防疫也須防弊!美國加州檢察總長針對醫療照護機構遭受勒索軟體攻擊提出適當措施與事故通報指引
由於近日頻傳醫院遭受勒索軟體攻擊(ransomware attacks),美國加州檢察總長於2021年8月24日發布官方公告(bulletin):在加州州法「醫療資訊保密法」(Confidentiality of Medical Information Act, CMIA)與聯邦法「健康保險可攜與責任法」(Health Insurance Portability and Accountability Act of 1996, HIPAA)規範下,蒐集、處理和利用醫療健康資料的醫療照護機構,有採取適當措施與事故通報的義務,以維護醫療健康資料保密性。
針對「採取適當措施」的內容,美國加州檢察總長於本次官方公告中,提出明確指引(guidance):醫療照護機構須至少採取下列5項防範措施(preventive measures),以避免勒索軟體威脅:
- 確保所有存取醫療健康資料的作業系統與軟體,均升級至最新版本;
- 安裝防毒軟體,並維護其運作;
- 定期為員工舉辦教育訓練,包含教導員工不要點擊可疑網址和防範釣魚電子郵件(phishing email);
- 限制員工下載、安裝和運作未經批准的軟體;
- 維護和定期測試資料備份與救援計畫,以便於事故發生時,控制對資料和系統的影響範圍及程度。
此外,針對「資料外洩事故通報義務」(breach notification obligations),美國加州檢察總長指出:依據「加州民法」(California Civil Code)第1798.82條,擁有或經授權使用含有個人資料的「電腦化資料」(computerized data)的醫療照護機構,於發生,或可合理確信發生,影響超過500位加州居民的資料外洩事故時,即負有將該事故通報檢察總長辦公室的義務。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
李宗儒
副法律研究員 編譯整理
STATE OF CALIFORNIA DEPARTMENT OF JUSTICE OFFICE OF THE ATTORNEY GENERAL, Attorney General Rob Bonta Calls for Full Compliance with State Health Data Privacy Laws, Aug. 24, 2021, https://oag.ca.gov/news/press-releases/attorney-general-rob-bonta-calls-full-compliance-state-health-data-privacy-laws (last visited Sep. 16, 2021).
STATE OF CALIFORNIA DEPARTMENT OF JUSTICE OFFICE OF THE ATTORNEY GENERAL, BULLETIN: Obligation to Proactively Reduce Vulnerabilities to Ransomware Attacks and Requirements Regarding Health Data Breach Reporting, Aug. 24, 2021, https://oag.ca.gov/system/files/attachments/press-docs/2021AUG24%20Ransomware%20Bulletin.pdf (last visited Sep. 16, 2021).
Jill McKeon, CA Attorney General Calls Out Unreported Healthcare Data Breaches, HEALTHITSECURITY, Aug. 27, 2021, https://healthitsecurity.com/news/ca-attorney-general-calls-out-unreported-healthcare-data-breaches (last visited Sep. 16, 2021).
CYBERSECURITY AND INFRASTRUCTURE SECURITY AGENCY [CISA], Alert (AA20-302A) Ransomware Activity Targeting the Healthcare and Public Health Sector, Oct. 28, 2020, https://us-cert.cisa.gov/ncas/alerts/aa20-302a (last visited Sep. 16, 2021).
