美國公民權利辦公室就Sentara醫療機構違反個資外洩通知義務予以重罰
美國衛生及公共服務部(Department of Health and Human Services, 下稱HHS)轄下的公民權利辦公室(Office for Civil Right, 下稱OCR)在2019年11月27日,正式對Sentara醫療機構處以217萬美元行政罰,主因該機構違反《健康保險可攜與責任法》(Health Insurance Portability and Accountability Act, 下稱HIPAA)的醫療個資外洩通知義務。
HIPAA是美國有關醫療個資管理的主要規範,依據HIPAA第164.400條以下「違反通知規則」(Breach Notification Rule)規定,當超過500位病患的「受保護健康資訊」(Protected Health Information, 下稱PHI)遭受不當使用或被外洩時,除應通知受害人外,還必須立即告知HHS以及在當地知名媒體發布新聞。而OCR主要負責檢查受規範機構,是否確實執行HIPAA隱私、安全和違反通知規則。
而在2017年4月,HHS收到指控Sentara將含有病患姓名、帳號、就診日期等涉及PHI的帳單發送到錯誤地址,造成557名病患個資外洩。Sentara卻認為該帳單內容未含有病患病歷、治療資訊或其他診斷紀錄,且僅有8人被影響,並非HIPAA應進行個資外洩通知義務之範疇,故不依規定程序通報HHS。不過OCR認為依HIPAA第160.103條規定,PHI包含病史、保險資訊、就醫紀錄(含日期)、身心健康狀態等可識別個人之健康資訊。因此認為Sentara確實違反個資外洩通知義務,予以罰款並命檢討改善。
Sentara醫療機構服務範圍橫跨美國維吉尼亞州(Virginia)和北卡羅來納州(North Carolina),共有12家急性照護醫院、10家護理中心和3家照護機構,為美國最具知名的大型非營利醫療機構之一。這次重罰也告誡國內醫療機構當發生敏感性醫療個資外洩時應從嚴判斷,以避免民眾對醫療照護單位失去信任,確保國內醫療機構體系應恪遵HIPAA規範。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
吳昌鴻
法律研究員 編譯整理
1. OCR Secures $2.175 Million HIPAA Settlement after Hospitals Failed to Properly Notify HHS of a Breach of Unsecured Protected Health Information, HHS, https://www.hhs.gov/about/news/2019/11/27/ocr-secures-2.175-million-dollars-hipaa-settlement-breach-notification-and-privacy-rules.html (last visited Dec. 3, 2019).
2. About Us, OCR, https://www.hhs.gov/ocr/about-us/index.html (last visited Dec. 3, 2019).
3. Breach Notification Rule, OCR, https://www.hhs.gov/hipaa/for-professionals/breach-notification/index.html (last visited Dec. 4, 2019).
英國2017年數位經濟法(Digital Economy Act 2017)已於2017年4月27日經英國國會通過,該法第四章規範智慧財產權,其中第34條條文內容意旨係公共廣電服務(Public Service Broadcaster)對其經轉播之內容享有著作財產權,任何欲轉播公共廣電服務內容之有線電視平臺將不得無償轉播,應交付授權金。 在舊法之架構下,英國1988年著作、設計及專利法(Copyright, Design and Patents Act 1988)第73條免除有線電視平臺轉播公共廣電服務內容所生之著作權侵權之責任。舉例而言,維珍集團旗下的電視媒體(Virgin Media)若轉播英國獨立電視臺ITV之節目,因不涉著作權侵權,故毋庸給付授權金。