美國公民權利辦公室就Sentara醫療機構違反個資外洩通知義務予以重罰
美國衛生及公共服務部(Department of Health and Human Services, 下稱HHS)轄下的公民權利辦公室(Office for Civil Right, 下稱OCR)在2019年11月27日,正式對Sentara醫療機構處以217萬美元行政罰,主因該機構違反《健康保險可攜與責任法》(Health Insurance Portability and Accountability Act, 下稱HIPAA)的醫療個資外洩通知義務。
HIPAA是美國有關醫療個資管理的主要規範,依據HIPAA第164.400條以下「違反通知規則」(Breach Notification Rule)規定,當超過500位病患的「受保護健康資訊」(Protected Health Information, 下稱PHI)遭受不當使用或被外洩時,除應通知受害人外,還必須立即告知HHS以及在當地知名媒體發布新聞。而OCR主要負責檢查受規範機構,是否確實執行HIPAA隱私、安全和違反通知規則。
而在2017年4月,HHS收到指控Sentara將含有病患姓名、帳號、就診日期等涉及PHI的帳單發送到錯誤地址,造成557名病患個資外洩。Sentara卻認為該帳單內容未含有病患病歷、治療資訊或其他診斷紀錄,且僅有8人被影響,並非HIPAA應進行個資外洩通知義務之範疇,故不依規定程序通報HHS。不過OCR認為依HIPAA第160.103條規定,PHI包含病史、保險資訊、就醫紀錄(含日期)、身心健康狀態等可識別個人之健康資訊。因此認為Sentara確實違反個資外洩通知義務,予以罰款並命檢討改善。
Sentara醫療機構服務範圍橫跨美國維吉尼亞州(Virginia)和北卡羅來納州(North Carolina),共有12家急性照護醫院、10家護理中心和3家照護機構,為美國最具知名的大型非營利醫療機構之一。這次重罰也告誡國內醫療機構當發生敏感性醫療個資外洩時應從嚴判斷,以避免民眾對醫療照護單位失去信任,確保國內醫療機構體系應恪遵HIPAA規範。
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
- 【北部場1】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場2】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場3】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場4】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【南部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【中部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
吳昌鴻
法律研究員 編譯整理
1. OCR Secures $2.175 Million HIPAA Settlement after Hospitals Failed to Properly Notify HHS of a Breach of Unsecured Protected Health Information, HHS, https://www.hhs.gov/about/news/2019/11/27/ocr-secures-2.175-million-dollars-hipaa-settlement-breach-notification-and-privacy-rules.html (last visited Dec. 3, 2019).
2. About Us, OCR, https://www.hhs.gov/ocr/about-us/index.html (last visited Dec. 3, 2019).
3. Breach Notification Rule, OCR, https://www.hhs.gov/hipaa/for-professionals/breach-notification/index.html (last visited Dec. 4, 2019).
隨著新型態支付服務應用不斷推陳出新,利用數位支付型代幣(digital payment token)進行洗錢與犯罪愈加猖獗,新加坡國會(Parliament of Singapore)於2021年1月4日通過「支付服務法修正案」(Payment Services (Amendment) Bill),擴大監管範圍,以降低與數位支付型代幣有關的洗錢、資助恐怖主義(money laundering and terrorism financing, ML/TF)及隱匿非法資產風險。 本次修正重點包含(1)賦予新加坡金融管理局(Monetary Authority of Singapore, MAS)更大權責,可要求支付服務供應商落實相關客戶保護措施,例如要求數位支付型代幣服務供應商所保管之資產與自有資產分開存放,以確保客戶資產不受損失;(2)將虛擬資產服務供應商(virtual assets service providers)納入法規監管,擴大數位支付型代幣服務定義,使其包括代幣轉讓、代幣保管服務與代幣兌換服務;(3)擴大跨境匯兌服務(cross‑border money transfer service)定義,凡是與新加坡支付服務供應商進行資金轉移,不論資金是否流經新加坡,皆受新加坡金融管理局監管;(4)擴大國內匯款服務(domestic money transfer service)範圍,以涵蓋收付雙方均為金融機構之情形。 新加坡金融管理局表示,本次修法目的是為了因應支付服務產業的廣泛應用,降低潛在犯罪風險與維護金融安全,有效保護消費者權益,並維持金融穩定性與維護貨幣政策有效性。
