歐盟提出智慧醫院防禦網路攻擊建議
歐盟網路與資訊安全局於2016年11月(ENISA)提出醫院導入智慧聯網技術因應資訊安全之研究建議,此研究說明智慧醫院之ICT應用乃以風險評估為基礎,聚焦於相關威脅與弱點、分析網路攻擊情節,同時建立使用準則供醫院遵守。由於遠端病患照護之需求,將使醫院轉型,運用智慧解決機制之際,仍須考量安全防護問題,且醫院可能成為下一階段網路攻擊之目標,醫院導入智慧聯元件的同時,將增加攻擊媒介使醫院面對網路攻擊更加脆弱,因此,報告建議如下:
1.醫療照護機構應提供特定資訊安全防護,要求智慧聯網元件符合最佳安全措施。
2.智慧醫院應確認醫院內之物件及其如何進行網路連結,並根據所得資料採取相應措施。
3.設備製造商應將安全防護納入現有資安系統,並在設計系統與服務之初邀請健康照護機構參與。
在我國部分,2016年9月行政院生技產業策略諮議委員會議中即提到,強調將建立智慧健康生活創新服務模式,提供民眾必要健康資訊及更友善支持環境,同時結合ICT與精密機械及材料,發展智慧健康服務的模式。2016年11月,行政院推動「生醫產業創新推動方案」,藉由調適法規等方式統整醫療體系與運用ICT技術及異業整合,其中在智慧聯網應用下之資訊安全防護議題實屬重要。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
廖凱民
法律研究員 編譯整理
歐盟委員會在2020年1月提出之工作計畫中,即表示2020年第四季度將會提出新的《數位服務法案》《Digital Services Act》,以因應新興數位時代下的歐洲。 2020年10月29日歐盟競爭事務專員表示,幾個科技巨擘針對每天蒐集大量訊息並加以過濾篩選,最後傳遞予公眾有限數量消息的過程,將必須採取更多措施以清除非法及有害的內容,此舉旨在解決與大型社交媒體平台相關之兩大問題,即仇恨言論之傳播以及傷害社會公共對話與民主之言論。 該法案將規範科技公司須針對其行為製作報告,並告知使用者,他們所看到的廣告是由誰付費進行投放、為什麼他們會成為這支廣告的目標對象。蓋因科技公司之數位平台先是無償蒐集使用者個人資料及偏好,再針對這些資料進行分析後,對使用者量身訂製廣告行銷策略,最後科技公司依靠此套方法賺進大量廣告收益,例如,臉書與Google在2018年的廣告收入佔據總收入百分之九十八及百分之八十五以上。 該法案亦將針對科技公司篩選訊息,最後有選擇性的發送特定訊息予社會大眾及量身訂製置入廣告之行為,設立明確規則,羅列應作為或是不作為之清單。例如禁止推銷自己的服務,蓋阻止競爭對手向消費者提供更好的交易服務,等同於變相阻止消費者享受自由競爭和創新的成果;故將先設立協調一致之調查框架,提供一套統一的規則以調查數位服務市場已存之結構性問題,而後在必要時可以採取相關行動,使市場更加具有競爭力。歐盟預計將於2020年12月2日宣布《數位服務法》草案,在正式立法之前,會再與歐盟國家取得一致共識。
BSI公布個人資料管理系統標準之草案英國國家標準組織(British Standard Institution)於2009年1月8日公布個人資料保護管理系統標準(標準標號為DPC BS 10012)之草案,使組織在個人資料儲存管理工作上符合個人資料保護法(Data Protection Act 1998,DPA)之要求。 有鑑於利用個人資料管理系統(personal information management system,PIMS)管理業務上取得之資料之情形日益增多,而觀諸該資料之性質,通常多為DPA所規範定義的「個人資料」。