美國公民權利辦公室就Sentara醫療機構違反個資外洩通知義務予以重罰
美國衛生及公共服務部(Department of Health and Human Services, 下稱HHS)轄下的公民權利辦公室(Office for Civil Right, 下稱OCR)在2019年11月27日,正式對Sentara醫療機構處以217萬美元行政罰,主因該機構違反《健康保險可攜與責任法》(Health Insurance Portability and Accountability Act, 下稱HIPAA)的醫療個資外洩通知義務。
HIPAA是美國有關醫療個資管理的主要規範,依據HIPAA第164.400條以下「違反通知規則」(Breach Notification Rule)規定,當超過500位病患的「受保護健康資訊」(Protected Health Information, 下稱PHI)遭受不當使用或被外洩時,除應通知受害人外,還必須立即告知HHS以及在當地知名媒體發布新聞。而OCR主要負責檢查受規範機構,是否確實執行HIPAA隱私、安全和違反通知規則。
而在2017年4月,HHS收到指控Sentara將含有病患姓名、帳號、就診日期等涉及PHI的帳單發送到錯誤地址,造成557名病患個資外洩。Sentara卻認為該帳單內容未含有病患病歷、治療資訊或其他診斷紀錄,且僅有8人被影響,並非HIPAA應進行個資外洩通知義務之範疇,故不依規定程序通報HHS。不過OCR認為依HIPAA第160.103條規定,PHI包含病史、保險資訊、就醫紀錄(含日期)、身心健康狀態等可識別個人之健康資訊。因此認為Sentara確實違反個資外洩通知義務,予以罰款並命檢討改善。
Sentara醫療機構服務範圍橫跨美國維吉尼亞州(Virginia)和北卡羅來納州(North Carolina),共有12家急性照護醫院、10家護理中心和3家照護機構,為美國最具知名的大型非營利醫療機構之一。這次重罰也告誡國內醫療機構當發生敏感性醫療個資外洩時應從嚴判斷,以避免民眾對醫療照護單位失去信任,確保國內醫療機構體系應恪遵HIPAA規範。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
吳昌鴻
法律研究員 編譯整理
1. OCR Secures $2.175 Million HIPAA Settlement after Hospitals Failed to Properly Notify HHS of a Breach of Unsecured Protected Health Information, HHS, https://www.hhs.gov/about/news/2019/11/27/ocr-secures-2.175-million-dollars-hipaa-settlement-breach-notification-and-privacy-rules.html (last visited Dec. 3, 2019).
2. About Us, OCR, https://www.hhs.gov/ocr/about-us/index.html (last visited Dec. 3, 2019).
3. Breach Notification Rule, OCR, https://www.hhs.gov/hipaa/for-professionals/breach-notification/index.html (last visited Dec. 4, 2019).
