美國公民權利辦公室就Sentara醫療機構違反個資外洩通知義務予以重罰
美國衛生及公共服務部(Department of Health and Human Services, 下稱HHS)轄下的公民權利辦公室(Office for Civil Right, 下稱OCR)在2019年11月27日,正式對Sentara醫療機構處以217萬美元行政罰,主因該機構違反《健康保險可攜與責任法》(Health Insurance Portability and Accountability Act, 下稱HIPAA)的醫療個資外洩通知義務。
HIPAA是美國有關醫療個資管理的主要規範,依據HIPAA第164.400條以下「違反通知規則」(Breach Notification Rule)規定,當超過500位病患的「受保護健康資訊」(Protected Health Information, 下稱PHI)遭受不當使用或被外洩時,除應通知受害人外,還必須立即告知HHS以及在當地知名媒體發布新聞。而OCR主要負責檢查受規範機構,是否確實執行HIPAA隱私、安全和違反通知規則。
而在2017年4月,HHS收到指控Sentara將含有病患姓名、帳號、就診日期等涉及PHI的帳單發送到錯誤地址,造成557名病患個資外洩。Sentara卻認為該帳單內容未含有病患病歷、治療資訊或其他診斷紀錄,且僅有8人被影響,並非HIPAA應進行個資外洩通知義務之範疇,故不依規定程序通報HHS。不過OCR認為依HIPAA第160.103條規定,PHI包含病史、保險資訊、就醫紀錄(含日期)、身心健康狀態等可識別個人之健康資訊。因此認為Sentara確實違反個資外洩通知義務,予以罰款並命檢討改善。
Sentara醫療機構服務範圍橫跨美國維吉尼亞州(Virginia)和北卡羅來納州(North Carolina),共有12家急性照護醫院、10家護理中心和3家照護機構,為美國最具知名的大型非營利醫療機構之一。這次重罰也告誡國內醫療機構當發生敏感性醫療個資外洩時應從嚴判斷,以避免民眾對醫療照護單位失去信任,確保國內醫療機構體系應恪遵HIPAA規範。
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
- 【北部場1】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場2】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場3】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場4】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【南部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【中部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
吳昌鴻
法律研究員 編譯整理
1. OCR Secures $2.175 Million HIPAA Settlement after Hospitals Failed to Properly Notify HHS of a Breach of Unsecured Protected Health Information, HHS, https://www.hhs.gov/about/news/2019/11/27/ocr-secures-2.175-million-dollars-hipaa-settlement-breach-notification-and-privacy-rules.html (last visited Dec. 3, 2019).
2. About Us, OCR, https://www.hhs.gov/ocr/about-us/index.html (last visited Dec. 3, 2019).
3. Breach Notification Rule, OCR, https://www.hhs.gov/hipaa/for-professionals/breach-notification/index.html (last visited Dec. 4, 2019).
澳洲「競爭和消費者委員會」(Australian Competition and Consumer Commission;以下簡稱ACCC)在今年7月對Google及其廣告主Trading Post Australia提起訴訟,指控Google及Trading Post使所用的關鍵字廣告系統不實誤導網路使用者,構成了欺詐性的商業行為。 Trading Post為澳洲當地知名的汽車經銷商,在2005年時,Trading Post向Google購買了名為Kloster Ford和Charlestown Toyota的關鍵字廣告;然而,Kloster Ford和Charlestown Toyota正是Trading Post的競爭對手,當網路使用者在Google的搜尋引擎中鍵入Kloster Ford或Charlestown Toyota文字時,搜尋結果頁面即自動導向Trading Post的網站。 