美國NIST發布更新《網路安全資源指南》提升醫療領域的網路安全及隱私風險管理
美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)於2022年7月21日發布更新《網路安全資源指南》(A Cybersecurity Resource Guide, NIST SP 800-66r2 ipd)。本指南源自於1996年美國《健康保險流通與責任法》(Health Insurance Portability and Accountability Act, HIPAA)旨在避免未經患者同意或不知情下揭露患者之敏感健康資料,並側重於保護由健康照護組織所建立、接收、維護或傳輸之受保護電子健康資訊(electronic protected health information, ePHI),包括就診紀錄、疫苗接種紀錄、處方箋、實驗室結果等患者資料之機密性、完整性及可用性。其適用對象包含健康照護提供者(Covered Healthcare Providers)、使用電子方式傳送任何健康資料的醫療計畫(Health Plans)、健康照護資料交換機構(Healthcare Clearinghouses)及為協助上述對象提供健康照護服務之業務夥伴(Business Associate)均應遵守。
本指南最初於2005年發布並經2008年修訂(NIST SP 800-66r1 ipd),而本次更新主要為整合其他網路安全相關指南,使本指南與《網路安全框架》(Cybersecurity Framework, NIST SP 800-53)之控制措施等規範保持一致性。具體更新重點包括:(1)簡要概述HIPAA安全規則;(2)為受監管實體在ePHI風險評估與管理上提供指導;(3)確定受監管實體可能考慮作為資訊安全計畫的一部分所實施的典型活動;(4)列出受監管實體在實施HIPAA安全規則之注意事項及其他可用資源,如操作模板、工具等。特別在本指南第三章風險評估與第四章風險管理提供組織處理之流程及控制措施,包括安全管理流程、指定安全責任、員工安全、資訊近用管理、安全意識與培訓、應變計畫、評估及業務夥伴契約等。而在管理方面包括設施權限控管、工作站使用及安全、設備媒體控制;技術方面則包含近用與審計控管、完整性、個人或實體身分驗證及傳輸安全。上述組織要求得由政策、程序規範、業務夥伴契約、團體健康計畫所組成,以助於改善醫療領域的網路安全及隱私保護風險管理。預計本指南更新將徵求公眾意見至2022年9月21日止。
- NIST Updates Guidance for Health Care Cybersecurity, National Institute of Standards and Technology, July 21, 2022
- Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide (NIST Special Publication 800-66, Revision 2), National Institute of Standards and Technology, July 21, 2022
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
盧秉羲
專案經理 編譯整理
NIST Updates Guidance for Health Care Cybersecurity, National Institute of Standards and Technology, July 21, 2022, https://www.nist.gov/news-events/news/2022/07/nist-updates-guidance-health-care-cybersecurity(last visited Sept. 2, 2022).
Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide (NIST Special Publication 800-66, Revision 2), National Institute of Standards and Technology, July 21, 2022, https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-66r2.ipd.pdf(last visited Sept. 2, 2022).
施雅薰,〈歐盟執委會發布「歐洲健康資料空間」規則提案,旨在克服健康資料利用之障礙〉,資訊工業策進會科技法律研究所,2022/6,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8858(最後瀏覽日:2022/9/2)。
邱美蘅,〈美國21世紀醫療法最終規則下之資訊封鎖條文生效,患者健康資料進用權利獲保障〉,資訊工業策進會科技法律研究所,2021/6,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8679&no=64(最後瀏覽日:2022/9/2)。
科法觀點
歐洲委員會委託荷蘭「阿姆斯特丹大學資訊法律學院」及倫敦「皇后瑪莉智慧財產中心」,就歐盟2001年通過之著作權指令於各會員國實行之情況與對市場之影響進行評估,並於2007年2月完成評估報告。該份報告指出,歐盟著作權指令就推動線上內容服務成長之目的僅達成少部分目標,若歐盟未來可能成為網路服務之單一市場,則本指令必須加以修改。 報告指出,部分指令內容的欠缺明確,留給各會員國極大的裁量空間於內國法排除規範之訂定與限制規範之研擬,此一情況實為該指令功能未能彰顯之重要因素。且因各會員國幾乎可完全自由決定欲採用之制度,將嚴重影響跨疆界網路內容服務的建構,尤其調和規範之欠缺,直接影響關於市場玩家提供跨疆界網路服務相關法律的明確性。而由於規範的不確定性,則迫使使用者於面臨跨疆界著作之使用時,需與每位權利人就使用受保障著作的範圍進行協商,導致交易成本之增加。另外,該指令之規範亦轉變了科技法律之態樣,推翻舊有權利平衡,而創造出偏向權利人、遠離著作使用者的規範模式,擴張的重製權賦予權利人幾乎完全的控制權力,而此一權利實非於實體世界權利人所能專享。 此份報告建議,為達成會員國規範具某程度的一致性,未來宜就該指令可附加之限制,明列簡短的必要禁止規範,各國亦可依據自身需求附加進一步的排除條款。同時建議歐洲各國可參考德國強制將數位權力管理資訊、著作使用範圍與特性於產品上附加說明之模式,作為未來規範訂定之參考。
