防疫也須防弊!美國加州檢察總長針對醫療照護機構遭受勒索軟體攻擊提出適當措施與事故通報指引
由於近日頻傳醫院遭受勒索軟體攻擊(ransomware attacks),美國加州檢察總長於2021年8月24日發布官方公告(bulletin):在加州州法「醫療資訊保密法」(Confidentiality of Medical Information Act, CMIA)與聯邦法「健康保險可攜與責任法」(Health Insurance Portability and Accountability Act of 1996, HIPAA)規範下,蒐集、處理和利用醫療健康資料的醫療照護機構,有採取適當措施與事故通報的義務,以維護醫療健康資料保密性。
針對「採取適當措施」的內容,美國加州檢察總長於本次官方公告中,提出明確指引(guidance):醫療照護機構須至少採取下列5項防範措施(preventive measures),以避免勒索軟體威脅:
- 確保所有存取醫療健康資料的作業系統與軟體,均升級至最新版本;
- 安裝防毒軟體,並維護其運作;
- 定期為員工舉辦教育訓練,包含教導員工不要點擊可疑網址和防範釣魚電子郵件(phishing email);
- 限制員工下載、安裝和運作未經批准的軟體;
- 維護和定期測試資料備份與救援計畫,以便於事故發生時,控制對資料和系統的影響範圍及程度。
此外,針對「資料外洩事故通報義務」(breach notification obligations),美國加州檢察總長指出:依據「加州民法」(California Civil Code)第1798.82條,擁有或經授權使用含有個人資料的「電腦化資料」(computerized data)的醫療照護機構,於發生,或可合理確信發生,影響超過500位加州居民的資料外洩事故時,即負有將該事故通報檢察總長辦公室的義務。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
李宗儒
副法律研究員 編譯整理
STATE OF CALIFORNIA DEPARTMENT OF JUSTICE OFFICE OF THE ATTORNEY GENERAL, Attorney General Rob Bonta Calls for Full Compliance with State Health Data Privacy Laws, Aug. 24, 2021, https://oag.ca.gov/news/press-releases/attorney-general-rob-bonta-calls-full-compliance-state-health-data-privacy-laws (last visited Sep. 16, 2021).
STATE OF CALIFORNIA DEPARTMENT OF JUSTICE OFFICE OF THE ATTORNEY GENERAL, BULLETIN: Obligation to Proactively Reduce Vulnerabilities to Ransomware Attacks and Requirements Regarding Health Data Breach Reporting, Aug. 24, 2021, https://oag.ca.gov/system/files/attachments/press-docs/2021AUG24%20Ransomware%20Bulletin.pdf (last visited Sep. 16, 2021).
Jill McKeon, CA Attorney General Calls Out Unreported Healthcare Data Breaches, HEALTHITSECURITY, Aug. 27, 2021, https://healthitsecurity.com/news/ca-attorney-general-calls-out-unreported-healthcare-data-breaches (last visited Sep. 16, 2021).
CYBERSECURITY AND INFRASTRUCTURE SECURITY AGENCY [CISA], Alert (AA20-302A) Ransomware Activity Targeting the Healthcare and Public Health Sector, Oct. 28, 2020, https://us-cert.cisa.gov/ncas/alerts/aa20-302a (last visited Sep. 16, 2021).
邱曉麗,〈加州消費者隱私保護法修正法案重點說明〉,資策會科技法律研究所,2021/03,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=180&d=8630&no=64(最後瀏覽日:2021/09/16)。
詹世榕,〈美國衛生暨福利部於09年8月公布關於醫療資訊外洩通知義務之暫行最終規則〉,資策會科技法律研究所,2009/11,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=40&d=3167&no=64(最後瀏覽日:2021/09/16)。
