澳洲隱私保護辦公室檢討實施「選擇退出機制」後對「我的健康紀錄系統」之影響
澳洲隱私保護辦公室(Office of the Australian Information Commissioner,OAIC)在2019年11月發布的「2018-2019年度健康數位資料報告」(Annual Report of the Australian Information Commissioner’s activities in relation to digital health 2018–19),主要說明澳洲政府實施「選擇退出機制」(opt-out)後,對「我的健康紀錄系統」(My Health Record System)(下稱系統)發生的影響,以及有將近1成的國民大量選擇退出系統,造成系統的醫療健康資料統計困難之檢討。
OAIC認為會發生國民大量選擇退出系統的原因,主要是不信任政府對系統資料保護及不清楚系統使用功能有關,因此提出年度報告,內容如下:
一、改善民眾對醫療資料保護的不信任,例如對醫療業者,開發保護病患隱私的指導教材,防止、外洩即時處理的能力。
二、加強宣傳,例如開發線上資源、影音等,讓民眾在使用系統時能有更清楚認識,且對選擇退出有更明確的認知。
三、改進系統設計,讓民眾能更清楚的看見使用說明,也能隨時掌握在系統上的資訊、設置警報提醒來防止他人侵入、也增加取消功能使資料達到永久刪除的效果。
建置該系統之目的,是因為國家有蒐集與使用國民的醫療健康資料需求,國民也能使用系統查看醫療紀錄、藥物過敏紀錄、曾使用與正在使用的藥物、血液檢查等;醫療人員也能透過醫療資料之電子化,減少重複及不必要的醫療檢查、對症下藥、避免因過敏引起的反應等,將醫療資源做有效的運用。
系統建置是依據「我的健康紀錄法」(My Health Records Act 2012)第三章第一節註冊規定,要將國民的醫療健康資料納入系統,但不願意加入者,得選擇退出系統。而澳洲政府依據此法訂定選擇退出機制,2018年7月正式實施,要求全民強制加入系統,同時開放選擇退出機制,讓不願意加入系統的國民能選擇退出系統;選擇退出機制截止日期原先在2018年10月中旬,但在國民大量反應下,澳洲政府決定延至2019年1月底;在選擇退出機制的實施截止後,OAIC在2019年11月對選擇退出機制做出檢討報告,期望能透過檢討報告提出的建議來增強民眾對系統的信任與促進系統使用率。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
洪詠雯
副法律研究員 編譯整理
OAIC annual report on digital health, OAIC, Nov. 11 , 2019, https://www.oaic.gov.au/updates/news-and-media/oaic-annual-report-on-digital-health (last visited Feb. 03 , 2020)
What is My Health Record? ,OAIC, https://www.myhealthrecord.gov.au/for-you-your-family/what-is-my-health-record (last visited Dec. 03, 2019)
OAIC, Annual Report of the Australian Information Commissioner’s Activities in Relation to Digital Health 2018–19,(2019) https://www.oaic.gov.au/about-us/our-corporate-information/annual-reports/digital-health-annual-reports/annual-report-of-the-australian-information-commissioners-activities-in-relation-to-digital-health-2018-19/(last visited Dec. 11, 2019)
My Health Record opt-out period extended to 31 January 2019, ADHA, NOV. 14, 2018, https://www.myhealthrecord.gov.au/news-and-media/my-health-record-stories/opt-out-period-extended-january-2019(last visited Dec. 11, 2019)
Gov.au, My Health Records Act 2012,(2012) https://www.legislation.gov.au/Details/C2017C00313(last visited Dec. 16, 2019)
ADHG,2018-19 Australian Digital Health Agency Annual Report,(2019) https://www.digitalhealth.gov.au/about-the-agency/publications/reports/annual-report/Annual_Report_Australian_Digital_Health_Agency_2018-2019_Online.pdf (last visited Dec. 11, 2019)
