美國公民權利辦公室就Sentara醫療機構違反個資外洩通知義務予以重罰
美國衛生及公共服務部(Department of Health and Human Services, 下稱HHS)轄下的公民權利辦公室(Office for Civil Right, 下稱OCR)在2019年11月27日,正式對Sentara醫療機構處以217萬美元行政罰,主因該機構違反《健康保險可攜與責任法》(Health Insurance Portability and Accountability Act, 下稱HIPAA)的醫療個資外洩通知義務。
HIPAA是美國有關醫療個資管理的主要規範,依據HIPAA第164.400條以下「違反通知規則」(Breach Notification Rule)規定,當超過500位病患的「受保護健康資訊」(Protected Health Information, 下稱PHI)遭受不當使用或被外洩時,除應通知受害人外,還必須立即告知HHS以及在當地知名媒體發布新聞。而OCR主要負責檢查受規範機構,是否確實執行HIPAA隱私、安全和違反通知規則。
而在2017年4月,HHS收到指控Sentara將含有病患姓名、帳號、就診日期等涉及PHI的帳單發送到錯誤地址,造成557名病患個資外洩。Sentara卻認為該帳單內容未含有病患病歷、治療資訊或其他診斷紀錄,且僅有8人被影響,並非HIPAA應進行個資外洩通知義務之範疇,故不依規定程序通報HHS。不過OCR認為依HIPAA第160.103條規定,PHI包含病史、保險資訊、就醫紀錄(含日期)、身心健康狀態等可識別個人之健康資訊。因此認為Sentara確實違反個資外洩通知義務,予以罰款並命檢討改善。
Sentara醫療機構服務範圍橫跨美國維吉尼亞州(Virginia)和北卡羅來納州(North Carolina),共有12家急性照護醫院、10家護理中心和3家照護機構,為美國最具知名的大型非營利醫療機構之一。這次重罰也告誡國內醫療機構當發生敏感性醫療個資外洩時應從嚴判斷,以避免民眾對醫療照護單位失去信任,確保國內醫療機構體系應恪遵HIPAA規範。
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
- 【北部場1】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場2】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場3】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場4】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【南部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【中部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
吳昌鴻
法律研究員 編譯整理
1. OCR Secures $2.175 Million HIPAA Settlement after Hospitals Failed to Properly Notify HHS of a Breach of Unsecured Protected Health Information, HHS, https://www.hhs.gov/about/news/2019/11/27/ocr-secures-2.175-million-dollars-hipaa-settlement-breach-notification-and-privacy-rules.html (last visited Dec. 3, 2019).
2. About Us, OCR, https://www.hhs.gov/ocr/about-us/index.html (last visited Dec. 3, 2019).
3. Breach Notification Rule, OCR, https://www.hhs.gov/hipaa/for-professionals/breach-notification/index.html (last visited Dec. 4, 2019).
日本厚生勞動省於2月7日公布2018年度健康保險診療報酬改訂內容,本次改訂項目中,最受矚目者為增訂線上診療之報酬給付。此種活用網路或智慧手機等資通訊網路(ICT)設施所為之診療,在2月7日中央社會保險醫療協議會總會中審議通過,公布個別改訂項目及診療報酬點數。 所謂的「線上診療」係指使用智慧手機之影像電話機能等,使醫師與病患以網路為連結所進行之診療。新設之診療報酬規定,係以具備「使用線上系統等通信技術,得為同步(real time)溝通,為診療與醫學管理。換言之,使用資通訊機器,以影像通話,透過同步影像有溝通可能性係為必要要件。 此一改訂自本年4月1日起適用,醫師診療原則上以面對面診療為原則,在包含有效性、安全性之考量下,且符合一定要件前提而為線上診療時,以「線上診療費」、「線上醫學管理費」等給付項目為給付。 因應此一改訂,厚生勞動省於本年3月30日發布並下達「線上診療適切實施指針」(醫政發0330第46號),本指針係從醫師法第20條禁止無診察診療及個人資料保護法,與線上診療之關係為出發,就到目前為止厚生勞動省發出的通知或事務聯絡等之解釋為正式整理及明確化。項目有:1.關於提供線上診療之事項;2.提供線上診療應具備之體制事項;3.其他線上診療關連事項。各自訂出「最低限度遵守事項」、「建議及獎勵事項」等,最低限度遵守事項之遵守範圍係為了明確不違反醫師法第20條規定所必要。
