何謂「美國專利審理暨訴願委員會（PTAB）」?

雲端時代資料保險機制之解析 科技法律研究所 2013年12月05日 壹、前言 　　資訊時代，資訊應用所帶來的風險幾乎無可迴避，且往往帶來莫大衝擊；尤其在網路應用普及之後，大量資料透過網路傳輸、流通而暴露於資訊安全的風險當中，縱有再有高層級的防護，也無法使資料受損或漏失的風險機率降至零，因此有論者以為，對於無法藉由資訊安全措施加以避免的「殘餘風險」（Residual Risk），應由「保險機制」予以移轉。本研究特探討本議題，以呼應目前日益進展的保險產品發展趨勢。 　　此類的保險機制，一般稱為資料保險，專門填補網路應用所造成的風險，諸如網路安全（Network security）之欠缺所造成的損失，或者隱私（Privacy）被害所造成的損失。依據產業觀察者意見，此類保險產品的市場正有逐漸擴張的趨勢，尤其是對於健康照護服務（Health care）以及中小型的業者而言，此類保險對於風險管理服務可以發揮長足的作用，其能夠填補資料被害的通知成本、信用監控以及加強資料防護的成本[1]。 　　本文以雲端運算應用的興起為背景，觀察相應保險機制的演進及發展；以及其對於產業發展而言，為何被視為不可或缺的配套機制，進一步檢視我國推動資料保險的可行性與條件。 貳、資料保險機制的發展 一、資料保險的種類 　　用來填補資料受害之損害的保險，一般被稱為「資料保險」，尚可見以「網路保險」或「隱私保險」稱之。與其直接定義何謂「資料保險」，不如分析此保險的涵蓋範圍。此類保險早在十幾年前出現，當時其保險範圍，是填補資料被害所引發的損害賠償責任[2]。 　　財產保險可分成兩大類型，一類是一般的財產損害，即保險事故發生導致被保險人的財產減損或喪失，承保此類財產損失之保險，即英美法系所稱之「第一方保險」（First-party coverage）。另一類則是責任保險，即保險事故發生導致被保險人應負擔法律上責任或契約上損害賠償責任，承保因被保險人應負擔責任之財產損失，即所稱之「第三方保險」（Third-party coverage）。 　　在資料應用環境中，因資料受害導致損害大抵可依上述區分。當遭遇網路犯罪的損害、毀壞（Destroys）或是剝奪被保險人對於資料的使用權限，則屬於第一方財產損失。另一方面，當被保險人所保護、監管（Custody）或控制的第三人資料或資訊，遭遇網路犯罪損害、毀壞或竊取時，將使被保險人必須承受對第三方負擔損害賠償責任、並支付相關費用，此屬於第三方財產損失，例如入侵資訊系統而竊取信用卡資訊、受保護的個人資料、及銀行的帳戶號碼，又如妨礙有合法權限的第三人近用系統，以及違反法規所要求而未向第三人通知資料侵害等…[3]。 二、資料受害所致損害是否得請求保險賠償過往有很大爭議 　　傳統的財產保險，由於未指明承保因資料被害所致損失，往往會在被保險人因資料被害導致財產損失而請求保險賠償時，發生很大的爭議。主要的原因是，傳統的財產保險其設計原則，是以被保險人對於有形財產的「保險利益」作為「保險標的」，並以有形財產受損來估算保險損害，並未考量到資料等無形財產。因此，起因於資料或類似形態的程式、軟體之缺損所致的損害，是否可能在傳統財產的保險範圍內，頗有疑義，且司法實務上的意見相當分歧，茲整理如下。 （一）有利於被保險人的實務見解 　　在America Guarantee & Liability Insurance Co. v. Ingram-Micro[4].中，Ingram-Micro因幾分鐘的電力中斷，導致電腦資產與資料的喪失而嚴重影響正常的業務運作，遂依業務中斷保險(Business-interruption insurance）請求保險賠償，但遭受保險公司拒絕，保險公司提起訴訟並宣稱承保範圍未包含電腦與其他資產。地方法院認為，被保險人客製軟體程式的喪失，構成「具體損害」，具體損害不限於電腦迴路的被有形損毀或傷害，也會包含無法近用（Loss of access）、無法使用（Loss of use）以及功能喪失。 　　另一案Lambrecht & Associates, Inc. v. State Farm Lloyds[5]，保險公司認為電腦病毒感染所造成的損失，非有形損失，因而拒絕保險給付。法院認為，本案之電腦系統以及儲存的資料皆因病毒感染而毀壞、被置換（Replaced），此種結果，等於電腦系統完全無法接收、發送或回復任何形態的資訊，而完全失去作為電腦系統的效用；因此未接受保險公司的主張。 　　