美國公民權利辦公室就Sentara醫療機構違反個資外洩通知義務予以重罰
美國衛生及公共服務部(Department of Health and Human Services, 下稱HHS)轄下的公民權利辦公室(Office for Civil Right, 下稱OCR)在2019年11月27日,正式對Sentara醫療機構處以217萬美元行政罰,主因該機構違反《健康保險可攜與責任法》(Health Insurance Portability and Accountability Act, 下稱HIPAA)的醫療個資外洩通知義務。
HIPAA是美國有關醫療個資管理的主要規範,依據HIPAA第164.400條以下「違反通知規則」(Breach Notification Rule)規定,當超過500位病患的「受保護健康資訊」(Protected Health Information, 下稱PHI)遭受不當使用或被外洩時,除應通知受害人外,還必須立即告知HHS以及在當地知名媒體發布新聞。而OCR主要負責檢查受規範機構,是否確實執行HIPAA隱私、安全和違反通知規則。
而在2017年4月,HHS收到指控Sentara將含有病患姓名、帳號、就診日期等涉及PHI的帳單發送到錯誤地址,造成557名病患個資外洩。Sentara卻認為該帳單內容未含有病患病歷、治療資訊或其他診斷紀錄,且僅有8人被影響,並非HIPAA應進行個資外洩通知義務之範疇,故不依規定程序通報HHS。不過OCR認為依HIPAA第160.103條規定,PHI包含病史、保險資訊、就醫紀錄(含日期)、身心健康狀態等可識別個人之健康資訊。因此認為Sentara確實違反個資外洩通知義務,予以罰款並命檢討改善。
Sentara醫療機構服務範圍橫跨美國維吉尼亞州(Virginia)和北卡羅來納州(North Carolina),共有12家急性照護醫院、10家護理中心和3家照護機構,為美國最具知名的大型非營利醫療機構之一。這次重罰也告誡國內醫療機構當發生敏感性醫療個資外洩時應從嚴判斷,以避免民眾對醫療照護單位失去信任,確保國內醫療機構體系應恪遵HIPAA規範。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
吳昌鴻
法律研究員 編譯整理
1. OCR Secures $2.175 Million HIPAA Settlement after Hospitals Failed to Properly Notify HHS of a Breach of Unsecured Protected Health Information, HHS, https://www.hhs.gov/about/news/2019/11/27/ocr-secures-2.175-million-dollars-hipaa-settlement-breach-notification-and-privacy-rules.html (last visited Dec. 3, 2019).
2. About Us, OCR, https://www.hhs.gov/ocr/about-us/index.html (last visited Dec. 3, 2019).
3. Breach Notification Rule, OCR, https://www.hhs.gov/hipaa/for-professionals/breach-notification/index.html (last visited Dec. 4, 2019).
美國民主黨參議員Chris Murphy在2015年4月16日捲土重來提出「榮光法案」(Helping Angels Lead Our Startups Act,以下簡稱HALOS Act)。HALOS法案在上個會期胎死腹中,此次重新提出,旨在強調暢通管道以投資新創公司之重要性,Murphy表示:「我們應該尋求更便利的管道,讓各種財務狀態但具備財務知識的投資人(knowledgeable investors of any financial status)都能投資新創公司,利用他們的專業和資金來增強新創公司成功的可能性。」 舉辦「Demo Days」或「Pitch Events」,是現行許多美國創業家藉以增加與天使投資人(Angel Investors)連結的方式。在「Demo Days」此種場合,創業家通常僅向與會者展示其產品或服務,而不主動進行籌資,避免提及或發送與公司財務預測、業務成長等等與招募投資人有關的資訊、文件。 在「Pitch Events」的場合,其主要目的則為發掘潛在投資人,進而籌募新創公司所需之資金。但此種類似投資說明會的「Pitch Events」必須受到美國2012年「新創企業啟動法」(Jumpstart Our Business Startups Act,以下簡稱JOBS法)的規範,也就是會議進行方式是否涉及1933年證券交易法Rule 502(c) of Regulation D所指之「公開徵求」(general solicitation)、參與者是否為「合格投資人」(accredited investor)等問題。