美國NIST發布更新《網路安全資源指南》提升醫療領域的網路安全及隱私風險管理
美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)於2022年7月21日發布更新《網路安全資源指南》(A Cybersecurity Resource Guide, NIST SP 800-66r2 ipd)。本指南源自於1996年美國《健康保險流通與責任法》(Health Insurance Portability and Accountability Act, HIPAA)旨在避免未經患者同意或不知情下揭露患者之敏感健康資料,並側重於保護由健康照護組織所建立、接收、維護或傳輸之受保護電子健康資訊(electronic protected health information, ePHI),包括就診紀錄、疫苗接種紀錄、處方箋、實驗室結果等患者資料之機密性、完整性及可用性。其適用對象包含健康照護提供者(Covered Healthcare Providers)、使用電子方式傳送任何健康資料的醫療計畫(Health Plans)、健康照護資料交換機構(Healthcare Clearinghouses)及為協助上述對象提供健康照護服務之業務夥伴(Business Associate)均應遵守。
本指南最初於2005年發布並經2008年修訂(NIST SP 800-66r1 ipd),而本次更新主要為整合其他網路安全相關指南,使本指南與《網路安全框架》(Cybersecurity Framework, NIST SP 800-53)之控制措施等規範保持一致性。具體更新重點包括:(1)簡要概述HIPAA安全規則;(2)為受監管實體在ePHI風險評估與管理上提供指導;(3)確定受監管實體可能考慮作為資訊安全計畫的一部分所實施的典型活動;(4)列出受監管實體在實施HIPAA安全規則之注意事項及其他可用資源,如操作模板、工具等。特別在本指南第三章風險評估與第四章風險管理提供組織處理之流程及控制措施,包括安全管理流程、指定安全責任、員工安全、資訊近用管理、安全意識與培訓、應變計畫、評估及業務夥伴契約等。而在管理方面包括設施權限控管、工作站使用及安全、設備媒體控制;技術方面則包含近用與審計控管、完整性、個人或實體身分驗證及傳輸安全。上述組織要求得由政策、程序規範、業務夥伴契約、團體健康計畫所組成,以助於改善醫療領域的網路安全及隱私保護風險管理。預計本指南更新將徵求公眾意見至2022年9月21日止。
- NIST Updates Guidance for Health Care Cybersecurity, National Institute of Standards and Technology, July 21, 2022
- Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide (NIST Special Publication 800-66, Revision 2), National Institute of Standards and Technology, July 21, 2022
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
盧秉羲
專案經理 編譯整理
NIST Updates Guidance for Health Care Cybersecurity, National Institute of Standards and Technology, July 21, 2022, https://www.nist.gov/news-events/news/2022/07/nist-updates-guidance-health-care-cybersecurity(last visited Sept. 2, 2022).
Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide (NIST Special Publication 800-66, Revision 2), National Institute of Standards and Technology, July 21, 2022, https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-66r2.ipd.pdf(last visited Sept. 2, 2022).
