美國公民權利辦公室就Sentara醫療機構違反個資外洩通知義務予以重罰
美國衛生及公共服務部(Department of Health and Human Services, 下稱HHS)轄下的公民權利辦公室(Office for Civil Right, 下稱OCR)在2019年11月27日,正式對Sentara醫療機構處以217萬美元行政罰,主因該機構違反《健康保險可攜與責任法》(Health Insurance Portability and Accountability Act, 下稱HIPAA)的醫療個資外洩通知義務。
HIPAA是美國有關醫療個資管理的主要規範,依據HIPAA第164.400條以下「違反通知規則」(Breach Notification Rule)規定,當超過500位病患的「受保護健康資訊」(Protected Health Information, 下稱PHI)遭受不當使用或被外洩時,除應通知受害人外,還必須立即告知HHS以及在當地知名媒體發布新聞。而OCR主要負責檢查受規範機構,是否確實執行HIPAA隱私、安全和違反通知規則。
而在2017年4月,HHS收到指控Sentara將含有病患姓名、帳號、就診日期等涉及PHI的帳單發送到錯誤地址,造成557名病患個資外洩。Sentara卻認為該帳單內容未含有病患病歷、治療資訊或其他診斷紀錄,且僅有8人被影響,並非HIPAA應進行個資外洩通知義務之範疇,故不依規定程序通報HHS。不過OCR認為依HIPAA第160.103條規定,PHI包含病史、保險資訊、就醫紀錄(含日期)、身心健康狀態等可識別個人之健康資訊。因此認為Sentara確實違反個資外洩通知義務,予以罰款並命檢討改善。
Sentara醫療機構服務範圍橫跨美國維吉尼亞州(Virginia)和北卡羅來納州(North Carolina),共有12家急性照護醫院、10家護理中心和3家照護機構,為美國最具知名的大型非營利醫療機構之一。這次重罰也告誡國內醫療機構當發生敏感性醫療個資外洩時應從嚴判斷,以避免民眾對醫療照護單位失去信任,確保國內醫療機構體系應恪遵HIPAA規範。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
吳昌鴻
法律研究員 編譯整理
1. OCR Secures $2.175 Million HIPAA Settlement after Hospitals Failed to Properly Notify HHS of a Breach of Unsecured Protected Health Information, HHS, https://www.hhs.gov/about/news/2019/11/27/ocr-secures-2.175-million-dollars-hipaa-settlement-breach-notification-and-privacy-rules.html (last visited Dec. 3, 2019).
2. About Us, OCR, https://www.hhs.gov/ocr/about-us/index.html (last visited Dec. 3, 2019).
3. Breach Notification Rule, OCR, https://www.hhs.gov/hipaa/for-professionals/breach-notification/index.html (last visited Dec. 4, 2019).
美國《雲端法》(CLOUD Act),全名為《釐清境外合法利用資料法》(Clarifying Lawful Overseas Use of Data Act),於2018年3月23日頒布生效,該法更新《1986年儲存通訊紀錄法》(Stored Communications Act of 1986),並釐清海外資料合法取得:無論資料儲存地在美國境內或境外,美國執法機構均可合法請求通訊紀錄的保存或揭露。 《雲端法》有兩大重點:首先,《雲端法》授權美國與其他值得信賴的國家進行雙邊協議,以取得重大犯罪之電子證據。其他國家必須擁有相應的完善法規、隱私、公民權利之保護,方具備與美國簽署雙邊協議的資格。透過雙邊協議,締約雙方可憑對方國家的搜索票等法律文件,直接對通訊服務提供者強制執行。其二,《雲端法》闡明美國與相當多國家長久以來的原則─假設一間公司在特定國家的司法管轄權範圍內,則其所產生的資料應接受該國的管制,資料儲存地為何,在所不問。 《雲端法》的立法背景可以追溯到2013年美國聯邦調查局(Federal Bureau of Investigation, FBI)進行緝毒受阻。當時,涉案美國公民的電子郵件存於微軟境外伺服器,FBI持有搜索令,但是微軟以《1986年儲存通訊紀錄法》管轄範圍不及於美國境外為由,拒絕提供系爭電子郵件。2016年聯邦第二巡迴上訴法院於Microsoft Corp. v. United States判決微軟勝訴─美國政府不得強制取得境外伺服器資料。然而,此訴訟存在相當多爭議,復有2018年《雲端法》之制定,微軟亦對《雲端法》表示支持。《雲端法》通過時,最高法院尚未做出判決;最終,最高法院於2018年4月17日撤銷Microsoft Corp. v. United States。2019年4月10日,美國司法部發布雲端法白皮書,匯集刑事和國家安全專業的律師之意見,並回答常見的問題,希望提升全球的公共安全、隱私及法治。