近期一例為責任保險爭議。Retail Ventures, Inc. v. Nat'l Union Fire Ins. Co.[6]中，Retail Venture是DSW鞋子盤商，2005年時它的電腦系統遭駭客入侵，共有百萬筆的客戶資料遭不當下載且許多資料夾也被翻閱過。由於DSW向Nat'l Union購買商業竊盜險，在其承保項目中包括電腦與資金移轉詐欺（Computer & Fund transfer fraud coverage），DSW遂向保險公司請求保險賠償，主張此次駭客入侵所造成的損失有530萬元之多，但保險公司拒絕給付賠償金。於是DSW對保險公司提起訴訟，地方法院認定保險公司應支付保險賠償，保險公司不服，提起上訴至巡迴法院，巡迴法院認為，條款規定雖是限於該損失是由保險事故「直接造成」（Resulting directly from），但這不代表該保險事故必須是造成損失的「唯一」（Solely）與「立即」（Immediately）的原因[7]，因此維持地方法院的判決。 （二）有利於保險人的實務見解 　　在America Online, Inc. v. St. Paul Mercury Insurance Co.中，由於America Online（AOL）所生產的網路接取軟體AOL 5.0據稱會毀壞用戶的電腦系統，因而被客戶訴訟求償，AOL依責任保險內容，轉而請求保險公司應替其進行訴訟防禦，遭保險公司拒絕。為此，AOL對保險公司提起訴訟，法院遂檢視保險契約中是否載明保險公司有進行訴訟防禦的義務。契約中將情境限於「有形」財產損失，法院解釋，從字義上一般不會認為電腦資料、軟體及系統是「有形」財產，因為有形財產應是指可以觸摸（Be touched），但電腦資料、軟體及系統無法被感官感知，因此是無形財產。此外契約中亦有「功能降低除外條款」，意即，不良品或者危險產品所造成的損害非有形，故被排除在承保範圍內。法院據此否認AOL的主張[8]。 三、「新」資料保險產品應運而生 　　從上述實務案例的觀察，作成不利於被保險人判決結果的法院，是直接認定電腦資料、軟體與系統為無形財產。反之，作成有利於被保險人判決結果的法院，是將「資料」（程式或軟體）與「電腦系統」合為觀之，而認定電腦系統為有形財產，把電腦系統無法發揮正常作用視為具體損害。即使判決結果可能有利於被保險人，但是解釋方式卻較為迂迴，也顯得被保險人相當艱辛。 參、外國資料保險機制之發展實例與推動 　　雲端運算發展日益普遍日後，可以透過網際網路提供資訊服務（例如儲存空間、應用程式等），「資料」已然不附載在特定或固定的載體（電腦系統）上。因應整體資訊應用形態的轉變，國內外市場上逐漸有相關資料保險產品推出的案例。 一、實例 　　第一個例子，MSPAlliance是一個資源管理服務業者暨認證聯盟，於2013年4月與保險經紀公司Lockton 合作，設計「雲端暨管理服務」保險(Cloud and Managed Services Insurance)，讓其聯盟會員提供資訊服務時得以購買此保險；承保項目包括因網路攻擊、資料滅失或系統故障而導致應負擔損害賠償責任，以及因技術錯誤或無法作用（Tech Errors & Omissions）所導致的損害賠償責任，亦包含在內。至於被保險人的資格要求，則限定是聯盟會員，且必須通過Unified Certification Standard (UCS)驗證。事實上，要求被保險人取得一定的驗證，是保險風險管理很重要的ㄧ環。 　　第二個例子，雲端保險服務平台Cloudinsure於2013年2月宣布與保險經紀公司Lockton合作，擬設計適於雲端環境的隱私與安全責任保險方案。其保險產品內容主要在確保雲端服務提供者可履行在契約、或服務水準協議（Service Level Agreements）中的承諾，再者也能依據其客戶存放於雲端環境之資料的風險層級，給予金錢防護。 第三個例子，與前兩例不同，是針對一般的資訊服務使用者來設計。保險經紀公司達信（Marsh）於2012年6月針對雲端環境的企業使用者，開發新的保險方案CloudProtect。被保險人是採用雲端服務的中小型企業，承保項目包括：因雲端服務中斷所致的營運收入損失（Loss of income）、因採購新的雲端服務提供者所產生的相關費用支出、因資料轉換至新的雲端服務所產生的相關費用支出。 