防疫也須防弊!美國加州檢察總長針對醫療照護機構遭受勒索軟體攻擊提出適當措施與事故通報指引

  由於近日頻傳醫院遭受勒索軟體攻擊(ransomware attacks),美國加州檢察總長於2021年8月24日發布官方公告(bulletin):在加州州法「醫療資訊保密法」(Confidentiality of Medical Information Act, CMIA)與聯邦法「健康保險可攜與責任法」(Health Insurance Portability and Accountability Act of 1996, HIPAA)規範下,蒐集、處理和利用醫療健康資料的醫療照護機構,有採取適當措施與事故通報的義務,以維護醫療健康資料保密性。

  針對「採取適當措施」的內容,美國加州檢察總長於本次官方公告中,提出明確指引(guidance):醫療照護機構須至少採取下列5項防範措施(preventive measures),以避免勒索軟體威脅:

  1. 確保所有存取醫療健康資料的作業系統與軟體,均升級至最新版本;
  2. 安裝防毒軟體,並維護其運作;
  3. 定期為員工舉辦教育訓練,包含教導員工不要點擊可疑網址和防範釣魚電子郵件(phishing email);
  4. 限制員工下載、安裝和運作未經批准的軟體;
  5. 維護和定期測試資料備份與救援計畫,以便於事故發生時,控制對資料和系統的影響範圍及程度。

  此外,針對「資料外洩事故通報義務」(breach notification obligations),美國加州檢察總長指出:依據「加州民法」(California Civil Code)第1798.82條,擁有或經授權使用含有個人資料的「電腦化資料」(computerized data)的醫療照護機構,於發生,或可合理確信發生,影響超過500位加州居民的資料外洩事故時,即負有將該事故通報檢察總長辦公室的義務。

相關連結
相關附件
你可能會想參加
※ 防疫也須防弊!美國加州檢察總長針對醫療照護機構遭受勒索軟體攻擊提出適當措施與事故通報指引, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8732&no=55&tp=1 (最後瀏覽日:2026/07/17)
引註此篇文章
你可能還會想看
英國政府推動Midata計畫,促進智慧商業創新及跨產業應用

  近來國際間許多國家投入智慧商業及智慧消費之發展,為兼顧保障個人資料權利前提下,鼓勵產業界從事商業創新,英國商務創新技術部(Department for Business, Innovation & Skills)於2013年7月宣布促成「Midata創新實驗計畫平台」(midata innovation lab),由英國政府、企業界、消費者團體、監管機構和貿易機構共同組成,此為示範性自律性組織,參與之業者/機構於應消費者要求(consumer’s request)情形下,將所擁有消費者資料,特別是交易資料(transaction data),以電子形式及機器易讀取形式(electronic, machine readable format)對「我的資料」(Midata)體系公開(release);並且,將可更便利消費者利用這些資料瞭解自己的消費行為,在購買產品和服務時可以做出更為明智的選擇。   英國商務創新技術部係於2011年4月,開始提出所謂「Midata計畫」:於「更好選擇;更好交易環境;提昇消費者權力」政策(Providing better information and protection for consumers),宣示推動「Midata計畫」,作為提昇資訊力量(power of information)重要策略。為積極推動,「Midata計畫」,並協助產業界能有更詳細遵循指引,於2012年7月公告「Midata政府產業諮詢報告」(midata: government response to the 2012 consultation),同年12月出版「Midata隱私影響評估報告」 (midata: privacy impact assessment report)。   為配合上述政策施行,由產業界、組織、政府機構所共同組成的「Midata創新實驗計畫平台」(midata innovation lab),已開始展開運作。此平台認為,近來越來越多實務情形證明,個人資料對於企業而言已被視為日漸重要的資產,並且未來將成為提供更個人化、多元化之產品服務之重要基礎。倘若能在確保消費者個人資料相關權利之前提下,促成產業界積極投入發展,以「我的資料(Midata)創新實驗計畫」為運作平台,對於企業所持有個人資料,兼顧企業與消費者原則共同獲益,將可因應趨勢取得商業先機。   以英國商務創新技術部規劃政策,前期試行推動先以「核心產業」(core sectors)(金融產業、電信產業、能源產業)為導入適用,待實施具一定成效後,將延伸推廣至其他產業領域(non-core sectors),而後也將由現行初期以產業自律性參與計畫模式,進展至以法令規範強制實施的階段。

