西班牙AEPD增加關於健康和個人資料保護關注領域

  西班牙個資監管機關(Agencia Española de Protección de Datos, AEPD)於2022年5月3日增加健康和個人資料保護有關的關注領域。觀2021年,計有680件與健康資料相關之爭議案件,與2020年相比增長了75%,又因健康資料為特殊類型之個人資料,故更應嚴加保障。

  該領域的內容適用於公民、資料控制者、資料保護專業人員、健康中心或製藥行業等,共分六小節:

一、第一小節概述了與健康資料有關的權利,解釋了歐盟一般個人資料保護規則(General Data Protection Regulation, GDPR)第9條及西班牙當地規範有關處理健康資料定義、如何行使醫療記錄近用權(Right to access),以及與醫學研究相關的問題,其中規定了患者在使用資料和臨床文件方面權利和義務、在近用權被拒絕情況下如何向AEPD申訴、臨床病史保留及刪除權利之限制等。

二、第二小節重點介紹AEPD公布的相關報告和指南,包括勞資關係中之個人資料保護指南,及有關臨床病史、臨床試驗等相關主題之報告。

三、第三小節則著重在AEPD於新型冠狀病毒肺炎(COVID-19)爆發後,製作大量與COVID-19相關之聲明文件及法律報告,故在此彙整相關資料,以協助落實個人資料之保障。

四、第四小節健康研究和臨床試驗,其中彙編了相關指南,以及規範臨床試驗和其他臨床研究以及藥物安全監視所涉個人資料保護行為準則。

五、第五小節講述與健康狀況有關之申訴、賠償紀錄部分,其中包括AEPD收到多項涉及已故患者直系親屬近用醫療記錄之權利或醫療專業人員非法獲取臨床病史和醫療記錄之投訴。

六、第六小節側重於醫療組織洩露個人資料議題,概述了資料控制者之義務以及為確保遵循GDPR而應採取之措施,另強調以特殊方式處理健康資料之活動,如電子健康紀錄、物聯網醫療所使用之行動裝置或雲端等存取設備,皆存在外洩之風險因子。

相關連結
你可能會想參加
※ 西班牙AEPD增加關於健康和個人資料保護關注領域, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8844&no=57&tp=1 (最後瀏覽日:2026/07/16)
引註此篇文章
你可能還會想看
新興網路運輸業的異軍崛起-UBER風潮

