美國公民權利辦公室就Sentara醫療機構違反個資外洩通知義務予以重罰
美國衛生及公共服務部(Department of Health and Human Services, 下稱HHS)轄下的公民權利辦公室(Office for Civil Right, 下稱OCR)在2019年11月27日,正式對Sentara醫療機構處以217萬美元行政罰,主因該機構違反《健康保險可攜與責任法》(Health Insurance Portability and Accountability Act, 下稱HIPAA)的醫療個資外洩通知義務。
HIPAA是美國有關醫療個資管理的主要規範,依據HIPAA第164.400條以下「違反通知規則」(Breach Notification Rule)規定,當超過500位病患的「受保護健康資訊」(Protected Health Information, 下稱PHI)遭受不當使用或被外洩時,除應通知受害人外,還必須立即告知HHS以及在當地知名媒體發布新聞。而OCR主要負責檢查受規範機構,是否確實執行HIPAA隱私、安全和違反通知規則。
而在2017年4月,HHS收到指控Sentara將含有病患姓名、帳號、就診日期等涉及PHI的帳單發送到錯誤地址,造成557名病患個資外洩。Sentara卻認為該帳單內容未含有病患病歷、治療資訊或其他診斷紀錄,且僅有8人被影響,並非HIPAA應進行個資外洩通知義務之範疇,故不依規定程序通報HHS。不過OCR認為依HIPAA第160.103條規定,PHI包含病史、保險資訊、就醫紀錄(含日期)、身心健康狀態等可識別個人之健康資訊。因此認為Sentara確實違反個資外洩通知義務,予以罰款並命檢討改善。
Sentara醫療機構服務範圍橫跨美國維吉尼亞州(Virginia)和北卡羅來納州(North Carolina),共有12家急性照護醫院、10家護理中心和3家照護機構,為美國最具知名的大型非營利醫療機構之一。這次重罰也告誡國內醫療機構當發生敏感性醫療個資外洩時應從嚴判斷,以避免民眾對醫療照護單位失去信任,確保國內醫療機構體系應恪遵HIPAA規範。
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
- 【北部場1】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場2】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場3】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場4】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【南部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【中部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
吳昌鴻
法律研究員 編譯整理
1. OCR Secures $2.175 Million HIPAA Settlement after Hospitals Failed to Properly Notify HHS of a Breach of Unsecured Protected Health Information, HHS, https://www.hhs.gov/about/news/2019/11/27/ocr-secures-2.175-million-dollars-hipaa-settlement-breach-notification-and-privacy-rules.html (last visited Dec. 3, 2019).
2. About Us, OCR, https://www.hhs.gov/ocr/about-us/index.html (last visited Dec. 3, 2019).
3. Breach Notification Rule, OCR, https://www.hhs.gov/hipaa/for-professionals/breach-notification/index.html (last visited Dec. 4, 2019).
