防疫也須防弊!美國加州檢察總長針對醫療照護機構遭受勒索軟體攻擊提出適當措施與事故通報指引
由於近日頻傳醫院遭受勒索軟體攻擊(ransomware attacks),美國加州檢察總長於2021年8月24日發布官方公告(bulletin):在加州州法「醫療資訊保密法」(Confidentiality of Medical Information Act, CMIA)與聯邦法「健康保險可攜與責任法」(Health Insurance Portability and Accountability Act of 1996, HIPAA)規範下,蒐集、處理和利用醫療健康資料的醫療照護機構,有採取適當措施與事故通報的義務,以維護醫療健康資料保密性。
針對「採取適當措施」的內容,美國加州檢察總長於本次官方公告中,提出明確指引(guidance):醫療照護機構須至少採取下列5項防範措施(preventive measures),以避免勒索軟體威脅:
- 確保所有存取醫療健康資料的作業系統與軟體,均升級至最新版本;
- 安裝防毒軟體,並維護其運作;
- 定期為員工舉辦教育訓練,包含教導員工不要點擊可疑網址和防範釣魚電子郵件(phishing email);
- 限制員工下載、安裝和運作未經批准的軟體;
- 維護和定期測試資料備份與救援計畫,以便於事故發生時,控制對資料和系統的影響範圍及程度。
此外,針對「資料外洩事故通報義務」(breach notification obligations),美國加州檢察總長指出:依據「加州民法」(California Civil Code)第1798.82條,擁有或經授權使用含有個人資料的「電腦化資料」(computerized data)的醫療照護機構,於發生,或可合理確信發生,影響超過500位加州居民的資料外洩事故時,即負有將該事故通報檢察總長辦公室的義務。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
李宗儒
副法律研究員 編譯整理
STATE OF CALIFORNIA DEPARTMENT OF JUSTICE OFFICE OF THE ATTORNEY GENERAL, Attorney General Rob Bonta Calls for Full Compliance with State Health Data Privacy Laws, Aug. 24, 2021, https://oag.ca.gov/news/press-releases/attorney-general-rob-bonta-calls-full-compliance-state-health-data-privacy-laws (last visited Sep. 16, 2021).
STATE OF CALIFORNIA DEPARTMENT OF JUSTICE OFFICE OF THE ATTORNEY GENERAL, BULLETIN: Obligation to Proactively Reduce Vulnerabilities to Ransomware Attacks and Requirements Regarding Health Data Breach Reporting, Aug. 24, 2021, https://oag.ca.gov/system/files/attachments/press-docs/2021AUG24%20Ransomware%20Bulletin.pdf (last visited Sep. 16, 2021).
Jill McKeon, CA Attorney General Calls Out Unreported Healthcare Data Breaches, HEALTHITSECURITY, Aug. 27, 2021, https://healthitsecurity.com/news/ca-attorney-general-calls-out-unreported-healthcare-data-breaches (last visited Sep. 16, 2021).
CYBERSECURITY AND INFRASTRUCTURE SECURITY AGENCY [CISA], Alert (AA20-302A) Ransomware Activity Targeting the Healthcare and Public Health Sector, Oct. 28, 2020, https://us-cert.cisa.gov/ncas/alerts/aa20-302a (last visited Sep. 16, 2021).