歐盟法院同意嬌蘭口紅外盒設計可註冊為商標

  2021年7月14日歐盟普通法院裁定時尚品牌GUERLAIN法國嬌蘭(簡稱嬌蘭)口紅外盒形狀可註冊為商標。   嬌蘭於2018年針對其口紅外盒設計向歐盟智慧財產局(簡稱EUIPO)提出商標申請,EUIPO審查認為申請的商標缺乏識別性特徵並駁回申請;嬌蘭進而向EUIPO提出上訴,其上訴委員會維持該決定,理由為口紅立體形狀外盒設計與時尚產業領域的其他產品沒有“顯著差異”。   在上訴中,歐盟普通法院裁定EUIPO上訴委員會的決定無效。法院將嬌蘭的口紅設計與最常見的圓柱口紅形狀、平行六面體形狀進行比較,並指出嬌蘭申請的口紅外盒設計與市面上其他品牌之口紅外觀設計有明顯不同,認為該口紅外盒設計具有顯著特徵。   最終,歐盟普通法院說明判斷商標是否具有顯著性,不應該以商標在相關商品和服務所屬領域具有獨創性或未使用為依據;此外,僅僅立體形狀的新穎性和美觀特徵為主觀看法,不足以得出具有獨特性的結論,因為決定性的標準是該立體形狀可顯現出商品或服務來源的能力。同時,歐盟普通法院重申相關判定標準是嬌蘭口紅外盒立體設計方式以類似於船、搖籃或倒置金條的獨特形狀組成,明顯與時尚產業固有的口紅外盒的圓柱、平行六面體形狀設計規範和習慣大相徑庭,並且相關形狀特徵設計足以讓相關消費者藉以區辨服務來源。   在時尚品牌產業,商標本身通常不能成為區分品牌產品的唯一方式,尤其是當一個品牌提供多樣化的產品時更是難以認定具有獨特性。本案普通法院對立體形狀商標顯著特徵的認可無疑將為希望可保護其產品顯著設計元素的時尚品牌帶來曙光。 「本文同步刊登於TIPS網站(https://www.tips.org.tw)」

雲端運算所涉法律議題

  雲端運算(Cloud Computing),是一種基於網際網路的運算方式,用以共享軟硬體資源、依需求提供資訊給電腦和其他裝置。本質上其實就是分散式運算 Distributed Computing,其主要應用是讓不同的電腦同時協助你處理運算,故只要具備兩台以上電腦,讓他們之間互相溝通,協助您處理工作,就是基本的分散式運算。   雲端運算是繼1980年代大型電腦到用戶端-伺服器的大轉變之後的又一種巨變。使用者不再需要了解「雲端」中基礎設施的細節,不必具有相應的專業知識,也無需直接進行控制。雲端運算概念下描繪了一種基於網際網路而新增加的新興IT服務、使用和交付模式,藉由網際網路來提供各種不同的資源、服務功能而且經常是虛擬化的。 「雲端運算」供應模式以及實用定義如下: ‧ 軟體服務化 (SaaS):透過網際網路存取雲端的應用程式 (例如:Salesforce.com、趨勢科技 HouseCall)。 ‧ 平台服務化 (PaaS):將客戶開發的應用程式部署到雲端的服務 (例如:Google AppEngine 與 Microsoft Azure)。 ‧ 基礎架構服務化 (IaaS):有時亦稱「公用運算」(Utility Computing),意指處理器、儲存、網路以及其他資源的租用服務 (例如:Amazon 的 EC2、Rackspace 以及 GoGrid)。   雲端運算服務所涉及的法律議題相當廣泛,包含隱私權、個人資料保護、資料管轄權、契約責任、智慧財產權保護與營業秘密等。在隱私權問題方面,使用者的隱私或機密風險,乃至權利義務狀態會因為雲端供應商所提供之服務與隱私權政策(privacy policy)而有顯著不同,也可能因為資訊型態或雲端運送使用者類型不同而有差異。在雲端運算服務契約方面,發生資訊安全事件導致資料失竊或毀損時,供應商責任或注意義務如何於契約中合理分配風險,亦是契約方面重要議題。

OTT服務所涉網路中立性與著作權議題之比較分析-美國與歐盟之新近法制及對我國之建議

TOP