美國公民權利辦公室就Sentara醫療機構違反個資外洩通知義務予以重罰
美國衛生及公共服務部(Department of Health and Human Services, 下稱HHS)轄下的公民權利辦公室(Office for Civil Right, 下稱OCR)在2019年11月27日,正式對Sentara醫療機構處以217萬美元行政罰,主因該機構違反《健康保險可攜與責任法》(Health Insurance Portability and Accountability Act, 下稱HIPAA)的醫療個資外洩通知義務。
HIPAA是美國有關醫療個資管理的主要規範,依據HIPAA第164.400條以下「違反通知規則」(Breach Notification Rule)規定,當超過500位病患的「受保護健康資訊」(Protected Health Information, 下稱PHI)遭受不當使用或被外洩時,除應通知受害人外,還必須立即告知HHS以及在當地知名媒體發布新聞。而OCR主要負責檢查受規範機構,是否確實執行HIPAA隱私、安全和違反通知規則。
而在2017年4月,HHS收到指控Sentara將含有病患姓名、帳號、就診日期等涉及PHI的帳單發送到錯誤地址,造成557名病患個資外洩。Sentara卻認為該帳單內容未含有病患病歷、治療資訊或其他診斷紀錄,且僅有8人被影響,並非HIPAA應進行個資外洩通知義務之範疇,故不依規定程序通報HHS。不過OCR認為依HIPAA第160.103條規定,PHI包含病史、保險資訊、就醫紀錄(含日期)、身心健康狀態等可識別個人之健康資訊。因此認為Sentara確實違反個資外洩通知義務,予以罰款並命檢討改善。
Sentara醫療機構服務範圍橫跨美國維吉尼亞州(Virginia)和北卡羅來納州(North Carolina),共有12家急性照護醫院、10家護理中心和3家照護機構,為美國最具知名的大型非營利醫療機構之一。這次重罰也告誡國內醫療機構當發生敏感性醫療個資外洩時應從嚴判斷,以避免民眾對醫療照護單位失去信任,確保國內醫療機構體系應恪遵HIPAA規範。
- 零售業個資保護及資訊安全教育講習
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
吳昌鴻
法律研究員 編譯整理
1. OCR Secures $2.175 Million HIPAA Settlement after Hospitals Failed to Properly Notify HHS of a Breach of Unsecured Protected Health Information, HHS, https://www.hhs.gov/about/news/2019/11/27/ocr-secures-2.175-million-dollars-hipaa-settlement-breach-notification-and-privacy-rules.html (last visited Dec. 3, 2019).
2. About Us, OCR, https://www.hhs.gov/ocr/about-us/index.html (last visited Dec. 3, 2019).
3. Breach Notification Rule, OCR, https://www.hhs.gov/hipaa/for-professionals/breach-notification/index.html (last visited Dec. 4, 2019).