2015年8月24日,美國第三巡迴法院做出判決,宣告美國聯邦貿易委員會(the Federal Trade Commission, FTC)本於聯邦貿易委員會法第5章(Section 5 of the Federal Trade Commission Act)之規定,對於侵害個人資料隱私及未盡資料保護安全責任的相關案件有管轄權。未來若經FTC認定有違反資料安全規定的事實,該委員會針對企業違法事實的判定將產生法律效力。 案件起因於2008年及2009年間,飯店集團Wyndham Worldwide Corporation共遭到3次駭客入侵,導致大約60萬筆的客戶資料外洩。FTC介入調查並指控Wyndham Hotels內部缺乏資訊安全管理控制措施才會造成資料被駭客入侵,使客戶權益受損。Wyndham Hotels不服並上訴,表示FTC只有提供企業資料安全保護措施的建議權,無權決定企業是否違反相關法令。Wyndham Hotels還主張FTC並沒有告知該公司何謂正當利用個人資料的判斷標準。 第三巡迴法院駁回Wyndham Hotels提出的2點主張。在此判決中,第三巡迴法院確立了FTC除了有一般建議權外,也有權對於企業利用個人資料的方式、以及企業是否有盡到資料安全保護責任進行監督與管理。另外,第三巡迴法院也表示Wyndham Hotels無權要求FTC提供逐條釋義。換句話說,FTC僅需負一般性的告知義務。 此判決大幅擴張FTC監督管理企業資料安全保護措施的權力,對於廣大個人資料本人而言,可說是一大保障。
美國聯邦交易委員會延展紅旗規則之施行日美國聯邦交易委員會(Federal Trade Commission,FTC)因應眾議院之要求,再次延展了紅旗規則(Red Flags Rule)之施行日,目前將由原先預定之2009年11月1日,延後至2010年6月1日施行。此規則最初預計於2008年11月1日施行,此次已是第四次延展。 所謂紅旗規則,原為「公平與正確信用交易法(Fair and Accurate Credit Transactions Act)」中之規定,依該法眾議院指示美國聯邦交易委員會及相關部門制定法規,用以規範金融機構及授信單位降低身分盜用之風險。基於此一指示,金融機構及授信單位必須研擬防止身分盜用的方案。詳言之,紅旗規則係要求凡管理使用包括性帳戶(covered account)者都應研擬並執行防止身分盜用之書面計劃。所謂的包括性帳戶係指:1.用於多次消費計算用途之帳戶,如信用卡帳戶、汽車貸款帳戶、手機帳戶、支票帳戶等;2.所有預期會產生身分盜用風險的帳戶,並不僅指於金融機構中所設立之帳戶。而前述應研擬之計畫將用以協助確認、偵測並解決身分盜用之行為。 由於只要用於支付計算,或有可能產生身分盜用風險之帳戶,均為包括性帳戶,而用於支付會計師款項之帳戶亦包含在內。惟美國會計師協會(American Institute of Certified Public Accountants, AICPA)要求FTC免除註冊會計師適用紅旗規則,該協會執行長Barry Melancon認為:「我們很在意紅旗規則的廣泛應用,因為我們並不認為當CPA之客戶付款時,會產生相當的身分冒用風險。」他指出該紅旗規則所帶來之負擔已超過其風險。AICPA並要求各州會計師協會去函對FTC表達排除適用之意見。而Melancon贊同FTC延後適用紅旗原則之決定,其並認為紅旗規則並無須廣泛運用於會計業,因為作為值得信賴的顧問,會計師對於其客戶應該都很熟悉,也會要求對身分資訊採取嚴格的隱私保護標準。 為了推動紅旗規則之適用,FTC已於紅旗規則之官方網站提供了該規則之適用綱領,並以座談會之方式對各團體進行運用之培訓。同時以出版企業之應用綱領,大量之文宣及宣導短片,對民眾提供諮詢服務等方式推廣紅旗規則。 而司法實務界對於此一規則之適用範圍亦開始表達其見解,在2009年10月30日,哥倫比亞地方法院判決律師業不適用紅旗規則。不過此次的延展施行公告並不會影響相關案件的進行及上訴流程,也不會影響其他聯邦部門對於金融機構及授信單位的監督。
AT&T 控告資料掮客非法竊取客戶通話紀錄AT&T 在 8 月 24 日 控告 25 個販賣資料的掮客( data broker ),在其訴狀中指出大約有 2500 個客戶的個人紀錄被非法竊取, AT & T 已通知相關客戶已被通知並凍結其帳戶。 AT&T 並未於訴狀中明確地列出被告的名字,表示目前必須利用電腦郵件以及電腦 IP 位址來確認被告為哪些人, AT&T 宣稱一旦這些資料掮客經鑑定被確認後,除了賠償 AT&T 的損害之外,還須償還其販賣資料所獲得的不法利益。 PrivacyToday.com 網站的總裁表示,「買資料的人無處不在,但只有少數的人會非法竊取客戶資料,而這少部分的人大多都可以被追蹤的到。」 這並非唯一的案例,未來將會有越來越多相似的問題產生。被竊取的資料不僅僅只有電話紀錄,還有銀行、醫療或其他個人敏感資料,每分每秒都有人在想著如何取到私密資料並從中獲得不法利益。目前州及聯邦已經考慮立法,將有關電話紀錄的欺騙行為判定為不法行為。
美國參議員力推再生能源投資稅額扣抵法案為鼓勵再生能源科技研發之投入,並確保美國人民能持續享有穩定之電力供給來源,同時增加更多的工作需求機會,美國參議員相繼於今年10月31日和11月10日提出Make it in America Tax Credit Act, S. 1764和Storage Technology for Renewable and Green Energy(STORAGE) Act, S. 1845兩個再生能源投資稅額扣抵法案。 在當今清潔能源技術(clean energy technology)之研發重要性與日俱增的趨勢下,為活絡與刺激美國清潔能源製造產業的成長,美國參議員期待透過S.1764這項法案的通過,額外投注美金5億元於先進製造者稅額扣抵計畫(Advanced Manufacturers Tax Credit program),進而達成強化清潔能源產業發展之目的,同時提供美國境內相關產業市場更多工作機會。另外,為克服再生能源如太陽能和風力等發電方式所具有的不確定性(如風力未達可發電標準等),如何儲存此類綠色能源之技術研發乃為現今各界戮力強化的領域。為集結並鼓勵更多研發資源投注於能源儲存系統(energy storage systems)的研發,美國參議員乃進而提出STORAGE Act,提供以下兩項優惠措施,包括:1. 能源製造商於投入與電網相關之能源儲存系統研發時,得享有20%之投資稅額扣抵(investment tax credit, ITC),其最高上限為美金4億元;2. 裝設商業和家用儲存系統時,得享有30%的投資稅額扣抵,其最高上限為美金1百萬元。 儘管目前上述兩法案仍於美國參議院財政委員會(Senate Finance Committee)進行法案審查,然而在各界對於能源產業儲存技術之提升與促進產業發展的期盼、法案所能帶來更穩定的電力供給與有效儲存再生能源等誘因之下,委員會的審查結果確實已引起各界的關注與期待。