邱曉麗,〈加州消費者隱私保護法修正法案重點說明〉,資策會科技法律研究所,2021/03,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=180&d=8630&no=64(最後瀏覽日:2021/09/16)。
詹世榕,〈美國衛生暨福利部於09年8月公布關於醫療資訊外洩通知義務之暫行最終規則〉,資策會科技法律研究所,2009/11,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=40&d=3167&no=64(最後瀏覽日:2021/09/16)。
先前Viacom公司控告Youtube明知盜版剪輯影片而獲利一案,美國聯邦上訴巡迴法院決定重新審理。 2007年使用者將Viacom電視頻道的影片,像是MTV或是喜劇上傳到Youtube,這樣的影片剪輯超過上千片,Viacom主張由於Youtube縱容盜版的影片剪輯放在網站上來提高網站的聲望,所以Youtube是有意成為大量著作權侵害的幫兇,Viacom向Youtube求償超過一億元的損害。 依據1998年通過的數位千禧年法案,網路服務提供者在獲知有著作權侵害的內容後,只要迅速移除內容,則無需負擔使用者著作權侵害的責任。由於youtube在獲知有侵權內容時,已經及時將侵權內容移除,所以在2010年地方法院否決了Viacom的控告。 2012年4月5日聯邦巡迴上訴法院法官推翻地方法院的判決,並且說明合理陪審員(reasonable jury)可以發現Youtube實質上知道或是明確的意識到網站上有侵權的活動。 Google(Youtube的擁有者)發言人表示,侵權影片占youtube網站上的影片僅微小的比例,並且Youtube早已移除該侵權影片。但在Vaicom訴訟結束後,此項爭議卻開始攻擊Youtube。發言人繼續表示,此項決定並不影響Youtube的經營方式,Youtube將繼續作為全世界可以盡情自由表達的平台。
英國資訊委員辦公室提醒消費者下載手機應用程式時需謹慎英國資訊委員辦公室(Information Commissioner’s Office,簡稱 ICO)在2013年聖誕節前夕,呼籲消費者在聖誕節或其他重要節日使用行動裝置下載app應用程式時,需特別注意個人資料之保護,以防止遭受惡意攻擊而導致個人資料外洩。因為根據相關資料顯示,光是2012年聖誕節當天,即有32億8000萬個app應用程式被消費者下載使用。從ICO公布的ㄧ項調查結果中發現,有62%的app使用者,關心app供應商會透過何種方式使用他們的個人資料;此外,有49%的app使用者,會因為隱私權問題而拒絕下載使用app應用程式。 為提升消費者個人資料保護意識,降低個資外洩事件發生,並促進app產業於當地之發展,ICO提供下列5項使用要點:1.只下載官方或備受信賴app商店所提供之app應用程式,盡量避免使用來源不明之app應用程式;2.下載app應用程式前,應詳細閱讀該app所公告之相關資訊,並確認願意提供相關資料作為後續可能之使用;3.養成定期移除不需要之app應用程式的好習慣,降低資料外洩可能;4建議安裝手機防毒軟體或相關程式,協助並確保手機之安全性;5.於手機轉售、丟棄或回收之前,將手機恢復成「原廠設定」之狀態,以確保手機不會留下任何個人相關之資訊。ICO期以透過使用要點之提供,協助消費者於享受app應用程式之樂趣時,仍能確保個人資料行蹤之掌握,以達個人資料之保護。
歐盟電信改革:歐盟委員會持續對三份研究做評論歐盟委員會在 2006 年 8 月 25 日公布之三份獨立學術性研究,被認為是對現正持續進行之 2002 年歐盟電信規則的檢討具深遠的影響。稍早在 6 月 29 日 ,歐盟委員會發佈了針對電子通訊法規架構的檢視訊息、促進就業文件和一份影響評估( IP/06/874 ),在這些文件中含括多項有關有效率利用頻譜資源、促進歐盟市場競爭、建立無線通訊服務單一市場等的政策性提案。而在 2006 年 8 月 25 日出版的研究報告,目的則在處理歐盟電子通訊檢討過程中的主要議題:歐盟電子通訊部的成長和投資、電子通訊市場的法規變革及競爭狀態。雖然這三份研究報告對歐盟委員會並無拘束力,不過對即將在十月份截止之歐盟電信規則的公眾諮詢意見書上,將有助益。 歐盟資訊社會和媒體委員 Viviane Reding 女士認為,對 2006 歐盟電信規則的重新檢視,是歐洲競爭力、投資和成長是重要的關鍵。如果想要促進一個具競爭性、以知識為主的歐盟經濟體系,完備電子通訊內在市場、擴大跨界經營的競爭,以及提升無線通訊頻譜利用的最大效益,均需最優先考量。
金融憑證增至22家 網路報稅人次可望締新猷又到了報稅的季節。依據財政部統計,台灣使用網路報稅人口年年成長,在2002年約有35萬人使用網路報稅,2003年成長超過1倍,有75萬人口使用網路報稅,而去年則有102萬人口使用網路報稅,較前年成長36%。 使用金融憑證網路報稅可簡化繁瑣報稅程序,去年只有8家金融機構提供報稅服務,今年則提高至22家,預估今年透過網路報稅的納稅人,可望衝破歷年人數。包括元富證、元京証、台証證、日盛金控、國泰、新光人壽等22家金融機構,己於3月17日經財政部審核通過,可使用台灣網路認證公司之網路銀行、網路下單及網路保險憑證用於94年個人綜合所得稅網路結算申報,透過申報軟體,使用「金融憑證」即可查詢下載93年度「夫、妻、未成年子女」之戶籍資料、扣 (免)繳及股利憑單所得資料,逐筆確認修正無誤,由電腦自動試算稅額後,傳輸申報資料,並自行列印收執聯保存,完成報稅手續。