美國公民權利辦公室就Sentara醫療機構違反個資外洩通知義務予以重罰
美國衛生及公共服務部(Department of Health and Human Services, 下稱HHS)轄下的公民權利辦公室(Office for Civil Right, 下稱OCR)在2019年11月27日,正式對Sentara醫療機構處以217萬美元行政罰,主因該機構違反《健康保險可攜與責任法》(Health Insurance Portability and Accountability Act, 下稱HIPAA)的醫療個資外洩通知義務。
HIPAA是美國有關醫療個資管理的主要規範,依據HIPAA第164.400條以下「違反通知規則」(Breach Notification Rule)規定,當超過500位病患的「受保護健康資訊」(Protected Health Information, 下稱PHI)遭受不當使用或被外洩時,除應通知受害人外,還必須立即告知HHS以及在當地知名媒體發布新聞。而OCR主要負責檢查受規範機構,是否確實執行HIPAA隱私、安全和違反通知規則。
而在2017年4月,HHS收到指控Sentara將含有病患姓名、帳號、就診日期等涉及PHI的帳單發送到錯誤地址,造成557名病患個資外洩。Sentara卻認為該帳單內容未含有病患病歷、治療資訊或其他診斷紀錄,且僅有8人被影響,並非HIPAA應進行個資外洩通知義務之範疇,故不依規定程序通報HHS。不過OCR認為依HIPAA第160.103條規定,PHI包含病史、保險資訊、就醫紀錄(含日期)、身心健康狀態等可識別個人之健康資訊。因此認為Sentara確實違反個資外洩通知義務,予以罰款並命檢討改善。
Sentara醫療機構服務範圍橫跨美國維吉尼亞州(Virginia)和北卡羅來納州(North Carolina),共有12家急性照護醫院、10家護理中心和3家照護機構,為美國最具知名的大型非營利醫療機構之一。這次重罰也告誡國內醫療機構當發生敏感性醫療個資外洩時應從嚴判斷,以避免民眾對醫療照護單位失去信任,確保國內醫療機構體系應恪遵HIPAA規範。
吳昌鴻
法律研究員 編譯整理
1. OCR Secures $2.175 Million HIPAA Settlement after Hospitals Failed to Properly Notify HHS of a Breach of Unsecured Protected Health Information, HHS, https://www.hhs.gov/about/news/2019/11/27/ocr-secures-2.175-million-dollars-hipaa-settlement-breach-notification-and-privacy-rules.html (last visited Dec. 3, 2019).
2. About Us, OCR, https://www.hhs.gov/ocr/about-us/index.html (last visited Dec. 3, 2019).
3. Breach Notification Rule, OCR, https://www.hhs.gov/hipaa/for-professionals/breach-notification/index.html (last visited Dec. 4, 2019).
「自動駕駛車(self-driving car)」一般而言係指於汽車安裝感測器(sensors)以及軟體以偵測行人、腳踏車騎士以及其他動力交通工具,透過控制系統將感測到的資料轉換成導航道路,並以安全適當的方式行駛。其目前可分為兩類:「全自動駕駛車(full autonomous)」以及「半自動駕駛車(fully autonomous)」,全自動駕駛車係指可於指定地點出發後不需駕駛人(driver)在車上而到達目的地者之謂。全自動駕駛車又可為「用戶操作(user-operated)」與「無人駕駛車(driverless car)」。 目前包含賓士(Mercedes)、BMW、特斯拉(Tesla)等公司均預期於不久將來會發布一些具備自動駕駛特徵的車種,科技公司如Google亦對於自動駕駛車的科技研發不留餘力。 而從2012年開始,美國有17州以及哥倫比亞特區便開始在討論允許自動駕駛車上路的相關法規,而只有加利福尼亞州(California)、佛羅里達州(Florida)、內達華州(Nevada)及華盛頓哥倫比亞特區(Washington, D.C.)有相關法律的施行,其他州則尚未表態。而大部分的州傾向認為應由人類來操控(operating)汽車,但對於具體上到底有多少比例之汽車任務需由人類操控而多少比例可交由機器則尚有模糊空間。而是否肯認「人工智慧操控」符合法規之「人類操控」亦不明朗。不過在法律存有這樣灰色地帶時刻,Google搶先於加利福尼亞州進行測試其自動控制系統,期望之後於自動駕駛車逐漸上市普及後能搶占商機。