二、政府的參與及投入推動 　　美國的國家技術標準局（Institute of Standards and Technology, NIST）在規劃新網路時代藍圖時，把持續促進資料「保險」（Cyber Insurance），列為關鍵的一角。從這個角度而言，保險不僅具有轉移風險與填補損害的功能，更具有正面積極的意義，可作為新興技術發展的後盾。對於NIST這樣的主張，美國保險人協會（American Insurance Association）也予以呼應，認為針對網路應用環境而持續開發各種保險產品，是勢在必行的方向。 (一)政策推導 　　美國證券交易委員會指引（2011年），建議公司若為因應資安風險而購買保險產品，應列入資訊揭露範圍。此被認為是間接鼓勵企業購買相關保險產品的具體措施之一。 (二)政府機關作為被保險人購買資料保險之例 　　美國有以政府機關名義購買資料相關保險之例，蒙大拿（Montana State Government）購買「網路資料安全保險」（Cyber/Data Information Security Insurance），為期一年（2012年7月1日至2013年7月1日），保險項目包括：資訊安全責任（每次事故保險賠償上限200萬美元）、行政罰款（每次事故保險賠償上限200萬美元）、損害通知支出（每次事故保險賠償上限100萬美元）、網站媒體披露支出（每次事故保險賠償上限200萬美元）、每次保險事故發生以200萬美元為總保險賠償限額。此案之保險業者為Beazley，保險經紀人為Alliant Insurance Services。值得特別注意的是，保險項目當中包含損害通知支出，此是呼應了美國相關法令要求業者必須於獲悉資安事故時踐行通知相關的資料主體。 　　資安事故的確實可能使政府機關蒙受莫大損失，美國南卡羅萊納州稅務局（South Carolina Department of Revenue）2012年發生駭客攻擊事件，州政府花費約2000萬美元收拾殘局，其中1200萬美元用來作為市民身份被竊後的信用活動監控，其他則用來發送被害通知、資安強化措施、及建立數位鑑識團隊、資安顧問。 肆、結論－我國推動相關資料保險機制可行性之總合評析 　　現階段我國相關保險市場的現況，為因應我國個人資料保護法的通過與正式實施，也有推出資料相關保險產品，目標客群為企業，以協助企業因應觸及個人資料可能產生對他人的損害賠償責任、及填補其他附帶損害為主要訴求。至於，針對業者（被保險人）因提供資訊服務過程中的資料被害、毀損滅失所導致營業損失（營運中斷、負擔契約上損害賠償責任）之損害填補，似尚未有相關保險產品推出。考其原因，是保險業者對於此種因無形財產（資料）所導致損害的保險賠償模式，尚未累積足夠的經驗，也缺乏相關精算數據的掌握，因而不敢貿然承作，另一方面，保險業者本身也擔憂無足夠資力因應大規模的保險事故。 對此現象，我國主責資訊服務產業推動的有關政府部門，也思及政府投入參與資料保險機制，例如推動以機關為被保險人而購買相關的資料保險，藉以活絡資料保險市場；此種構想，在法律層面並無疑義，此乃保險賠償與國家賠償機制雖有各自目的，但未有所衝突[9]。然而，實際操作上，必須考量政府機關資訊系統是否能通過保險業者的保險風險查核、是否有足夠的預算足以支付保險費用、以及決策單位是否能有效與資訊業務單位溝通以評估購買此類保險的需求...等諸多問題。 　　事實上，我國相關資料保險市場要邁向成熟發展，尚待多方努力，除保險業者本身規劃並提出合適的保險產品之外，參酌國外經驗，保險經紀公司也能扮演一定角色，可針對客戶需求量身訂作風險評鑑、研提最符合的保險方案，並藉客戶共同需求而匯聚保險風險共同團體。政府所扮演之角色，除直接以政策推導之外，尚能在若干條件齊備之後實際參與保險機制，其後續方向值得關注。 [1]Collin J. Hite, Top lawyers on trends and key strategies for the upcoming year the ever-changing scope of insurance law, Aspatore Feb. 2013. [2]http://www.computerweekly.com/news/2240202703/An-introduction-to-cyber-liability-insurance-cover (last visited at Oct. 24, 2013) [3]Jack Montgomery, Cybercrime losses and insurance for property damage and third-party claims, Maine Bar Journal, Summer 2012, p. 159. [4]Civ. 99-185 TUC ACM, 2000 U.S. Dist. Lexis 7299 (D. Ariz., April 19, 2000). [5]Lambrecht & Associates, Inc. v. State Farm Lloyds, 119 S.W.3d 16, 25 (Tex. App. 2003). [6]Retail Ventures, Inc. v. Nat'l Union Fire Ins. Co. of Pittsburgh, Pa., 691 F.3d 821 (6th Cir. 2012). [7]Retail Ventures, Inc. v. Nat'l Union Fire Ins. Co. of Pittsburgh, Pa., 691 F.3d 821 (6th Cir. 2012), p.13. [8]America Online, Inc. v. St. Paul Mercury Ins. Co., 207 F. Supp. 2d 459 - Dist. Court, ED Virginia 2002, P.461-462. [9]請參考96年法務部法律字第0960003420號函。

　　英國數位、文化、媒體暨體育部（Department for Digital, Culture, Media & Sport, DCMS）於2022年12月9日公布「應用程式商店經營者與開發者實踐準則」（Code of practice for app store operators and app developers），並規劃在未來九個月內要求Apple、華為、Microsoft等公司採行，以加強對消費者的隱私與資安保護。 　　根據該實踐準則之內容，APP商店經營者和開發者須滿足以下要求： （1）以友善使用者的方式與消費者共享資安和隱私資訊，如APP何時將無法在商店中取得、APP最近一次更新的時間、APP儲存與處理使用者資料的位置等。 （2）即便消費者禁用部分可選的功能與權限（如不允許APP使用麥克風或追蹤使用者位置），該APP仍可正常執行。 （3）制定穩定且具透明性的APP審查程序，以確保滿足實踐準則中資安與隱私最低要求的APP方能在商店內上架。 （4）當APP因資安或隱私原因無法於商店內上架時，向開發者提供明確的反饋。 （5）制定妥適的弱點揭露程序如聯絡表單（contact form），使軟體缺陷可在非公開（避免受駭客利用）的情況下被報告及解決。 （6）確保開發者即時更新其APP，以減少APP中的安全弱點數量。 　　總體而言，實踐準則要求APP必須具備相關程序，使安全專家能夠向開發者報告軟體弱點、確保安全性更新對消費者足夠醒目，以及將資安與隱私資訊透過明確易懂的方式提供給消費者。

歐洲創新理事會發布2026年EIC技術報告，揭示25項深具發展潛力的新興技術訊號 資訊工業策進會科技法律研究所 2026年05月25日 歐洲創新理事會（European Innovation Council, EIC）於2026年3月30日發布「2026年EIC技術報告」（EIC Tech report 2026，下稱EIC報告），提出25項新興技術訊號（signal），亦因相關技術極具發展潛力，將可能塑造歐洲未來的科技創新、產業和市場。 壹、事件摘要 EIC根據歐盟展望歐洲（Horizon Europe）科技研發架構計畫之申請、補助及專案管理資料，並涵蓋旗下近五年探路器計畫（EIC Pathfinder）、轉型器計畫（EIC Transition）及加速器計畫（EIC Accelerator）等超過13,380 件提案與獲補助案件，透過資料探勘及專家評估進行前瞻技術掃描，歸納出25項深科技新興技術訊號，並強調相關技術目前處於低至中度成熟階段，但已顯現未來發展潛力與創新性。 