該條之立法目的原係為扶持80年代後有線電視發展之政策目標,然現今因多頻道、衛星數位電視,甚至是網路平臺持續蓬勃發展,該條文已相對過時,故透過2017年數位經濟法將該條文刪除。 英國公共廣電服務業者如BBC、Channel 4和ITV近年來大力倡導並遊說此立法政策,強調大多數的英國原創節目都是由其產出,主張有線電視平臺應當給付合理的轉播授權金,始能支持公共廣電服務業者持續為英國民眾帶來高品質的節目內容。惟,考量部分公共廣電服務業者與有線電視平臺之關係,如維珍媒體是ITV之大股東,往後公共廣電服務是否能有足夠的議價能力收取到合理的授權金,抑或反而造成英國民眾須支出更多節目費用,值得關注。
美國專利商標局(USPTO)針對「第三人先前技術意見書(Preissuance Submissions)提呈制度」發布最終規則USPTO日前針對「第三人先前技術意見書提呈制度」,於7月17日發布最終規則( Final Rules)。此項規則的頒佈,主要是因應2011年9月「Leahy-Smith 美國發明法案」(Leahy-Smith America Invents Act,簡稱AIA)的修法,所為的配套措施。 所謂「第三人先前技術意見書提呈制度」是指:賦予第三人權利,得於專利審查程序中提供專利審查員相關先前技術文獻,作為審查核駁之參考。美國在2011年討論AIA修法之際,大多肯定此制度可提升專利審查之品質,因而修法放寬了第三人可提呈的文獻類型、期限。而本次USPTO發布的最終規則,便以此修正為背景,進一步具體說明相關程序適用規則,主要包括: (1)可提呈的文獻包含專利案、已公開的專利申請案、及其他與審查核駁相關並已公開之文獻;但不包含法院機密文件、商業機密文件及其他內部未公開之訊息;(2)第三人得利用USPTO現有的電子申請系統(EFS-Web)申請;(3)第三人得保持匿名,例如透過律師提呈文獻;(4)縱使USPTO駁回其申請,第三人仍可在法定期限內重新提交新的申請;(5)提呈之文獻如為外文文獻,第三人須提供英文翻譯本。 如同2011年修訂通過的「Leahy-Smith 美國發明法案」,此次USPTO所頒布的最終規則亦將於2012年9月16日起施行。預計將擴大第三人提呈先前技術意見書之比例,但對於專利申請人將造成甚麼影響,值得持續觀察。
論智慧科技裝置之法律問題—美國資訊隱私法制變革與發展 美國紐約東區聯邦地區法院裁定加密貨幣屬商品交易法中的大宗商品美國商品期貨交易委員會(Commodity Futures Trading Commission ,CFTC) 在2015年09月宣布將比特幣等加密貨幣歸類為美國商品交易法(Commodity Exchange Act ,CEA)中的大宗商品(commodity),與黃金、原油或小麥的歸類一樣,受到委員會的監管,範圍包含在衍生商品契約(derivatives contract)中使用比特幣,或在州際貿易中使用比特幣為詐欺或人為操作(manipulation),自此CFTC開始追查從事加密貨幣衍生商品交易行為,卻沒有註冊的公司。 2018年01月時CFTC起訴Coin Drop Markets公司和其執行長Patrick K. Mcdonnell利用經營加密貨幣期權投資顧問公司,向投資人行銷若接受其投資建議將可獲得200%以上的報酬,卻從未於收取顧客諮詢費後提供任何諮詢服務,並接著關閉公司網站與社群媒體,該公司亦未向CFTC申請註冊,違反美國商品交易法。 對此美國紐約東區聯邦地區法院(Eastern District of New York)的法官Jack Weinstein於2018年03月06日裁定,認定加密貨幣屬市場交易時能保有一致的品質與價值的貨品(goods),具有價值保存(store of value)、金融交易(monetary exchange)的特質,且價格跟大宗商品一樣隨著人們的需求而有起伏變動,符合商品交易法對「商品」包含有形與無形的貨品、服務、權力與利益等的廣泛定義。 由於加密貨幣屬於商品交易法的適用對象,CFTC可對涉及衍生商品市場與現貨市場(Spot Market)的詐欺或操縱行為進行監管。基於以上理由,法院同意CFTC對Coin Drop Markets公司和執行長Patrick K. Mcdonnell的預防性禁制令(preliminary injunction)請求,禁止其繼續參與大宗商品交易。