美國公民權利辦公室就Sentara醫療機構違反個資外洩通知義務予以重罰
美國衛生及公共服務部(Department of Health and Human Services, 下稱HHS)轄下的公民權利辦公室(Office for Civil Right, 下稱OCR)在2019年11月27日,正式對Sentara醫療機構處以217萬美元行政罰,主因該機構違反《健康保險可攜與責任法》(Health Insurance Portability and Accountability Act, 下稱HIPAA)的醫療個資外洩通知義務。
HIPAA是美國有關醫療個資管理的主要規範,依據HIPAA第164.400條以下「違反通知規則」(Breach Notification Rule)規定,當超過500位病患的「受保護健康資訊」(Protected Health Information, 下稱PHI)遭受不當使用或被外洩時,除應通知受害人外,還必須立即告知HHS以及在當地知名媒體發布新聞。而OCR主要負責檢查受規範機構,是否確實執行HIPAA隱私、安全和違反通知規則。
而在2017年4月,HHS收到指控Sentara將含有病患姓名、帳號、就診日期等涉及PHI的帳單發送到錯誤地址,造成557名病患個資外洩。Sentara卻認為該帳單內容未含有病患病歷、治療資訊或其他診斷紀錄,且僅有8人被影響,並非HIPAA應進行個資外洩通知義務之範疇,故不依規定程序通報HHS。不過OCR認為依HIPAA第160.103條規定,PHI包含病史、保險資訊、就醫紀錄(含日期)、身心健康狀態等可識別個人之健康資訊。因此認為Sentara確實違反個資外洩通知義務,予以罰款並命檢討改善。
Sentara醫療機構服務範圍橫跨美國維吉尼亞州(Virginia)和北卡羅來納州(North Carolina),共有12家急性照護醫院、10家護理中心和3家照護機構,為美國最具知名的大型非營利醫療機構之一。這次重罰也告誡國內醫療機構當發生敏感性醫療個資外洩時應從嚴判斷,以避免民眾對醫療照護單位失去信任,確保國內醫療機構體系應恪遵HIPAA規範。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
吳昌鴻
法律研究員 編譯整理
1. OCR Secures $2.175 Million HIPAA Settlement after Hospitals Failed to Properly Notify HHS of a Breach of Unsecured Protected Health Information, HHS, https://www.hhs.gov/about/news/2019/11/27/ocr-secures-2.175-million-dollars-hipaa-settlement-breach-notification-and-privacy-rules.html (last visited Dec. 3, 2019).
2. About Us, OCR, https://www.hhs.gov/ocr/about-us/index.html (last visited Dec. 3, 2019).
3. Breach Notification Rule, OCR, https://www.hhs.gov/hipaa/for-professionals/breach-notification/index.html (last visited Dec. 4, 2019).
人工智慧即服務(AIaaS)之定義為由第三方提供人工智慧(AI)外包服務,其可使個人和公司基於各種目的進行AI相關實驗,同時毋須於初期即大規模投資或承受高度風險。著名之四大AIaaS供應商為Amazon AWS雲端運算服務、Microsoft Azure 雲端運算平台與服務、Google雲服務、以及IBM雲服務。 AIaaS之優點主要有:(1)降低成本:一般公司無須投資軟體、硬體、人員、維護成本以及不同任務之修改成本,AIaaS供應商可供應不同之硬體或機器學習供公司嘗試運用。(2)即用性:AIaaS供應商提供之AI服務為即用性,無須太多專家介入修改即可使用。(3)可擴展性:可由較小之項目開始試驗,逐步擴張調整服務,因此具有戰略靈活性。然而,AIaaS亦有以下潛在缺點:(1)降低安全性:公司必須交付大量資料給AIaaS供應商,因此資料之機密保護與預防竄改即為重要。(2)增加依賴度:若發生問題時,必須等待AIaaS供應商進行處理。(3)降低透明度:由於是即用性之AI服務,對於內部演算法之運作則屬於未知之黑盒子領域。(4)限制創新:因AIaaS供應商所供應之AI服務需一定程度之標準化,因此限制公司創新發展之可能。
電信業者提供視訊服務之外國法制研析 何謂「國家科學技術發展計畫」?「國家科學技術發展計畫」為政府考量國家發展方向、社會需求情形以及區域均衡發展,而擬定之國家科學技術政策與推動科學技術研究發展之依據。依照《科學技術基本法》第10條之規定,國家科學技術發展計畫之訂定,應參酌中央研究院、科學技術研究部門、產業部門及相關社會團體之意見,並經全國科學技術會議討論後,由行政院核定。 全國科學技術會議每四年召開一次,最近一次會議為2013年的「第九次全國科技會議」,該次會議通過了民國102-105年的「國家科學技術發展計畫」,針對我國科技發展提出7項目標、27項策略及58項重要措施。7項目標包括:提升臺灣的學研地位、做好臺灣的智財布局、推動臺灣永續發展、銜接上游學研與下游產業、推動由上而下的科技計畫、提升臺灣科技產業創新動能、解決臺灣的科技人才危機等。