L'oreal v. eBay:歐盟法院判決網路平台交易業者應負商標侵權責任有關在網路販售仿冒品所透過之網路交易平台業者是否應負法律責任之問題,歐盟法院(Court of Justice of the European Union)於2011年7月12日針對L’oreal v. eBay案作出判決,認為如eBay之網路交易平台業者應為平台使用者之商標侵權行為負責。 國際知名化妝品品牌L’oreal 於2007年對eBay提出多項商標侵權之控訴,L’oreal認為eBay沒有適當的管控阻止其交易平台使用者之商標侵權行為,其包括在交易平台上販售仿冒品及非賣品,進行平行輸入販售非給歐盟市場流通之商品給位在歐盟會員國之人,以及購買網路關鍵字廣告協助交易平台使用者找到仿冒L’oreal品牌之商品,但eBay認為其適用歐盟電子商務指令(EU E-Commerce Directive)下之有關網路服務業者之免責條款。 歐盟法院之判決認為,網路交易平台業者若有扮演主動的角色,對仿冒商品之販售資料有掌控或知曉,則歐盟電子商務指令之免責條款應不適用,另外,若網路平台交易業者雖然沒有扮演主動的角色,但知道在其交易平台有商標侵權之販售行為但並沒有採取任何阻止行動,則網路平台業者也無法享有上述之免責權。同時,歐盟法院也認為各國法院應可以要求網路交易平台業者採取動作停止及防止交易平台使用者之侵權行為。
學名藥品侵權 v. 競爭法中的假訴訟Generic Drug’s Patent Infringement v. Sham Litigation in Antitrust
美國聯邦第三巡迴上訴法院於2014年時對於Takeda Pharmaceutical Co.(Takeda) v. Zydus Pharmaceuticals (Zydus) 一案判定:學名藥廠Zydus並無構成專利侵權,且原廠Takeda於本案的系爭專利並無失效[1]。惟本案的學名藥廠Zydus隨後向Takeda提起另一訴訟:Zydus聲稱該案的專利侵權訴訟是假訴訟(sham litigation)[2],亦即,Takeda 提起專利侵權訴訟之本意在於阻卻Zydus的學名藥參與市場競爭,而非旨在確認侵權事實或請求賠償。Takeda隨後提起反訴,主張美國The 1984 Hatch-Waxman Act[3]已明確賦予專利權人提起專利權侵權訴訟之權利,既有訴訟權,便無假訴訟之虞。 美國聯邦貿易委員會(Federal Trade Commission, FTC)對於上述兩藥廠間的假訴訟爭議,在2018年6月時發布法庭之友意見書(amicus brief [4]),以5-0決議呼籲本案法院應對於假訴訟爭議進行審查。本意見書指出,The 1984 Hatch-Waxman Act、競爭法、專利法或其他醫藥法規,無任何關於藥品侵權訴訟得以免除假訴訟審查之規定。再者,FTC實有權限依據豁免原則(Noerr-Pennington Doctrine)及相關判例,就主觀與客觀要件,審查相關爭訟是否為假訴訟:(1)該爭訟程序客觀上是否無理由,提出爭訟者現實上是否不期待勝訴;(2)該爭訟程序當事人主觀上是否有意利用程序,直接地干擾競爭對手的商業關係。本意見書並進一步說明,原廠Takeda所提專利權侵權訴訟,即使學名藥廠Zydus之專利侵權事實為真,惟只要Takeda行為符合假訴訟主、客觀要件,仍有可能構成假訴訟;亦即,「是否侵權」與「是否該當假訴訟」兩者之判斷是分開的。 [1] 原廠藥之英文為branded drug,指一個藥廠自研發、生產、上市,而握有專利權之藥品,通常具有強大品牌名聲、價格通常也高;學名藥廠則是待原廠藥專利權屆滿後、或以侵權之方式,而製造與原廠藥相同或相似之藥物,學名藥價格相對較低,但在安全與效用上時常有疑慮。 [2] 美國競爭法豁免原則(Noerr Pennington Doctrine)下,私人爭訟方或單位,運用爭訟或政府程序等以促進法案的通過、增進法律執行等,免除競爭法之相關責任。但該責任免除之原則下,當事人若僅是利用政府或爭訟程序作為有害市場競爭的工具,並無合法地尋求正面結果; 或該爭訟僅是純粹的假訴訟,以干擾正當商業關係或市場競爭時,無該原則免除競爭法相關責任的適用,亦即,仍須受到競爭法的檢視與求責可能。 [3] The 1984 Hatch-Waxman Act 旨在促進學名藥參進市場競爭、兼顧學名藥與原廠藥間的利益保護,並明定原廠藥與學名藥廠均有權利提起專利權合法爭訟(validity),以避免學名藥進入市場的受阻、也欲杜絕學名藥廠進行藥品侵權行為。 [4] 此指法庭意見書,乃為了釐清法律爭議或協助解釋法律等所提之文書,供參考用、不具強制法律效力,我國翻譯則稱法庭之友。
日本修訂《教育資訊安全政策指引》以建構安全的校園ICT環境日本文部科學省於2022年3月發布「教育資訊安全政策指引」(教育情報セキュリティポリシーに関するガイドライン)修訂版本,該指引於2017年10月訂定,主要希望能作為各教育委員會或學校作成或修正資訊安全政策時的參考,本次修訂則是希望能具體、明確化之前的指引內容。本次修訂主要內容如下。 (1)增加校務用裝置安全措施的詳細說明: 充實「以風險為基礎的認證」(リスクベース認証)、「異常活動檢測」(ふるまい検知)、「惡意軟體之措施」(マルウェア対策)、「加密」(暗号化)、「單一登入的有效性」(SSOの有効性)等校務用裝置安全措施內容敘述。 (2)明確敘述如何實施網路隔離與控制存取權的相關措施: 對於校務用裝置實施網路隔離措施,並將網路分成校務系統或學習系統等不同系統,若運用精簡型電腦技術(シンクライアント技術)則可於同一裝置執行網路隔離。另外,針對校務用裝置攜入、攜出管理執行紀錄,並依實務運作調整控制存取權措施,例如安全侵害影響輕微者則可放寬限制以減輕管理者負擔。