印度政府對新創事業之補貼 – 專利權聚焦。印度政府近年來聚焦新創創業發展,其成果更是驚人,根據一份研究報告,印度的科技產品相關新創事業光是在2016年就已達4700家以上,在當年排名全球第三,僅次於美國與英國,且預計在2020年會有2.2倍左右成長率,亦即數量翻倍。1 現今印度政府共計有超過50個新創事業獎勵補助等機制,分別由不同部門與單位執行,2 以下針對新創事業專利權補助之三大機制作介紹。 電子與資訊部門(Department of Electronics and Information Technology)、科學與工程研究委員會(Science and Engineering Research Board),以及生物科技產業研究輔助委員會(Biotechnology Industry Research Assistance Council),為三大對新創事業專利權之申請與握有,提供相關補助之印度政府部門。 (1) 電子與資訊部門之機制主要適用於人工智慧、資訊科技與軟體等產業,符合機制的新創業者申請國際專利權時,印度政府會提供15萬盧比(相當70萬台幣)或是總花費50%的補貼,補助金額看似多,但該機制有產業限制,且只施行至2019年11月30日。 (2) 科學與工程研究委員會之新創機制亦是對於專利申請有金錢上之補貼,特色在於適用產業十分廣泛,舉如化學、硬體、醫療、農業、航空、通訊、建築、能源等產業皆在機制內,重點要件在於新創業者需是已進入概念驗證(proof of concept)之階段,再者,該新創機制沒有施行期限。 (3) 生物科技產業研究輔助委員會之創新機制沒有適用產業與期限的限制,但適用對象確有限制,只限印度公民與成功展現概念驗證之創新者,該機制特色在於:補貼是對於符合標準的整個專案計畫,非只對於專利權。金額大約是20萬至500萬盧幣(約台幣10萬至200萬),或是整個專案計畫50%-90%花費。 印度政府對於新創業者之專利權相關補助共有三個機制可以選擇,優點在於新創業者可以依自己的展業別、發展階段、預算及相關因素自行選擇最有利的機制,以達到獲取補助最高的成功率。單一新創補助機制過於硬性,多數方案則可以提供選擇性與彈性。台灣就新創事業多提供貸款融資服務、資金補助計畫、或稅務減免等政策,尚未針對新創事業專利權做特定之政策優惠,或許台灣能在印度此三大專利權補助機制有可學之處。
為打擊境外逃漏稅,國際間持續擴大稅務資訊自動交換經濟合作暨發展組織(簡稱經合組織、Organization for Economic Cooperation and Development,下稱 OECD)於今年6月30日表示「2019年已有近百個國家/地區進行了稅務資訊自動交換,使其稅務機關可以獲得其居民在海外所持有的8,400萬個金融帳戶的數據,涵蓋的總資產達10兆歐元。相較於2018年(交換了4,700萬個金融帳戶資訊,約5兆歐元)有了顯著增長。」且「共同申報準則(亦稱共同申報及盡職審查準則、Common Reporting Standard, 下稱CRS)要求各國和各司法管轄區每年自動交換其金融機構提供的非居民的金融帳戶資訊,以減少境外逃漏稅的可能性。許多發展中國家已加盟其中,預計未來幾年會有更多國家加入。」 OECD秘書長Angel Gurría亦表示「由OECD創建並由全球論壇管理的這種多邊交換制度,此刻正為世界各國(含發展中國家)提供大量的新資訊,使各國稅務管理部門能夠確保境外帳戶被正確申報。尤在目前COVID-19危機中,各國正籌集急需的收入,一個無處藏富的世界,此點遂至關重要。 事實上,我國財政部於2017年11月16日所發布(民國109年4月28日修正)之「金融機構執行共同申報及盡職審查作業辦法」(簡稱CRS作業辦法),正是為了使我國接軌OECD發布及主導的CRS,藉由提高金融帳戶資訊透明度,據此與其他國家/地區進行金融帳戶資訊自動交換,以利我國與各國稅捐機關能正確且完整地掌握其境外納稅義務人的金融帳戶資訊。值得注意的是,我國第一波稅務資訊自動交換將於本年度9月份與我國32個稅捐協定國進行。
FTC提供意見給NHTSA有關隱私權和車輛對車輛通訊(V2V)美國聯邦貿易委員會(FTC)針對國家公路交通安全管理局(NHTSA)的行政命令提出建議,就有關車輛到車輛通信(V2V)之事宜,FTC長期作為負責保護消費者隱私與安全的聯邦機構,FTC認為NHTSA在行政命令中採取隱私和安全問題考慮是非常適當。 在FTC的建議評論指出,FTC針對物聯網的的資訊安全疑慮,同樣也會適用在消費者的車輛收集的隱私和安全問題。FTC認為NHTSA的協商支持作法,基於流程的可解決隱私和安全隱患,其中包括隱私風險評估。該評論還讚揚NHTSA設計一個V2V系統來限制收集和存儲僅是供應其預期的安全目標的數據。 美國每年都會有上千人意外死於汽車意外事故,NHTSA研究指出,汽車相撞的原因多數情況下在於資訊的不透明,如果汽車之間可以「相互溝通」,讓駕駛彼此知悉對方的情況,就能減少碰撞事故。 「V2V」係指vehicle-to-vehicle,是規劃建立於汽車之間的通信網路。在這個網路中,汽車之間能夠互相傳送數據,告訴對方自己的狀態和行為,也了解其他車輛的狀態和行為。但是目前V2V各家發展的標準不一,因此假設福特的車如果不能跟其他廠商的汽車溝通,技術再好也沒用。 也因此,NHTSA在官網上公告規則,宣布將制定「V2V」通信技術標準的法規。也就是說,NHTSA將要制定一個統一的標準,來確保汽車之間溝通使用的是同一種語言。在最新的一份報告中,NHTSA詳細說明了「V2V」通信技術的軟硬體標準。它包括部署該項技術可能需要的硬體設施及其費用,汽車之間溝通的資料類型,以及該技術將如何提醒司機。此外,還覆蓋了「V2V」通信技術的安全細則,以及它將如何加密以避免竊聽和侵犯隱私。 在使用者和廠商都關心的資料外洩方面,NHTSA表示,資料本身將不包含個人身份資訊,並且將會被保密。目前提出的方案裡包含兩套數據,其中一個包含核心資訊:如位置、速度、駕駛方向、剎車狀態、車輛尺寸等。這些資料將即時更新並相互傳播。第二套數據則會更加複雜,只有在數據發生變化時才會相互傳輸。它包括汽車輪胎是否漏氣,前燈是否打開,保險杠的高度,是否行駛在密集人群中等。