新興網路運輸業的異軍崛起-UBER風潮 科技法律研究所 2014年09月06日 壹、前言   分享經濟(sharing economy)的概念,伴隨科技技術的進步和社群媒體的活絡,逐漸成為新興商業模式的關鍵元素,並創造出巨大的利潤。Uber便是成功媒合閒置車輛、司機與消費者的新興科技產業典範,然而破壞式創新的成功,反面而來的是全球各地的傳統產業-計程車業的激烈抗爭,政府也隨之發現現有交通監管法規無法妥適因應該新興產業的崛起,而可能對於社會秩序維護、市場公平競爭、爭議處理、人民生命、身體安全之保護有所欠缺。   Uber由卡拉尼克(Travis Kalanick)創立於2009年,起源於舊金山這個難以叫車的城市,目前已進駐超過42個國家,2012年被富比士雜誌評選為全球前十大科技公司,2013年7月引進臺灣[1]。Uber本身不擁有車輛和司機,而是利用先進的app軟體,扮演媒合閒置車輛與消費者的角色,該app軟體同時具有計算費率、顯示出車資訊及預估抵達時間、信用卡付費和車資平分服務等多重功能。由於Uber對司機的服務品質設有嚴格控管和淘汰機制,深受消費者信賴與好評。   Uber的商業模式不斷更新,從原本主打的賓士高級轎車外,開始提供一般的小轎車和休旅車的平價車款服務,並吸引計程車司機的加入、淡化計程車業抗議的問題。在紐約,與Uber聯手的計程車司機,平均收入從300美元提高至700美元[2]。   原本Uber主攻客群是高消費的商務人士,起跳費用和費率比計程車高[3],約莫貴五成到一倍左右[4],故對計程車業影響較小,但Uber隨後推出的平價「菁英優步」方案起跳價是50元,使得臺灣的計程車業者產生激烈的反彈浪潮[5]。透過科技創新研發而誕生的新興網路運輸業,不僅模糊了租車業與計程車業的界線,甚至可能會無「法」可管,惟在鼓勵創新創業的政策推動下,對於新興科技產業的管制,是否真能確保市場之公平競爭與維護社會秩序,抑或會過度偏袒傳統產業而扼殺了新型態商業模式的活絡和成長,殊值探究。在美國,已經有許多城市因計程車業的抗議而開始正視該新興產業的異軍崛起,並逐步發展出相應合理之管理制度,殊值我國參考[6]。 貳、Uber在美國 一、緣起   Uber發跡於舊金山,在瞬間擄獲美國各大城市消費者的芳心,但也直接衝擊傳統交通運輸業的生意而造成反彈[7],2012年10月,芝加哥計程車業及汽車服務業提起訴訟,認Uber商業模式違反芝加哥對計程車營運管理交通法規[8],隨後,舊金山、華盛頓等地區也有大規模計程車業的街頭抗議行動,認為Uber這種以應用程式為工具的車輛共乘服務 (app-based ride sharing)造成不公平競爭[9],各州政府,最初為因應抗爭和可能無法管理等問題,採取保守的反對態度。   擁有嚴格交通法規的紐約市首先禁止Uber停業,接著是芝加哥、麻薩諸塞州[10]和維吉尼亞州[11]等地陸續跟進,華盛頓特區和波士頓也引發一系列訴訟[12],提出uber等共乘車輛服務的科技公司是不合法的計程車業等控訴。   從Uber營運模式觀之,由於其本身未擁有司機和車輛,而是和租車公司和私人合作,最初被歸類為車輛租賃業(hire-a-car business),然而,在其營運模式下卻又與計程車業相似卻不同類,因而處於交通法規管制之灰色地帶之中。備受爭議之處如:對於不同地區的收費採動態定價、利用具GPS定位功能的app作為哩程計費器(meter)、而未遵循當地交通運輸業主管機關訂定的收費基準;違反當地地交通法規有關不允許計程車利用電子裝置提供駕駛服務或預約的極短程(少於半小時)搭乘服務(prearranged rides);不接受路邊隨機接客;不接受現金付款(如奧克拉荷馬州塔爾薩市(Tulsa)法規規定計程車業必須以現金的方式向乘客收費);透過自動化機器直接將小費包含在服務費用裡(美國約定俗成的慣例是,乘客須付司機1~2塊美元或車費10%的小費)以及某些地區如維吉尼亞州僅允許非營利的共乘行為、對費率過高的不滿及Uber有阻礙合法計程車使用app叫車的試驗計畫進展之虞等[13]。   2013年的最後一天,加州舊金山發生一起交通事故,Uber司機撞死一名人行道上的6歲女童,但Uber聲稱當時車內沒有乘客亦非在接客途中,非屬執行職務,依加州公共事業委員會(Claifornia Public Utilities Commission, CPUC)之規定,並不在商業保險理賠的範圍內。女童家屬提起民事訴訟,指控司機依賴手機應用程式作為接客平台違反交通法規、保險責任存有漏洞等(該車輛屬於司機自有車,並沒有投保商業責任保險);若換成是計程車業,計程車司機縱使是已下班在返家途中、或在接客途中,都受到商業責任保險範圍的保障[14]。這件事情激起引發了各界劇烈討論。新興網路運輸業的崛起,除了影響計程車業市場行情和工作機會之外,相關的交通監管規範、司機對乘客或行人造成傷害及交通事故發生時的責任歸屬及商業保險範疇等,從各地交通法規觀之,產生許多模糊或三不管地帶;在各地主管機關提出因應之道前,Uber自行在 2014年2月宣布將擴大保險範圍,以涵蓋司機個人保險範圍不足部份[15]。 二、發展近況   2014年初,美國各地行政機關開始著手規範此類藉由科技技術進入交通運輸業的新興產業,此類新興產業在各地稱呼不同,諸如「網路運輸業(Transportation Network Company,下稱TNC)」或「車輛共乘服務業(ride-sharing service)」[16],多數的共識是,政策上應開放、鼓勵Uber等新興網路運輸產業活絡發展,以帶動當地就業市場和刺激消費,也能提供消費者更多選擇機會;但新興網路運輸產業不適合被直接歸入計程車業或汽車租賃業的法規下去管制,而應按其特性重新設立另一套監管機制。同時;也宜逐步緩慢放寬對計程車業的管制(relenting pressure from the taxi industry),緩和其在營運上所遭受的衝擊。不過也有地區仍處於觀望中,以下僅列舉數州及城市之發展狀況: (一)加州是最早針對TNC立法的地區,加州公共事業委員會(California Public Utilities Commission, CPUC)新增「網路運輸業(TNC)」產業類別,針對 Uber、Sidecar、Lyft等車輛共乘服務業(ride-sharing services)等新興租車服務業,在2013年9月通過監管規定,內容包括:必須取得CPUC核發的營業許可、司機前科背景調查、建立司機職業訓練計畫、執行禁止吸毒與酗酒政策、19項車輛檢查項目以及針對每件交通事故至少要投保100萬美元以上金額的商業責任保險,使乘客、司機和第三人於遭遇意外事故時均能獲得合理賠償,該保險金額的要求高於對于豪華轎車之規範[17]。CPUC的立意在使新興和傳統的交通運輸業能在合理的基礎上公平競爭,並確保提供消費者更多元且安全的叫車服務,同時不阻礙新興產業之發展。 (二)科羅拉多州參議院下屬商業、勞動力及技術委員會(Senate business labor and technology committee)亦將Uber此類新興服務歸類為「網路運輸業(Transportation Network Company)」並訂定「規範機動車輛交通運輸規則-網路運輸業規則」(Transportation Network Company Rules of the Rules Regulating Transportation By Motor Vehicle),於2014年7月8日正式施行[18],主管機關為州政府公用事業委員會(Public Utilities Commission),規範對象範圍包括網路運輸業者、網路運輸業者的雇員和司機。網路運輸業被認定為一獨立業別,有專屬的申請許可程序及要件;網路運輸業者應投保強制汽車責任保險,賠償範圍包括人身健康與財產損害;在安全維護責任部份,則參酌聯邦法規訂定,當司機一旦加入Uber並使用其app執業,則需要通過背景調查、健康檢查和車輛檢查[19],司機的工作時數也受到限制,以登入網路運輸業數位網路(digital network)起算,連續工作12小時候便應登出至少8小時、連續8天工作累計80小時者亦同,網路運輸業者有義務管理並保存六個月內司機的使用記錄,並保證記錄的真實性[20]。 (三)維吉尼亞州在2014年8月和Uber、Lyft等網路運輸業者達成協議,在相關業者遵守州法、擴大對司機的背景調查並淘汰有重罪、詐欺、性騷擾、暴力犯罪和曾有藥物濫用經驗者、持續監督司機工作狀況並嚴格化投保要求等條件下,撤銷先前的停業禁止命令(cease and desist order),允許他們繼續執業,同時間維吉尼亞州也開始擬具相關法規草案,希望能因應此類提供共乘服務(ride-sharing service)的新興產業之特性、同時考量到傳統計程車業之衝擊影響,發展合宜、長久性的管理規範[21]。 (四)華盛頓州西雅圖市議會原本為了保障傳統計程車業,在2014年3月立法,首創三家新興網路運輸業Uber、Lyft、Sidecar在同一時間執業的司機數量之規定,每家門檻為150名,比業者自行估計出來的2000名執業數量差了不止一星半點;又原本西雅圖的計程車職業執照自1990年就不再核發,但為平息傳統計程車業的抗議,將再加發200張執照[22]。不過,網路運輸業者旋即在4月時推動公投運動(referendum campaign)阻止法令生效,同年7月市議會妥協並通過修正案,取消網路運輸業執業人數的門檻,但提高網路運輸業的投保責任,至核發200張執照給傳統計程車業部份不變,並就所有新取得許可營運的運輸業抽取10美分的費用,作為採購身障人士專用車輛的預算[23]。 (五)德州休斯頓市早在2013年年初便提出新興汽車運輸服務條例(new vehicle-for-hire ordinance)草案[24],市議會歷經16個月的討論,終於同年8月6日通過市政府法規第46章修正案[25],肯認網路運輸業(TNCs)的合法性,並將其和所有機動車輛派遣服務業(mobile dispatch services)納入交通監管規範,修正重點在如何落實消費者保護、相類似產業公平競爭、身心障礙者使用權益及商業責任保險,以建立良好的商業環境,找到鼓勵創新商業模式、支持自由市場和建立公平公正商業環境的平衡點[26]。 (六)德州聖安東尼奧市(San Antonio)市議會公共安全委員會(City Council Public Safety Committee)在2014年8月13日拒絕同意汽車運輸服務業(vehicle-for-hire)修正草案,認為應持續研議相關議題,預計11月時再次會商討論。修正草案係為使Uber等TNCs合法化,而預計在城市法令第33章(Code of Ordinances Chapter 33)新增條文,其規範類似對計程車業與汽車租賃業之規定,要求需申請許可、司機背景調查、提交年度及隨機抽查之汽車檢驗報告及強制投保等。但反對者認為網路運輸業對於當地觀光產業以及公共安全是有害的,且修正草案欠缺公平性。舉例而言,網路運輸業同特定共乘服務公司(ride-share companies)僅被要求承擔100萬美元的商業責任保險,但其保險責任應更重;計程車及禮車服務公司,每一車輛的年許可費為440美元,但網路運輸業卻只要160美元;又現行修正案並未限制網路運輸業的營運車輛數目,以及允許網路運輸業自行設定動態費率等,這些都將嚴重打擊計程車業的營運[27]。 參、Uber在臺灣 一、Uber之亂:台北市計程車業者包圍交通部抗議   2013年7月引進臺灣時並沒有未引起太多關注,但2014年5月平價車款服務「菁英優步」的推動,其跳表價為50元,費率比計程車便宜,因此引爆計程車業的恐懼[28],在計程車業眼中,Uber雖然主張所配合的是合法租車公司,但營運模式並非一般的日租或月租,而是同計程車班以距離來計算收費,卻又不受計程車客運業相關法規限制,明晃晃就是非法計程車,違反租賃業營業規範,不僅定價未經費率制訂委員會核定,司機也不需要有執業登記證,影響乘客安全[29]。我國交通部初步認定,Uber是提供預約租車並代僱駕駛的服務,需遵守小客車租賃業相關規定;若要與計程車客運業或個人計程車合作,則需符合計程車客運服務業申請核准經營辦法,收費也需要依照各縣市核定的計程車費率[30]。   政府到底應該如何看待與用什麼樣的思維管理創新服務?科技進步速度必然快過法規修訂速度,政府應該要保持彈性的態度,開闊的胸襟。臺灣15年來沒有改變的計程車費表,如今在Uber所提供的便利、有效率、高品質司機、立即的客訴處理的叫車服務下,計程車業者還希望能調高費率實是值得思考,是否傳統計程車業的載客服務和品質,已不符合消費者的需求[31]。 二、新興網路運輸業在法律關係上之定位   Uber所提供的服務其實是一個媒合閒置車輛及駕駛和消費者的叫車平台,在臺灣受限於法令規範,目前合作對象是小客車租賃業,交通部目前肯認其並無違法事由,但由於其商業模式-提供類似卻品質更好的乘車服務,因而對傳統計程車產業產生強大的衝擊,使得主管機關不得不正式回應計程車業者要求公平競爭、放寬駕駛年齡上限及推動新式計費表等訴求[32]。   若逕就Uber本身商業模式觀之,實際上較類似為我國的「計程車客運服務業」,依交通部依據公路法第56條第1項授權訂定之計程車客運服務業申請核准經營辦法第2條及第3條,計程車客運服務業得接受委託辦理「車輛派遣」服務業務,所稱派遣,係指接受消費者提出之乘車需求後,指派消費者搭車所在地同一營業區域內特定計程車前往載客之營運方式。至與Uber合作之小客車租賃業是否有違反法規之虞?   我國計程車客運業和小客車租賃業均屬汽車運輸業,依公路法第79條第5項由交通部訂定申請資格、程序、營運許可內容與限制等事項之規則。兩者行業性質相近,均屬特許行業,但小客車租賃業進入門檻並不嚴苛,屬完全競爭市場,業務來源包括短期個人商務市場、家庭短期旅遊市場及公務機關長租等,尚未出現營運困難的聲浪;而Uber所提供的媒合服務,進一步地減少小客車租賃業的車輛閒置時間、給予代僱司機額外工作收入和提高業者獲利空間[33]。依現行法規,並未禁止小客車租賃業利用類似計程車的營運模式。   而計程車業因立法者預設為維護消費者隨機叫車伴隨而來的安全考量,對計程車業有較多管制規範,計程車駕駛人除了職業小客車執照外尚須申請營運小客車執業登記證[34],對於車輛數量則係用牌照予以限制數量[35]。計程車費率則由公(工)會提案送交各該交通主管機關,再由費率審議委員會審議[36];計費表之設定標準和檢驗之主管機關為經濟部標準檢驗局[37]。然而計程車業一直有許多問題存在,如對於駕駛人資格限制、品質和服務態度的規範、工時與勞動條件管理等[38],此次以Uber而起的抗議活動,可發現計程車司機們的訴求,主要是來自於收入過低[39]。 計程車司機的生計困境,或許可藉由放寬進入門檻與降低成本作為手段,但不應以限制競爭、排斥提供更好服務的對手做為解決之道-當計程車業要求提高計程車費率卻又抗議Uber的平價服務,已經顯現出傳統運輸業缺乏競爭力卻又不願改革的陳舊思想。 肆、評析   根據Uber內部的數據統計,Uber每個月可以創造出2萬個工作機會,並且能有效改善交通狀況和減少酒駕事故[40]。在美國,與Uber合作的司機,年薪水高出一般計程車司機的三倍,且因媒合機率極高,司機可享有工時上的彈性,將提供乘車服務當作業餘工作,Uber則透過車牌號碼和司機的手機號碼對他們進行監督,一旦表現不好將剔除之,這樣的規範在新興的點對點科技服務(peer-to-peer tech service)是非常受歡迎且成功的營運模式,相同的商業模式也使用於e-Bay和Airbnb等公司[41]。   Uber利用成本更低廉的科技技術,所提供的方便叫車系統、便利的信用卡付費、確實的司機評鑑制度及極佳的媒合率,來自於創新的新興商業模式,並受到消費者的信賴與肯定。反觀我國計程車的現行市場生態,反映政府的政策決定及管制措施上,並無法提升計程車司機的收入和良好的載客品質,國內計程車市場並不乏已轉用科技技術平台的車隊,如台灣大車隊、Easy Taxi等,但整體的服務素質顯然欠缺足夠的競爭力,新興網路運輸業的誕生,實有助於計程車業加速開拓進取。我國政府確實應查核新興網路運輸業的商業模式,是否符合相關法規的管理要求,但管制目的上應係為兼顧消費者權益、公共安全、公平競爭及創新鼓勵,但絕不宜為了鞏固傳統產業的利益,而以法規扼殺新興網路運輸業的成長,犧牲消費者的使用需求和選擇權。 [1] UBER,https://www.uber.com/ (最後瀏覽日:2014/08/10)。 [2] 呂元鐘,〈uber.com-無照營業卻投資滿滿的新創叫車公司〉,數位時代,2012/11/22,http://www.bnext.com.tw/article/view/id/25504 (最後瀏覽日:2014/07/25)。 [3] Liz Chen,〈高檔轎車服務Uber初體驗〉,Inside硬塞的網路趨勢觀察,2013/07/05,http://www.inside.com.tw/2013/07/05/uber-experience ;〈Uber-不是有錢人也搭的起的高檔專車接送服務,註冊送300搭乘金〉,電腦王阿達的3C胡言亂語,http://www.kocpc.com.tw/archives/3064 (最後瀏覽日:2014/07/25)。 [4] 〈破天荒!Uber App 8/23起將調降價錢更貼近大眾市場〉,UBER,http://blog.uber.com/2013/08/22/%E7%A0%B4%E5%A4%A9%E8%8D%92-uber-app-823-%E8%B5%B7%E5%B0%87%E8%AA%BF%E9%99%8D%E5%83%B9%E9%8C%A2-%E6%9B%B4%E8%B2%BC%E8%BF%91%E5%A4%A7%E7%9C%BE%E5%B8%82%E5%A0%B4/ ;Liz Chen,〈高貴不貴,奢華叫車服務Uber 明天起大降價〉,2013/8/22,http://www.inside.com.tw/2013/08/22/uber-lower-price (最後瀏覽日:2014/07/25)。 [5] 〈為挺計程車司機,打擊Uber-交通部放棄的是格局和消費者權益〉,有物報告,2014/07/09,http://yowureport.com/?p=12833 ;Editor_Wye,〈反Uber?臺灣計程車司機們請記取歐洲同行的教訓〉,2014/06/25,http://www.inside.com.tw/2014/06/25/uber-taxi-war (最後瀏覽日:2014/08/15)。 [6] Can Uber taxi protests stop technology’s advance?, 4 News, July.1, 2014, http://www.channel4.com/news/uber-app-taxi-cab-drivers-protests-washington-dc-technology (last visited Aug.8,2014) . [7] UBER, https://www.uber.com/cities (last visited Oct 23,2013). [8] Jacob Huebert, So, What Really Happened With the Government vs. Uber?, http://technori.com/2013/02/3289-startup-innovation-government-vs-uber/ (last visited July 23,2014). [9] Nick Gillespie, The Government Is a Hit Man: Uber, Tesla and Airbnb are in its Crosshair, Mar. 20, 2014,TIME, http://time.com/31828/the-government-is-a-hitman-uber-tesla-and-airbnb-are-in-its-crosshairs/ ; Can Uber taxi protests stop technology’s advance?,4 News, July.1, 2014, http://www.channel4.com/news/uber-app-taxi-cab-drivers-protests-washington-dc-technology (last visited Aug 10,2014). [10] Adam Clark Estes , Uber Faces Down Legal Trouble Pretty Much Everywhere, Reuters ,Dec 3, 2012, http://www.theatlanticwire.com/technology/2012/12/uber-legal-trouble/59539/ (last visited July 23,2014). [11] Adam Clark Estes , Uber Faces Down Legal Trouble Pretty Much Everywhere, Reuters ,Dec 3, 2012, http://www.theatlanticwire.com/technology/2012/12/uber-legal-trouble/59539/ ; Alex Hern, Uber’s Londn trouble is just the latest squabble over the sharing economy, theguardian, June.11, 2014, http://www.washingtonpost.com/blogs/dr-gridlock/wp/2014/08/06/virginia-reaches-deal-with-uber-lyft-to-allow-services-to-operate-in-the-state/ (last visited July 23,2014). [12] Nick Gillespie, The Government Is a Hit Man: Uber, Tesla and Airbnb are in its Crosshair, Mar. 20, 2014,TIME, http://time.com/31828/the-government-is-a-hitman-uber-tesla-and-airbnb-are-in-its-crosshairs/ (last visited July.23,2014). [13] Alex Hern, Uber’s Londn trouble is just the latest squabble over the sharing economy, theguardian, June.11, 2014, http://www.washingtonpost.com/blogs/dr-gridlock/wp/2014/08/06/virginia-reaches-deal-with-uber-lyft-to-allow-services-to-operate-in-the-state/ ; Kyle Arnold, Uber ride service faces questions about drivers, insurance, lack of regulation, Tulsa World, Apr.2, 2014(last visited July.23,2014). [14]Don Jergler, Transportation Network Companies, Uber Gap Worries Insurers, Jan.10, 2014, http://www.insurancejournal.com/news/west/2014/01/10/316839.htm ; Jacob Huebert, So, What Really Happened With the Government vs. Uber?, http://technori.com/2013/02/3289-startup-innovation-government-vs-uber/ ;TechOrange,〈純屬個人行為,Uber拒絕理賠旗下司機造成的車禍事件〉,香港矽谷,2014/01/14, http://www.hksilicon.com/kb/articles/356328/Uber; 姚善衍,〈控告案中司機及相關汽車共享公司,劉家怡家屬提出民事訴訟〉,sina全球新聞,2014/01/28, http://dailynews.sina.com/bg/news/usa/uslocal/singtao/20140128/09095414709.html (最後瀏覽日:2014/07/25)。 [15] Kyle Arnold, Uber ride service faces questions about drivers, insurance, lack of regulation, TULSA World, April. 2, 2014, http://www.tulsaworld.com/business/technology/uber-ride-service-faces-questions-about-drivers-insurance-lack-of/article_d3198fde-d426-5f45-935f-7b4a6415c5a5.html; Carmel Deamicis , Lyft announces insurance coalition members and Uber has agreed to take part , Pandodaily , Feb.10, 2014, http://pando.com/2014/02/10/lyft-announces-insurance-coalition-members-and-surprise-uber-has-agreed-to-take-part/ (last visited July 23,2013). [16] Jon Brooks, City by City, Lyft and Uber Take on Taxis Regulators, Mar. 3,2014,http://blogs.kqed.org/newsfix/2014/03/03/lyft-uber-regulation/ (last visited Aug.13,2014). [17] COM/MPI/avs. Date of Issuance 9/23/2013. Decision 13-09-045(2013);Transportation Network Companies, California Public Utilities Commission, http://www.cpuc.ca.gov/PUC/Enforcement/TNC/ , CPCU establishes rules for transportation network companies, AutoRental, Sep. 2, 2013, http://www.autorentalnews.com/channel/legislative/news/story/2013/09/cpuc-establishes-rules-for-transportation-network-companies.aspx (最後瀏覽日:2014/07/25)。 [18] Transportation Network Company Rules of the Rules Regulating Transportation By Motor Vehicle, CCR 723-6-6700 (2014), http://cdn.colorado.gov/cs/Satellite?blobcol=urldata&blobheadername1=Content-Disposition&blobheadername2=Content-Type&blobheadervalue1=inline%3B+filename%3D%22723-6-6700%2C+Transportation+Network+Company.pdf%22&blobheadervalue2=application%2Fpdf&blobkey=id&blobtable=MungoBlobs&blobwhere=1252008331942&ssbinary=true (last visited Aug.14,2014). [19] 49 C.F.R.§391.41, 391.43. [20] 49 C.F.R.