因此,為使個人資料管理有其標準規範,並得以運用在任何規模之公私部門,使組織內之個人資料管理系統符合DPA之規範且具有一定程度之安全性,BSI試圖提出有關個人資料管理一致性之標準規範,以供組織在個人資料處理程序工作上之遵循。該標準規範如同BS EN ISO 9001:2000之品質管理系統(Quality Management System)及BS ISO/EC 27001:2005之資訊安全管理系統標準,以PDCA週期(Plan-Do-Check-Act)進行規劃,並透過執行所規範之流程落實個人資料之保護。 目前該草案已經公布,BSI於2009年3月31日前將接受各界對於該草案之諮詢及舉辦公聽會,以求標準規範之完善。
中國大陸推出「網絡文化經營單位」內容自審制度中國大陸文化部於日前頒布「網絡文化經營單位內容自審管理辦法」,要求「網絡文化經營單位」配置內容審核人員、建立內容管理制度。就其提供的數位産品、內容服務進行自我審核,以確保內容之合法性。 據中國大陸文化部表示,本次辦法的制定,亦是為了落實其國務院轉變政府職能、簡政放權的政策方向。特別在網路音樂、行動遊戲上,期待能透過企業自律機制,達到市場的有效管理。然而,由辦法中規定「按照法規規章規定應當報文化行政部門審查或者備案的網絡文化産品及服務,自審後應當按規定辦理」看來,此項「內容自審機制」暫時不會取代任何現有審批、備案制度。至於未來運作經驗的累積,相關規範是否會有所調整,以確實達到行政審批事項的下放、簡化目標,仍有待持續追蹤觀察。 此辦法預計於2013年12月1日起施行。未來相關內容審核工作,須透過經中國大陸文化行政部門培訓、考核,取得「內容審核人員證書」的人員進行。同時,在內容管理制度上,企業必須規範內容審核工作職責、標準、流程,保障內容審核人員獨立審核權限,並在內容管理制度完成制定後,報請所在地文化行政部門備案。對於台灣業者而言,在辦法施行後,應留意其合作之大陸「網絡文化經營單位」,是否符合上述規範,以避免對其產品拓展產生不利影響。
新加坡採取「雲端友善」政策方針,發布個人資料保護指引新加坡個人資料保護委員會(PDPC)為讓企業能妥適的遵循2012年發布的個人資料保護法(Personal Data Protection Act/PDPA),於2013年9月發布個人資料保護法(PDPA)的執行指引文件:「PDPA關鍵概念指導方針(Advisory Guidelines on Key Concepts in the PDPA)」,針對各項如何蒐集、處理及利用個人資料的要求與義務,提供細節性說明及應用範例。執行指引文件的發布,是源自於公眾在實際操作法遵要求時,所發生的執行困難、疑義和衍生的建議和意見,彙整後進行法規釋疑和舉例。此份文件的要求係立基於實用主義及「企業友善(business-friendly)」的理念,幫助機構調整業務運作流程以及妥善的遵守法律的規定。 執行指引文件提供關鍵名詞的詮釋,例如「個人資料」在PDPA裡的定義為:任何可以識別個人、不拘形式及真實性的資訊;針對「謝絕來電條款(Do not call)」的遵循方式亦有細緻化的說明;就各項不同的具體子議題,清楚的提供常識性的措施(Common-Sense Approach)供機構採用,讓法規要求合乎常理,使個人資料保護與企業因需求而對個人資料進行蒐集、利用和揭露之行為間取得衡平。 新加坡個人資料保護法(PDPA)兩大立法目的:強化個人對自己個人資料的資訊控制權;使新加坡因提供充分的安全維護機制而受企業信任,強化新加坡的經濟競爭力與地位。另外,相較於其他國家在國際傳輸上有較嚴格的限制(必須有相同等級的個人資料保護立法為傳輸前提),新加坡的法制理念是僅讓企業遵守最低限度的安全維護要求後,便能將個人資料進行國際傳輸,這樣較彈性的法制設計讓新加坡有望成為亞太地區的資料與研究中心樞紐。