ACCC認定Trading Post此種利用競爭對手名稱設定為自身廣告關鍵字之行為,已違反澳洲在1974年頒布的「商業行為法」(Trade Practices Act 1974)第52條及第53條d款規定;ACCC同時認為,Google並未善盡努力在消費者鍵入關鍵字進行搜尋時,將付費廣告鏈結(sponsored links)從基本的搜尋結果頁面中將加區隔,亦有違該法第52條之規定。 在ACCC對Google提出控訴之前,Google事實上在各國早已面臨多起類似的訴訟;其中,去年由法國知名品牌Louis Vuitton提起的訴訟中,Google即遭到敗訴。
何謂「Spitzencluster-Wettbewerb」?Spitzencluster-Wettbewerb由德國聯邦教育與科學部(Bundesministerium für Bildung und Forschung,BMBF)自2007年起開始推行,屬該國高科技戰略2020(hightech-strategie 2020)之政策配套措施之一,更是歐盟發展歐洲研發區位計畫(European Research Area)之一環。所謂聚落係建立在德國傳統工業區位分布上,利用群聚效應因應產業技術發展的複雜問題(產業問題非單一技術可解決),使各具專長之學研機構與企業共同分享產業問題研議出解決方案,分擔研發風險與成本等,增強合作效率,促進產業創新及升級。聚落多以成立協會(association)為主,平均每一聚落有近70個企業參與,原則上開放跨國參與者參與聚落之產學合作,並對會員收取會費。 本計畫作為重要的區域產學研合作計畫,乃承襲自德國過去不斷推動的區域產學研合作計畫,其特色是採取競爭方式選出德國境內優秀之聚落,並補助其相關研發計畫。自2007年至2015年間,已有三次選拔,並選出共15個領先聚落,分別涉及領域橫跨航太、資通訊、能源、生技等技術發展。至2015年為止總計已補助超過1300個計畫。2015-2017年將規劃有三次選拔,每回合挑選至多10個聚落獲得補助。目前本計畫已補助3.6億歐元預算,至2017年底將再投入5億歐元預算。
點對點分享軟體導致資料外洩位於美國紐約州的一家知名藥廠2007年9月初宣佈其已確認大約有34000名員工的個人資料從某位員工的電腦外洩並遭人非法下載。 整起事件係導因於一位藥廠的員工自行於公司配發的筆記型電腦上安裝未經授權的檔案分享軟體,導致大約有34000名員工的個人資料在網路上被人下載流傳。至於因這起事件遭到外洩的個人機密資料包括員工姓名、社會福利號碼、出生日期、電話號碼和銀行信用狀況等等。 美國司法部門目前已針對這起資料外洩事件展開調查,並要求這家藥廠針對他們用來防止資料外洩的處理方式以及事件發生時的所有相關應變措施提出報告。根據調查,事實上早在今年7月10日這家藥廠即已發現這起大量個人資料外洩事件,卻遲至8月24日才以電子郵件通知資料外洩的被害人,反應時間長達六個星期之久,導致損害持續擴大。 由這起藥廠員工個人資料外洩事件正可顯示點對點(P2P)網路分享軟體確實潛藏著嚴重的資訊安全風險。透過此類軟體,網路駭客得以完整地掃描他人電腦硬碟中的檔案,讓不知情使用者的機密資料隨時處於高度的風險當中。 點對點檔案分享軟體(P2P),當初開發的目的在於集合眾人電腦之力,增加網路的連結數量,進而快速傳輸檔案。但以此作為入侵他人電腦的工具,甚至未經允許盜取他人的電腦中檔案資料等之新電腦犯罪型態,值得相關主管機關注意。
歐盟發布綠色政綱產業計畫,提供綠色轉型、國家補助、供應鏈韌性政策歐盟執委會於2023年2月1日公布「綠色政綱產業計畫(Green Deal Industrial Plan)」,該計畫主要包含淨零產品產業建立、國家補助、強化供應鏈、資金等綠色轉型重要政策。「綠色政綱產業計畫」將透過以下四大支柱協助歐盟進行綠色轉型。 (1)建立可預測、簡化且一致的管制環境 歐盟將提出《淨零產業法(Net-Zero Industry Act)》草案簡化管制框架來支持電池、風車、熱汞、太陽能板、電解、碳捕捉等技術;本法案將分析各產業部門後,建立各部門2030年能力目標,確保產業供應鏈不會遭遇瓶頸,並縮短淨零產品工廠選址和中小企業補助核准流程時間,以及增強核准流程的可預測性。另外歐盟並將提出《關鍵原物料法(Critical Raw Material Act)》草案,以管制生產淨零產品的關鍵物資,並透過回收、來源多樣化等方式來降低歐盟對第三方國家的依賴。 (2)更快的提供充足資金 歐盟將放寬各會員國的補助程序,並提高補助金額上限。另外因應中國和美國對淨零產業的補助,本計畫將提高歐盟與歐盟會員國的淨零產業補助額度,讓補助效果能和其他非會員國的補助達同樣程度。 (3)人才訓練與技術強化 歐盟將透過人才訓練、認證和補助來增加綠色及數位轉型技術之勞動力。 (4)為建立韌性供應鏈開放貿易 歐盟將加強與非會員國的自由貿易協定,增加關鍵原物料來源。歐盟也將透過《外國補助規則(Regulation on Foreign Subsidies)》保護歐盟市場的公平性、調查非會員國的傾銷行為、扭曲市場的補助。