美國公民權利辦公室就Sentara醫療機構違反個資外洩通知義務予以重罰
美國衛生及公共服務部(Department of Health and Human Services, 下稱HHS)轄下的公民權利辦公室(Office for Civil Right, 下稱OCR)在2019年11月27日,正式對Sentara醫療機構處以217萬美元行政罰,主因該機構違反《健康保險可攜與責任法》(Health Insurance Portability and Accountability Act, 下稱HIPAA)的醫療個資外洩通知義務。
HIPAA是美國有關醫療個資管理的主要規範,依據HIPAA第164.400條以下「違反通知規則」(Breach Notification Rule)規定,當超過500位病患的「受保護健康資訊」(Protected Health Information, 下稱PHI)遭受不當使用或被外洩時,除應通知受害人外,還必須立即告知HHS以及在當地知名媒體發布新聞。而OCR主要負責檢查受規範機構,是否確實執行HIPAA隱私、安全和違反通知規則。
而在2017年4月,HHS收到指控Sentara將含有病患姓名、帳號、就診日期等涉及PHI的帳單發送到錯誤地址,造成557名病患個資外洩。Sentara卻認為該帳單內容未含有病患病歷、治療資訊或其他診斷紀錄,且僅有8人被影響,並非HIPAA應進行個資外洩通知義務之範疇,故不依規定程序通報HHS。不過OCR認為依HIPAA第160.103條規定,PHI包含病史、保險資訊、就醫紀錄(含日期)、身心健康狀態等可識別個人之健康資訊。因此認為Sentara確實違反個資外洩通知義務,予以罰款並命檢討改善。
Sentara醫療機構服務範圍橫跨美國維吉尼亞州(Virginia)和北卡羅來納州(North Carolina),共有12家急性照護醫院、10家護理中心和3家照護機構,為美國最具知名的大型非營利醫療機構之一。這次重罰也告誡國內醫療機構當發生敏感性醫療個資外洩時應從嚴判斷,以避免民眾對醫療照護單位失去信任,確保國內醫療機構體系應恪遵HIPAA規範。
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
- 【北部場1】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場2】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場3】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場4】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【南部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【中部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
吳昌鴻
法律研究員 編譯整理
1. OCR Secures $2.175 Million HIPAA Settlement after Hospitals Failed to Properly Notify HHS of a Breach of Unsecured Protected Health Information, HHS, https://www.hhs.gov/about/news/2019/11/27/ocr-secures-2.175-million-dollars-hipaa-settlement-breach-notification-and-privacy-rules.html (last visited Dec. 3, 2019).
2. About Us, OCR, https://www.hhs.gov/ocr/about-us/index.html (last visited Dec. 3, 2019).
3. Breach Notification Rule, OCR, https://www.hhs.gov/hipaa/for-professionals/breach-notification/index.html (last visited Dec. 4, 2019).