邱曉麗,〈加州消費者隱私保護法修正法案重點說明〉,資策會科技法律研究所,2021/03,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=180&d=8630&no=64(最後瀏覽日:2021/09/16)。
詹世榕,〈美國衛生暨福利部於09年8月公布關於醫療資訊外洩通知義務之暫行最終規則〉,資策會科技法律研究所,2009/11,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=40&d=3167&no=64(最後瀏覽日:2021/09/16)。
美國國會於2021年3月9日提出「2021年儲能稅制獎勵及設置法草案」(Energy Storage Tax Incentive and Deployment Act of 2021, H.R.1684),擬擴大投資稅額抵減制度(Investment Tax Credit)之適用範圍。有鑑於現行投資稅額抵減制度並不包含儲能設備,然儲能設備對於再生能源發展又具有重要地位,故為獎勵儲能設備之設置,同時輔助再生能源發展,美國國會遂提出前揭草案,並修正美國1986年國內稅收法(Internal Revenue Code of 1986, 26 U.S. Code)§48(a)(3)(A)(vii)以及§25D(a)規定,擬將投資稅額抵減制度擴張及於儲能設備,亦即,未來如草案通過後,不論是發電業者或用電戶只要有合乎規範設置儲能設備,即可適用投資稅額抵減制度,並依照其投資於儲能設備之額度抵減所得稅。 依照美國1986年國內稅收法,現行美國投資稅額抵減制度主要是依照發電業者或用電戶「開始設置再生能源發電設備之時點」以及「設置成本」給予不同程度之所得稅抵減,如發電業者或用電戶越早開始設置再生能源發電設備,發電業者或用電戶可申請抵減所得稅之額度則越高,最高可達該再生能源發電設備成本之30%;反之,如開始設置的時間越晚,則可申請抵減所得稅之額度則越低。舉例言之,如申請人於2020年1月1日以前開始設置再生能源發電設備,而於2024年1月1日前將再生能源發電設備投入營運,此時可申請抵減所得稅之額度可達該再生能源發電設備成本之30%,反之,如為2021年間開始設置,而於2024年1月1日前將再生能源發電設備投入營運,此時可申請抵減所得稅之額度僅有該再生能源發電設備成本之22%。 依美國國家稅務局(Internal Revenue Service, IRS)「針對投資稅額抵減制度施工起點標準」行政函釋(Beginning of Construction for the Investment Tax Credit),有兩種判定再生能源發電設備有開始設置之標準,其一為「物理工作物標準」(Physical Work Test),其二為「5%成本支出標準」(Five Percent Safe Harbor),申請人只要符合任一標準,即可被認定有開始再生能源發電設備設置之行為。於「物理工作物標準」下,只要該再生能源發電設備之重要基礎零件已開始組裝,即可被認定為已經有再生能源發電設備設置的行為;於「5%成本支出標準」下,只要申請人已經支出該再生能源發電設備成本之5%,即可被認定有開始再生能源發電設備設置之行為。但不論以上開何種標準,申請人都必須有不中斷且持續進行設置之事實,始可被認定為其開始設置再生能源發電設備的時間點較早,而申請抵減較多之所得稅,否則即有可能被認定開始設置的時間點較晚,而僅得申請抵減較少之所得稅。
網際網路交換中心業務於我國電信法上定位之探討 從美國PayPal經驗與歐盟支付服務指令論我國第三方支付服務之現狀與未來 歐盟執委會發布「民用、國防與航太產業之協同行動計畫」,強調前瞻技術的產業研發協作與成果運用歐盟執委會(European Commission)於2021年2月22日發布「民用、國防與航太產業之協同行動計畫」(Action Plan on Synergies between Civil, Defence And Space Industries),作為進一步加強歐盟前瞻科技與和相關基礎產業的行動方針。這也是歐盟首次以歐盟防禦基金(European Defence Fund)策畫補助民用、國防與航太產業領域中具有泛用性及破壞式潛力的前瞻科技(例如雲端、處理器、網路、量子和人工智慧等),以強化歐盟創新能力。 該行動計畫之目標為:(1)the synergies(協作):強化歐盟相關計畫與研究工具的互補性,使其得以涵蓋研究(research)、開發(development)和部署(deployment)三個區塊,並增加投資效益和成果有效性;(2)the spin-offs(衍生企業):本行動計畫鼓勵國防投資以促進國防研究衍生企業,使國防和太空的創新研究成果得以作為民用,持續發展相關技術;(3)the spin-ins(內部創新):前瞻領域的創新往往來自新創事業、中小企業和民間科研機構,因此本行動計畫促進歐洲各國國防合作計畫執行時運用民用產業創新研發成果,避免重複研究耗費資源。 為達到前述目標,該行動計畫臚列11個民用、國防與航太產業共同協作行動,並可綜整為四大方向:(1)創建框架以加強歐盟在相關計畫和研究工具間的協同作用和互惠(cross-fertilisation),例如在數位、雲端和處理器等產業領域建立共通框架;(2)關鍵技術(critical technologies)開發應確保系統一致,包含初步確認關鍵技術與未來相容性要求、進一步共同確認技術發展藍圖、最後確定旗艦計畫(flagship projects)間應減少依賴性並增加標準化和互操作性(interoperability),同時促進跨境與跨域合作;(3)建立創新孵化器(innovation incubator)網路支持新創事業、中小企業和科研機構(Research & Technology Organisation, RTO)的創新;(4)發展三大旗艦計畫,分別為無人機技術(drone technologies)、以航太為架構的安全連結技術(space-based secure connectivity)、以及太空交通管理技術(space traffic management),並藉由計畫發展相關產業使歐盟成為改變世界規則之領導者。 此外,該行動計畫雖然目前僅限於使用在歐盟級計畫和研究工具,但也可能積極影響並觸發歐盟各國仿效類似行動,進一步影響歐盟境外合作夥伴共同支持該行動。