookie(例如,沒有cookie就無法顯示或進行至下一個頁面),則不必先行取得使用者的同意外;其他凡經由cookie所儲存的資料,均應被視為『個人資料』,使用上必需先行取得網路使用者的明示同意,以自行選擇(opt-in)的方式接受cookie的使用,後存於網路使用者的個人電腦中。業者不得以搜尋引擎的cookie設定主張視為網路使用者等同已經明示同意使用cookie進行被追蹤及蒐集資料。 該意見受到許多歐盟及國際之網際出版、廣告及商務業者的反彈,業者表示所蒐集的資料並非可辨認性或敏感性資料,此規範的執行將會嚴重衝擊到廣告產業的收益,建議採行自律規範或使用行為守則來取代上述規定。 由於這項規範尚未於歐盟中被執行,歐盟第29條資料保護工作小組對於技術上如何遵循該規範也並沒有提出具體的建議。
加拿大可能推動更嚴格的身份盜用法律加拿大的身份盜用問題嚴重,根據Canadian Council of Better Business Bureaus估計,每年因身份盜用所造成的經濟整體損失超過二十億加幣。此外,去年十一月Ipsos-Reid的調查顯示,73%的加拿大人擔心身份盜用問題,且28%的加拿大人曾親身遭遇、或是有周遭認識之人因此受害。 然而,與身份盜用猖獗的現況相較,加拿大個人資料和隱私保護法制一直飽受批評,被認為無法遏止此一問題擴散。加拿大資料安全之基礎規範為「個人資訊保護與電子文件法」(Personal Information Protection and Electronic Documents Act),但以具有重要嚇阻效果的刑法而言,卻只處罰濫用他人身份資訊,如身份詐欺、冒用、偽造等行為,但對於初步蒐集、處理和盜賣身份資訊之行為,卻難以透過現行刑法規範。 身份盜用可能造成的影響層面相當廣泛,例如個人的財務和信用損失、商業或財金產業的損失,甚至是整體納稅人的傷害。 職是之故,加拿大勞工部、魁北克經濟發展部等政府首長乃宣布,聯邦政府有意推動刑法之修改,使檢警對於先期身份盜用(或違法資料蒐集)之行為,有更大的調查和追訴空間,並希望此一政策方向能獲得國會的後續支持。
新時代的管理利器-系統化的企業員工管理制度 日本經產省提出創新政策落實方向由於日本近年研發品質、數量停滯不前,加上企業研發效率亦落後於外國,經濟產業省(簡稱經產省)於2024年6月21日從三個面向提出政策建議,期能打造成功創新模式。重點如下: 1.發揮新創企業與大企業優勢,促進研發投資 由於研發投資具有回收期間長、獲利不確定等特徵,短時內難以看到成效,故為鼓勵企業持續投入研發,經產省擬制定研發投資效率評價指標,並將透過「新創培育五年計畫」(「スタートアップ育成5カ年計画)下之「新創推動框架」(スタートアップ推進枠),將科研預算優先分配予重點項目,以建立友善研發環境。 2.透過新創資源流動,促進商業化和創造附加價值 新創企業初期往往受限於人力、技術和設備等資源不足問題,難以快速成長及擴張。為解決上述問題,經產省擬制定「跨領域學習」指引及案例集,期能促進新創資源流動,打造創新生態系統。 3.以需求為導向之前瞻技術研發 部份具有高度發展潛力之前瞻技術,如量子和核融合等,因研發風險較高且市場需求不明,將由新能源‧產業技術綜合開發機構(新エネルギー・産業技術総合開発機構)、產業技術綜合研究所(產業技術綜合研究所)等法人進行研發。