美國公民權利辦公室就Sentara醫療機構違反個資外洩通知義務予以重罰
美國衛生及公共服務部(Department of Health and Human Services, 下稱HHS)轄下的公民權利辦公室(Office for Civil Right, 下稱OCR)在2019年11月27日,正式對Sentara醫療機構處以217萬美元行政罰,主因該機構違反《健康保險可攜與責任法》(Health Insurance Portability and Accountability Act, 下稱HIPAA)的醫療個資外洩通知義務。
HIPAA是美國有關醫療個資管理的主要規範,依據HIPAA第164.400條以下「違反通知規則」(Breach Notification Rule)規定,當超過500位病患的「受保護健康資訊」(Protected Health Information, 下稱PHI)遭受不當使用或被外洩時,除應通知受害人外,還必須立即告知HHS以及在當地知名媒體發布新聞。而OCR主要負責檢查受規範機構,是否確實執行HIPAA隱私、安全和違反通知規則。
而在2017年4月,HHS收到指控Sentara將含有病患姓名、帳號、就診日期等涉及PHI的帳單發送到錯誤地址,造成557名病患個資外洩。Sentara卻認為該帳單內容未含有病患病歷、治療資訊或其他診斷紀錄,且僅有8人被影響,並非HIPAA應進行個資外洩通知義務之範疇,故不依規定程序通報HHS。不過OCR認為依HIPAA第160.103條規定,PHI包含病史、保險資訊、就醫紀錄(含日期)、身心健康狀態等可識別個人之健康資訊。因此認為Sentara確實違反個資外洩通知義務,予以罰款並命檢討改善。
Sentara醫療機構服務範圍橫跨美國維吉尼亞州(Virginia)和北卡羅來納州(North Carolina),共有12家急性照護醫院、10家護理中心和3家照護機構,為美國最具知名的大型非營利醫療機構之一。這次重罰也告誡國內醫療機構當發生敏感性醫療個資外洩時應從嚴判斷,以避免民眾對醫療照護單位失去信任,確保國內醫療機構體系應恪遵HIPAA規範。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
吳昌鴻
法律研究員 編譯整理
1. OCR Secures $2.175 Million HIPAA Settlement after Hospitals Failed to Properly Notify HHS of a Breach of Unsecured Protected Health Information, HHS, https://www.hhs.gov/about/news/2019/11/27/ocr-secures-2.175-million-dollars-hipaa-settlement-breach-notification-and-privacy-rules.html (last visited Dec. 3, 2019).
2. About Us, OCR, https://www.hhs.gov/ocr/about-us/index.html (last visited Dec. 3, 2019).
3. Breach Notification Rule, OCR, https://www.hhs.gov/hipaa/for-professionals/breach-notification/index.html (last visited Dec. 4, 2019).
包括違法下載刑罰化在內的著作權法修正草案在06月20日下午於日本參議院本會議中表決通過。違法下載刑罰化等的規定從10月01開始施行,而其它規定則從2013年01月01日開始施行。 日本政府最初於06月15日於眾議院文部科學委員會所提出的修正案為因應隨著數位化、網路化的發展而生之著作物利用態樣多元化及著作物違法利用及流通等的問題,包括 (1) 所謂「偶然入鏡」等未產生實害之著作物的非授權使用的放寬; (2) 國立國會圖書館的數化位資料自動公眾發送等的相關規定; (3) 依關於公文書等管理之法律而生的利用行為的相關規定; (4) 所謂「擷取違法化」等、關於技術面的保護手段之規定的整備等,在同委員會內獲得全員一致的表決通過。 此外,在同委員會也就自民黨、民主黨(提供兩點全名)兩黨所提出的針對「違法著作物的下載」導入刑事罰的修正案進行表決,獲得通過,並在其後的眾議院本會議中併同前述文部科學委員會所提出之修正案一併表決通過,復送交參議院進行表決。違法著作權的下載行為早在先前2009年的著作權修法時即已認為為違法化,惟一直以來並沒有罰則之規定。 在日本音樂相關權利人團體很早開始就提出了違法下載刑罰化的強烈要求,不過都沒有納入著作權法修正的相關審議會進行審議。不過,此次在權利人團體強力向以自公兩黨為首的政黨進行遊說的結果,最後通過了「兩年以下的有期徒期或20萬圓以下罰金」的修正內容,並於本次參議院本會議中表決通過成立。