SZ DJI Technology Co.和DJI Europe B.V.(下簡稱DJI)來自中國,是世界上最大的無人機製造商,DJI向加州中區聯邦地區法院起訴科技新興公司Yuneec Intemational Co.Ltd.和Yuneec Usa Inc.(下簡稱Yuneec)涉嫌侵害其跟踪移動目標系統,和可拆卸支架360度攝影機鏡頭的兩項專利,且請求法院發布禁制令,以阻止進一步銷售,並請求損害賠償。 這兩項專利,一為美國專利編號9164506“跟踪移動目標系統”,一旦遠端操作員指定了目標,無人機會自動跟蹤並保持相機拍攝目標;另一個專利為美國專利編號9280038,可讓無人機的照相機旋轉360度進行拍攝,並連接到分離的手持式攝像機,DJI強調公司多年來為開發該產品投注相當的時間和資源。 總部位於香港的Yuneec在一月的消費電子展(Consumer Electronics Show)上引起轟動,Yuneec使用GPS感知技術避免危險區域如機場,媒體於消費展後的報導稱Yuneec的無人駕駛飛機已經威脅到DJI市場上的地位。 Yuneec在5月25日向加州中區聯邦地區法院提起反訴認為其無侵權,並表示目標跟踪是一個抽象的概念不能以此申請專利,“跟踪是一個古老的概念” Yuneec的代表律師威爾遜表示,“該506專利並不是要揭露新的跟踪技術,相反的它只是描述並使用眾所周知的無人機的跟踪技術“。而另項專利可拆卸的支架360度攝影機鏡頭,如GoPros已有類似的產品,甚至遠比DJI的產品還早之前。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
淺析英國建築能源效率政策—Green Deal之融資運作政策研究 日本提出設置沙盒制度的法律修正案日本內閣府於2018年3月13日閣議決定,提出「國家戰略特別區域法」的法律修正案,以特定的地域為限,創設供自駕車、無人載具等技術測試與實踐運行之用的沙盒制度。 該法案為使這些前所未有、具高度革新性的近未來技術用於實地測試時,在確保監督管道的前提下,能獲得迅速、具彈性且友善的法律環境配合,將上開技術測試運行的事前管制強度降至最低,而以強化事後查核機制取代之,期望藉此增進產業的國際競爭力,並建立國際性經濟活動據點。 依該法案的設計,將因沙盒制度而受惠的技術實踐行為類型,包含下列五種:(1)部分未符合道路運送車輛法第41條技術基準要求的汽車運行;(2)自駕車運行而似會影響一般交通之情形;(3)在具影響一般飛航安全之虞的空域內、或在住宅密集地區上空令無人機飛行之行為;(4)未依照航空法所定之列舉方式運行無人機之行為;(5)因上開(1)至(4)之行為而必須使用無線設備的情形。 於現行法的規範下,上開技術測試行為本係牴觸法規範而不被允許、或需依各該特別法規定於個案例外取得許可或使用執照的情形。 但經沙盒制度修正案的調整後,該些測試行為只要是在經國家戰略特別區域會議制定、且受內閣總理大臣等相關機關主管認可的個別技術實證區域計劃之框架下提出,並交由獲得認定的業者進行,即可例外容許其得以不須滿足(1)當中的法定技術基準要求,或直接擬制其已獲得許可;此外,就必須使用無線設備的情況,要求總理大臣盡速發給執照予符合資格的業者。 於事後查核機制,則在區域會議設置由第三方組成的技術實證評價委員會,對各該區域計劃進行評價。
美國新一代公共安全無線寬頻的應用公共安全和國土安全局(PSHSB)局長傑米.巴尼特(Jamie Barnett)於2011年3月16日與美國聯邦通訊傳播委員會(Federal Communication Commission)分別先後宣示將更近一步加強國家寬頻計畫(The National Broadband Plan)中寬頻通訊科技在公共安全層面的應用。其具體落實在成立國家級的緊急反應互動中心(The Emergency Response Interoperability Center, ERIC)。該中心利用700 MHz頻段成立全國性的公眾安全無線網絡。 促進公共安全無線寬頻通訊的使用,是公共安全和國土安全局最主要的任務。透過建立互動式公共安全寬頻無線技術的操作框架,使警察、消防及緊急醫療人員可使用到最先進的數位式寬頻通訊技術。配備可在任何時間、地點即時傳輸資訊的薄型智慧電話,替代傳統上所使用的對講機。 其次為發展下一代的911通報網絡。目前大約70%的911通話來自手機,可是大多數的911電話通報中心,並沒有配備可接收目前主流行動通訊使用者所傳送的簡訊、電子郵件、視訊或照片的設備。新一代的查詢通知系統(Notice of Inquiry,NOI)可取代傳統的電話,使公眾透過先進的通訊科技獲得緊急救助。雖然精確定位裝置並不在整個系統之中,但通過行動通訊業者所提供的數據,仍可定位需救助者的方位。 美國將寬頻通訊科技落實在公共安全層面的應用,將有助於其提升整體緊急救護的效率。