施雅薰,〈歐盟執委會發布「歐洲健康資料空間」規則提案,旨在克服健康資料利用之障礙〉,資訊工業策進會科技法律研究所,2022/6,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8858(最後瀏覽日:2022/9/2)。
邱美蘅,〈美國21世紀醫療法最終規則下之資訊封鎖條文生效,患者健康資料進用權利獲保障〉,資訊工業策進會科技法律研究所,2021/6,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8679&no=64(最後瀏覽日:2022/9/2)。
科法觀點
行動醫療(mHealth)是近期以來歐盟積極發展的目標之一,透過各類的行動裝置搭載應用程式,藉以觀測使用者的生理狀況,進而達到促進健康之目的,特別在綠皮書(Green Paper)提出之後,對於行動醫療的推廣策略,已出現了更為清楚的脈絡。 日前,歐盟執委會針對了行動醫療將可能帶來的各類問題,進行了一次公眾諮詢(public consultation),並在2015年1月公布了調查的結果。此次受訪的對象來自於政府機關、醫療機構、病人組織與網路業者,共計有211名受訪人。在各類的問題上,有97位受訪者認為,行動醫療服務必須具備完整的隱私保全機制,才能夠獲得用戶的信任,此外也有一半的受訪者認為政府應該加強此類資料管理的執法強度;亦有近半的受訪者表示,此類應用程式都應該通過「病人安全」(patient safety)的認證。 相對而言,網路業者則認為此類服務目前還難以進入市場,因為缺乏明確的管理框架。71名受訪者也表示,行動醫療服務的安全性、成效與相關法律責任,都還有待釐清。21名受訪者也認為,行動醫療的成效究竟如何,應該還需要更多的研究證明。 而歐盟委員會將在2015年與相關團體討論未來的政策走向,此法案也將是2015年5月議程中重要的一項議題。
何謂物聯網(Internet of Things, IOT)?物聯網是指明確可辨識的實體物件與虛擬的類網路代理架構的聯結。它是由馬克.維瑟於1991年所提出,指的是(個人)電腦作為機具設備的形式未來將逐漸消失,而替換為"智慧元件"的形式。當前人們關注的對象已經不再是物體本身,而是人們的各種活動中的物物相連。其在不知不覺中已經提供人們各式各樣的輔助,例如小型化的嵌入式電腦毋需操作,就可以提供各式各樣的輔助。這種微型的電腦,即所謂的穿戴式裝置,可以最大程度地結合不同感應器直接在服裝上出現。 數位化在多個層面正在改變我們的生活和工作方式。現代資訊技術幾乎使任何對象無論是家庭日常物品或工廠內的機器,都能用最小的空間達到強大的計算能力(所謂的“嵌入式系統”)。烤麵包機,洗衣機和機床都可由軟體控制,並可以透過網際網路相互、或與外部世界聯結。 物聯網在居家領域具體將以智慧住宅(Smart Home)形式呈現。運用智慧聯網技術將能獲得更多的舒適性和安全性、節約能源或提供適合各年領階層的生活與和起居。現有的解決方案可以透過智慧型手機遠端控制進行空調、電爐和燈具的使用。未來,洗衣機甚至可以自動尋找最優惠的電價決定洗衣服的最佳時間。 智慧家居若要成功,需得到消費者的接受。故物聯網解決方案必須具有可信賴性(資料保護、資訊安全)、能夠持久並可靠地運作,並能夠在未來繼續穩定地投入智慧家庭的行列。對於製造商和供應商而言,應該以在新的立場和視角來開拓一個新的市場。