貳、重點說明 一、EIC報告辨識25項新興技術訊號，並分為三大領域 （一）數位與太空技術（Digital and space technologies） 1. 技術重點 此領域共9項技術，主要涉及先進半導體、安全運算架構、AI系統、量子通訊，以及太空基礎設施，顯示歐盟將數位主權、資訊安全及太空能力視為核心布局方向。 2. 技術簡介 9項技術包含：用於先進記憶體與憶阻裝置的二維材料（2D materials for advanced memory and memristive devices），有助於新型記憶體及神經形態運算技術發展；可量產之工業電磁設備的MXene二維奈米材料製造技術（Scalable MXene manufacturing for industrial electromagnetic applications），可應用於通訊、汽車電子、感測與新世代無線基礎設施；用於建立無須信任節點量子網路的量子中繼站（Quantum repeaters for trusted-node-free quantum networks），可突破量子通訊距離限制，使量子訊息於數百甚至數千公里距離下被安全傳輸；用於分散式及聯邦式學習之AI系統中的零信任架構（Embedded Zero Trust Architectures for distributed and federated AI systems），可強化對AI模型與資料運算的控制能力；應用於新興自我組織及資源效率系統之仿生AI技術（Bio-inspired AI for emerging self-organising and resource-efficient systems），借鏡神經科學、認知科學與演化生物學原理來設計AI系統，使其具備更高適應性、穩健性與資源效率；將自適應代理人用於開放動態環境中之具身AI技術（Embodied AI for adaptive agents in open and dynamic environments），將感知、內部認知、模擬行動能力等緊密結合之AI系統，並於開放環境中持續互動學習，主要用於支撐機器人、AI自主代理、數位孿生，以及其他需連續決策、長時程的智慧系統；用於大規模且可通訊中斷之衛星運作的邊緣運算技術（Edge computing for scalable and loss-tolerant satellite operations），將資料處理分析能力直接部署於衛星或軌道平台上，使其即時篩選、分類與判讀資訊，並支援自主決策，可用於深空任務、地球觀測、太空碎片管理；用於特殊太空環境之石墨烯塗層與複合材料（Graphene-based coatings and composites for performance-critical space systems），將石墨烯整合為薄膜、塗層、填充材料，提升太空機械之強度、阻隔能力及輻射防護效果，並廣泛應用於太空領域；用於軌道基礎設施維護與再利用之先進太空維修機器人技術（Advanced in-space servicing robotics for orbital infrastructure maintenance and reuse），使機器人於太空環境下進行機械操作、檢查、維修、對接等複雜性任務。 （二）清潔和資源效率技術（Clean and resource-efficient technologies） 1. 技術重點 此領域共7項技術，此類重點在於資源回收、水汙染處理與資源再利用、提升能源效率及綠色建築技術等，反映歐盟將淨零轉型與關鍵原物料供應安全一併納入政策目標。 2. 技術簡介 7項技術包含：用於再生金屬回收與生物復育之微生物採礦技術（Microbial biomining for secondary metal recovery and bioremediation），運用微生物與金屬間的交互作用，實現金屬回收，並同時修復重金屬污染之生物技術；用於低耗能海水淡化與水處理之電容去離子技術（Capacitive deionization systems for low-energy water desalination and treatment），新穎、低用電之新型水處理技術，用於海水淡化、工業及都市廢水處理、重金屬或養分去除，以及分散式水資源處理與回收；去除污染物之電化學水處理技術（Electrochemical