防疫也須防弊!美國加州檢察總長針對醫療照護機構遭受勒索軟體攻擊提出適當措施與事故通報指引
由於近日頻傳醫院遭受勒索軟體攻擊(ransomware attacks),美國加州檢察總長於2021年8月24日發布官方公告(bulletin):在加州州法「醫療資訊保密法」(Confidentiality of Medical Information Act, CMIA)與聯邦法「健康保險可攜與責任法」(Health Insurance Portability and Accountability Act of 1996, HIPAA)規範下,蒐集、處理和利用醫療健康資料的醫療照護機構,有採取適當措施與事故通報的義務,以維護醫療健康資料保密性。
針對「採取適當措施」的內容,美國加州檢察總長於本次官方公告中,提出明確指引(guidance):醫療照護機構須至少採取下列5項防範措施(preventive measures),以避免勒索軟體威脅:
- 確保所有存取醫療健康資料的作業系統與軟體,均升級至最新版本;
- 安裝防毒軟體,並維護其運作;
- 定期為員工舉辦教育訓練,包含教導員工不要點擊可疑網址和防範釣魚電子郵件(phishing email);
- 限制員工下載、安裝和運作未經批准的軟體;
- 維護和定期測試資料備份與救援計畫,以便於事故發生時,控制對資料和系統的影響範圍及程度。
此外,針對「資料外洩事故通報義務」(breach notification obligations),美國加州檢察總長指出:依據「加州民法」(California Civil Code)第1798.82條,擁有或經授權使用含有個人資料的「電腦化資料」(computerized data)的醫療照護機構,於發生,或可合理確信發生,影響超過500位加州居民的資料外洩事故時,即負有將該事故通報檢察總長辦公室的義務。
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
- 【北部場1】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場2】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場3】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場4】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【南部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【中部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
李宗儒
副法律研究員 編譯整理
STATE OF CALIFORNIA DEPARTMENT OF JUSTICE OFFICE OF THE ATTORNEY GENERAL, Attorney General Rob Bonta Calls for Full Compliance with State Health Data Privacy Laws, Aug. 24, 2021, https://oag.ca.gov/news/press-releases/attorney-general-rob-bonta-calls-full-compliance-state-health-data-privacy-laws (last visited Sep. 16, 2021).
STATE OF CALIFORNIA DEPARTMENT OF JUSTICE OFFICE OF THE ATTORNEY GENERAL, BULLETIN: Obligation to Proactively Reduce Vulnerabilities to Ransomware Attacks and Requirements Regarding Health Data Breach Reporting, Aug. 24, 2021, https://oag.ca.gov/system/files/attachments/press-docs/2021AUG24%20Ransomware%20Bulletin.pdf (last visited Sep. 16, 2021).
Jill McKeon, CA Attorney General Calls Out Unreported Healthcare Data Breaches, HEALTHITSECURITY, Aug. 27, 2021, https://healthitsecurity.com/news/ca-attorney-general-calls-out-unreported-healthcare-data-breaches (last visited Sep. 16, 2021).
CYBERSECURITY AND INFRASTRUCTURE SECURITY AGENCY [CISA], Alert (AA20-302A) Ransomware Activity Targeting the Healthcare and Public Health Sector, Oct. 28, 2020, https://us-cert.cisa.gov/ncas/alerts/aa20-302a (last visited Sep. 16, 2021).
