美國公民權利辦公室就Sentara醫療機構違反個資外洩通知義務予以重罰
美國衛生及公共服務部(Department of Health and Human Services, 下稱HHS)轄下的公民權利辦公室(Office for Civil Right, 下稱OCR)在2019年11月27日,正式對Sentara醫療機構處以217萬美元行政罰,主因該機構違反《健康保險可攜與責任法》(Health Insurance Portability and Accountability Act, 下稱HIPAA)的醫療個資外洩通知義務。
HIPAA是美國有關醫療個資管理的主要規範,依據HIPAA第164.400條以下「違反通知規則」(Breach Notification Rule)規定,當超過500位病患的「受保護健康資訊」(Protected Health Information, 下稱PHI)遭受不當使用或被外洩時,除應通知受害人外,還必須立即告知HHS以及在當地知名媒體發布新聞。而OCR主要負責檢查受規範機構,是否確實執行HIPAA隱私、安全和違反通知規則。
而在2017年4月,HHS收到指控Sentara將含有病患姓名、帳號、就診日期等涉及PHI的帳單發送到錯誤地址,造成557名病患個資外洩。Sentara卻認為該帳單內容未含有病患病歷、治療資訊或其他診斷紀錄,且僅有8人被影響,並非HIPAA應進行個資外洩通知義務之範疇,故不依規定程序通報HHS。不過OCR認為依HIPAA第160.103條規定,PHI包含病史、保險資訊、就醫紀錄(含日期)、身心健康狀態等可識別個人之健康資訊。因此認為Sentara確實違反個資外洩通知義務,予以罰款並命檢討改善。
Sentara醫療機構服務範圍橫跨美國維吉尼亞州(Virginia)和北卡羅來納州(North Carolina),共有12家急性照護醫院、10家護理中心和3家照護機構,為美國最具知名的大型非營利醫療機構之一。這次重罰也告誡國內醫療機構當發生敏感性醫療個資外洩時應從嚴判斷,以避免民眾對醫療照護單位失去信任,確保國內醫療機構體系應恪遵HIPAA規範。
- 零售業個資保護宣導暨座談會
- 零售業個資保護及資訊安全教育講習
- 零售業個資保護及資訊安全教育講習
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
吳昌鴻
法律研究員 編譯整理
1. OCR Secures $2.175 Million HIPAA Settlement after Hospitals Failed to Properly Notify HHS of a Breach of Unsecured Protected Health Information, HHS, https://www.hhs.gov/about/news/2019/11/27/ocr-secures-2.175-million-dollars-hipaa-settlement-breach-notification-and-privacy-rules.html (last visited Dec. 3, 2019).
2. About Us, OCR, https://www.hhs.gov/ocr/about-us/index.html (last visited Dec. 3, 2019).
3. Breach Notification Rule, OCR, https://www.hhs.gov/hipaa/for-professionals/breach-notification/index.html (last visited Dec. 4, 2019).
為妥適管理中國幹細胞醫療產業,中國衛生部下令停止未經許可之幹細胞臨床研究和應用行為,並展開為期一年的幹細胞臨床研究和應用規範整頓工作。此期間分為「自查自糾」、「重新認證」和「規範管理」等階段。中國衛生部及國家食品藥品監督管理局(以下簡稱食品藥品監管局)辦公室於今年(2012年)1月6日發布一份名為《關於發展幹細胞臨床研究和應用自查自糾工作的通知》之部門規章,明白揭示於「自查自糾」階段各省、自治區及直轄市之衛生廳局及食品藥品監督管理局應如何辦理。 該通知中要求全國各級各類從事幹細胞臨床研究及應用之醫療機構及相關研究單位應依照《藥物臨床實驗質量管理規範》及《醫療技術臨床應用管理辦法》之規範進行自查自糾工作,如實總結並填寫幹細胞臨床研究和應用自查情況調查表,報告已完成或刻正進行之幹細胞臨床研究和應用活動;另外一方面,中國衛生部及食品藥品監管局及各省、自治區及直轄市將分別組成工作領導小組及工作組,制定自查自糾工作方案。針對尚未經批准之幹細胞臨床研究和應用,於通知文件中明白揭示應予停止;已經批准者,亦不得任意變更臨床試驗方案,或自行變更為醫療機構收費項目。值得注意者,為整頓對幹細胞臨床研究及應用之管理,並研擬符合國內需求之管理機制,直至今年7月1日前,相關主管機關將不受理任何申報項目。 中國截至目前為止,尚未針對幹細胞技術之臨床實驗或應用做成法規或政策,僅適用一般性藥品法規,相較於國際間先進國家屬相對鬆散。中國衛生部及食品藥品監管局於近日做成之通知文件顯示了中國政府開始對於幹細胞臨床實驗及應用之規範面向有所重視,針對其後續衍生之管理規範值得我們持續追蹤關切。