§391, 393, 396. [21] Luz Lazo, Virginia reaches deal with Uber, Lyft, to allow service to operate in the state, Aug.6, 2014, http://www.washingtonpost.com/blogs/dr-gridlock/wp/2014/08/06/virginia-reaches-deal-with-uber-lyft-to-allow-services-to-operate-in-the-state/ (last visited Aug.14,2014). [22] Reid Wilson, Seattle becomes first city to cap Uber, Lyft vehicles, March.18, 2014, http://www.washingtonpost.com/blogs/govbeat/wp/2014/03/18/seattle-becomes-first-city-to-cap-uber-lyft-vehicles/ (last visited Aug.14,2014). [23] Lynn Thompson, Seattle council gives nod to compromise rules for ride services, July.14, 2014, http://seattletimes.com/html/localnews/2024071072_tncscouncilxml.html ; Seattle city council approves new ordinance, UBER, July.14, 2014, http://blog.uber.com/uberonseattle (last visited Aug.14,2014). [24] Jon Brooks, City by City, Lyft and Uber Take on Taxis Regulators, Mar.3,2014 , http://blogs.kqed.org/newsfix/2014/03/03/lyft-uber-regulation/ (last visited Aug.13,2014). [25] Transportation, The City of Houston-Administration& Regulatory Affairs, http://www.houstontx.gov/ara/regaffairs/transportation.html ;The Code of Ordinances city of Houston, Texas, the City of Houston, http://www.houstontx.gov/codes/ (last visited Aug.13,2014). [26] Dug Begley, Houston approves new regulations, allowing Uber and Lyft, Aug.6, 2014, http://blog.chron.com/thehighwayman/2014/08/houston-approves-new-regulations-allowing-uber-and-lyft/#25524103=0&25694101=0 ; The city of Houston, Final Chapter 46 Vehicles for Hire Ordinance, http://www.houstontx.gov/ara/2014-754.pdf (last visited Aug.14,2014). [27] Cory Smith, Council delays changes to vehicle-for-hire ordinance, KSAT, Aug.13, 2014, http://www.ksat.com/content/pns/ksat/news/2014/08/13/council-delays-changes-to-vehicle-for-hire-ordinance.html (last visited Aug 14,2014). [28] 郭芝蓉,〈uber引戰計程車,只有破壞沒有創新?〉,數位時代,2014/07/11,http://www.bnext.com.tw/article/view/id/33003 ;甘芝萁、林嘉琪,〈叫車App搶生意,計程車公會怒控非法〉,自由時報,2014/06/25,http://news.ltn.com.tw/news/life/paper/790343/print(最後瀏覽日:2014/08/15)。 [29] 甘芝萁、林嘉琪,〈北北基費率15年未調,Ube 又搶客/千輛小黃後天交通部抗議〉,自由時報,2014/07/05,http://news.ltn.com.tw/news/life/paper/793243 ;蘇文彬,〈交通部將調查Uber是否有違法〉,iThome,2014/07/09,http://www.ithome.com.tw/news/89285 (最後瀏覽日:2014/08/15)。 [30] 〈各界對於UBER進軍臺灣市場相關疑問回應說明〉,中華民國交通部,http://www.motc.gov.tw/ch/home.jsp?id=15&parentpath=0,2&mcustomize=multimessages_view.jsp&dataserno=201407250001&toolsflag=Y (最後瀏覽日:2014/08/15)。 [31] 董福興,〈小黃為何不試著超越Uber?〉,聯合新聞網,2014/07/23,http://mag.udn.com/mag/digital/storypage.jsp?f_ART_ID=525933 ;經濟日報,〈擁抱新科技,化危機為商機〉,2014/07/25,http://udn.com/NEWS/OPINION/OPI1/8826676.shtml ;許子謙,〈uber的行銷秘密〉,數位時代,2014/07/21,http://www.bnext.com.tw/article/view/id/33101 (最後瀏覽日:2014/08/15)。 [32] 蘇文彬,〈交通部將調查Uber是否違法〉,iThome,2014/07/09,http://www.ithome.com.tw/news/89285 (最後瀏覽日:2014/08/15)。 [33] 周茂林,〈全力打拼爭權益,成果與業界共享-專訪中華民國小客車租賃商業同業公會全國聯合會〉,《工商會務季刊》,(2011),http://198.55.121.69/cgi-bin/big5/k/37a2?q1=dp1&time=17:24:42&q27=20110719141556&q35=&q65=2006003&q22=20 (最後瀏覽日:2014/08/15)。 [34] 計程車駕駛人職業登記管理辦法。 [35] 汽車運輸管理規則第91條之2。 [36] 汽車管理運輸規則第10條。 [37] 度量衡法第3條,度量衡器形式認證管理辦法第2條,度量衡器檢定檢查辦法第3條。 [38] 相關文獻如:交通部運輸研究所,計程車共乘試辦計畫(2009),http://www.iot.gov.tw/public/data/96414235571.pdf;張學孔,〈九十七年度台北地區計程車營運情形調查期末報告〉,台北市政府交通局與台北縣政府交通局共同委託研究,(2008);張學孔,〈計程車在臺北市大眾運輸政策中的角色與定位之研究〉,臺北市政府研考會委託研究,(2008);周文生,〈計程車駕駛職前與在職教育訓練制度之規劃與建立(I)〉,交通部運輸研究所委託研究,(2008);周文生、王穆衡、王晉元,「計程車客運業營業區域檢討調整之研究」,(2002 年)(最後瀏覽日:2013/10/25)。 [39] 計程車業者主要訴求為:放寬計程車駕駛年齡限制;放寬一輛計程車只能加入一家計程車客運服務業的限制(計程車客運服務業申請核准經營辦法第16條);取締白牌計程車;提高費率。請參〈北市計程車公會建請持續摧生新式計費器制度與規劃各方費率攤提問題〉,台北市商業會,http://www.tpecoc.com.tw/cgi-bin/big5/k/174m?q1=dp1&q27=174m&q35&q65=a019759&q22=20140730175343&q13=x ;台北市計程車客運商業同業公會臉書社團,https://www.facebook.com/notes/%E5%8F%B0%E5%8C%97%E5%B8%82%E8%A8%88%E7%A8%8B%E8%BB%8A%E5%AE%A2%E9%81%8B%E5%95%86%E6%A5%AD%E5%90%8C%E6%A5%AD%E5%85%AC%E6%9C%83/%E8%B7%AF%E6%94%BF%E5%8F%B8%E5%B0%8D103%E5%B9%B47%E6%9C%887%E6%97%A5%E5%85%A8%E8%81%AF%E6%9C%83%E9%99%B3%E6%83%85%E6%9B%B8%E5%9B%9E%E8%A6%86/432941536845711 ;交通部路政司路臺營字第1030408497號函;台北市公共運輸處北市運般字第10332038400號函;交通部交路字第1030405420號函。 [40] Uber, http://blog.uber.com/davidplouffe (last visited Aug.8,2014) . [41] Can Uber taxi protests stop technology’s advance?, 4 News, July.1, 2014, http://www.channel4.com/news/uber-app-taxi-cab-drivers-protests-washington-dc-technology ; Christopher Mathias, Half of NYC UberX Make More Than $90000, Uber Claims, May.27, 2014, http://www.huffingtonpost.com/2014/05/27/uberx-new-york-city-drivers-salaries_n_5397387.html (last visited Aug.8,2014) .

