美國NIST發布更新《網路安全資源指南》提升醫療領域的網路安全及隱私風險管理
美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)於2022年7月21日發布更新《網路安全資源指南》(A Cybersecurity Resource Guide, NIST SP 800-66r2 ipd)。本指南源自於1996年美國《健康保險流通與責任法》(Health Insurance Portability and Accountability Act, HIPAA)旨在避免未經患者同意或不知情下揭露患者之敏感健康資料,並側重於保護由健康照護組織所建立、接收、維護或傳輸之受保護電子健康資訊(electronic protected health information, ePHI),包括就診紀錄、疫苗接種紀錄、處方箋、實驗室結果等患者資料之機密性、完整性及可用性。其適用對象包含健康照護提供者(Covered Healthcare Providers)、使用電子方式傳送任何健康資料的醫療計畫(Health Plans)、健康照護資料交換機構(Healthcare Clearinghouses)及為協助上述對象提供健康照護服務之業務夥伴(Business Associate)均應遵守。
本指南最初於2005年發布並經2008年修訂(NIST SP 800-66r1 ipd),而本次更新主要為整合其他網路安全相關指南,使本指南與《網路安全框架》(Cybersecurity Framework, NIST SP 800-53)之控制措施等規範保持一致性。具體更新重點包括:(1)簡要概述HIPAA安全規則;(2)為受監管實體在ePHI風險評估與管理上提供指導;(3)確定受監管實體可能考慮作為資訊安全計畫的一部分所實施的典型活動;(4)列出受監管實體在實施HIPAA安全規則之注意事項及其他可用資源,如操作模板、工具等。特別在本指南第三章風險評估與第四章風險管理提供組織處理之流程及控制措施,包括安全管理流程、指定安全責任、員工安全、資訊近用管理、安全意識與培訓、應變計畫、評估及業務夥伴契約等。而在管理方面包括設施權限控管、工作站使用及安全、設備媒體控制;技術方面則包含近用與審計控管、完整性、個人或實體身分驗證及傳輸安全。上述組織要求得由政策、程序規範、業務夥伴契約、團體健康計畫所組成,以助於改善醫療領域的網路安全及隱私保護風險管理。預計本指南更新將徵求公眾意見至2022年9月21日止。
- NIST Updates Guidance for Health Care Cybersecurity, National Institute of Standards and Technology, July 21, 2022
- Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide (NIST Special Publication 800-66, Revision 2), National Institute of Standards and Technology, July 21, 2022
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
盧秉羲
專案經理 編譯整理
NIST Updates Guidance for Health Care Cybersecurity, National Institute of Standards and Technology, July 21, 2022, https://www.nist.gov/news-events/news/2022/07/nist-updates-guidance-health-care-cybersecurity(last visited Sept. 2, 2022).
Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide (NIST Special Publication 800-66, Revision 2), National Institute of Standards and Technology, July 21, 2022, https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-66r2.ipd.pdf(last visited Sept. 2, 2022).
施雅薰,〈歐盟執委會發布「歐洲健康資料空間」規則提案,旨在克服健康資料利用之障礙〉,資訊工業策進會科技法律研究所,2022/6,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8858(最後瀏覽日:2022/9/2)。
邱美蘅,〈美國21世紀醫療法最終規則下之資訊封鎖條文生效,患者健康資料進用權利獲保障〉,資訊工業策進會科技法律研究所,2021/6,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8679&no=64(最後瀏覽日:2022/9/2)。
科法觀點
2016年8月底,歐洲電子通傳監管機構(Body of European Regulators for Electronic Communications, BEREC)根據歐洲議會(European Parliament)與歐盟理事會(Council of the European Union)通過的第2015/2120號規章(下稱2120號規章)第5條第3項的規定,推出規範歐盟各會員國國家監管機構(national regulatory authorities, NRAs)落實網路中立性原則的指南,為歐洲近年積極鼓吹數位人權運動寫下勝利的一頁。 該指南主要針對2120號規章以下幾條進行細部說明: 1. 第一條:規範主體與範圍; 2. 第二條:定義; 3. 第三條:網路中立權利的保障; 4. 第四條:確保網路中立的資訊透明措施; 5. 第五條:監管機制; 6. 第六條:罰則; 7. 第十條:規章實施與過渡條款。 指南補充說明了原先規章中,各條條文的相關細部規範。