防疫也須防弊!美國加州檢察總長針對醫療照護機構遭受勒索軟體攻擊提出適當措施與事故通報指引
由於近日頻傳醫院遭受勒索軟體攻擊(ransomware attacks),美國加州檢察總長於2021年8月24日發布官方公告(bulletin):在加州州法「醫療資訊保密法」(Confidentiality of Medical Information Act, CMIA)與聯邦法「健康保險可攜與責任法」(Health Insurance Portability and Accountability Act of 1996, HIPAA)規範下,蒐集、處理和利用醫療健康資料的醫療照護機構,有採取適當措施與事故通報的義務,以維護醫療健康資料保密性。
針對「採取適當措施」的內容,美國加州檢察總長於本次官方公告中,提出明確指引(guidance):醫療照護機構須至少採取下列5項防範措施(preventive measures),以避免勒索軟體威脅:
- 確保所有存取醫療健康資料的作業系統與軟體,均升級至最新版本;
- 安裝防毒軟體,並維護其運作;
- 定期為員工舉辦教育訓練,包含教導員工不要點擊可疑網址和防範釣魚電子郵件(phishing email);
- 限制員工下載、安裝和運作未經批准的軟體;
- 維護和定期測試資料備份與救援計畫,以便於事故發生時,控制對資料和系統的影響範圍及程度。
此外,針對「資料外洩事故通報義務」(breach notification obligations),美國加州檢察總長指出:依據「加州民法」(California Civil Code)第1798.82條,擁有或經授權使用含有個人資料的「電腦化資料」(computerized data)的醫療照護機構,於發生,或可合理確信發生,影響超過500位加州居民的資料外洩事故時,即負有將該事故通報檢察總長辦公室的義務。
- 零售業個資保護及資訊安全教育講習
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
李宗儒
副法律研究員 編譯整理
STATE OF CALIFORNIA DEPARTMENT OF JUSTICE OFFICE OF THE ATTORNEY GENERAL, Attorney General Rob Bonta Calls for Full Compliance with State Health Data Privacy Laws, Aug. 24, 2021, https://oag.ca.gov/news/press-releases/attorney-general-rob-bonta-calls-full-compliance-state-health-data-privacy-laws (last visited Sep. 16, 2021).
STATE OF CALIFORNIA DEPARTMENT OF JUSTICE OFFICE OF THE ATTORNEY GENERAL, BULLETIN: Obligation to Proactively Reduce Vulnerabilities to Ransomware Attacks and Requirements Regarding Health Data Breach Reporting, Aug. 24, 2021, https://oag.ca.gov/system/files/attachments/press-docs/2021AUG24%20Ransomware%20Bulletin.pdf (last visited Sep. 16, 2021).
Jill McKeon, CA Attorney General Calls Out Unreported Healthcare Data Breaches, HEALTHITSECURITY, Aug. 27, 2021, https://healthitsecurity.com/news/ca-attorney-general-calls-out-unreported-healthcare-data-breaches (last visited Sep. 16, 2021).
CYBERSECURITY AND INFRASTRUCTURE SECURITY AGENCY [CISA], Alert (AA20-302A) Ransomware Activity Targeting the Healthcare and Public Health Sector, Oct. 28, 2020, https://us-cert.cisa.gov/ncas/alerts/aa20-302a (last visited Sep. 16, 2021).
邱曉麗,〈加州消費者隱私保護法修正法案重點說明〉,資策會科技法律研究所,2021/03,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=180&d=8630&no=64(最後瀏覽日:2021/09/16)。
詹世榕,〈美國衛生暨福利部於09年8月公布關於醫療資訊外洩通知義務之暫行最終規則〉,資策會科技法律研究所,2009/11,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=40&d=3167&no=64(最後瀏覽日:2021/09/16)。
