防疫也須防弊!美國加州檢察總長針對醫療照護機構遭受勒索軟體攻擊提出適當措施與事故通報指引

  由於近日頻傳醫院遭受勒索軟體攻擊(ransomware attacks),美國加州檢察總長於2021年8月24日發布官方公告(bulletin):在加州州法「醫療資訊保密法」(Confidentiality of Medical Information Act, CMIA)與聯邦法「健康保險可攜與責任法」(Health Insurance Portability and Accountability Act of 1996, HIPAA)規範下,蒐集、處理和利用醫療健康資料的醫療照護機構,有採取適當措施與事故通報的義務,以維護醫療健康資料保密性。

  針對「採取適當措施」的內容,美國加州檢察總長於本次官方公告中,提出明確指引(guidance):醫療照護機構須至少採取下列5項防範措施(preventive measures),以避免勒索軟體威脅:

  1. 確保所有存取醫療健康資料的作業系統與軟體,均升級至最新版本;
  2. 安裝防毒軟體,並維護其運作;
  3. 定期為員工舉辦教育訓練,包含教導員工不要點擊可疑網址和防範釣魚電子郵件(phishing email);
  4. 限制員工下載、安裝和運作未經批准的軟體;
  5. 維護和定期測試資料備份與救援計畫,以便於事故發生時,控制對資料和系統的影響範圍及程度。

  此外,針對「資料外洩事故通報義務」(breach notification obligations),美國加州檢察總長指出:依據「加州民法」(California Civil Code)第1798.82條,擁有或經授權使用含有個人資料的「電腦化資料」(computerized data)的醫療照護機構,於發生,或可合理確信發生,影響超過500位加州居民的資料外洩事故時,即負有將該事故通報檢察總長辦公室的義務。

相關連結
相關附件
你可能會想參加
※ 防疫也須防弊!美國加州檢察總長針對醫療照護機構遭受勒索軟體攻擊提出適當措施與事故通報指引, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8732&no=55&tp=1 (最後瀏覽日:2026/07/13)
引註此篇文章
你可能還會想看
愛看Meme的網友們注意了!歐盟新著作權指令「迷因禁令」(Meme Ban)

  歐盟數位單一市場著作權指令(Directive on Copyright in the Digital Single Market 2016/0280,簡稱COD)中最具爭議性的草案為第13條,被稱為「上傳過濾器」(upload filter),其課予如YouTube、Facebook 及Twitter等內容產業業者,具有防止著作權侵權內容於其平臺被上傳與分享之責任,故平臺須以有效的內容辨識科技(effective content recognition technologies)對所有使用者的上傳內容進行監督與審查,因此又被稱為「迷因禁令」(Meme Ban)。據此,所有二次創作內容均會被禁止上傳於平臺。   所謂「謎因(Meme)」在牛津字典被定義為「具幽默本質並可迅速被複製、散布於網路使用者間,且通常會輕微改作的圖片、影片或文本等(An image, video, piece of text, etc., typically humorous in nature, that is copied and spread rapidly by Internet users, often with slight variations.)」。不少公開平臺甚至以提供觀看、上傳Meme為主要內容,如國際知名Meme網站- 9GAG。若該法通過,對這些大量分享二創內容的網路平臺,將造成全面性的衝擊;此外,也有不少平臺巨頭如YouTube的CEO針對這項草案發出將侵害人權與言論和創作的憂心建言。   該草案自2016年提出歷經歐洲議會多次表決,預定於明年(2019)元月進行最終表決,這個極具爭議性的條款未來將如何發展,是否即將翻轉現有網路二創環境值得關注,社群網路也已經發展出#SaveYourInternet的主題標籤,呼籲大眾的重視。

2022年日本公布平台資料處理規則實務指引1.0版

  日本數位廳(デジタル庁)與內閣府智慧財產戰略推進事務局(内閣府知的財産戦略推進事務局)於2022年3月4日公布「平台資料處理規則實務指引1.0版」(プラットフォームにおけるデータ取扱いルールの実装ガイダンス ver1.0,簡稱本指引)。建構整合資料提供服務的平台,將可活用各種資料,並創造新價值(如提供個人化的進階服務、分析衡量政策效果等),為使平台充分發揮功能,本指引提出平台實施資料處理規則的六大步驟: 識別資料應用價值創造流程與確認平台角色:掌握從產生資料,到分析資料創造使用價值,再進一步提供解決方案的資料應用價值創造流程,以確認平台在此流程中扮演的角色。 識別風險:掌握利害關係人(如資料提供者與使用者等)顧慮的風險(如資料未妥適處理、遭到目的外使用等疑慮)。 決定風險應對方針:針對掌握的風險,決定規避、降低、轉嫁與包容等應對方針。 設定平台資料處理政策與對利害關係人說明之責任(アカウンタビリティ):考量資料處理政策定位,擬定內容,並向利害關係人進行說明。 設計平台使用條款:依據「PDCA循環」重複執行規則設計、運作與評估,設計平台使用條款。 持續進行環境分析與更新規則:持續分析內部與外部因素可能面臨的新風險,並更新平台資料處理規則。