BEREC不只對各條規範中較為模糊的敘述提供明析的論述,同時也強化NRAs規範網路服務供應商(internet service provider, ISP)應提供網路中立服務的拘束力。 該指南的立場旨在希望歐洲網路終端用戶近用網路的權利受到更為完善的保障,且為了達成這樣的目標而為ISPs所提供的服務設下了更為嚴苛的門檻。不過BEREC也表示,ISPs可以在不影響其他終端用戶的權利及傳輸速率下,為特定服務提供特別的服務方案,例如:即時醫療服務(real-time health services)。當然,針對這些特定服務,各國NRAs必須加以監管以確保其他網路終端用戶的權利。 雖然該指南對歐盟各會員國的NRAs有行政指導上的指標意義,不過有趣的是,英國通訊傳播管理局(Office of Communications, Ofcom)身為BEREC的會員,但英國已非歐盟會員,Ofcom是否會提出適用英國自己的網路中立性規範,以及歐盟各會員國對於該指南的適用狀況值得繼續追蹤。
美國FDA發佈食品安全現代化法(FSMA)之產品安全建議規則(PSPR)最終版在農產品業,食品安全在所有人的心中佔了極重要的位置。美國食品及藥物管理局(Food and Drug Administration,下稱FDA)在2015年9月發佈了食品安全現代化法(Food Safety Modernization Act;下稱FSMA)之產品安全建議規則(Produce Safety Proposed Rule;下稱PSPR)的最終版(final rule)。該規則的發布,預將使零售商尋找供應商的方向,轉變為以有遵守FSMA的供應商作為交易的對象。 PSPR主要是在規定人類消費之蔬果產品生長、繁殖、包裝、販售之規則。新增規範重點如下: 1. 農業用水(Agricultural Water):針對農業用水之品質標準、水質測試方式,作出規範。 2. 生物土壤改良(Biological Soil Amendments):對於改良土壤可能使用到之肥料或相關之微生物,作出規範。 3. 抽芽(Sprouts):對於植物在抽芽時相關預防微生物汙染、微生物測試,作出規範。 4. 馴養動物與野生動物(Domesticated and Wild Animals):針對在農場內放牧之動物,或用來幫助耕作動物之管理,作出規範。 5. 人員訓練、健康與衛生管理(Worker Training and Health and Hygiene):針對相關人員之教育訓練、衛生管理以及健康,作出規範。 6. 設備、工具與建築物(Equipment, Tools and Buildings):為了預防生產過程中可能遭受汙染之情況,對於硬體設備作出規範。 FSMA是美國第一個關於食品安全之立法,美國農業部(Department of Agriculture;USDA)為了讓零售商或中盤商更了解其自身對食品安全之需求以找尋適合之供應商,更預計在2016年春季推行集團優良農業作業準則前導計畫( Group Gap Pilot Program),提供第三方認證服務,以確認農產品所有之作業都有遵守FSMA及FDA之建議。
美國司法部和專利商標局發表聯合聲明呼籲法官應謹慎核發禁售令美國司法部和專利商標局於今年(2013)1月9日發表聯合聲明,呼籲法官應謹慎對待「標準關鍵專利」(Standard Essential Patent)產品的禁售問題。 在該項聯合聲明發表前,美國聯邦貿易委員會 (Federal Trade Commission, FTC) 亦曾主張除少數特定情況外,侵犯標準關鍵專利的產品應處以賠償金,而非核發禁售令(Sales Bans)。該項聯合聲明要點歸納如下: 1.以公眾利益為最高優先考量,謹慎核發禁售令 聲明呼籲美國國際貿易委員會(United States International Trade Commission, ITC) 決定是否禁止使用關鍵專利的產品進口時,應以公眾利益為最高優先考量,此舉將增加持有「標準關鍵專利」的公司獲得禁售令之困難度,未來擁有「標準關鍵專利」的公司僅在極少數特殊的情況下獲得禁售令。 2.未具強制拘束力 聯合聲明僅代表司法部和專利商標局相關當局對專利問題的看法,雖可能影響法官心證,但聲明不具強制拘束力。 近來,美國各地方法院與ITC皆有未准核發禁售令之實際案例。例如:去年(2012)6月美國芝加哥法官Richard Posner駁回 Google 因部分標準關鍵專利有侵權疑慮申請禁售 iPhone;ITC在Apple Inc. 與Samsung Electronics 的專利訴訟中,認定Apple Inc. 未侵犯 Samsung Electronics的標準關鍵專利,並拒絕核發禁售令。
美國2018年5月14日拜杜法修法生效,NIH同年10月因應修法公布對應修正的研發成果經費資助政策美國拜杜法案修改由美國商業部的國家標準暨技術研究院(National Institute of Standards and Technology;簡稱NIST)於2018年5月14日發布生效,美國各界稱此次修法案為新拜杜法或是2018拜杜法(new Bayh-Dole Act Regulations)。除此之外;國家衛生研究院(National Institutes of Health;簡稱NIH)也於同年10月公布對應修正的研發成果經費資助政策,並調整IEdison系統以符合新法規。本次修法釐清多項定義、減低法規負擔、解決受資助單位與資助單位共有發明的問題、簡化電子控管程序。修法內容簡要說明如下: 適用範圍不限組織規模,包括非營利機構、小企業、個人,並擴及大企業。 若聯邦雇員是研發成果的共同發明人,其所有權由聯邦資助單位擁有。 一連串時間修正。包括(1)聯邦政府取得研發成果所有權改為無時間限制(原來是60天)。(2)研究機構須在專利申請期限60天前回復聯邦不申請專利的決定(原來是30天)。(3)美國臨時案申請轉為正式專利申請案的時限改為10個月,因為還需要加上提前60天通知聯邦機構不申請專利。 研究機構有權在工作合約要求職員將研究發明權利讓與給研究機構。 最初專利申請的範圍擴及PCT申請以及植物發明品種申請(原本僅限專利申請以及臨時案申請)。