邱曉麗,〈加州消費者隱私保護法修正法案重點說明〉,資策會科技法律研究所,2021/03,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=180&d=8630&no=64(最後瀏覽日:2021/09/16)。
詹世榕,〈美國衛生暨福利部於09年8月公布關於醫療資訊外洩通知義務之暫行最終規則〉,資策會科技法律研究所,2009/11,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=40&d=3167&no=64(最後瀏覽日:2021/09/16)。
美國白宮於2024年5月23日公開呼籲採取行動以打擊利用AI生成性影像,及未經當事人同意傳播真實影像的性虐待行為。此次呼籲源自白宮「解決線上騷擾與虐待問題工作小組」(Task Force to Address Online Harassment and Abuse)相關行動、總統第14110號行政命令-「安全、可靠且可信任之AI開發及利用」(Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence),以及尖端AI公司自願管理AI風險之承諾(Voluntary AI Commitments)。 白宮指出,迄今為止生成式AI已淪為性虐待的主要工具,同時,涉及未經同意散布或威脅散布私人性影像,亦將對受害者造成嚴重的心理傷害。白宮呼籲相關利害關係人透過自願性承諾,預防與減輕性虐待影像之影響,如: (1)阻止性虐待影像獲利: 對於從事性虐待影像業務的網站或應用程式,支付平臺與金融機構可限制或拒絕對其提供支付服務。 (2)停止創建深偽性虐待影像 : 對於可透過AI生成性影像之網路服務或應用程式,雲端服務供應商與應用程式商店得減少此類網路服務或應用程式運作。此外,應用程式商店可要求應用程式開發人員採取措施,防止使用者製作非經當事人同意的AI生成性影像。 (3)防止散播性虐待影像: 應用程式與作業系統開發人員可啟用技術保護措施,以保護數位裝置上儲存之內容,防止未經當事人同意分享其影像。 (4)支援並參與為受害者提供有效補救措施之服務: 平臺與利害關係人可選擇與相關組織合作,使性虐待影像受害者可輕鬆且安全地從線上平臺中刪除未經同意之內容。此外,白宮亦呼籲國會修訂於2022年重新授權之「婦女暴力防制法」(Violence Against Women Act Reauthorization),延續並加強原有法律保護效力,同時為AI生成之性虐待影像的受害者提供關鍵援助資源。
何謂「ERIC」?為加強歐盟及各成員國的研究基礎設施合作,從發展政策方面,於2002年成立「歐洲研究基礎設施策略論壇」(European Strategy Forum on Research Infrastructures, ESFRI)協助各會員國統籌規劃RIs(Research Infrastructures, RIs)的發展藍圖。在法律層面,於2009年通過「第723/2009號歐盟研究基礎設施聯盟法律架構規則」(COUNCIL REGULATION (EU) No 723/2009 of 25 June 2009 on the Community legal framework for European Research Infrastructure Consortium (ERIC),使各歐盟會員國、夥伴國家、非夥伴國家之第三國家或跨政府國際組織等對於分散的RIs整合起來後,可向歐盟執委會提出申請,依該號規則取得法律人格,成立「歐盟研究基礎設施聯盟」(European Research Infrastructure Consortium, ERIC),且可為權利得喪變更之主體,更可與他方簽訂契約或成為訴訟當事人,使其具有自我經營管理之能力。 截至目前為止(2015年9月),歐盟的RIs正式成立11個ERIC,並且透過國際間合作將RIs做更有效率之使用。國際上近年來創新研發競爭激烈,歐盟執委會為了持續推動建置世界級歐洲研究區域(European Research Area, ERA),無論在資金面、政策面及法律層面均有積極作為,在強化歐盟RIs同時促進國際科技研發合作,俾使歐盟於研發創新的領域保持世界領導之地位,歐盟未來仍會持續推動各個重要研發領域的ERIC,ERIC對於整合歐盟各國重大RIs負有重要使命。