日本2018年7月27日發布最新3年期網路安全戰略(サイバーセキュリティ戦略)

  日本網路安全戰略本部(サイバーセキュリティ戦略本部)於2018年7月27日發布最新3年期網路安全戰略(サイバーセキュリティ戦略),其主要目的係持續實現「提昇經濟社會活力與永續發展」、「實現國民安全且安心生活之社會」、「維持國際社會和平、安定與保障日本安全」三大目標,並透過7月25日同樣由網路安全戰略本部(サイバーセキュリティ戦略本部)發布之網路安全年度計畫2018(サイバーセキュリティ2018),執行下述資安對策的細部計畫與做法。   以下簡述依據日本三大資安目標所提出之重要資安對策: 提昇經濟社會活力與永續發展 (1) 推動可以支援創造新價值之網路安全措施。 (2) 實現可以創造價值之網路安全供應鏈。 (3) 架構安全物聯網(Internet of Things, IoT)系統。 實現國民安全且安心生活之社會 (1) 制定網路犯罪之因應對策。 (2) 官民一體共同防護關鍵基礎設施。 (3) 強化與充實政府機關之網路安全。 (4) 確保大學能建構安全與安心之教育與研究環境。 (5) 展望2020年東京奧運與未來之措施。 (6) 強化情資共享與合作體制。 (7) 強化應變大規模網路攻撃事態之能力。 維持國際社會和平、安定及保障日本安全 (1) 堅持自由、公平且安全之網路空間。 (2) 建立支配網路空間之法律秩序。 (3) 強化日本網路防禦力、抑制網路攻擊能力與掌握狀況之能力。 (4) 強化掌握網路空間狀況之能力。 (5) 國際合作。

