美國公民權利辦公室就Sentara醫療機構違反個資外洩通知義務予以重罰
美國衛生及公共服務部(Department of Health and Human Services, 下稱HHS)轄下的公民權利辦公室(Office for Civil Right, 下稱OCR)在2019年11月27日,正式對Sentara醫療機構處以217萬美元行政罰,主因該機構違反《健康保險可攜與責任法》(Health Insurance Portability and Accountability Act, 下稱HIPAA)的醫療個資外洩通知義務。
HIPAA是美國有關醫療個資管理的主要規範,依據HIPAA第164.400條以下「違反通知規則」(Breach Notification Rule)規定,當超過500位病患的「受保護健康資訊」(Protected Health Information, 下稱PHI)遭受不當使用或被外洩時,除應通知受害人外,還必須立即告知HHS以及在當地知名媒體發布新聞。而OCR主要負責檢查受規範機構,是否確實執行HIPAA隱私、安全和違反通知規則。
而在2017年4月,HHS收到指控Sentara將含有病患姓名、帳號、就診日期等涉及PHI的帳單發送到錯誤地址,造成557名病患個資外洩。Sentara卻認為該帳單內容未含有病患病歷、治療資訊或其他診斷紀錄,且僅有8人被影響,並非HIPAA應進行個資外洩通知義務之範疇,故不依規定程序通報HHS。不過OCR認為依HIPAA第160.103條規定,PHI包含病史、保險資訊、就醫紀錄(含日期)、身心健康狀態等可識別個人之健康資訊。因此認為Sentara確實違反個資外洩通知義務,予以罰款並命檢討改善。
Sentara醫療機構服務範圍橫跨美國維吉尼亞州(Virginia)和北卡羅來納州(North Carolina),共有12家急性照護醫院、10家護理中心和3家照護機構,為美國最具知名的大型非營利醫療機構之一。這次重罰也告誡國內醫療機構當發生敏感性醫療個資外洩時應從嚴判斷,以避免民眾對醫療照護單位失去信任,確保國內醫療機構體系應恪遵HIPAA規範。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
吳昌鴻
法律研究員 編譯整理
1. OCR Secures $2.175 Million HIPAA Settlement after Hospitals Failed to Properly Notify HHS of a Breach of Unsecured Protected Health Information, HHS, https://www.hhs.gov/about/news/2019/11/27/ocr-secures-2.175-million-dollars-hipaa-settlement-breach-notification-and-privacy-rules.html (last visited Dec. 3, 2019).
2. About Us, OCR, https://www.hhs.gov/ocr/about-us/index.html (last visited Dec. 3, 2019).
3. Breach Notification Rule, OCR, https://www.hhs.gov/hipaa/for-professionals/breach-notification/index.html (last visited Dec. 4, 2019).
美國加州議會於2018年9月28日通過加州參議院之對話機器人揭露法案(Bots Disclosure Act, Senate Bill No. 1001)。此一法案於美國加州商業及專門職業法規(Business and Professions Code)第七部(Division)第三篇(Part)下增訂了第六章(Part)「機器人」乙章,擬防範「利用對話機器人誤導消費者其為真人同時並誤導消費者進行不公平交易」之商業模式,本法案將於2019年7月1日正式生效。依此法案,企業如有使用對話機器人,則應揭露此一事實,讓消費者知悉自己是在與對話機器人溝通。 美國加州對話機器人揭露法案對於「機器人」之定義為全自動化之線上帳戶,其所包含之貼文、活動實質上並非人類所形成。對於「線上」之定義為,任何公眾所可連結上之線上網站、網路應用軟體、數位軟體。對於「人類」之定義為自然人、有限公司、合夥、政府、團體等其他法律上組織或擬制人格。如業者使用對話機器人進行行銷、推銷時,有揭露其為對話機器人之事實,將不被認定違反對話機器人揭露法案,但揭露之手段必須明確、無含糊且合理可讓消費者知悉其所對話之對象為非人類之機器人。值得注意者為,美國加州對話機器人揭露法案,針對「美國本土造訪用戶群在過去12月間經常性達到每月10,000,000人」之網站,可排除此規定之限制。 本法案僅課予業者揭露義務,至於業者違反本法之法律效果,依本法案第17941條,需參照其他相關法規予以決定。例如違反本法案者,即可能被視為是違反美國加州民法揭露資訊之義務者而需擔負相關民事賠償責任。最後值得注意者為,本法案於第17941條針對「利用對話機器人誤導公民其為真人同時影響公民投票決定」之行為,亦納入規範,亦即選舉人如有利用對話機器人影響選舉結果而未揭露其利用對話機器人之事實時,依本條將被視為違法。