德國針對企業資訊安全及資料保護相關法律提出建議文件德國經濟及能源部於2018年3月8日為企業資訊安全保護措施建議及資料保護、資料所有權相關法規提出建議文件,協助中小企業提升對於組織及特別領域中的資安風險之意識,並進一步採取有效防護檢測,包括基本安全防護措施、組織資安維護、及法規,並同時宣導德國資料保護法中對於資安保護的法定要求。 資通訊安全及其法規係為企業進行數位化時,涉及確保法的安定性(Rechtssicherheit)之議題。加強資安保護,除可增進銷售及生產力,並使商業貿易間有更大的透明度和靈活性,和創造新的合作信賴關係。因此相關網路內容服務提供商應符合法律要求,提供相關服務,並使共享資料得到完善的保護。例如:應如何保護處理後的資料?如何執行刪除個人資料權利?各方如何保護營業秘密?如果資料遺失,誰應承擔責任?唯有釐清上述相關等問題時,方能建立必要的信任。而在德國聯邦資料保護法,歐盟一般個人資料保護法、歐盟網路與資訊安全指令等規範及相關法律原則,係為數位創新企業執行資安基礎工作重要法律框架。但是,由於數位化的發展,新的法律問題不斷出現,目前的法律框架尚未全面解決。例如,機器是否可以處理第三方資料並刪除或保存?或是誰可擁有機器協作所產生的資料?因此,未來勢必應針對相關問題進行討論及規範。鑑於日益網路化和自動運作的生產設備,工業4.0的IT法律問題變得複雜。一方面,需要解決中、大型企業的營業祕密,資料所有權和責任主題之實際問題,以促進相關數位化創新。另一方面,為了能夠推導出現實的法律規範,需要更多具體實施案例討論。 據研究顯示,企業家對產品責任問題,人工智慧使用,外包IT解決方案,及雲端計算等核心問題的新法規以顯示出極大的興趣,並進一步列入既有或規劃中研究項目。未來,政府將協助為所有公司在安全框架下展開數位計畫合作的機會,並充分利用網路的潛力,而中小企業4.0能力中心也將為中小型公司在數位化目標上提供IT法問題方面的支持。
英國期望透過資料使用與近用法案修正案,強化數位證據資料之可信任性英國於2024年11月提出資料使用與近用法案(Data (Use and Access) Bill)修正案,其修正內容包含強化數位證據資料之可信任性。 根據英國數十年來的法院判決,可以觀察到英國法院信任電腦自動產出的資料,因此除非當事人提出反證,否則將推定電腦證據是可信賴的。然而,該見解導致英國爭議案件「郵局Horizon系統出錯案」的發生,亦促使資料使用與近用法案修正案的提出。 資料使用與近用法案修正案於第132條新增與數位證據相關的條款,同條第1項規定由電腦、裝置或電腦系統產生的數位證據,符合下列規定者,於訴訟程序中可以作為證據。 a、 數位證據以及產生數位證據或衍生數位證據之系統之可信任性未受質疑。 b、 法院確信無法合理地挑戰系統之可信任性。 c、 法院確信數位證據源自可信任的系統。 此外,同條第4項規定第1項第c款所指之可信任的系統,應包括適用於系統運作的任何指示或規則,以及為確保系統中保存的資料的完整性而採取的任何措施。 綜上所述,英國逐漸扭轉過去英國法院認為由電腦自動產生的資料具有可信任性之見解,並透過資料使用與近用法案修正案修正對於數位證據的認定,未來在涉及數位證據的案件中,檢辯雙方需要證明作為數位證據的資料完整性具有可信任性。 我國企業如欲強化數位資料的可信任性,可參考資訊工業策進會科技法律研究所創意智財中心所發布之重要數位資料治理暨管理制度規範(EDGS),建立並落實數位資料管理流程,除可確保數位資料的完整性及正確性具有可信任性,亦可提升法院採納數位資料作為證據之可能性。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw) .Pindent{text-indent: 2em;} .Noindent{margin-left: 2em;} .NoPindent{text-indent: 2em; margin-left: 2em;} .No2indent{margin-left: 3em;} .No2Pindent{text-indent: 2em; margin-left: 3em} .No3indent{margin-left: 4em;} .No3Pindent{text-indent: 2em; margin-left: 4em}
簡介美國《營業秘密案件管理的司法指引》2023年7月13日,美國聯邦司法中心(Federal Judicial Center)發布《營業秘密案件管理的司法指引》(Trade Secret Case Management Judicial Guide)。該指引是由美國聯邦司法中心與Berkeley大學合作出版,旨在提供處理聯邦營業秘密訴訟的法官參考,並為訴訟當事人提供營業秘密案件各階段的注意事項。其中特別指出識別營業秘密及證據開示在訴訟中的重要性。 1.在識別營業秘密的部分 《營業秘密案件管理的司法指引》指出在訴訟中,識別應達到「足以與已公開的資訊進行比較」的程度。而識別程度應具備以下兩個要件,包括: (1)使被告了解原告所主張之營業秘密範圍; (2)使被告能確定證據開示項目與本案所涉及之營業秘密間的關聯性。 據此,若原告僅識別其所主張之營業秘密的類別不足以識別其營業秘密。為達到《營業秘密案件管理的司法指南》所要求之識別程度,企業應盤點其擁有的營業秘密並留存產出紀錄,以利後續訴訟中能具體識別其營業秘密。 2.在證據開示的部分 《營業秘密案件管理的司法指引》指出證據開示的範圍會受到不同因素影響,比如各類型的特殊紀錄、個人隱私權是否受到保護等。為了能在證據開示階段取得優勢,企業應與員工簽署協議,明確約定其於機密資訊有外洩之虞時,有權對員工之個人設備等進行調查。 由上述內容可以發現,若要在美國營業秘密案件中取得優勢,建議企業採取識別所擁有的營業秘密、保存產出紀錄、與員工簽署相關協議等措施。關於前述營業秘密管理措施之重要內容,企業可以參考資策會科法所創意智財中心發布的「營業秘密保護管理規範」,並進一步了解該如何管理,以降低自身營業秘密外洩之風險,並提升其競爭優勢。 本文同步刊登於TIPS網站(https://www.tips.org.tw)