雲端時代資料保險機制之解析

雲端時代資料保險機制之解析 科技法律研究所 2013年12月05日 壹、前言   資訊時代,資訊應用所帶來的風險幾乎無可迴避,且往往帶來莫大衝擊;尤其在網路應用普及之後,大量資料透過網路傳輸、流通而暴露於資訊安全的風險當中,縱有再有高層級的防護,也無法使資料受損或漏失的風險機率降至零,因此有論者以為,對於無法藉由資訊安全措施加以避免的「殘餘風險」(Residual Risk),應由「保險機制」予以移轉。本研究特探討本議題,以呼應目前日益進展的保險產品發展趨勢。   此類的保險機制,一般稱為資料保險,專門填補網路應用所造成的風險,諸如網路安全(Network security)之欠缺所造成的損失,或者隱私(Privacy)被害所造成的損失。依據產業觀察者意見,此類保險產品的市場正有逐漸擴張的趨勢,尤其是對於健康照護服務(Health care)以及中小型的業者而言,此類保險對於風險管理服務可以發揮長足的作用,其能夠填補資料被害的通知成本、信用監控以及加強資料防護的成本[1]。   本文以雲端運算應用的興起為背景,觀察相應保險機制的演進及發展;以及其對於產業發展而言,為何被視為不可或缺的配套機制,進一步檢視我國推動資料保險的可行性與條件。 貳、資料保險機制的發展 一、資料保險的種類   用來填補資料受害之損害的保險,一般被稱為「資料保險」,尚可見以「網路保險」或「隱私保險」稱之。與其直接定義何謂「資料保險」,不如分析此保險的涵蓋範圍。此類保險早在十幾年前出現,當時其保險範圍,是填補資料被害所引發的損害賠償責任[2]。   財產保險可分成兩大類型,一類是一般的財產損害,即保險事故發生導致被保險人的財產減損或喪失,承保此類財產損失之保險,即英美法系所稱之「第一方保險」(First-party coverage)。另一類則是責任保險,即保險事故發生導致被保險人應負擔法律上責任或契約上損害賠償責任,承保因被保險人應負擔責任之財產損失,即所稱之「第三方保險」(Third-party coverage)。   在資料應用環境中,因資料受害導致損害大抵可依上述區分。當遭遇網路犯罪的損害、毀壞(Destroys)或是剝奪被保險人對於資料的使用權限,則屬於第一方財產損失。另一方面,當被保險人所保護、監管(Custody)或控制的第三人資料或資訊,遭遇網路犯罪損害、毀壞或竊取時,將使被保險人必須承受對第三方負擔損害賠償責任、並支付相關費用,此屬於第三方財產損失,例如入侵資訊系統而竊取信用卡資訊、受保護的個人資料、及銀行的帳戶號碼,又如妨礙有合法權限的第三人近用系統,以及違反法規所要求而未向第三人通知資料侵害等…[3]。 二、資料受害所致損害是否得請求保險賠償過往有很大爭議   傳統的財產保險,由於未指明承保因資料被害所致損失,往往會在被保險人因資料被害導致財產損失而請求保險賠償時,發生很大的爭議。主要的原因是,傳統的財產保險其設計原則,是以被保險人對於有形財產的「保險利益」作為「保險標的」,並以有形財產受損來估算保險損害,並未考量到資料等無形財產。因此,起因於資料或類似形態的程式、軟體之缺損所致的損害,是否可能在傳統財產的保險範圍內,頗有疑義,且司法實務上的意見相當分歧,茲整理如下。 (一)有利於被保險人的實務見解   在America Guarantee & Liability Insurance Co. v. Ingram-Micro[4].中,Ingram-Micro因幾分鐘的電力中斷,導致電腦資產與資料的喪失而嚴重影響正常的業務運作,遂依業務中斷保險(Business-interruption insurance)請求保險賠償,但遭受保險公司拒絕,保險公司提起訴訟並宣稱承保範圍未包含電腦與其他資產。地方法院認為,被保險人客製軟體程式的喪失,構成「具體損害」,具體損害不限於電腦迴路的被有形損毀或傷害,也會包含無法近用(Loss of access)、無法使用(Loss of use)以及功能喪失。   另一案Lambrecht & Associates, Inc. v. State Farm Lloyds[5],保險公司認為電腦病毒感染所造成的損失,非有形損失,因而拒絕保險給付。法院認為,本案之電腦系統以及儲存的資料皆因病毒感染而毀壞、被置換(Replaced),此種結果,等於電腦系統完全無法接收、發送或回復任何形態的資訊,而完全失去作為電腦系統的效用;因此未接受保險公司的主張。   近期一例為責任保險爭議。Retail Ventures, Inc. v. Nat'l Union Fire Ins. Co.[6]中,Retail Venture是DSW鞋子盤商,2005年時它的電腦系統遭駭客入侵,共有百萬筆的客戶資料遭不當下載且許多資料夾也被翻閱過。由於DSW向Nat'l Union購買商業竊盜險,在其承保項目中包括電腦與資金移轉詐欺(Computer & Fund transfer fraud coverage),DSW遂向保險公司請求保險賠償,主張此次駭客入侵所造成的損失有530萬元之多,但保險公司拒絕給付賠償金。於是DSW對保險公司提起訴訟,地方法院認定保險公司應支付保險賠償,保險公司不服,提起上訴至巡迴法院,巡迴法院認為,條款規定雖是限於該損失是由保險事故「直接造成」(Resulting directly from),但這不代表該保險事故必須是造成損失的「唯一」(Solely)與「立即」(Immediately)的原因[7],因此維持地方法院的判決。 (二)有利於保險人的實務見解   在America Online, Inc. v. St. Paul Mercury Insurance Co.中,由於America Online(AOL)所生產的網路接取軟體AOL 5.0據稱會毀壞用戶的電腦系統,因而被客戶訴訟求償,AOL依責任保險內容,轉而請求保險公司應替其進行訴訟防禦,遭保險公司拒絕。為此,AOL對保險公司提起訴訟,法院遂檢視保險契約中是否載明保險公司有進行訴訟防禦的義務。契約中將情境限於「有形」財產損失,法院解釋,從字義上一般不會認為電腦資料、軟體及系統是「有形」財產,因為有形財產應是指可以觸摸(Be touched),但電腦資料、軟體及系統無法被感官感知,因此是無形財產。此外契約中亦有「功能降低除外條款」,意即,不良品或者危險產品所造成的損害非有形,故被排除在承保範圍內。法院據此否認AOL的主張[8]。 三、「新」資料保險產品應運而生   從上述實務案例的觀察,作成不利於被保險人判決結果的法院,是直接認定電腦資料、軟體與系統為無形財產。反之,作成有利於被保險人判決結果的法院,是將「資料」(程式或軟體)與「電腦系統」合為觀之,而認定電腦系統為有形財產,把電腦系統無法發揮正常作用視為具體損害。即使判決結果可能有利於被保險人,但是解釋方式卻較為迂迴,也顯得被保險人相當艱辛。 參、外國資料保險機制之發展實例與推動   雲端運算發展日益普遍日後,可以透過網際網路提供資訊服務(例如儲存空間、應用程式等),「資料」已然不附載在特定或固定的載體(電腦系統)上。因應整體資訊應用形態的轉變,國內外市場上逐漸有相關資料保險產品推出的案例。 一、實例   第一個例子,MSPAlliance是一個資源管理服務業者暨認證聯盟,於2013年4月與保險經紀公司Lockton 合作,設計「雲端暨管理服務」保險(Cloud and Managed Services Insurance),讓其聯盟會員提供資訊服務時得以購買此保險;承保項目包括因網路攻擊、資料滅失或系統故障而導致應負擔損害賠償責任,以及因技術錯誤或無法作用(Tech Errors & Omissions)所導致的損害賠償責任,亦包含在內。至於被保險人的資格要求,則限定是聯盟會員,且必須通過Unified Certification Standard (UCS)驗證。事實上,要求被保險人取得一定的驗證,是保險風險管理很重要的ㄧ環。   第二個例子,雲端保險服務平台Cloudinsure於2013年2月宣布與保險經紀公司Lockton合作,擬設計適於雲端環境的隱私與安全責任保險方案。其保險產品內容主要在確保雲端服務提供者可履行在契約、或服務水準協議(Service Level Agreements)中的承諾,再者也能依據其客戶存放於雲端環境之資料的風險層級,給予金錢防護。 第三個例子,與前兩例不同,是針對一般的資訊服務使用者來設計。保險經紀公司達信(Marsh)於2012年6月針對雲端環境的企業使用者,開發新的保險方案CloudProtect。被保險人是採用雲端服務的中小型企業,承保項目包括:因雲端服務中斷所致的營運收入損失(Loss of income)、因採購新的雲端服務提供者所產生的相關費用支出、因資料轉換至新的雲端服務所產生的相關費用支出。 二、政府的參與及投入推動   美國的國家技術標準局(Institute of Standards and Technology, NIST)在規劃新網路時代藍圖時,把持續促進資料「保險」(Cyber Insurance),列為關鍵的一角。從這個角度而言,保險不僅具有轉移風險與填補損害的功能,更具有正面積極的意義,可作為新興技術發展的後盾。對於NIST這樣的主張,美國保險人協會(American Insurance Association)也予以呼應,認為針對網路應用環境而持續開發各種保險產品,是勢在必行的方向。 (一)政策推導   美國證券交易委員會指引(2011年),建議公司若為因應資安風險而購買保險產品,應列入資訊揭露範圍。此被認為是間接鼓勵企業購買相關保險產品的具體措施之一。 (二)政府機關作為被保險人購買資料保險之例   美國有以政府機關名義購買資料相關保險之例,蒙大拿(Montana State Government)購買「網路資料安全保險」(Cyber/Data Information Security Insurance),為期一年(2012年7月1日至2013年7月1日),保險項目包括:資訊安全責任(每次事故保險賠償上限200萬美元)、行政罰款(每次事故保險賠償上限200萬美元)、損害通知支出(每次事故保險賠償上限100萬美元)、網站媒體披露支出(每次事故保險賠償上限200萬美元)、每次保險事故發生以200萬美元為總保險賠償限額。此案之保險業者為Beazley,保險經紀人為Alliant Insurance Services。值得特別注意的是,保險項目當中包含損害通知支出,此是呼應了美國相關法令要求業者必須於獲悉資安事故時踐行通知相關的資料主體。   資安事故的確實可能使政府機關蒙受莫大損失,美國南卡羅萊納州稅務局(South Carolina Department of Revenue)2012年發生駭客攻擊事件,州政府花費約2000萬美元收拾殘局,其中1200萬美元用來作為市民身份被竊後的信用活動監控,其他則用來發送被害通知、資安強化措施、及建立數位鑑識團隊、資安顧問。 肆、結論-我國推動相關資料保險機制可行性之總合評析   現階段我國相關保險市場的現況,為因應我國個人資料保護法的通過與正式實施,也有推出資料相關保險產品,目標客群為企業,以協助企業因應觸及個人資料可能產生對他人的損害賠償責任、及填補其他附帶損害為主要訴求。至於,針對業者(被保險人)因提供資訊服務過程中的資料被害、毀損滅失所導致營業損失(營運中斷、負擔契約上損害賠償責任)之損害填補,似尚未有相關保險產品推出。考其原因,是保險業者對於此種因無形財產(資料)所導致損害的保險賠償模式,尚未累積足夠的經驗,也缺乏相關精算數據的掌握,因而不敢貿然承作,另一方面,保險業者本身也擔憂無足夠資力因應大規模的保險事故。 對此現象,我國主責資訊服務產業推動的有關政府部門,也思及政府投入參與資料保險機制,例如推動以機關為被保險人而購買相關的資料保險,藉以活絡資料保險市場;此種構想,在法律層面並無疑義,此乃保險賠償與國家賠償機制雖有各自目的,但未有所衝突[9]。然而,實際操作上,必須考量政府機關資訊系統是否能通過保險業者的保險風險查核、是否有足夠的預算足以支付保險費用、以及決策單位是否能有效與資訊業務單位溝通以評估購買此類保險的需求...等諸多問題。   事實上,我國相關資料保險市場要邁向成熟發展,尚待多方努力,除保險業者本身規劃並提出合適的保險產品之外,參酌國外經驗,保險經紀公司也能扮演一定角色,可針對客戶需求量身訂作風險評鑑、研提最符合的保險方案,並藉客戶共同需求而匯聚保險風險共同團體。政府所扮演之角色,除直接以政策推導之外,尚能在若干條件齊備之後實際參與保險機制,其後續方向值得關注。 [1]Collin J. Hite, Top lawyers on trends and key strategies for the upcoming year the ever-changing scope of insurance law, Aspatore Feb. 2013. [2]http://www.computerweekly.com/news/2240202703/An-introduction-to-cyber-liability-insurance-cover (last visited at Oct. 24, 2013) [3]Jack Montgomery, Cybercrime losses and insurance for property damage and third-party claims, Maine Bar Journal, Summer 2012, p. 159. [4]Civ. 99-185 TUC ACM, 2000 U.S. Dist. Lexis 7299 (D. Ariz., April 19, 2000). [5]Lambrecht & Associates, Inc. v. State Farm Lloyds, 119 S.W.3d 16, 25 (Tex. App. 2003). [6]Retail Ventures, Inc. v. Nat'l Union Fire Ins. Co. of Pittsburgh, Pa., 691 F.3d 821 (6th Cir. 2012). [7]Retail Ventures, Inc. v. Nat'l Union Fire Ins. Co. of Pittsburgh, Pa., 691 F.3d 821 (6th Cir. 2012), p.13. [8]America Online, Inc. v. St. Paul Mercury Ins. Co., 207 F. Supp. 2d 459 - Dist. Court, ED Virginia 2002, P.461-462. [9]請參考96年法務部法律字第0960003420號函。