treatment systems for destruction of persistent contaminants in water），利用電化學反應在水中直接化學轉化或礦化分解全氟及多氟烷基物質（PFASs）、微塑膠及奈米塑膠等高度持久性污染物之水處理技術；用於低溫及中溫廢熱回收之先進熱電發電材料技術（Advanced thermoelectric materials for low- and mid-temperature waste heat recovery），將交通建築系統與回收產業中之低溫及中溫廢熱能，轉為電力的材料技術，可提升能源效率，並降低對外部能源與關鍵材料的依賴；用於固態熱電轉換與感測之熱激發自旋電子材料技術（Spin-caloritronic materials for solid-state heat-to-electricity conversion and sensing），利用熱梯度引發之自旋電流與磁性激發產生電能的材料技術；用於預測材料製造之結合數位孿生之反算設計技術（Inverse design with digital twins for predictive materials manufacturing），運用AI驅動之逆向設計方法，以目標性能反推材料配方與結構，並透過數位孿生模擬真實環境表現，建立快速、可預測且貼近實際應用情境的新材料設計與製造流程；被動冷卻與重力儲能之能源建築技術（Passive cooling and gravity-based storage for energy-active buildings），利用建築表面的先進材料於不耗電情況下降溫，並將多餘再生能源以重力位能方式儲存於建築內，藉以降低建築冷卻用電需求、儲存局部多餘再生能源等。 （三）生物科技與健康技術（Biotechnologies and health） 1. 技術重點 此領域共9項技術，橫跨食品、生物製造、精準醫療、智慧醫療設備及分散式醫療應用，顯見歐盟關注的不只是單一生技或醫療技術突破，而是期望建立從生物研發、生產製造、臨床治療到醫療設備部署的完整體系，藉此強化歐盟下一代健康科技與高價值生技產業的競爭力與自主能力。 2. 技術簡介 9項技術包含：用於原形食物製造之菌絲體混合發酵技術（Mycelium-based hybrid fermentation for whole-food production），結合菌絲體生長與精準發酵，生產接近原型食物型態的新型蛋白食品原料；用於再生農業系統之生物技術多年生作物（Biotech-enabled perennial crops for regenerative agricultural systems）以生物技術改良多年生作物，使其兼具較佳產量與土壤保育效益，支撐再生農業與更永續的糧食生產系統；用於預防與個人化治療之新型微生物體療法（Novel microbiome therapeutics for preventive and personalised health），利用人體微生物群的組成、功能及其代謝產物，來預防、管理及治療疾病的新一代醫療技術；加速藥物與酵素探索之AI驅動蛋白質設計技術（Computational protein design for accelerated drug and enzyme discovery），透過AI預測蛋白質結構與功能，加速藥物與酵素探索，縮短新藥研發時程；可量產之嵌合抗原受體免疫細胞療法之自動化製造技術（Automated manufacturing technologies for scalable CAR immune cell therapies），以自動化、標準化製程提升嵌合抗原受體（Chimeric Antigen Receptor, CAR）免疫細胞療法的穩定量產能力，降低細胞治療製造門檻；可於細胞尺度介入治療之生物混合微型機器人（Biohybrid microrobots for cellular-scale therapeutic interventions），結合生物組件和人工材料的微型機器人，形成可於細胞或微小組織尺度中移動與作用的治療工具，可用於精準遞藥、微創介入與局部治療；整合手術流程之自主機器人系統（Autonomous