淺談區塊鏈之著作權保護機制淺談區塊鏈之著作權保護機制 資策會科技法律研究所 法律研究員 翁竹霆 105年11月21日 FinTech,即金融科技,泛指利用科技使金融服務變得更有效率之創新技術。因比特幣(Bitcoin)而廣為人知之區塊鏈(Block chain)技術便是其中之一大代表,其對金融產業帶來破壞性之創新,顛覆金融產業長久以來之概念架構,未來勢必對人類社會帶來不小的影響。 著作權又稱版權,係指在作品上設定權利,並加以保護之制度,長久以來與科學技術相輔相成,共同促進人類社會進步[1]。然網路技術使作品複製與傳播之成本大幅降低,對著作權制度之震撼甚大,管見以為,以點對點(Peer-to-Peer)網路技術為基礎之區塊鏈,恰是著作權制度與網路技術此番挑戰之調和劑,引入區塊鏈技術應用於著作權保護,使新科技不僅是對法制帶來危機,亦可能是帶來轉機,此為本文撰寫之契機。 壹、技術背景 區塊鏈之概念最早可溯及2008年11月,中本聰發表之《比特幣:一種對等式的電子現金系統》[2]。簡言之,區塊鏈是一去中心化之分散式系統,在P2P網路上利用非對稱加密技術記錄每筆行為資訊,具有去中心化、透明性、開放性、自治性、訊息不可篡改、匿名性等六大特徵[3]。比方說在一塗鴉牆上,人人在牆上可畫可看牆上訊息,但僅有訊息之收發當事人能看懂訊息內容。 區塊鏈能防止訊息偽造,提升系統穩定,將傳統交易對人的信任更新為對技術的信任,降低信任成本,當前各國正積極投入區塊鏈之應用。然區塊鏈技術雖有諸多優點,亦不例外有其缺點。本質上,區塊鏈係以成本為代價,換取鏈內資訊之真實與完整,此缺陷反映於該技術之時間與空間成本。 貳、我國法制 區塊鏈發展至今,其應用領域已延伸至各種領域,如數位金融、食安履歷、智財保障等,本文將聚焦於區塊鏈技術對著作權存證之應用機制。 有權利即有救濟之法理,可見於我國大法官會議釋字第243號解釋,故著作權受有侵害時,著作權人應得提訴以維護其權利。然依我國民事訴訟法第277條與刑事訴訟法第232條、第319條之規定,民事原告和刑事告訴人負有證明自己為權利人或被害人之一舉證責任,就採行註冊或登記主義之專利權、商標權而言,權利人之舉證或非難事,惟於採創作主義之著作權而言,此舉證責任難度顯然高於專利權人及商標權人。就此我國著作權法雖有參酌各國立法例,規定如著作人之著作符合一定推定規則,在訴訟上即不負有舉證責任,此即「著作人推定」[4]。依著作權法第13條之著作權人推定之規定,必須在著作之原件或其以發行之重製物上,或將公開發表時,以通常方法表示著作人之本名或眾所周知之別名。反面解釋來說,若著作人一時疏忽或因該創作領域之習慣,未於著作表示著作人本名或別名,著作人將難受推定而享有著作權,創作心血將付之一炬。 我國最高法院92年度台上字第1664號判決之見解認為,著作權人為證明著作權,應保留其著作之創作過程、發行及其他與權利有關事項之資料作為證明自身權利之方法;該判決更指出著作權人至少需證明著作權人身分、著作完成時間、非抄襲之獨立創作;102年度台非字第24號判決重申著作權人未提出或交待研發過程之相關資料,尚不足認其主張之系爭標的係屬著作,亦不得僅憑該造友性證人之宣誓書及證言云云,即謂所述創作歷程可採;而智財法院97年刑智上易字第70號判決中則指出,該件鑑定小組藉由就權利人之營業處所及其創作過程進行實地勘查,推論得知告訴人係真正創作之著作權人。基此,權利人無法受有著作人推定時,需提出證據,跨越三道門檻,方可證明其確有權利,此為現行制度下,著作權人維權所面臨之現實難處。 如前所述,當前著作權人之維權存在著舉證難、週期長、成本高的問題,而區塊鏈在技術上可應用於著作權之存證,與實務見解之著作人身分、著作完成時間、非抄襲之獨立創作等待證事項完美匹配,原因分析如下: 一、著作權人身分 此部分意在證明著作確係主張權利人所創作,證明難度應不高,僅需著作人於登入系統時進行身分驗證,透過如帳號密碼、電子憑證等技術,便能推定系統之使用者確為著作人本人。目前多數網路平台均有採相似技術,於登入系統時確認使用者之身分、年齡等資訊,如結合區塊鏈不可篡改之特性,將更可保存身分資料,確認真實性。惟著作人本人是否具行為能力,甚至具備創作能力,尚非區塊鏈技術可以解決,仍需視個案事實認定之。 二、著作完成時間 區塊鏈在技術上,其區塊之排列係按照歷史時間順序,恰可將我國實務見解強調之創作過程,如日記般記載呈現,清楚確定著作係於何時生成而取得著作權,有助於釐清權利取得先後之爭議。 