歐洲創新委員會發布2022年影響力報告,總結近年投資創新領域取得之成效歐洲創新委員會發布2022年影響力報告,總結近年投資創新領域取得之成效 資訊工業策進會科技法律研究所 2023年03月13日 歐洲創新委員會(European Innovation Council, EIC)於2022年12月7日發布「2022年歐洲創新委員會影響力報告」(European Innovation Council Impact report 22)[1],展示歐盟執委會近年投資百億歐元預算於創新領域之成效。 壹、事件摘要 歐洲創新委員會為基於EU「展望歐洲」(Horizon Europe)計畫所成立之機構,而「展望歐洲」計畫則為資助歐盟研究創新之主要計畫,其預算高達955億歐元,而歐洲創新委員會亦擁有101億歐元之預算,其主要任務在於從整個生命週期支持突破性創新技術之商業化,包括早期研發、概念驗證、技術移轉、新創與小型企業之融資與規模化[2],其所發布之「2022年歐洲創新委員會影響力報告」即為總結近年協助創新領域之成效。 一、歐洲創新委員會之資助項目 歐洲創新委員會秉持創新、卓越與發揮影響力之原則,藉由支援創新鏈上之每個階段,支援歐洲研究團隊與新創公司之創造性想法,其主要任務為確認、發展與擴大突破性創新。歐洲創新委員會所提供之資金與協助機會包括下列項目[3]: 1.EIC探路者(EIC Pathfinder):支持深度技術研發,支持研究團隊研究、或開發新興突破性技術,其提供超過15億歐元之資金,其主要關注跨學科及前瞻性技術,其同時開放所有領域亦針對特定挑戰提供資助。 2.EIC轉型者(EIC Transition):以有前景之研究成果為基礎,展示技術以及促進新興技術之成熟,並為特定應用制定商業計畫,將想法從實驗室帶到產業界。 3.EIC加速器(EIC Accelerator):於EIC加速器中設有EIC基金(EIC Fund),其有義務投資透過EIC加速器評估程序(EIC Accelerator evaluation process)所選出之新創企業與小公司,可以純粹股權(equity-only)之方式或贈款與股權(grant and equity)混和之方式提供財務資助,並將重組為另類投資基金(Alternative Investment Fund, AIF),期將成為歐洲最大規模之早期深度科技投資者,並期利用100億歐元之資金吸引私人投資者而創造出300至500億歐元之槓桿效應,投資決策將由外部另類投資基金經理人來進行與管理。 4.業務加速服務(Business Acceleration Services):所有EIC支持之項目與公司皆可獲得指導、合作與其他客製化業務加速服務;其藉由四項主要計畫使公司與研究人員得以與企業、投資者、買家、加速器、創意工作室(venture builders)進行連結,包括:企業夥伴計畫、創新採購夥伴計畫、投資者夥伴計畫、學界與業界之連結。 5.歐洲創新生態系統(European Innovation Ecosystems):支持使生態系統參與者能於整個歐洲開展合作。 6.EIC獎勵(EIC Prizes):鼓勵歐洲領先之創新者接受挑戰相互競爭獎項。 二、歐洲創新委員會之資助成效[4] 於2022年歐洲創新委員會影響力報告中指出,於2014至2021年已資助503個EIC探路者項目,而從2019至2020年已有55個EIC移轉者項目將研究成果成立衍生公司(spinout)與帶來商業化機會。於歐洲創新委員會支持下之公司就業成長達44%,於無形資產投資(包括研發投資、智財權、商譽)成長109%,有形資產投資成長67%,資金流動性提高140%,孕育出12家獨角獸公司(Unicorn)與112家半人馬公司(Centau),受支持之公司估值超過400億美元。通過EIC基金為個別新創企業與小公司提供資金投資支持且發展其規模之結果,於2014至2021年已支持超過1600家新創企業與小公司,其所支持之公司超過4成之成立期間介於6-10年間。 此外,EIC提供多項措施促進與支持女性企業家與研究員,例如提出EU科技女性計畫(Women TechEU)、女性領導者計畫(Women Leadership Programme)、提供女性創新者EU獎項(EU Prize for Women Innovators)等,這些措施施行之結果,於2020與2021年期間,於EIC加速器所資助之公司有20%為女性所領導,EIC探路者中由女性所領導之項目也達到24%,且三分之一的研究人員為女性。 貳、重點說明 由2022年歐洲創新委員會影響力報告中可發現,擁有百億歐元預算之歐洲創新委員會就各項目資助之成效斐然,非但順利推動實驗室之突破性技術商業化,帶動新創公司林立、孕育多家獨角獸與半人馬公司,促進就業成長、有形與無形資產投資踴躍投入、公司估值提升,同時亦兼顧性別平等,促進女性研究人員進入新創事業並成為領導者。 參、事件評析 由2022年歐洲創新委員會影響力報告中可知,過去幾年歐洲創新委員會透過不同項目之資助,已取得相當不錯的成績,而歐洲創新委員會並不以目前取得之成就為限,仍繼續探究以不同方式協助突破性技術商業化之各種可能。例如其於2023年1月25日即與歐洲潔淨科技(Cleantech for Europe)簽署加強合作意向書,其可使雙方更系統化分享潔淨科技交易流(deal flow),且可共同合作於對於歐洲潔淨科技生態系之分析,藉此有助於被投資公司擴大其規模,且更瞭解市場需求所在,同時對於融資優先順序發生影響,並將可使公共與私人投資者增強對於潔淨科技之支持,促進潔淨科技之規模化,而將可使歐盟成為未來數十年氣候與工業之領導者[5];此外其亦於2023年2月21日宣布啟動EIC技術至市場計畫(EIC Tech to Market Programme, T2M),內涵包括EIC「技術至市場創業家精神計畫」(Tech to Market Entrepreneurship),提供培訓與發展課程,藉以幫助創業之研究者獲取開發深度科技之關鍵知識,且提供建立價值與可行商業模式之支持;以及「技術至市場風險創建模式計畫」(Tech to Market Venture Building)以客製化、靈活方式來支持利用研究成果建立新企業,協助新創產業包括從確認有前景之商業概念至風險投資創建與發展等服務,期能協助EIC探路者(EIC Pathfinder)與EIC轉型者(EIC Transition)度過將技術從實驗室轉化至市場之歷程[6]。