加拿大對於日益嚴重之網路霸凌及網路犯罪,甚至青少年因網路霸凌而自殺案件頻傳,為免此種悲劇再發生,加拿大政府擬訂之「保護加拿大國民遠離網路犯罪法」(Protecting Canadians from Online Crime Act,簡稱Bill C-13),於2015年3月10日生效。 此項法案係修正刑法、競爭法及證據法,法案內容如下: 1.適用對象:不分是否成年,皆有適用。 2.增修內容: (1) 補充修訂非自願的親密圖片散佈法令,授權法官得從網路上移除這些圖像及收取回復費用,得以沒收財產及下達擔保命令,以限制加害人使用電腦或網路就此類圖像之散布。 (2)賦予保存請求權和命令之權力,強制保全電子證據。 (3)新訂法院可下達提供命令,強制相關義務人提供通訊傳輸、交易位置、個人及相關事物資訊。 (4)授權延長關於使用電信傳輸相關資料之調查權。 (5)授權與法律分配利害關係相關之交易、個人與事物等做為追蹤調查對象。 (6)簡化關於取得關於截取私人通訊之法官授權及命令程序。 (7)修訂加拿大證據法,以確保加害人之配偶得為被害人證人。 惟就本次修訂,有反對意見認為可能會擴張國家調查權,而侵害人民隱私。
敏感科技保護「敏感科技」的普遍定義,係指若流出境外,將損害特定國家之安全或其整體經濟競爭優勢,具關鍵性或敏感性的高科技研發成果或資料,在部分法制政策與公眾論述中,亦被稱為關鍵技術或核心科技等。基此,保護敏感科技、避免相關資訊洩漏於國外的制度性目的,在於藉由維持關鍵技術帶來的科技優勢,保護持有該項科技之國家的國家安全與整體經濟競爭力。 各國立法例針對敏感科技建立的技術保護制度框架,多採分散型立法的模式,亦即,保護敏感科技不致外流的管制規範,分別存在於數個不同領域的法律或行政命令當中。這些法令基本上可區分成五個類型,分別為國家機密保護,貨物(技術)之出口管制、外國投資審查機制、政府資助研發成果保護措施、以及營業秘密保護法制,而我國法亦是採取這種立法架構。目前世界主要先進國家當中,有針對敏感科技保護議題設立專法者,則屬韓國的「防止產業技術外流及產業技術保護法」,由產業技術保護委員會作為主管機關,依法指定「國家核心科技」,但為避免管制措施造成自由市場經濟的過度限制,故該法規範指定應在必要的最小限度內為之。
日本首相官邸舉行第10次未來投資會議,提出日本「未來投資戰略2017」以實現「Society 5.0」為目標2017年6月9日,日本首相官邸舉行第10次未來投資會議,提出日本「未來投資戰略2017」以實現「Society 5.0」為目標,藉由第四次產業革命,包括IoT、大數據、人工智慧及機器人等創新產業,具體解決每個人都會面臨的社會課題(例如少子高齡化)。「未來投資戰略2017」內容包含四個面向,分別為Society 5.0戰略領域、Society 5.0橫向課題、建構區域經濟的良好循環系統及海外成長市場納入等。 一、Society 5.0戰略領域:針對健康壽命的延伸、移動革命的實現、次世代供應鏈、舒適的基礎建設與城市規劃以及FinTech金融科技。 二、Society 5.0橫向課題:分為創造價值泉源及建構價值最大化兩部分。創造價值泉源方面,分別提出數據活用的基礎與制度建構、教育及人才強化、創新與風險的良好循環系統;建構價值最大化方面,則有監理沙盒的創設、規範改革.行政手續簡化.IT化的整體推進、「賺錢力」的強化──從形式到實質的企業治理改革、公共服務與資產的民間開放、國家戰略特區的加速推進、網路安全以及共享經濟之相關政策等。 三、建構區域經濟的良好循環系統:中小企業與小規模事業的革新並活化服務產業與提升生產力、農林水產業的強化與展開以及觀光.體育.文化藝術的實行。 四、海外成長市場的納入:基礎建設系統輸出、經濟合作交流、連接數據流通活用與形成國際共通規則、中小企業的海外支援、日本魅力活化政策。
「何謂行動健康?」行動健康是指利用行動應用程式與智慧手機、平板、或無線裝置等行動裝置結合,運用這些裝置的核心功能,如聲音、簡訊、定位系統、藍芽、或3G、4G行動通信技術等,作為健康照護用途,以提升傳統照護品質與管理健康,減少醫療成本耗費。倘若行動應用程式具有醫療用途,可用於診斷、治療、預防疾病等,則屬於醫療器材,且該應用程式通常為醫療器材之附件,或與行動裝置結合使用而成為醫療器材,對此則稱之為行動醫療。 隨著智慧聯網(IoT)的應用,國際間對於行動健康與醫療的發展日益著重,除了鼓勵創新研發之外,也紛紛制訂法規政策因應,包括美國食品藥物管理局(FDA)在2013年9月公布行動醫療應用程式指導原則(Mobile Medical Application, Guidance For Industry and Food and Drug Administration Staff),並於2015年2月修訂;歐盟2012年提出eHealth 行動計畫(eHealth Action Plan 2012-2020),並在2014年4月針對行動健康的管理規範議題開放各類相關人士進行公共諮詢,後續在2015年1月公布諮詢結果。我國亦在2015年4月公布醫用軟體分類參考指引,以提供產業開發產品、申請查驗登記之參考。 未來,行動健康與醫療的發展將持面臨挑戰,相關問題包括行動健康與行動醫療之區分標準、行動醫療應用程式與傳統醫療軟體之監管差異、行動健康應用程式開發使用之自律性規範、使用者或病人隱私與個人資料保護、以及在研發過程中涉及的研究倫理等議題。