美國公民權利辦公室就Sentara醫療機構違反個資外洩通知義務予以重罰
美國衛生及公共服務部(Department of Health and Human Services, 下稱HHS)轄下的公民權利辦公室(Office for Civil Right, 下稱OCR)在2019年11月27日,正式對Sentara醫療機構處以217萬美元行政罰,主因該機構違反《健康保險可攜與責任法》(Health Insurance Portability and Accountability Act, 下稱HIPAA)的醫療個資外洩通知義務。
HIPAA是美國有關醫療個資管理的主要規範,依據HIPAA第164.400條以下「違反通知規則」(Breach Notification Rule)規定,當超過500位病患的「受保護健康資訊」(Protected Health Information, 下稱PHI)遭受不當使用或被外洩時,除應通知受害人外,還必須立即告知HHS以及在當地知名媒體發布新聞。而OCR主要負責檢查受規範機構,是否確實執行HIPAA隱私、安全和違反通知規則。
而在2017年4月,HHS收到指控Sentara將含有病患姓名、帳號、就診日期等涉及PHI的帳單發送到錯誤地址,造成557名病患個資外洩。Sentara卻認為該帳單內容未含有病患病歷、治療資訊或其他診斷紀錄,且僅有8人被影響,並非HIPAA應進行個資外洩通知義務之範疇,故不依規定程序通報HHS。不過OCR認為依HIPAA第160.103條規定,PHI包含病史、保險資訊、就醫紀錄(含日期)、身心健康狀態等可識別個人之健康資訊。因此認為Sentara確實違反個資外洩通知義務,予以罰款並命檢討改善。
Sentara醫療機構服務範圍橫跨美國維吉尼亞州(Virginia)和北卡羅來納州(North Carolina),共有12家急性照護醫院、10家護理中心和3家照護機構,為美國最具知名的大型非營利醫療機構之一。這次重罰也告誡國內醫療機構當發生敏感性醫療個資外洩時應從嚴判斷,以避免民眾對醫療照護單位失去信任,確保國內醫療機構體系應恪遵HIPAA規範。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
吳昌鴻
法律研究員 編譯整理
1. OCR Secures $2.175 Million HIPAA Settlement after Hospitals Failed to Properly Notify HHS of a Breach of Unsecured Protected Health Information, HHS, https://www.hhs.gov/about/news/2019/11/27/ocr-secures-2.175-million-dollars-hipaa-settlement-breach-notification-and-privacy-rules.html (last visited Dec. 3, 2019).
2. About Us, OCR, https://www.hhs.gov/ocr/about-us/index.html (last visited Dec. 3, 2019).
3. Breach Notification Rule, OCR, https://www.hhs.gov/hipaa/for-professionals/breach-notification/index.html (last visited Dec. 4, 2019).
美國最高法院於2月22日針對Life Technologies Corp. v. Promega Corp.一案作出判決,對於向美國境外供應多元件侵權產品的其中單一元件,並不構成35 U.S.C. 271(f)(以下稱271(f))的侵權責任。 美國醫療生技公司Promega控告同業LifeTech侵害其專利,指稱LifeTech所製造的基因檢測套件中之組裝元件中之DNA聚合酶元件(Taq polymerase)是由美國製造,運送到英國組裝後,再販售至世界各地。Promega認為LifeTech將單一元件輸出至英國組裝的行為,已違反271(f)(1)中的「境外組裝」規定。 該案爭點之一在271(f)(1)之詮釋及適用爭議:「一當事人未經授權自美國向境外供應專利中全部或相當部份("all or a substantial portion")之元件,若元件尚未組合,而在美國境外將主要部分加以組合,如同其在美國境內將該元件組合,應視為侵權者而負其責任。」 