美國士兵曼寧因向「維基解密」網站洩漏國家外交及軍事情報而遭起訴22項罪名

  美國的情報分析員一等兵布蘭德利.曼寧(Brandly Manning),被控訴22項包括通敵罪、非法取得並散布外交及軍事機密的文件給「維基揭密」網站等妨害國家安全罪名,現被拘禁在馬里蘭州的米德堡。     曼寧一審由軍事法院審理,但軍事上訴審法院認為管轄權有爭議,為決定是否繼續適用軍事法院的審理程序,今年10月10日舉行預審聽證會,由五人一組的普通法院法官受理。同時,維基解密、憲法人權中心、美聯社等新聞媒體,均要求軍事法庭依憲法第一修正案,提供曼寧案的相關卷宗資料,但政府發言人查得費雪上尉(Captain Chad Fisher)表示,第一憲法修正案沒有絕對的效力,也未賦予法院公開卷宗的義務。若記者和大眾想獲得案件的文件資料,可透過「情報自由法」申請。但依「情報自由法」的申請程序非常冗長,而且美聯社和曼寧的辯護律師大衛.庫姆斯(david Commbs)的申請都已遭拒絕,律師大衛只能在私人網誌上向關心曼寧案的民眾公布案件進度和內情。     憲法人權中心的律師Shayana Kadidal 表示,不公開卷宗資料,就算參與了聽證會也無法理解案件的真實面貌,而無法做出準確的報導。但軍事法院對於憲法人權中心、新聞媒體及公眾要求公開法庭卷宗的訴求依然無動於衷。軍方和憲法人權中心將在之後會提交聲請,解釋為何他們認為軍事上訴審法院有權裁決卷宗是否公開。     曼寧下次庭期是明年2月4日,若通敵罪成立,曼寧將會被判終身監禁。

印度競爭委員會因廣義平價義務條款裁罰網路旅行社

印度競爭委員會(Competition Commission of India, CCI)於2022年10月19日以違反競爭法(Competition Act)第3條及第4條規定,涉嫌協議限制競爭與濫用市場地位,分別對兩家網路旅行社(online travel agents, OTAs)—MakeMyTrip India Private Limited和Ibibo Group Private Limited(合稱MMT-Go)裁罰22.348億及16.888億印度盧比(約為2600萬和2029萬美金),並要求MMT-Go修改與合作飯店之間的「廣義平價義務條款」,CCI認為「廣義平價義務條款」可能會限制競爭,具有市場地位的業者施行可能造成壟斷,需要個案認定是否違反競爭法。MMT-Go向國家公司法上訴法院(National Company Law Appellate Tribunal, NCLAT)提起救濟,NCLAT於2023年2月23日宣布將對CCI的裁罰進行審理,預計於4月11日舉行庭審。 「平價義務條款」在OTAs和合作飯店間相當常見,是為了要解決搭便車問題,防止飯店從中獲取不公平利益,而平價義務條款分成「狹義」與「廣義」。「狹義平價義務條款」禁止飯店在飯店自身網站以更好的價格與條件進行銷售,因只限制飯店在本身銷售管道的條件,並不影響OTAs之間的競爭。而「廣義平價義務條款」則禁止飯店在其他銷售管道以更好的價格和條件進行銷售,此將減少OTAs之間的競爭。當具有市場地位的OTAs與飯店簽訂「廣義平價義務條款」,因其更為低廉的價格與市場地位,其競爭對手無法與之公平競爭,可能產生壟斷。 此外,歐盟可能有同樣的看法,歐盟委員會於2022年5月新修訂「垂直集體豁免規則」(Vertical Block Exemption Regulation, VBER)將廣義平價義務條款從豁免範圍中刪除,但仍豁免狹義平價義務條款。因為廣義平價義務條款可能限制競爭或造成壟斷,印度與歐盟對於廣義平價義務條款已經做出限制,可能是未來競爭法的國際趨勢,可以作為我國未來相關法規調適之參考。

TOP