歐盟執委會發布人工智慧創新政策套案歐盟執委會(European Commission)於2024年1月24日發布AI創新政策套案(AI innovation package),將提供全面性的激勵措施,協助AI新創公司、中小企業與歐盟AI技術之發展。AI創新政策套案預計將修訂〈歐盟高效運算聯合承諾〉(the European High Performance Computing Joint Undertaking),以創建AI工廠(AI factories);成立AI辦公室(AI Office);並建立歐盟AI新創與創新交流(EU AI startup and innovation communication),重點分述如下: (1)AI工廠:歐盟執委會在將2027年前透過〈歐盟高效運算聯合承諾〉投資80億歐元,在歐盟境內建設全新的超級電腦,或升級現有高效運算設備,實現高速機器學習(fast machine learning)與訓練大型通用AI模型(large general-purpose AI models),使AI新創公司有機會使用超級電腦與大型通用AI模型來開發各種AI應用。並且,AI工廠將坐落於大型資料存儲中心(large-scale data storage facility)周圍,讓AI模型於訓練時可取得大量可靠的資料。其次,AI工廠將藉由開放超級電腦來吸引大量人才,包含學生、研究員、科學家與新創業者,以培養歐盟高階AI人才,供未來歐盟持續發展可信任的AI(Trustworthy AI)。 (2)AI辦公室:該辦公室將設置於歐盟執委會內,用於確認與協調歐盟成員國AI政策的一致性。此外,該辦公室未來亦將用於監督即將通過之歐盟《AI法案》(AI Act)的執行成效。 (3)歐盟AI新創與創新交流:歐盟執委會將透過〈展望歐洲〉(Horizon Europe)與〈數位歐洲計畫〉(Digital Europe Programme),在2027年前投入40億歐元的公部門與私人投資,俾利歐盟開發生成式AI(Generative AI)模型。該政策套案亦將加速歐盟共同資料空間(Common European Data Spaces)之發展,使歐洲企業得取得可靠且具價值性之資料來訓練AI模型。最後,執委會將啟動歐盟〈生成式AI倡議〉(GenAI4EU initiative),將AI工廠所訓練之生成式AI應用於工業用與服務型機器人、醫療保健、生物科技與化學、材料與電池、製造與工程、車輛移動、氣候變遷與環境保護、網路安全、太空、農業等實際領域,刺激產業創新發展,改善人類生活。
日本與東南亞國家協會共同發表關於智慧財產權聯合聲明於106年5月15、16日,在日本舉行第七屆「東南亞國家協會」(又稱ASEAN)與日本專利局的智慧財產權座談會,這次會議的目的,是以加強東南亞國家協會與日本的「智慧財產權商業環境」合作,並通過了日本與東南亞國家協會的聯合聲明。 一、背景 東南亞國家協會是日本繼美國與中國大陸後第三大進出口地,同時也是日本企業界未來短期、長期投資的目的地,日本企業看好將來在東南亞國家協會的業務發展。東南亞國家協會在2015年設立東協經濟共同體(AEC),其後並發表「東協經濟共同體(AEC)2025綜合戰略行動計畫」,根據計畫內容,討論智慧財產權相關議題。日本專利局藉此鼓勵日本企業於東南亞國家協會發展業務,並積極展開與東南亞國家協會智慧財產權工作小組(AWGIPC)的合作。 二、結果概要 配合「東南亞國家協會2016-2025智慧財產權行動計畫」,日本與東南亞國家協會共同確立了中、長期智慧財產權的合作方向: 更新並訂立專利手冊(即專利審查指南)。 東協暨東亞經濟研究院(ERIA)共同研究與預測未來在東南亞國家協會關於智慧財產權的申請數量並提出建議。 鼓勵簽署並加入其他國際組織。 健全人力資源開發及考核管理。 鼓勵智慧財產權商業化並重視智慧財產權的重要性。 加強智慧財產權執法機構間的相互合作。 透過此次日本專利局與東南亞國家協會的智慧財產權會議,日本將持續支持並致力於與東南亞國家協會在智慧財產權上的保護。
英國身份證立法-我國之借鏡?