我國近年來政府亦積極投入新創產業之推動,歐洲創新委員會各種協助新創產業之作法,如區分項目資助、擴大合作範圍、提供客製化課程等方式,或皆可作為我國未來參考之依據。 [1]EIC Impact report 2022, European Innovation Council, Dec. 7, 2022, https://eic.ec.europa.eu/news/eic-impact-report-2022-2022-12-07_en (last visited Mar. 13, 2023). [2]Who we are, European Innovation Council, https://eic.ec.europa.eu/about-european-innovation-council_en (last visited Mar. 13, 2023). [3]EIC Funding opportunities, https://eic.ec.europa.eu/eic-funding-opportunities_en (last visited Mar. 13, 2023). [4]EIC impact report 2022, European Innovation Council, Dec. 6, 2022, https://eic.ec.europa.eu/system/files/2023-02/2022-EIC-Impact-Report-141222.pdf (last visited Mar. 13, 2023). [5]European Innovation Council and Cleantech for Europe sign partnership to accelerate funding for EU clean technologies, European Innovation Council, Jan. 25, 2023, https://eic.ec.europa.eu/news/european-innovation-council-and-cleantech-europe-sign-partnership-accelerate-funding-eu-clean-2023-01-25_en (last visited Mar. 13, 2023). [6]The European Innovation Council launches Tech to Market Entrepreneurship & Venture Building Programme, European Innovation Council, Feb. 21, 2023, https://eic.ec.europa.eu/news/european-innovation-council-launches-tech-market-entrepreneurship-venture-building-programme-2023-02-21_en (last visited Mar. 13, 2023).
歐盟法院判決在歐盟境內網路下載出售之電腦軟體適用權利耗盡原則說明歐盟法院(Court of Justice of the European Union)於2012年7月3日對於UsedSoft GmbH v. Oracle International Corp.案作出判決,判定電腦程式法律保護指令(Directive 2009/24/EC of the European Parliament and the Council of 23 April 2009 on the legal protection of computer programs)第1條第2款規定,指令適用於任何形式的電腦程式,第4條第2款進一步說明,指令對於電腦程式的保護不區分實體載具(例如CD或DVD)或網路下載,均有權利耗用原則(exhaustion right)或稱第一次銷售原則(first sale doctrine)的適用。授權人的權利在第一次出售軟體並換以價金時即耗盡,權利轉移至被授權人。因此,在歐盟境內網路下載購買無限期專屬授權的數位軟體之被授權人,可將所有的軟體再出售,而在歐盟境內不受授權條款中「權利不可移轉」等文字的限制。不過,被授權人再出售軟體時必須不可再使用該軟體,歐盟法院允許軟體提供商利用類似產品金鑰(product keys)的保護技術管理其權利。