美國參議院在2019年7月23日,於第116屆國會中審查了兩次「壟斷威攝法案」(The Monopolization Deterrence Act),相當於台灣法案經過二讀。提出者是參議院司法委員會反托拉斯、競爭政策和消費者權益小組之成員,克洛布查爾,他認為聯邦執法人員發現非法壟斷行為之時,需要採取果斷行動以確保制止這種行為,但僅僅是禁制令不足以阻止這種非法行為的發生,尚需更好的立法。 本法將賦予司法部和聯邦貿易委員會權利,對壟斷犯罪尋求懲罰性罰款,其目的係為司法部和聯邦貿易委員會提供額外的執法工具,針對個別違規行為制訂補救措施,平衡其嚴重的犯行,並希冀能有效制止未來之非法行為。原法律規定個人違反最高可罰一百萬美元,企業最高可以罰一千萬美元,國會調查後認為原法律規定之罰款不足以阻止壟斷行為,因為獲利可能比罰款更多。 有關「壟斷威攝法案」之修正內容大略包含: 每個違反本條規定的人,必須負擔民事罰款,該罰款不大於個人上一年度在美國的總收入中的15%。從事非法行為之期間,所有交易、貿易行為收入的30%。 委員會針對以不正當方法競爭違反謝曼爾法案第二條的個人、合夥企業或公司,可以在美國地方法院提起民事訴訟,並對此種行為處以民事罰款。 任何個人、合夥企業或公司被發現違反了謝曼爾法案第二條,其民事罰款不大於個人、合夥企業、公司上一年度在美國的總收入的15%。從事非法行為之期間,與非法行為有關之商業活動中之個人、合夥企業或公司在美國之總收入的30%。 在聯合民事處罰準則中,有規範總檢察長和聯邦貿易委員會在計算民事罰款時,必須考慮之相關因素,有以下七項,其一,受影響的商業量;其二,違法行為的持續時間和嚴重性;其三,為隱瞞違法行為而採取或試圖採取之任何行動;其四,違法行為嚴重或明顯違法之程度;期五,是否將民事處罰與針對違法行為之其他救濟相結合,包括結構性救濟、行為條件、非法所得之歸還;其六,先前是否曾從事過相同或類似之反競爭行為;其七,是否違反先前之法令或法院命令該為之行為。
歐盟針對數位革命之法制障礙展開討論歐盟布魯塞爾會議規劃組織(QED)在2016年12月針對第四次工業革命法制議題提出討論,呼應2016年4月歐盟執委會提出之歐洲產業數位化政策,加速標準建立,並且預計調整現行法律規制,著重於資料所有權、責任、安全、防護方面等支規定,討論重點如下: 1.目前面臨之法律空缺為何 2.歐洲產業數位化是否須建立一般性法律框架 3.標準化流程是否由由公部門或私部門負責 4.相容性問題應如何達改善途徑 5.資料所有權部分之問題如何因應 6.數位化之巨量資料應如何儲存與應用,雲端是否為最終解決方式 7.如何建立適當安全防護機制。 8.一般資料保護規則是否足以規範機器產生之數據 9.各會員國對於資料保護立法不同,其間如何調合朝向資料自由發展之方向進行 我國2016年7月由行政院通過「智慧機械產業推動方案」,期待未來朝向「智慧機械」產業化以及產業「智慧機械化」之目標進行,未來,相關法制配套規範,如個人資料保護、巨量資料應用、以及標準化等議題,皆有待進一步探討之必要。
美國參議院擬針對生物燃料提供稅賦優惠先進的能源發展方向是開發先進技術,利用生物材料(如能源作物或生物排泄物)等生物性資源來生產能源,此種能源生產方式又稱為生質能源。由於生質能源的建置成本高,故業界多冀盼政府能給予財務方面的支援。 最近美國布希總統已經設定透過增加對潔淨、再生的生物燃料的使用,降低美國對進口石油的依賴以及溫室氣體排放量,而基於同樣的目標,美國參議院財務委員會(Senate Finance Committee)最近更提出了能源進化及投資法(Energy Advancement and Investment Act of 2007, EAIA),希望能鼓勵大規模的商業投資,以促進生物燃料的生產與使用。 EAIA特別針對使用纖維性質的生物材料(cellulosic biomass)來生產生物燃料之製造者,提供生產上的租稅扣抵(production credit),與此同時並擴大既有針對乙醇所實施的優惠措施之適用範圍。這兩大租稅優惠是為了鼓勵企業生產者加速推動生物燃料的開發,儘快使生物燃料可以供應市場所需達到10億加侖的水準。
Uber所使用的移動定位軟體被控侵權運輸公司Uber在其行動應用程式(app)中使用的移動定位技術被控侵權。原告Fall Line專利有限公司於今(2017)年7月10日美國東德州聯邦地方法院泰勒分院向Uber提起專利侵權訴訟。系爭美國專利號9,454,748(以下簡稱’748專利)的權利範圍涵蓋一種收集特定定位資料及相容於各種裝置的軟體,從而不需要再為了各種裝置重新設計新軟體。 Fall Line專利有限公司在訴狀中聲稱:「Fall Line專利有限公司是’748專利的專利權人,擁有所有實體權利。實體權利包括獨佔權及排他權,故Fall Line專利有限公司得以’748專利主張權利、對抗侵權者,對Uber的侵權行為提起訴訟。」Fall Line專利有限公司控訴Uber的行動應用程式可協助使用者以智慧型手機叫車,前往他們所在位置,侵害其’748專利。Uber的侵權行為已經造成Fall Line專利有限公司的損害,應對Fall Line專利有限公司給予適當補償,且補償金額不得低於合理權利金,及法院判決確定的利息及費用,另亦請求禁制令及陪審團審理。 此外,根據一項美國地方法院資料庫的檢索結果顯示,Fall Line專利有限公司今年到目前為止已經提起五件專利侵權訴訟,其中包括對精品國際酒店集團(Choice International Hotel)的控訴,而本案已是Uber今年第三起被控專利侵權的案件。 「本文同步刊登於TIPS網站(https://www.tips.org.tw)」