美國NIST發布更新《網路安全資源指南》提升醫療領域的網路安全及隱私風險管理

  美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)於2022年7月21日發布更新《網路安全資源指南》(A Cybersecurity Resource Guide, NIST SP 800-66r2 ipd)。本指南源自於1996年美國《健康保險流通與責任法》(Health Insurance Portability and Accountability Act, HIPAA)旨在避免未經患者同意或不知情下揭露患者之敏感健康資料,並側重於保護由健康照護組織所建立、接收、維護或傳輸之受保護電子健康資訊(electronic protected health information, ePHI),包括就診紀錄、疫苗接種紀錄、處方箋、實驗室結果等患者資料之機密性、完整性及可用性。其適用對象包含健康照護提供者(Covered Healthcare Providers)、使用電子方式傳送任何健康資料的醫療計畫(Health Plans)、健康照護資料交換機構(Healthcare Clearinghouses)及為協助上述對象提供健康照護服務之業務夥伴(Business Associate)均應遵守。   本指南最初於2005年發布並經2008年修訂(NIST SP 800-66r1 ipd),而本次更新主要為整合其他網路安全相關指南,使本指南與《網路安全框架》(Cybersecurity Framework, NIST SP 800-53)之控制措施等規範保持一致性。具體更新重點包括:(1)簡要概述HIPAA安全規則;(2)為受監管實體在ePHI風險評估與管理上提供指導;(3)確定受監管實體可能考慮作為資訊安全計畫的一部分所實施的典型活動;(4)列出受監管實體在實施HIPAA安全規則之注意事項及其他可用資源,如操作模板、工具等。特別在本指南第三章風險評估與第四章風險管理提供組織處理之流程及控制措施,包括安全管理流程、指定安全責任、員工安全、資訊近用管理、安全意識與培訓、應變計畫、評估及業務夥伴契約等。而在管理方面包括設施權限控管、工作站使用及安全、設備媒體控制;技術方面則包含近用與審計控管、完整性、個人或實體身分驗證及傳輸安全。上述組織要求得由政策、程序規範、業務夥伴契約、團體健康計畫所組成,以助於改善醫療領域的網路安全及隱私保護風險管理。預計本指南更新將徵求公眾意見至2022年9月21日止。

TOP