歐盟提出智慧醫院防禦網路攻擊建議
歐盟網路與資訊安全局於2016年11月(ENISA)提出醫院導入智慧聯網技術因應資訊安全之研究建議,此研究說明智慧醫院之ICT應用乃以風險評估為基礎,聚焦於相關威脅與弱點、分析網路攻擊情節,同時建立使用準則供醫院遵守。由於遠端病患照護之需求,將使醫院轉型,運用智慧解決機制之際,仍須考量安全防護問題,且醫院可能成為下一階段網路攻擊之目標,醫院導入智慧聯元件的同時,將增加攻擊媒介使醫院面對網路攻擊更加脆弱,因此,報告建議如下:
1.醫療照護機構應提供特定資訊安全防護,要求智慧聯網元件符合最佳安全措施。
2.智慧醫院應確認醫院內之物件及其如何進行網路連結,並根據所得資料採取相應措施。
3.設備製造商應將安全防護納入現有資安系統,並在設計系統與服務之初邀請健康照護機構參與。
在我國部分,2016年9月行政院生技產業策略諮議委員會議中即提到,強調將建立智慧健康生活創新服務模式,提供民眾必要健康資訊及更友善支持環境,同時結合ICT與精密機械及材料,發展智慧健康服務的模式。2016年11月,行政院推動「生醫產業創新推動方案」,藉由調適法規等方式統整醫療體系與運用ICT技術及異業整合,其中在智慧聯網應用下之資訊安全防護議題實屬重要。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
廖凱民
法律研究員 編譯整理
因應加密貨幣投資交易盛行,美國貨幣監理局(Office of the Comptroller of the Currency, OCC)於2020年7月22日發布一封解釋函,授權聯邦註冊銀行和聯邦儲蓄協會(federal savings associations)可為客戶的加密貨幣或數位資產提供保管服務,促使銀行持續發揮金融中介功能。此舉將有助於加密貨幣推動發展。 依據解釋函內容,聯邦註冊銀行和聯邦儲蓄協會若從事加密貨幣保管業務,主要注意要點包含必須制定健全的風險管理規範;所提供之服務須與銀行的整體業務計劃和策略一致;須以安全可靠之方式進行,包含建立適當系統以識別、衡量、監控和控制其保管服務的風險;審核帳戶是否符合洗錢防制法令;維持適當有效之內部控制制度;確保銀行所保管之資產與自有資產分開存放,並在共同控制的情況進行維護,以確保資產不會被內部或外部人員損失、毀損或挪用;維護有效之資訊安全基礎架構與控制措施,以減少駭客入侵、竊盜和詐騙;判斷是否需要專門的查核程序;提供可靠的財務報告,以及遵守相關法律規範。 貨幣監理局表示,加密貨幣保管服務,包含持有與加密貨幣相關連的密鑰,屬傳統銀行保管業務的延伸,為銀行業推動現代化營運的表現。隨著金融市場數位化,銀行與其他服務提供商將需要利用新技術和創新方式,以滿足客戶的金融服務需求。
德國法院判決Google沒有進行事先審查網站內容之義務德國最高法院在2018年2月27日判決,Google在搜尋結果連結顯示之前,並無須確認該網站是否存在毀謗性言論,亦即,Google沒有義務事先審查搜尋結果中連結的內容。 此案件的背景是由兩個受到網路言論攻擊的人所提出,其主張為防止其他網路使用者攻擊他們言論的網站出現在Google搜尋結果的連結上,因此希望Google其中的一個部門—Alphabet公司,設置搜尋過濾器,就用戶曾經在網站上發表過不良評論以及損害賠償的相關資訊不會在未來的搜尋結果出現。 本案涉及關於「被遺忘權」(“Right To Be Forgotten”)的討論,所謂被遺忘權是由2014年5月,歐盟法院(ECJ)所作成之裁定,即人們可以要求Google和微軟Bing(MSFT.O)等搜尋引擎於搜尋人名出現的網頁結果中,刪除不適當或不相關的訊息。 本案中,對於Google沒有對搜尋結果進行過濾,Google是否因此有侵害被遺忘權之爭議,德國最高法院表示,搜尋引擎經營者僅須於收到明確且具識別性侵犯個人權利的通知時,採取相關行動即可,並毋須事先檢查該網站之內容是否合法。蓋立法者及社會皆普遍認為,若將搜尋引擎審查網站的內容定為其一般性義務,則其商業模式的本質將備受嚴重質疑,且又由於數據具有管理上的困難性,若無此類搜尋引擎的幫助,人們不可能在網路上獲得有實質有意義的使用,因此搜尋引擎不須將此列為其義務。
techUK和UK Finance共同呼籲英國脫歐後應速採取行動保護英國和歐盟的企業和消費者資料跨境傳輸隨著資料多元應用,大量個資可能被企業、組織等從銀行、線上零售業者傳輸到雲端、學術機構等,因此在跨境傳輸基礎上需要共同的監管制度,以利資料保護和隱私標準。英國科技產業協會(techUK)和英國金融協會(UK Finance)共同於2017年11月30日呼籲英國政府和歐盟應迅速採取行動,以利於繼續保護消費者和企業在英國退出歐盟(Brexit)後兩地跨境傳輸個資。 另外,在Dentons國際律師事務所提出關於歐盟與英國未來資料共享關係之聯合報告(No Interruptions: options for the future UK-EU data sharing relationship)中,techUK和UK Finance說明英國和歐盟雙方如何達成適當保護協議(adequacy agreement),英國政府亦於2017年8月發布個人資料交換和保護未來合作文件(The exchange and protection of personal data - a future partnership paper),將持續依一般資料保護規則(General Data Protection Regulation, GDPR)調整,而在過渡期間為企業提供監管確定性,而公司亦需重新考慮GDPR於2018年5月實施後相關替代機制,如企業自我約束規則(Binding Corporate Rules, BCRs)、標準契約條款(Standard Contractual Clauses, SCCs)等。由於英國2019年3月脫歐後,將不會直接適用GDPR,因此除非有新的安排,個資在歐盟傳輸仍可能受限,而需昂貴複雜替代機制,故仍應速採取行動: 歐盟和英國應速開始適當保護評估程序(adequacy assessment processes)。 為避免個資傳輸之「懸崖邊緣」(“cliff-edge”),應即為過渡期之安排。 英國應考慮實施其他措施,確保歐盟對英國資料保護框架之擔憂能獲解決,尤其是國家安全目的之資料處理。 英國應確保國際傳輸制度(包括美國在內),與歐盟具相同保護水準,且此作為歐盟適當保護評估的關鍵。
美國司法部稱Google的隱私權考慮是藉口美國司法部曾在2006年1月要求Google公司交出100萬張網頁資料,並提供一週內用戶搜尋關鍵字的紀錄,以協助布希政府舉證說明現行網頁過濾技術的漏洞,為捍衛兒童線上保護法(1998 Child Online Protection Act)提供辯護。但Google公司於2月17日,以大型企業商業機密外洩和用戶隱私權遭到侵犯為由,向加州法院提出措辭強硬的法律摘要報告,並拒絕美國司法部的要求。 針對Google所提出的摘要報告,美國司法部於2月24日提出回應。美國司法部公開表示,Google公司所宣稱:「提供用戶搜尋資訊將侵犯用戶的隱私權」,只不過是一個藉口。司法部進一步指出,美國線上、雅虎以及微軟等其他搜尋引擎業者都已按照要求提供了搜尋資訊。最後,司法部表示,政府為案件所需,擁有向一切機構徵求資訊的正當權利,因此Google公司仍必須將要求的資料提出。