「專利適格」(Patent Subject Matter Eligibility)用淺白的文字解釋,就是成取得專利的基礎門檻、資格。專利適格的司法排除事項(Judicial Exception)為:「自然法則、自然現象、抽象概念」。而「兩階段標準」的導入,是給司法排除事項「敗部復活」的機會。 可取得專利適格的標的於35 U.S.C. §101有明文:「任何人發明或發現新穎而有用之程序(Process)、機器(Machine)、製品(Manufacture)或物之組合(Composition of Matter),或其新穎而有用之改良,皆得依據本法所定規定及要件就其取得專利權利。」但符合§101的敘述,不必然具專利適格。最高法院表示:「自然法則、自然現象、抽象概念是科學與科技成品的基礎,不可被獨佔。」然而,隨愈來愈多的發明與發現推出、電腦文明的發展,司法排除事項亦受挑戰,在 Mayo v. Prometheus,最高法院首次針對自然法則和自然現象提出「兩階段標準」。基此,美國專利與商標局(USPTO)2012年發表專利審查綱要。後續,Alice v. CLS Bank中,引「兩階段標準」將兩階段標準應用在「電腦應用過程、電腦系統、減免交割風險的電腦可讀媒介」的抽象概念。USPTO也將「兩階段標準」編入專利審查手冊(Manual of Patent Examining Procedure)。 USPTO專利審查手冊公布的「兩階段標準」: 第1步:四種可取得專利適格的標的(35 U.S.C. §101) 程序、機器、製品、物之組合。 第2A步:司法排除事項 假設不是「自然法則、自然現象、抽象概念」三種司法排除事項,則具專利適格;若是司法排除事項,則進入第2B步。 第2B步:是否「更具意義」(Significantly More)? 這一個步驟是「敗部復活」。如果該發明存在「發明概念」(Inventive Concept),則符合「更具意義」,可取得專利適格;反之,則無專利適格。
美國FCC公布網路中立規則,確保網際網路自由與開放美國「聯邦通訊委員會」(Federal Communications Commission,FCC)於2010年12月21日表決通過「網路中立性」(Net Neutrality)規則,確保網際網路的自由開放,限制網路服務提供者(ISP)不得針對網路流量與內容進行不合理的管制,保障消費者權益、意見表達的自由、網路服務的競爭與創新。 網路中立性爭議由來已久,自2005年FCC公布網際網路政策聲明以來,對於管制機關是否介入ISP對於網際網路流量與內容之管理,一直爭執不斷。網路上服務與內容的創新驅動寬頻網路的發展,寬頻網路的普及又促進更多的創新與投資,在此時,寬頻網路壅塞的問題也日益嚴重,寬頻ISP為了確保競爭優勢,開始針對網路的流量進行管理,投入新技術建立網路流量的優先權與過濾機制中。 為了避免ISP管理網路的行為影響網路的競爭與創新發展,FCC自2009年開始探討網路中立性之管理規則。 本次公布之網路中立性規則包含五個部分: 1. 透明度(Transparency): ISP應公開揭露關於網路管理的資訊,包含網路接取服務之管理措施、商業條款,提供消費者及上下游業者做出適當的選擇。 2. 禁止封鎖(No Blocking)行為: 不得任意封鎖使用者及其他網路服務或內容提供者合法使用、接取網路的權利,凡是合法的內容、服務、應用等,皆不得被阻止。 3. 禁止不合理差別待遇(No Unreasonable Discrimination): 不得無故對於消費者接取網路之內容與流量進行差別待遇。 4. 定義合理的網路管理行為(Reasonable network management): 合理的網路管理包括:確保網路的安全與完整、解決網路壅塞的狀況、基於消費者自願的控制與過濾機制。 5. 區分無線行動網路與特殊服務 考量無線行動網路在速度、容量上與固定網路的差異,FCC制訂相關量測的規範,在合理網路管理的條件上,無線行動網路與固定網路將有不同的管制密度。 而FCC也將區分網路特殊服務,有別於單純的寬頻接取服務,特殊服務是在基礎網路上提供主要專業用途的服務,例如VOIP或視訊服務(IPTV),以促進更多元的私人網路投資與更創新的網路服務發展。 新的網路中立性規則仍然受到許多的批評,倡議者認為FCC宣示的管制強度太低,ISP有可能以各種手段迴避管制,公眾利益團體亦認為FCC未禁止「付費優先權」(Pay for priority),將使網際網路出現「高速/慢速」的不公平狀況;而反對者則認為FCC的管制將影響網路的創新服務發展,不利未來的投資。然而無論如何,這仍是在Comcast案受挫後,FCC維護網際網路的開放性所重新邁出之重要一步。