關於iPod專利的戰爭越演越烈蘋果電腦 (Apple Computer Inc.) , iPod 製造商,已經提起第二項訴訟以反擊其競爭對手, MP3 製造商創新科技 (Creative Labs Inc.) 所提出之專利訴訟。 以新加坡為基地的創新科技,世界第二大數位音樂播放器銷售商,上個月在加州的美國聯邦地方法院,控告蘋果電腦的 iPod 音樂播放器侵犯關於該公司旗下 Zen MP3 播放器介面的專利。同時,該公司也要求美國國際貿易委員會 (International Trade Commission, ITC) 禁止 iPod 在美國的販售與行銷。 蘋果電腦除了向威斯康辛的美國聯邦地方法院提出反訴之外,隨後再於上週向德州的美國聯邦地方法院控告創新科技的可攜式音樂播放器侵犯其數件關於軟體以及系統的專利,包括 MP3 在電腦上的顯示方式、如何編輯 MP3 播放器資料以及圖示的安排等。 創新科技發言人 Phil O'Shaughnessy 表示,最近數月以來,創新科技已經向蘋果電腦提出若干「溫和的解決方案」。他也表示,於交涉期間,或任何其他時間,蘋果電腦從未提及其列舉於訴訟中的那些專利。並且,創新科技已經預料到蘋果電腦的報復行動,也已經作好準備。
USPTO 宣佈將加速綠色科技專利案件審查美國專利商標局USPTO日前宣佈一項專為綠色科技(Green Technologies)而設的前導計劃(Pilot Program),透過這項計劃期望能將相關溫室氣體排減、節約能源等申請案加速其審查、公開及訴願程序,至少縮短流程一年。目前平均來說從申請至最終結果出爐需耗時40個月。這項消息係由美國商務部長駱家輝(Gary Locke)所宣佈,普遍被認為是為了呼應於哥本哈根舉行的聯合國氣候變化框架公約第15次締約方會議。 符合條件的申請案必須於2009年12月8日前送件,而且必須是尚未收到第一次官方通知(First Office Action,包括限縮專利範圍的通知),另外申請人還必須於2010年12月8日前以電子檔提交「特別審查程序」(petition to make special)並符合下列要求: ●必須是正式發明申請案(non provisional utility application),不適用於再領證(reissue) 與再審查(re-examine) 專利 ●必須是上述前導計劃中所包括的約79項專利項目之一 ●申請案必須不包含超過3個獨立項與20個專利申請範圍 ●如欲提早公告需附上申請書 (petition) ●如果USPTO判定為超過一項的發明,申請人必須同意用電話做出選擇 雖然USPTO預估目前有25,000件審核中的專利符合加速審理的資格,但他們預計只受理最初的3000件申請以評估這項計劃的效益與工作量。至於有意提出申請者則需要審慎評估快速審查之外的其他利弊,例如提早公告,限縮的運用範圍與專利申請範圍等。這項計劃公佈的同時USPTO的局長 David Kappos 亦承諾將定期對外更新該計劃的進度,並將成立一個網上的交流平台讓大眾可以對此計劃提出意見。
美國新一代公共安全無線寬頻的應用公共安全和國土安全局(PSHSB)局長傑米.巴尼特(Jamie Barnett)於2011年3月16日與美國聯邦通訊傳播委員會(Federal Communication Commission)分別先後宣示將更近一步加強國家寬頻計畫(The National Broadband Plan)中寬頻通訊科技在公共安全層面的應用。其具體落實在成立國家級的緊急反應互動中心(The Emergency Response Interoperability Center, ERIC)。該中心利用700 MHz頻段成立全國性的公眾安全無線網絡。 促進公共安全無線寬頻通訊的使用,是公共安全和國土安全局最主要的任務。透過建立互動式公共安全寬頻無線技術的操作框架,使警察、消防及緊急醫療人員可使用到最先進的數位式寬頻通訊技術。配備可在任何時間、地點即時傳輸資訊的薄型智慧電話,替代傳統上所使用的對講機。 其次為發展下一代的911通報網絡。目前大約70%的911通話來自手機,可是大多數的911電話通報中心,並沒有配備可接收目前主流行動通訊使用者所傳送的簡訊、電子郵件、視訊或照片的設備。新一代的查詢通知系統(Notice of Inquiry,NOI)可取代傳統的電話,使公眾透過先進的通訊科技獲得緊急救助。雖然精確定位裝置並不在整個系統之中,但通過行動通訊業者所提供的數據,仍可定位需救助者的方位。 美國將寬頻通訊科技落實在公共安全層面的應用,將有助於其提升整體緊急救護的效率。