地院認為271(f)(1)中的"all or a substantial portion"不符合本案只提供單一元件之情形,判定侵權不成立。不過CAFC認為地院有不當解釋271(f)(1),故認定LifeTech所販售的聚合酶元件符合271(f)(1)規定的"substantial portion"應解釋為"重要的部分",故推翻一審判決,判定侵權成立。 最高法院解讀271(f)(1)時,將其中的"substantial portion"解釋為"大量"或"多的",因此認定所述"單一元件"並不構成271(f)(1)中的"substantial portion",原因為單一元件並非法條所指的"多量"。 最終,最高法院認為,本案被告僅供應"單一元件"在境外組合,因此並不構成35U.S.C.271(f)(1)法條所定義之侵權行為。 「本文同步刊登於TIPS網站(https://www.tips.org.tw )」
英國OFCOM計畫推出適用於不同內容之分級識別標誌英國財政大臣Gordon Brown在倫敦的一場演講中指出,OFCOM現正研擬制定一套適用於各種不同媒介之內容的分級識別標誌。未來不論電視節目、廣播節目、電影、電腦遊戲或者網站內容都可適用該分級識別系統,以幫助父母為家中的孩童過濾不適當的內容,保護孩童在數位化的時代仍可以遠離不適合的媒體內容。 在該場演講中,Gordon Brown 表示,身處在數位時代,父母越來越難掌握孩童所接觸的內容是否適當,但是在無法扭轉科技的進步前提下,應當善加利用新科技並使父母得以透過各種新科技繼續保有為孩童選擇適當的內容之控制權。 OFCOM的發言人僅透露該套分級識別系統不僅適用於所有種類的媒體內容,而且將以文字方式描述各種內容,例如特定內容之裸露程度為何,以作為視聽大眾決定是否接收該內容前的參考。另外,不同於現行的電影分級制度乃是以年齡作為不同等級內容的分級標準,未來OFCOM所推出的分級識別系統將無關乎年齡。不過OFCOM亦表示該分級識別系統的詳細內容目前尚未決定,仍在討論階段。 除了制定一套適用於所有內容的分級識別系統之外,OFCOM未來亦將透過電視廣告以及要求ISP業者配合向消費者宣導各種過濾軟體,以便消費者得以過濾網路上之色情猥褻或暴力之內容。
英國建立幹細胞研究網絡英國財政大臣十六日在倫敦宣佈,政府將在其10年發展計劃中建立一個全國性的幹細胞研究網路,以鞏固英國在該領域的領先地位。 英國工黨政府一直對幹細胞研究提供支持,並且率先立法,允許治療性人類胚胎幹細胞研究。但是治療性胚胎幹細胞研究一直遭到人權組織的反對,使幹細胞研究機構在資金籌措方面陷入困境。為此,英國政府作出建立幹細胞研究網路的決定,無疑是為了加強英國在國際幹細胞研究領域的領先地位。 布朗當天在下議院宣佈二○○五年財政年度預算計劃時說,英國政府從二○○二年起的三年內向幹細胞研究撥款四千萬英鎊,另外,英國醫學慈善機構韋爾科姆信託公司承諾向幹細胞研究網路投資二千萬英鎊。
美國駭客使用殭屍網路 遭判刑57個月鑑於網際網路發達,日常生活中之購物、儲匯業務均能透過網路完成,為生活增加許多的便利,然犯罪行為亦隨著科技之發展,悄悄的從傳統社會轉移到虛擬世界。根據美國司法部公佈的資料顯示,目前因違反美國 18 U.S.C. §1030 電腦詐欺法規定( Fraud and Related Activity in Connection with Computers )而進入司法程序的電腦犯罪案件,主要包括:竊取私人資料、線上非法交易(網路詐欺等)、駭客攻擊行為、製作或散佈病毒、遙控僵屍網路、竄改信用卡資料等行為。其中 Jeanson James Ancheta 案是一個具指標意義的案件。 今年五月洛杉磯 R. Gary Klausner 法官做出 Jeanson James Ancheta 案的判決,該案是美國境內第一起因為使用僵屍網路( botnets )而被判刑的案件。 Ancheta 被控攻擊政府網站、對數千台電腦主機進行駭客攻擊,並利用被攻擊的電腦串聯成僵屍網路,進行寄發廣告信或具破壞性的駭客攻擊以牟利而遭起訴。本案判決 Jeanson James Ancheta 因散佈電腦病毒、違反電腦詐欺法( Computer Fraud Abuse Act )、違反垃圾郵件法案( CAN-SPAM Act )被判以 57 個月的有期徒刑。 根據助理檢察官 Aquilina 表示,該案件是美國近年來處理電腦犯罪案件中,量刑最重的一個判決,希望透過此一判決,對僵屍網路操控者( botmasters )及居心不良的駭客產生嚇阻之效果。