澳洲域名註冊新規定,協助品牌企業同步保障商標權及域名使用權澳洲域名註冊管理機構(auDA)於2021年4月12日正式施行全新的域名註冊新規定,此新規定之主要改革目的在於確保.au網域名稱的安全性,並同步保障品牌商標權。新規定適用範圍包含品牌所有人與品牌企業最常使用之「.com.au」和「.net.au」網域名。 新域名申請人經常以下列方式,來滿足域名申請資格的要求:澳洲公民、澳洲永久居住權人;依據2001年澳洲公司法所合法註冊的本土公司;澳洲商標權所有權人或商標申請人等。若以澳洲商標權作為域名申請資格者,其域名必須與其澳洲註冊商標名稱相同(在規定修正前,僅要求網域名與商標註冊名稱一定程度的密切關聯),但不包括標點符號和諸如a、the、of或&等類似用語或符號。 如現有已經註冊「.com.au」或「.net.au」域名者,同樣須遵守新規則,否則即可能失去網域使用權。不符合現行規範者,得以兩種方式調整:(1)出具證明其非依據註冊商標註冊網域名,或(2)於澳洲申請註冊商標,使網域名稱與商標名同一。 澳洲域名註冊新規定,有相當程度可阻止域名搶註者侵害品牌商標權。建議預計前往澳洲發展之品牌企業,可事前布局域名及商標權;特別是可事先申請註冊商標,如此亦可有權申請同於商標名之網域名稱,穩固品牌對外識別的一致性。
英國商業、能源及產業策略部要求中資公司出售其於英國所收購晶圓公司的股份英國商業、能源及產業策略部(Department for Business, Energy and Industrial Strategy, BEIS)於2022年11月16日發布行政命令,以國家安全為由要求登記於荷蘭的中資公司Nexperia BV出售其於2021年7月收購之Nexperia Newport Limited(NNL)(原Newport Wafer Fab)至少86%的股份。 NNL擁有英國最大的晶圓製造工廠,其每月生產約32,000片晶圓,並大多出口至亞洲用以生產半導體。今(2022)年5月英國政府發現中國政府擁有Nexperia BV的母公司聞泰科技大約30%之股份後,即依《2021年國家安全與投資法》(National Security and Investment Act)第26條調查Nexperia BV於2021年7月收購NNL之行為,並認為該行為恐使NNL的半導體生產技術與知識(technological expertise and know-how)外流至中國,進而損害英國利益。同時,該行政命令亦提及NNL工廠位置靠近英國重要之南威爾斯半導體產業聚落,若讓Nexperia BV繼續經營該工廠,將使Nexperia BV能輕易的接觸相關生產技術與知識,佐以Nexperia BV母公司與中國政府的關係,恐有危害英國國家安全之虞。 Nexperia BV表示將提出訴願以推翻該行政命令。惟英國下議院外交事務專責委員會(Foreign Affairs Select Committee)主席表示,英國不會將關鍵基礎設施轉移給一家與中國政府有明確往來的公司,以確保其戰略資產不會因短期利益而落入獨裁國家手中;並補充說明,此一決定亦代表英國政府將更重視國家安全,同時避免具有領先地位的科技公司與研究落入競爭對手。
美國司法部對標準制訂組織所採取之新政策出競爭法上之意見美國聯邦貿易委員會(Federal Trade Commission, FTC)於今(2006)年8月做出一項重要處分,認定Rambus Inc對其他標準制訂組織成員隱瞞其研發之多項電腦技術的專利,並打算在標準制訂組織採用特定標準後實施其專利的行為,乃以不法方式獨占市場之行為,違反反托拉斯法。 在FTC作成Rambus 的決定後,標準制訂組織也開始嘗試一些防止Rambus案情形發生的事前因應之道,例如已推動電腦系統互連標準的電腦協會VITA,就採行了一項新的標準制訂政策,該協會要求其參與成員必須承諾,階段性釋出其專利及專利申請的資訊,包括其所設定的最高權利金費率與可能採取的最嚴格的限制性授權條件;另其標準制訂政策也禁止成員間就此等專利的權利金費率或授權條件私下協商。由於有認為這種作法可能會被認為是破壞市場競爭秩序的杯葛行為,故VITA乃向美國司法部反托拉斯局徵詢其意見。 2006年10月30日,美國司法部反托拉斯局(Antitrust Division of the Department of Justice)提出一份商業檢視信函(business review letter, BRL),正式對此問題提出看法。司法部反托拉斯局在BRL中指出,基於以下幾點考量,VITA的標準制訂政策尚無限制競爭的疑慮:(1)共同制訂標準可能可帶來諸多有助於競爭的優點;(2)協會此項政策可使成員在推動制訂標準時,有更為充分的資訊作成決定;(3)專利授權條款的事前揭露可避免標準制訂可能因為事後過高的授權金,導致其導入或取代既有技術之時程被拖延。