robotic systems for integrated surgical workflows），將AI、計算機視覺、感測技術及機器人技術，整合進手術流程中，並於無人或少人參與下，執行部分自主或高階輔助手術任務，可提升手術精準度、效率與流程整合；用於神經疾病治療之非侵入式微創腦機介面技術（Noninvasive and minimally invasive brain interfaces for adaptive therapeutic modulation），透過非侵入或低侵入方式讀取與調控腦神經訊號，以實現持續、可調適的治療介入，可用於神經疾病治療與復健；提供分散式臨床場域應用之可攜式超低場磁振造影（Portable and ultra-low field magnetic resonance imaging for distributed clinical uses），使磁振造影（Magnetic Resonance Imaging, MRI）設備朝攜帶式、低磁場化發展，降低設施與操作門檻，利於偏鄉、急診與分散式臨床試驗之醫學影像診斷應用。 參、事件評析 EIC報告辨識出25項新興技術訊號，並將其歸納為數位與太空技術、清潔和資源效率技術，以及生物科技與健康技術三大領域。該報告不僅有助於歐盟及早掌握具發展潛力之新興深科技方向，亦可作為研發政策制定、創新支持措施規劃及投資判斷之重要參考依據。 此外，EIC報告以「技術訊號」作為分析單位，顯示歐盟有意於新興技術尚未成熟前，提前進行辨識、評估與布局，除保障創新競爭力外，亦可避免在未來關鍵技術競爭中受制於人。 就政策意涵而言，EIC報告不僅有助提升歐盟對前瞻科技治理的能力，亦有助於串聯創新支持工具、產業政策與戰略技術平台，進而形塑較為完整的科技治理體系。對我國而言，EIC採取資料探勘與專家判讀並行之新興技術訊號偵測機制，對我國科研成果運用、前瞻技術治理及國家科技政策規劃，均具有相當參考價值。

　　於2000年基因圖譜解碼後，「基因歧視」議題成為各界關注焦點，而在電子通訊技術之配合下，更加速了包括基因資訊之個人醫療資訊的流通。在此時空背景下，如何能在善用相關技術所帶來的便捷同時，也對於相關資訊不甚外流時，得以有適切的因應措施以保障患者之隱私，成為了必須處理的問題。 　　美國國會甫於今年(2009年)2月所通過的「經濟與臨床健康資訊科技法」 (The Health Information Technology for Economic and Clinical Health Act, HITECH) 之相關修正中，強化了對醫療資訊之保護，其中要求美國衛生暨福利部(the Department of Health and Human Service, HHS )，針對受保護之醫療資訊未經授權而取得、侵入、使用或公開外洩之情形擬定「暫行最終規則」(interim final rule)進行管理，該項規則亦於今年(2009年)8月24日公布。值得注意的是，HITECH之規範主體(適用主體、商業夥伴)與保護客體(未依法定方式做成保護措施之健康資訊)皆沿用「1996醫療保險可攜性與責任法案」（the Health Insurance Portability and Accountability Act of 1996, HIPAA）之定義。然而，與HIPPA最大的不同在於， HIPAA中僅以私人契約之隱私權政策間接地管理醫療資料外洩事件，但於暫行最終規則中直接課以相關主體一項明確且積極的法定通知義務。HITECH之規範主體，基於其注意義務，應於得知或可得而知之日起算，60日內完成通知義務；視醫療資訊外洩之嚴重程度，其通知之對象亦有所不同，必要時應通知當地重要媒體向外發布訊息，HHS也將會以表單方式公布於其網站中。 　　整體而言，HITECH首次課以規範主體主動向可能受影響個人通知醫療資訊外洩事件之義務，此為HIPPA過去所未規範者；其次HITECH也突破HIPAA過往基於契約關係執行相關隱私權及安全規定之作法，於法規上直接對於洩露醫療資訊之相關主體課以刑責，強化了違反HIPAA隱私權與安全規定之法律效果。惟值得注意的是，受限於美國國會對HHS提出最終規則之期限要求，HHS現階段所提出的版本僅屬暫行規定，最終規定之最終確切內容仍有待確定，也值得我們持續觀察。