三、非抄襲之獨立創作 所謂創作過程乃著作人在創作時之相關紀錄,常見之紀錄包含筆記、草稿、設計圖、會議紀錄等。又因我國法律並無明定何謂抄襲之判定基準,法院常以創作過程做為認定系爭著作是否抄襲之依據。惟著作人於訴訟中證明自己確非抄襲存有困難,縱委請公證人進行著作認證,或將著作寄存於特定機構,亦僅能證明自己在特定時點完成著作,仍無法證明系爭著作係自己之獨立創作[5]。若運用區塊鏈具有去中心化、透明性、訊息不可篡改等特徵,即能確保創作過程係被忠實記錄於區塊鏈中,不受變更;過程訊息之完整性與真實性亦可通過科學之檢驗,便於著作人舉證證明系爭著作之創作過程。透過作品之創作緣由、經過細節,輔以庭審詰問質證,即可舉證之著作人確為實際創作者。 綜上,如導入區塊鏈對我國之著作權進行存證保護,作為此技術之新運用,應符合法院實務見解與創作市場需求,具有可行性。 叄、國際實例 台灣近期已有銀行業者將區塊鏈運用於金融業務[6],如欲建立我國區塊鏈之著作權保護機制,或可借鑑國外成功實例,汲取他人操作經驗。目前國際上,將區塊鏈技術運用至著作權保護之實例以歐美為大宗,包括blockai[7]、Ascribe[8]、Verisart[9]等許多網路平台運用區塊鏈對著作權進行存證,本文分別簡介如下: 一、blockai 美國長久以來係由國會圖書館管理著作權事宜,惟實作程序上曠日費時且效率不彰。blockai便在此環境中誕生,作為一運用區塊鏈保護著作權之網站,其旨在提供更簡單有效的新選擇。blockai以區塊鏈建立公眾資料庫搭配圖像比對技術,以證明作品確由著作權人創作進而保障之。其開立之著作權證書雖並無法定證據效力[10],但因區塊鏈信息不可篡改之技術特徵,仍可成為法庭上有相當證明力之證據[11]。 二、Ascribe 德國的Ascribe通過區塊鏈,使作者可以確定作品的權利屬性,安全的進行分享並追蹤作品傳播情況[12],亦透過區塊鏈對作品創作真實性進行認證,在發行時可就發行數量進行限制,旨在使數位內容作品在網路環境中能如同實體作品般具備稀少性。與blockai作法類似,Ascribe也提供著作權證書[13],該證書除作者名稱、作品名稱、完成時間外,更包括所有權人、交易時間,透過紀錄所有權移轉歷程體現數量限制、追蹤傳播情況的功能,有效避免一權多賣。 三、Verisart Verisart亦是透過區塊鏈從事著作權保障的網站,作法係提供一App予使用者,使其可以簡單、快速地驗證作品,使用者包括創作者、收藏家、交易者不等,與其他平台不同處在Verisart操作上通過手機、平板電腦等行動裝置,在作品訊息的資料上,更記載作者當前地點,突顯行動性,係區塊鏈技術與行動裝置的創新結合,以行動裝置使著作權的存證不受時間、地點的桎梏。 雖然區塊鏈目前只能提供每秒150次交易,但對著作權驗證已堪用。蓋著作權存證之目的在於呈現訴訟實務上所重視之創作過程,該過程係一歷史事實之呈現,著眼於訊息之正確與完整,而不要求訊息傳遞之即時性,是以區塊鏈技術上之時間成本,於此並不構成致命缺陷;至於空間成本,因硬碟儲存技術之發展,儲存空間已可以極低成本予以克服。 肆、結論 面對虛擬貨幣之新思潮,各國政府與民間爭相投入區塊鏈之應用研究,望能藉新技術降低產業成本,如中國人民銀行成立中國區塊鏈研究聯盟,美國有利用區塊鏈保障著作權之平台,台灣亦有金融業者加入全球區塊鏈聯盟與國際接軌。從我國著作權訴訟實務上著作人舉證責任視之,通過科學技術保障權利標的進行舉證,與一般證人之證言宣誓有別,證據之證明力更禁得起檢驗。在我國現行法未有著作權登記制度之際,引入區塊鏈於著作權保護之應用,可對現行法制上之舉證難題對症下藥,緩和權利人不易舉證之窘境,使權利人更能獲得其應有之權益保障,落實我國著作權法之立法目的。期待產業主管機關或著作權專責機關,推動運用區塊鏈技術解決創作舉證不易而產生的著作權歸屬糾紛,並進一步利用區塊鏈技術於授權交易,促進原創作品的流通,為我國數位經濟與文化創意發展構築更加完備的發展環境。 [1] 吳偉光,《數字技術環境下的版權法》,知識產權出版社,頁17(2008)。 [2] Satoshi Nakamoto, Bitcoin: A Peer-to-Peer Electronic Cash System, https://bitcoin.org/bitcoin.pdf (last visited Oct. 3, 2016). [3] 長鋏、韓鋒,《區塊鏈:從數字貨幣到信用社會》,中信出版社,頁54(2016)。 [4] 蕭雄淋,《著作權法論》,五南出版股份有限公司,第七版,頁71(2010)。 [5] 台灣內容市集網站,https://www.tcrm.org.tw/index.php(最後瀏覽日:2016/10/04)。 [6] 華銀區塊鏈應用大躍進,http://udn.com/news/tory/7239/2035353(最後瀏覽日:2016/10/20)。 [7] blockai網站, https://blockai.com/ (last visited Oct. 4, 2016). [8] Ascribe網站, https://www.ascribe.io/ (last visited Oct. 20, 2016). [9] Verisart網站, https://www.verisart.com/ (last visited Oct. 20, 2016). [10] 蔡茜堉,金融科技專利現況,http://www.tipo.gov.tw/public/Attachment/67259101946.pdf(最後瀏覽日:2016/10/04)。 [11] 區塊鏈豈止用於金融?外國新創利用技術保護知識產權,http://unwire.pro/2016/03/15/blockai-uses-blockchain-to-protect-intellectual-property/startups/(最後瀏覽日:2016/10/04)。 [12] 長鋏、韓鋒,《區塊鏈:從數字貨幣到信用社會》,中信出版社,頁229(2016)。 [13] Ascribe證書範例, https://d1qjsxua1o9x03.cloudfront.net/live%2Fcb70ab375662576bd1ac5aaf16b3fca4%2F23964ae7-3bfc-46b4-85d6-05c9f09ba300%2Fcoa%2Fcoa-2016-01-04t12-56-13.pdf (last visited Oct. 20, 2016).
線上遊戲「Second Life」大筆玩家資料外洩線上遊戲新奇的聲光效果與眾多同儕參與的凝聚感,吸引全球玩家爭先投入此一新興娛樂領域之際,遊戲本身的安全性卻也格外值得重視。知名的線上遊戲「 Second Life 」驚傳個人資料外洩事件,遊戲營運商「 Linden Lab 」 9 月 10 號發布公開聲明,表示「 Second Life 」遊戲伺服器於同月 6 日遭到駭客入侵,總計約有 65 萬名玩家的個人資料遭竊。 廣受全球玩家青睞的多人線上角色扮演遊戲( Massive Multiplayer Online Role Playing Game ; MMORPG )「 Second Life 」採取全然的 3D 介面( three-dimensional ),遊戲當中所有的虛擬物件,包括角色、道具與各式各樣的配件均由個別玩家設計與創造,玩家可在遊戲中從事虛擬土地及建築物的買賣並賺取遊戲虛擬貨幣( Linden Dollars );玩家亦可將遊戲中獲取的虛擬貨幣於真實社會中進行現金交易。 營運商「 Linden Lab 」表示,此次駭客係利用「 Zero-Day Exploit 」技術滲透遊戲伺服器,外洩的個人資料包括了玩家姓名、住址、帳號密碼及其信用卡卡號等。 Linden Lab 除已要求所有的玩家立即更改密碼,並將在遊戲的部落格( blog )中提供新的安全方案。