美國商務部產業安全局對半導體成熟節點晶片的使用進行評估調查美國產業安全局(Bureau of Industry and Security,下稱BIS)於2024年1月18日,針對直接或間接支持美國國家安全和關鍵基礎設施,全面評估供應鏈中成熟節點半導體設備的使用情況。本次調查將根據《1950年國防生產法》(Defense Production Act of 1950)第705條進行,以評估在美國關鍵產業(如電信、汽車、醫療設備和國防工業基地)的供應鏈中使用由中國公司生產的成熟節點晶片的程度和影響力。 BIS同時提供常見問答予各界參考,主要包括如下內容: (1)本次評估調查為一次性的資訊蒐集;不排除未來也可能依指示再次進行類似的評估。 (2)本次評估將提供後續政策制定的參考,以加強半導體供應鏈,促進傳統晶片生產的公平競爭,並降低中國對美國帶來的國家安全風險。 (3)自1986年以來,BIS已就造船、戰略性材料、太空和航空、火箭推進、彈藥和半導體等廣泛項目進行過約60多項評估以及150多項調查。 (4)商務部可能會公開一份主要調查結果的摘要說明。 (5)本次評估並非根據《2021年國防授權法案》(National Defense Authorization Act for Fiscal Year 2021,即俗稱之《晶片法》)第9902節規定進行。個別對調查的答覆不會影響申請《晶片法》或其他政府資助的資格或考量。 (6)本次評估並非BIS對於高階運算晶片規範的一部分,而是著重成熟節點或傳統晶片的舊技術。
美國衛生部門公布個人健康資訊外洩責任實施綱領美國健康與人類服務部(Secretary of Health and Human Services;以下簡稱HHS),於2009年4月17日公布「個人健康資訊外洩通知責任實施綱領」(Guidance Specifying the Technologies and Methodologies That Render Protected Health Information Unusable, Unreadable, or Indecipherable to Unauthorized Individuals for Purposes of the Breach Notification Requirements under Section 13402 of Title XIII (Health Information Technology for Economic and Clinical Health Act) of the American Recovery and Reinvestment Act of 2009; Request for Information;以下簡稱本綱領)。本綱領為美國迄今唯一聯盟層級之資料外洩通知責任實施細則,並可望對美國迄今四十餘州之個資外洩通知責任法制,產生重大影響。 本綱領之訂定法源,係依據美國國會於2009年2月17日通過之經濟與臨床健康資訊科技法(Health Information Technology for Economic and Clinical Health Act;以下簡稱HITECH),HITECH並屬於2009年「美國經濟復甦暨再投資法」(America Recovery and Reinvestment Act;簡稱ARRA)之部分內容。 HITECH將個人健康資訊外洩通知責任的適用主體,從「擁有」健康資訊之機構或組織,進一步擴大至任何「接觸、維護、保留、修改、紀錄、儲存、消除,或以其他任何形式持有、使用或揭露安全性不足之健康資訊」的機構或組織。此外,HITECH並規定具體之資料外洩通知方法,即必需向當事人(資訊主體)以「即時」(獲知外洩事件後60天內)、「適當」(書面、或輔以電話、網站公告形式)之方式通知。不過,由於通知之範圍僅限於發生「安全性不足之健康資訊」外洩,故對於「安全性不足」之定義,HITECH即交由HHS制定相關施行細則規範。 HHS本次通過之實施辦法,將「安全」之資料定義「無法為第三人使用或辨識」,至於何謂無法使用或辨識,本綱領明定有兩種情形,一是資料透過適當之加密,使其即使外洩亦無法為他人辨識,另一則是該外洩資訊之儲存媒介(書面或電子形式)已被收回銷毀,故他人無法再辨識內容。 值得注意的是,有異於美國各州法對於加密標準之不明確態度,本綱領已指明特定之技術標準,方為其認可之「經適當加密」,其認可清單包含國家標準與技術研究院(National Institute of Standards and Technology)公布之Special Publication 800-111,與聯邦資訊處理標準140-2。換言之,此次加密標準之公布,已為相關業者提供一可能之「安全港」保護,使業者倘不幸遭遇資料外洩事件,得主張資料已施行適當之加密保護,即無需承擔龐大外洩通知成本之衡平規定。