所謂的合格投資人是指符合一定的資格而足以被認定具有充分財務決定能力,JOBS法因此要求這些天使投資人必須交出一定的個人財務資料作為佐證。 批評者認為這些規定無助於讓新創公司籌募所需資金,也因此無法創造更多就業機會,因為許多投資人對於必須將自己的財務狀況分享給新創公司,甚至是活動策展人,往往是感到不太自在的。Murphy參議員認為這些規定是「繁瑣的第三方審核程序」、「是一種對隱私的侵犯,嚇跑了那些想要想要支持新創公司的投資人,特別是在新創公司最需要資金的時刻」。 Murphy參議員提出此法案回應了批評者的建議,主張法規對於這些天使投資人團體(Angel Investor Group)應該有不一樣的規範方式,因為這些天使投資人與新創公司通常早已具有家族或朋友等人際網絡關係。
美國紐約州通過「防止非法侵入與加強電子資料安全法案」2019年7月25日,紐約州州長Andrew Cuomo簽署「防止非法侵入與加強電子資料安全法案」(S.5575B/A.5635/Stop Hacks and Improve Electronic Data Security Act, 又稱SHIELD Act),目的在讓處理消費者個人資料的企業承擔更嚴格的責任。其核心精神在於,一旦發生與資料外洩相關的安全漏洞時,能及時進行適當的通知。同時,修改紐約州現有的資料外洩通知法,擴大個資蒐集適用範圍、個資定義 (例生物特徵、電郵資訊等)及資料洩漏定義、更新企業或組織之通知程序、建立合於企業規模之資料安全要求。此外,如違反通知義務,將處以最高5千美元或每次(未履行通知義務)20美元 (上限25萬美元)的民事賠償。且美國司法部長(The Attorney General) 亦得以紐約人民名義,代為起訴未實施資料安全規畫的企業,並按紐約民事執行法與規則(The Civil Practice Law And Rules)第63條進行初步救濟,依法強制禁止侵害行為繼續發生。該法預計將於2020年3月1日生效。 當天州長亦簽署「身份盜用預防措施和緩解服務修正案」(A.2374/S.3582),新增資料外洩安全保護措施,要求消費者信用機構,提供受安全漏洞影響的消費者「身份盜用預防措施」(Identity Theft Prevention )與「緩解服務」(Mitigation Services),為消費者制定長期最低度的保護手段。其要求信用機構,通知消費者將有關社會安全號碼的資料洩漏事件進行信用凍結,並提供消費者無償凍結其信用的權利。該法預計將於2019年10月23日生效,並且溯及既往適用該法案生效之日前三年內所發生之任何違反消費者信用安全的行為。
英政府推動開源碼計劃由英國政府所資助成立的一項計畫,希望透過開放原始碼廠商目錄及程式碼資料庫的建立等措施,加速公家單位對開放原始碼軟體的採用。這項名為「開放原始碼學院」( Open Source Academy )的計畫,是由副首相辦公室( Office of the Deputy Prime Minister )的電子創新投資計畫所贊助,預計在本月內將正式宣佈。 參與該計畫的開放原始碼協會( Open Source Consortium )執行總監表示,英國的公家機關在開放原始碼的採用上落後於歐洲各國,而這項計畫將改變目前的現況。地方政府已經可以透過網站開始分享程式碼,例如「地方政府軟體協會」( Local Authority Software Consortium )的網站。這項計畫裡的其他專案還包括了政府機構的入口網站計畫,可藉以尋找開放原始碼供應商的資訊;以及開放原始碼顧問的專業鑑定模式。
歐洲理事會提出糧食安全年度策略研究議程以整合歐盟研究能量為因應近年來人口增長、氣候變遷對糧食安全之威脅,歐洲各國皆認為糧食安全( Food Security)議題為亟待解決之議題,應投入資源研究。為此,2012年歐洲理事會(The European Council),始提出FACCE-JPI策略研究議程(The Strategic Research Agenda of the Joint Programming Initiative on Agriculture, Food Security and Climate Change),議程主要係針對歐洲農業、糧食安全和氣候變化進行整合研究。來自21個歐洲國家代表及研究學者,提出該年度糧食安全之重要觀察議題與發展方向,欲透過此議程建立研究資源整合機制,提高歐盟因應糧食生產挑戰之研究、應對能力。 歐洲理事會於去年(2012)12月提出本年度策略研究議程,內容除重申歐盟應整合糧食安全研究能量外,該議程更指出五大核心研究議題,反映歐盟對糧食安全威脅多元化之重視 ,本議程研究重點歸納如下: 1. 氣候變遷與糧食安全永續 2. 環境永續發展與農業精緻化 3. 糧食供需、生物多樣性與生態系統平衡 4. 氣候變遷之因應 5. 減緩氣候異常現象之有效措施 本議程以核心研究為理論基礎,有效整合各會員國研究能量,更針對各別領域提出具體實踐策略,藉以強化基礎溝通平台、建立歐洲知識訊息交換能力,便利後續評估、監測機制的建立。 策略議程取代傳統將糧食安全視為「國家內政」議題,而以「區域整合」層次處理,象徵歐盟糧食安全共識逐漸發展之趨勢。