日本內閣為實現「Super City」的構想,於2020年2月4日通過《國家戰略特別區域法》部分條文修正案並提交國會審議,擬透過自駕車、無人機物流、遠距醫療等結合社區總體營造,以因應高齡化社會和解決人力不足等課題為目標。 「Super City」係指充分活用第四次工業革命中,人工智慧及大數據等各項最先進技術,領先實現未來生活方式的「完全的未來都市」。不僅在複數領域的智慧化措施中導入管制革新,同時也於生活中實踐,旨在解決社會中的各項課題。「Super City」可說是較早推動的「Smart City」進化版。Smart City具體推動範圍侷限於能源、交通等個別領域的尖端技術實證,而Super City則是以未來都市的整體創建為目標。即Super City的推動至少會同時涵蓋5個領域以上的生活中各項智慧科技,如物流、支付、行政、醫護、教育、環境、防災等;不僅有技術上的實證,更看重先行於未來社會的生活中實現;最重要的是會從居民的角度,而非從技術開發端、供給端,來追求理想的未來社會。 不過現行法規對於Super City的實現是有所侷限的,目前日本雖可依《國家戰略特別區域法》,由國家指定特定地區並實施管制鬆綁、制度改革等特例措施,但在推動管制革新以執行各種近未來技術之實證方面,尚需個別與相關主管機關協商,因此經常耗費數月至數年的時間成本。本次修法將強化各相關主管機關的合作,將制定基本方針明定具體的合作程序,而城市間的合作強化則將會整備開放API(Open Application Programming. Interface)規則及法規;另外Super City的實現需要蒐集、整理各領域之資料,因此擬將「資料協作基盤整備事業」列為法定計畫,且事業實施主體可要求國家及地方政府提供其所擁有的資料;由於Super City的推動將會同時涵蓋多個不同領域,為使各領域的管制革新具整體性且能同時實現,修正案中也規範Super City事業計畫的認定程序。
澳洲發布《人工智慧臨床應用指引》提供臨床照護之人工智慧使用合規框架澳洲醫療安全與品質委員會(Australian Commission on Safety and Quality in Health Care, ACSQHC)與衛生、身心障礙及高齡照護部(Department of Health, Disability and Ageing)聯合於2025年8月發布《人工智慧臨床應用指引》(AI Clinical Use Guide),旨在協助醫療人員於臨床情境中安全、負責任使用人工智慧(Artificial Intelligence, AI)。該文件回應近年生成式AI與機器學習快速導入醫療現場,卻伴隨證據不足、風險升高的治理挑戰,試圖在促進創新與確保病人安全之間建立清楚的合規框架。 該指引以臨床流程為核心,將AI使用區分為「使用前、使用中、使用後」三個階段,強調醫療人員須理解AI工具的預期用途、證據基礎與風險限制,並對所有AI產出負最終專業責任。文件特別指出,當AI工具用於診斷、治療、預測或臨床決策支持時,可能構成醫療器材,須符合澳洲醫療用品管理管理局(Therapeutic Goods Administration, TGA)的相關法規要求。 在風險治理方面,該指引明確區分規則式AI、機器學習與生成式AI,指出後兩者因輸出不確定性、資料偏誤與自動化偏誤風險較高,臨床人員不得過度依賴系統建議,仍須以專業判斷為核心。同時,文件要求醫療機構建立AI治理與監督機制,持續監測效能、偏誤與病安事件,並於必要時通報TGA或隱私主管機關。 在病人權益與隱私保護方面,指引強調知情同意與透明揭露,醫療人員須向病人說明AI使用目的、潛在風險及替代方案,並遵循《1998年隱私法》(Privacy Act 1988)對個人健康資料儲存與跨境處理的限制。澳洲此次發布之臨床AI指引,展現以臨床責任為核心、結合法規遵循與風險管理的治理取向,為各國醫療體系導入AI提供具體且可操作的合規參考。 表1 人工智慧臨床應用指引合規流程 使用前 使用中 使用後 1.界定用途與風險。 2.檢視證據與合規。 3.完備治理與告知。 1.AI輔助決策。 2.即時審查修正。 3.維持溝通透明。 1.持續監測效能。 2.標示可追溯性。 3.通報與再評估。 資料來源:AUSTRALIAN COMMISSION ON SAFETY AND QUALITY IN HEALTH CARE [ACSQHC], AI Clinical Use Guide (2025).
澳洲聯邦法院判決 Kazaa軟體的業者—Sherman Networks敗訴日前澳洲聯邦法院針對四家唱片公司 (包括Universal、Sony、Warner以及 Festival Mushroom)聯合控告提供檔案分享Kazaa軟體的業者—Sherman Networks一案作出判決。法官Murray Wilcox駁回原告聲稱Sherman Networks違反澳洲交易行為法(Trade Practices Act)以及Sherman Networks本身有從事著作權侵害的主張。但是,法官Wilcox指出Sherman Networks授權使用者侵害原告的著作權,並有鼓勵年輕人侵害著作權的情況。Sherman Networks在Kazaa網站的網頁中放置批評反對P2P軟體的唱片公司的標語--Join the Revolution,以及贊助攻擊唱片公司的文宣--Kazaa Revolution。