英國提出通訊資料法之草案英國內政部於2012年6月提出「通訊資料法」之草案(Draft Communications Data Bill),並將於10月舉行公聽會討論。 所謂通訊資料,非指通訊內容本身之資料,而係指通訊過程中所留下的相關紀錄性資料,包括通訊帳號所有人之資料、通訊之時間、長度、來源、位置等。而目前蒐集通訊資料之用途,多半為犯罪之偵防、避免緊急危難或反恐怖活動。其所牽涉之議題重點則為向提供通訊服務之公司調閱相關資料時,該公司是否有提供之義務,及調閱機關是否有相關權限或對資料之應用是否符合調閱之目的。 此次所提出之草案,主要可分為三大部分:第一部分賦予公務機關調閱資料之權限,並規定使用該等資料過程中,相關的安全保護措施與法定程序要求。第二部分規定調閱資料所必須的法定審查流程,包括主管機關內具備權限的高階主管,應依據比例原則,決定是否可調閱資料,並在一定情況下,須經司法機關審查。另外,國務大臣應建立一定審查機制,審核各主管機關之調閱目的與調閱程序恰當與否。最後,第三部分則是有關提升審查制度運作可能性之規定,諸如明訂各個機關所享有之調閱權,以及提供郵務及電信業務經營者相當之資源以配合機關調閱資料之需求。
FCC建議調整普及服務基金以推動寬頻建設美國聯邦通訊委員會(The Federal Communications Commission, FCC)擬於3月17日向國會提出未來的國家寬頻計畫,並預計於2012年開始,調整目前用來補助電話服務的普及服務基金(Universal Service Fund),以推動高速網際網路。 美國普及服務基金的建立,原本是用以確保所有美國居民接取基本的電話網路。依目前的普及服務基金計畫,除了補助低收入居民電話服務、學校與圖書館的網際網路接取,與鄉間醫療單位的高速網路連結之外,最主要部份是對於由民營事業建設網路不符經濟效益的偏遠鄉區提供電話服務;此部份基金的預算是來自電信業者跨州與國際長途電話收益之稅收,於2010年達約為80億美元,未來將轉作推動寬頻網路之用,至於普及服務基金中的其他部份,則將繼續維持。 在FCC的計畫中,不僅在普及服務基金下設立連結美國基金(Connect America Fund)來補助寬頻服務,並將設立行動基金(Mobility Fund)發展3G無線網路。另外,FCC預計向國會提出的計畫包含多項選擇,包括在不要求國會另行增加預算下,達成在2020年99%美國家戶接取寬頻之目標,以及經由國會同意於未來三年投入額外的90億美元,以加速寬頻網路建設等方案。
何謂「證券型代幣發行(STO)」?運用區塊鏈技術發行加密貨幣(Cryptocurrency,又稱虛擬貨幣)進行募資,為當前熱門的新創募資手段之一,此種募資方式稱為首次代幣發行(Initial Coin Offering,ICO)。由於ICO過去並未受到監管,其發行也僅有發行人所撰寫的白皮書(Whitepaper)可供參考,投資人與發行人間有相當大的資訊落差,也因此導致以ICO為名的詐騙案件層出不窮。 對此各國監管機關紛紛對ICO進行分類與監管,美國證券交易委員會(SEC)即將加密貨幣區分為效用型代幣(Utility Token)與證券型代幣(Security Token),並將後者納入監管。SEC採用1946年美國聯邦最高法院在SEC v. W.J. Howey Co.案判決中所適用的標準(Howey Test),若「投資人基於對合理報酬的預期,對特定事業進行金錢的投資,且該獲利來自於他方的努力」,即屬於證券型代幣而需要受到監管。 SEC據此對涉及詐欺的ICO案件嚴格執法,並積極輔導非屬詐欺案件依法辦理註冊發行程序。證券型代幣發行(Security Token Offering,STO)即為配合SEC監管規範下,為消除過去對於ICO募資疑慮所產生的法遵解套辦法。對此我國金管會亦積極評估是否將STO的標準引進我國,惟因我國對有價證券之定義與要件,與SEC所採之Howey Test有所不同,而尚在研議當中。