何謂日本「促進整合產官學共同研究的大學概況調查書」?「促進整合產官學共同研究的大學概況調查書(産学官共同研究におけるマッチング促進のための大学ファクトブック)」為日本經濟產業省與文部科學省所共同設置的「促進創新產官學對話會議」議定後向外提出,期待藉此使企業更容易理解大學的產官學合作現狀,進一步實現正式的產官學連攜活動。 該概況調查書的先行版中收集整理了各大學整合產官學連攜的實績等資訊,2018年發布的正式版則統整日本327所大學的情報,擴充並更新了該概況調查書的內容,包含:1.產學連攜相關的聯絡窗口資訊等;2.產官學連攜活動的配套方針與往後期待重點化的事項;3.產學連攜之本部機能的相關情報;4.面向正式共同研究的配套措施,如平均交涉期間、跨領域型共同研究;5.各大學之專精領域及其實例;6.資金、資產及智慧財產相關連的持有使用狀況;7.大學發起的創投事業數及其支援體制;8.混合僱用制度的狀況。
美國國會提出法案,使儲能設備享有投資稅額抵減美國國會於2021年3月9日提出「2021年儲能稅制獎勵及設置法草案」(Energy Storage Tax Incentive and Deployment Act of 2021, H.R.1684),擬擴大投資稅額抵減制度(Investment Tax Credit)之適用範圍。有鑑於現行投資稅額抵減制度並不包含儲能設備,然儲能設備對於再生能源發展又具有重要地位,故為獎勵儲能設備之設置,同時輔助再生能源發展,美國國會遂提出前揭草案,並修正美國1986年國內稅收法(Internal Revenue Code of 1986, 26 U.S. Code)§48(a)(3)(A)(vii)以及§25D(a)規定,擬將投資稅額抵減制度擴張及於儲能設備,亦即,未來如草案通過後,不論是發電業者或用電戶只要有合乎規範設置儲能設備,即可適用投資稅額抵減制度,並依照其投資於儲能設備之額度抵減所得稅。 依照美國1986年國內稅收法,現行美國投資稅額抵減制度主要是依照發電業者或用電戶「開始設置再生能源發電設備之時點」以及「設置成本」給予不同程度之所得稅抵減,如發電業者或用電戶越早開始設置再生能源發電設備,發電業者或用電戶可申請抵減所得稅之額度則越高,最高可達該再生能源發電設備成本之30%;反之,如開始設置的時間越晚,則可申請抵減所得稅之額度則越低。舉例言之,如申請人於2020年1月1日以前開始設置再生能源發電設備,而於2024年1月1日前將再生能源發電設備投入營運,此時可申請抵減所得稅之額度可達該再生能源發電設備成本之30%,反之,如為2021年間開始設置,而於2024年1月1日前將再生能源發電設備投入營運,此時可申請抵減所得稅之額度僅有該再生能源發電設備成本之22%。 依美國國家稅務局(Internal Revenue Service, IRS)「針對投資稅額抵減制度施工起點標準」行政函釋(Beginning of Construction for the Investment Tax Credit),有兩種判定再生能源發電設備有開始設置之標準,其一為「物理工作物標準」(Physical Work Test),其二為「5%成本支出標準」(Five Percent Safe Harbor),申請人只要符合任一標準,即可被認定有開始再生能源發電設備設置之行為。於「物理工作物標準」下,只要該再生能源發電設備之重要基礎零件已開始組裝,即可被認定為已經有再生能源發電設備設置的行為;於「5%成本支出標準」下,只要申請人已經支出該再生能源發電設備成本之5%,即可被認定有開始再生能源發電設備設置之行為。但不論以上開何種標準,申請人都必須有不中斷且持續進行設置之事實,始可被認定為其開始設置再生能源發電設備的時間點較早,而申請抵減較多之所得稅,否則即有可能被認定開始設置的時間點較晚,而僅得申請抵減較少之所得稅。
英國資訊委員會將開始調查網站使用cookie是否取得同意根據歐盟隱私暨通訊保護指令(Privacy and Electronic Communications Directive)之規定,網站使用cookies時,應取得當事人之同意。英國於2011年5月,修正其隱私暨電子通訊規則(Privacy and Electronic Communication Regulations,PECR)將歐盟指令納入法律,並給予網站營運者一年之寬限期,更改網站設定以符合新規範。前述寬限期已於2012年5月26日屆至,目前已有320個網站,透過英國資訊委員會(ICO)的線上申報工具,向委員會提出報告,但尚未有任一網站受到稽查。 英國資訊委員會(ICO)指出,目前專案團隊已組成,最快將於9月份開始進行調查。專案團隊未來除針對網站使用cookies是否取得同意進行調查外,亦會針對隱私暨電子通訊規則(Privacy and Electronic Communication Regulations,PECR)規範之電子行銷以及垃圾郵件規範進行稽查。一旦網站經調查不符合法律要求,資訊委員會可處以最高500,000英鎊之罰款。