這些標語、文宣並未明白地鼓吹使用者分享檔案,但是這會對於青少年認為以漠視唱片公司之著作權的方式來挑戰唱片公司是一件很「酷」的事情,而Kazaa的使用者多數是青少年。 法官 Wilcox判決被告必須支付90%的訴訟費用,並指出在Sherman Networks符合下列條件之一的情況下,Kazaa可以繼續營運: 1. 必須在現有的以及未來的版本中納入強制性關鍵字過濾技術 (non optional key word filter technology),並且竭盡所能地要求既有使用者將版本更新至含有此技術的版本。 2.Altnet搜尋軟體,又稱之為TopSearch,只能提供未有侵害到他人著作權之作品的清單。 除此之外,法官 Wilcox亦為本案的上訴程序設下二個條件,第一個是上訴時間最快為明年2月,上訴法院為Full Court,第二個是Kazza軟體的修改須取得法院的認可或是唱片公司的同意。
英國科學辦公室發布分佈式分類帳技術報告,提出八大建議2016年1月, 隸屬英國商業、創新和技術部 (Department for Business, Innovation and Skills,BIS)的科學辦公室(Government Office for Science)發布「分佈式分類帳技術:區塊鏈以外(Distributed Ledger Technology:beyond block chain)」研究報告。本篇報告由產官學界合作完成,主要在評估分佈式分類帳技術可以運用在哪一些公私領域,並決定政府以及私人應該採取哪些行動以促進分佈式分類帳技術可被有益運用,並避免可能帶來的傷害。 該份研究報告認為,分佈式分類帳技術可在多個領域協助政府機構,包含徵稅、提供福利、發行護照、土地登記、確保商品供應鏈並且確保政府記錄與服務的完整性。相較於其他網路系統,分佈式分類帳技術較不易受駭客攻擊,而且由於每個参與者都有一份帳簿副本,如果有惡意竄改的狀況,也可以輕易被發現,但這不表示分佈式分類帳技術就不會被駭客攻擊。 數位五國(Digital 5,D5)之一的愛沙尼亞,已多年實驗運用分佈式分類帳技術於公領域服務多年。愛沙尼亞政府透過私人公司運用分佈式分類帳技術建制「免金鑰簽名設施(Keyless Signature Infrastructure,KSI)」,KSI允許愛沙尼亞公民驗證其在政府資料庫資訊的完整性,並避免內部人透過政府網路從事非法活動。KSI確保公民資訊安全以及準確,因而可協助愛沙尼亞政府提供數位化的公司登記以及稅務服務,減少政府以及社會大眾的行政作業負擔。 除此之外,分佈式分類帳技術也有助於確保商品以及智慧財產權的所有以及出處。例如Everledger此一系統可用於確保鑽石的身分,從礦產、切割到銷售,可減少並避免欺詐以及「血鑽石」進入市場。 簡而言之,分佈式分類帳技術提供政府可減少詐欺、腐敗、錯誤以及紙上作業成本的框架,並透過資訊分享、公開透明以及信任,具有可重新定義政府與公民關係的潛力。對於私領域而言也具有同樣可能性,報告特別提出可透過分佈式分類帳技術發展「智慧契約」,可增加信任度並提高效率。據此,本報告針對政府部門提出八大建議: (1) 應成立專責部門,並與產業、學界緊密合作,並應考慮成立臨時性的專家諮詢團隊。 (2) 英國的研究社群應該要投入研究確保分佈式分類帳技術具備可即性、安全性以及內容準確性。 (3) 政府應支持為地方政府成立分佈式分類帳技術實地教學者,匯聚所有測試技術以及其運用的所需元素。 (4) 政府需要思考如何為分佈式分類帳技術建立妥適的法制框架。法規需要配合新科技應用技術的發展而進步。 (5) 政府應該與產學合作確保相關標準可以符合分佈式分類帳技術及其內容完整性、安全性以及隱私的需求。 (6) 政府應與產學合作確保最有效率以及最可用的身分認證網路協議可為個人及組織所使用,這項工作應與國際標準的發展與執行緊密連結。 (7) 政府應對分佈式分類帳技術進行試驗,以評估該項技術在公領域的可行性。 (8) 建議成立跨部門的利益群體,結合分析以及政策群體,以生成並發展潛在使用案例,並且在公民服務中提供具備知識的專家人員。 除了八大建議,管理與法制上,本報告指出分佈式分類帳技術具有兩種管理規範:法律規範以及技術規範。法律規範是「外部」規範,法律規範可能會被違反,緊接著面臨違法處罰的問題。技術規範是「內部」規範,假如違反技術規範,「錯誤(error)」產生無法運作,因此「規範」本身就可以確保會被遵循。換句話說,技術規範可以節省法律規範的執法成本。另外一方面,分佈式分類帳技術為去中心化技術,如果要以法制管理,也只能在参與者身上施加法律義務,例如Bitcoin,只能對於提供Bitcoin交易服務的平台施加法律義務。美國紐約州金融服務部所發行的比特幣交易執照BitLicnese即為一例。因此,基於去中心化的特性,報告建議政府單位應該要儘量参與技術標準的制定,並且配合技術標準制定相關法律,法律規範與技術規範兩者應該要交互影響。