為求能妥善管理現暨有之歐洲專利與健全歐洲共同體專利制度,歐盟執委會(Commission)正致力於尋求各成員國同意,欲滙集境內能量,來建、整出一套「單一化」專利訴訟制度(Unified Patent Litigation System;簡稱UPLS),以解決境內智財爭議與相關衍生問題,來達到『鼓勵私人發明』及『刺激歐洲境內中小型企業 (Small & Medium Enterprises;簡稱SMEs)持續成長』等目標」。 目前,就已取得歐洲專利局(European Patent Office)所核發專利之專利權人而言,其雖可逐一於歐盟各成員國家中,利用該國專利訴訟程序來保障其自身之發明;然,由於利用不同成員國家之司法系統興訟,甚可能因各類商業習慣或其他種種因素,而致生不同之審判結果;因此,於現行歐洲專利訴訟制度下,除時間與成本外,業者亦須面對司法裁判上之高度不確定性風險。一位負責國際市場暨服務事務官員Charlie McCreevy指出:「已有許多業者表示,歐洲現行之專利訴訟制度,實相當地複雜且繁瑣;且於訴訟進行過程中,除須繳納許多費用外;至取得判決前,其所耗費之時間,亦相當冗長」。 有鑑於此,執委會正擬儘快協調各會員國並統整出一套單一化之專利訴訟制度,以提升訴訟結果之可預見性(Predictability)並減輕訴訟成本。大體而言,該項UPLS制度,應可為歐洲專利權人帶來如後數項利益:(1)提升專利訴訟結果之法律上確定性、(2)減輕訴訟成本與(3)促進專利訴訟制度之商業性近用等;而一位執委會官員補充:「事實上,建置單一化專利法院與訴訟系統,其目的,無非是欲借強化解決智財爭議機制之方法,來達到『鼓勵私人發明』及『刺激歐洲境內中小型企業持續成長』等目標」。 最後,根據一份由德國慕尼黑大學學者Dietmar Harhoff所提出之分析報告顯示,倘若能透過該項措施來避免「重複專利侵害訴訟」或「訴訟撤回」等問題,估計每年將可為業者省下高達1億4千8百萬至2億8千9百萬歐元之專利訴訟費用。
英國展開「碳排放交易框架」修正意見徵集,擬將溫室氣體移除技術納入現行機制英格蘭、蘇格蘭、威爾斯政府,以及北愛爾蘭農業、環境和鄉村事務部於2024年5月23日共同提出「溫室氣體移除納入碳交易框架」(Integrating Greenhouse Gas Removals in the UK Emissions Trading Scheme)聯合諮詢文件,擬將「溫室氣體移除」(Greenhouse Gas Removals, GGRs)技術納入現行英國碳排放交易體系。GGRs係指主動將大氣中的溫室氣體移除之方法,又稱「二氧化碳移除」(Carbon Dioxide Removal, CDR)、「負碳技術」(Negative Emission Technologies, NETs),此類技術被認為能協助「難減排產業」減少排放。 此次意見徵集主要針對以下四大面向: 1.基本原則:將GGRs整合進UK ETS,須以維持減碳誘因、確保市場誠信、創造長期有效率的碳權交易市場、環境友善、具備可操作性、最小干預性、未來靈活性保障、考量財務影響等原則為基本前提。 2.總量管制:UK ETS於納入GGRs後,預計仍將維持當前總量上限,以避免實質上增加企業的排放容許量。 3.配額發給:GGRs能獲得的配額,擬採取「事後發給」的方式,於移除完成並經過驗證後,才發給配額,以維持交易市場的可信性。 4.市場整合:英國目前暫不考慮建立獨立的溫室氣體移除交易市場,擬將GGRs完全整合進既有的UK ETS中,並透過總量及需求控制或免費配額等措施調節市場供需,穩定並促進市場發展。 英國政府相信,透過將GGRs納入現行UK ETS中,可以增加企業對於碳移除之需求,提高負碳技術的投資誘因,進而持續對於淨零排放的目標有所貢獻。
歐盟專利強化合作方案 不同意見再起2011年3月,25個歐盟國家提案成立專利合作強化方案,以強化歐洲境內的專利申請以及審查速度。然而原本在波蘭接下2011年下半年歐盟主席後,希望於任內完成此一強化合作方案的簽署,目前似已遭遇瓶頸。義大利與西班牙兩國與其他25國不同,而對於歐盟(執委會)所提出之「強化專利合作程序」採取反對立場,他們認為因為該程序以英文、法文與德文為專利申請的官方語言,故羅馬及馬德里方面認為這將使得來自這「三大」國家的企業享有不公平的競爭優勢。 前揭方案的背景架構可放大到歐洲專利制度的整合規劃,2011年12月5日召開的歐盟競爭委員會,於有關歐洲專利統合的議題,原預計討論專利法庭所在城市(倫敦、慕尼黑與巴黎被提名)、上訴法庭、仲裁機構、財務分攤與程序接軌等議題。最後經過兩天的會議,只有專利法庭一案的討論,在多國表示願意擔任第一審法庭的情況下,獲得處理方向的決議。而有關財務負擔及其他仍未有確定共識的議題,有待丹麥主席任期中去進行最後協定的催生了。
何謂「中國製造2025」?中國大陸國務院李克強總理於2015年國務院常務會議研提「中國製造2025」政策,希望提升中國大陸製造業的發展。該政策為因應智慧聯網(Internet of Thing, IoT)的發展趨勢,以資訊化與工業化整合為主,重新發展新一代資訊技術、數控機床和機器人、航空航天裝備、海洋工程裝備及高技術船舶、先進軌道交通設備、節能與新能源汽車、電力裝備、新材料、生物醫藥及高性能醫療器材、農業機械裝備等10大領域,以強化工業基礎能力,提升技術水平和產品品質,進而推動智慧製造、綠色製造。而有別於德國所提出的工業4.0計畫,中國大陸所提出的是理念,係以開源開放、共創共享的智慧聯網推動創新思維。