美國NIST發布更新《網路安全資源指南》提升醫療領域的網路安全及隱私風險管理
美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)於2022年7月21日發布更新《網路安全資源指南》(A Cybersecurity Resource Guide, NIST SP 800-66r2 ipd)。本指南源自於1996年美國《健康保險流通與責任法》(Health Insurance Portability and Accountability Act, HIPAA)旨在避免未經患者同意或不知情下揭露患者之敏感健康資料,並側重於保護由健康照護組織所建立、接收、維護或傳輸之受保護電子健康資訊(electronic protected health information, ePHI),包括就診紀錄、疫苗接種紀錄、處方箋、實驗室結果等患者資料之機密性、完整性及可用性。其適用對象包含健康照護提供者(Covered Healthcare Providers)、使用電子方式傳送任何健康資料的醫療計畫(Health Plans)、健康照護資料交換機構(Healthcare Clearinghouses)及為協助上述對象提供健康照護服務之業務夥伴(Business Associate)均應遵守。
本指南最初於2005年發布並經2008年修訂(NIST SP 800-66r1 ipd),而本次更新主要為整合其他網路安全相關指南,使本指南與《網路安全框架》(Cybersecurity Framework, NIST SP 800-53)之控制措施等規範保持一致性。具體更新重點包括:(1)簡要概述HIPAA安全規則;(2)為受監管實體在ePHI風險評估與管理上提供指導;(3)確定受監管實體可能考慮作為資訊安全計畫的一部分所實施的典型活動;(4)列出受監管實體在實施HIPAA安全規則之注意事項及其他可用資源,如操作模板、工具等。特別在本指南第三章風險評估與第四章風險管理提供組織處理之流程及控制措施,包括安全管理流程、指定安全責任、員工安全、資訊近用管理、安全意識與培訓、應變計畫、評估及業務夥伴契約等。而在管理方面包括設施權限控管、工作站使用及安全、設備媒體控制;技術方面則包含近用與審計控管、完整性、個人或實體身分驗證及傳輸安全。上述組織要求得由政策、程序規範、業務夥伴契約、團體健康計畫所組成,以助於改善醫療領域的網路安全及隱私保護風險管理。預計本指南更新將徵求公眾意見至2022年9月21日止。
- NIST Updates Guidance for Health Care Cybersecurity, National Institute of Standards and Technology, July 21, 2022
- Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide (NIST Special Publication 800-66, Revision 2), National Institute of Standards and Technology, July 21, 2022
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
盧秉羲
專案經理 編譯整理
NIST Updates Guidance for Health Care Cybersecurity, National Institute of Standards and Technology, July 21, 2022, https://www.nist.gov/news-events/news/2022/07/nist-updates-guidance-health-care-cybersecurity(last visited Sept. 2, 2022).
Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide (NIST Special Publication 800-66, Revision 2), National Institute of Standards and Technology, July 21, 2022, https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-66r2.ipd.pdf(last visited Sept. 2, 2022).
施雅薰,〈歐盟執委會發布「歐洲健康資料空間」規則提案,旨在克服健康資料利用之障礙〉,資訊工業策進會科技法律研究所,2022/6,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8858(最後瀏覽日:2022/9/2)。
邱美蘅,〈美國21世紀醫療法最終規則下之資訊封鎖條文生效,患者健康資料進用權利獲保障〉,資訊工業策進會科技法律研究所,2021/6,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8679&no=64(最後瀏覽日:2022/9/2)。
科法觀點
印度「專利設計與商標管理局」(Controller General of Patents, Designs and Trademarks)於2016年2月19日發佈最新的「審查電腦相關之發明專利準則」(Guidelines for Examination of Computer Related Inventions, CRIs),決定在專利申請之審查程序中落實印度於1970年所制定的專利法(Patents Act, 1970)之意旨,未來當局將不再受理與電腦相關的軟體專利申請案。印度《專利法》第3條第k項排除本質上為數學演算法、商業方法與電腦程式運算法則等申請案之可專利性(Patentable)。該規定在印度《專利法》於2002年、2004年與2005年修法過程中,雖面臨各方利益團體試圖影響國會立法放寬法定可專利性範圍的壓力,但仍然為印度國會(Bhārat kī Sansad)所保留。 然而,印度「專利設計與商標管理局」卻於2015年8月21日發佈違反《專利法》意旨的CRIs,導致軟體專利的可專利性被實質上放寬。一般認為開放申請軟體專利的政策將會阻礙新創公司的發展,並有利於所謂「專利主張實體」(Patent Assertion Entity, PAE)藉大量軟體專利向一般公司提起訴訟或請求授權金,導致印度當局遭受國內新創軟體公司與相關非政府組織的激烈抗議。 「自由軟體法律中心」(Software Freedom Law Center, SFLC)與「印度軟體產品圓桌會議」(Indian Software Product Industry Round Table, iSPIRT)等機構即代表眾多新創公司與學術界人士上書印度「總理辦公室」(Prime Minister’s Office),請求政府對2015年8月發佈的CRIs進行檢討。SFLC等組織的積極作為,成功說服印度當局作出暫緩該高度爭議的CRIs生效之決定。代表SFLC等組織的專家表示,印度的軟體已受到《著作權法》與《營業秘密法》的足夠保障,進一步開放發明人申請軟體專利只會對該國軟體產業並無助益。 印度當局與相關團體在數個月間密集的進行研議,終於在2016年2月決定修正原先發佈的CRIs,使其回歸印度《專利法》不開放軟體專利申請的立法意旨。
智慧財產風險管理與公司治理的匯流 小賈妻Hailey的保養品新品牌「Rhode」上架一周就被控商標侵權小賈斯汀的名模妻海莉(Hailey Rhode Bieber)於2022年6月15日宣告成立保養品新品牌─Rhode(後稱保養品品牌「Rhode」),在美國上市一周便遭到度假風服飾品牌「Rhode」(後稱服飾品牌「Rhode」)於6月21日向紐約聯邦地方法院控訴商標侵權。 服飾品牌「Rhode」係由兩位同在時尚界的友人於2014年所成立,極力經營品牌並投入百萬美金之年度行銷預算。在訴狀中,提及搭載著海莉本身與小賈斯汀名氣之保養品品牌「Rhode」上市後,迅速地在熱搜排行超越服飾品牌「Rhode」,使後者面臨努力經營之銷售市場被瓜分之可能性;再者,儘管保養品與服飾的國際商標分類號不同(前者為第3類、後者為第25類),但實質上皆屬於廣義之時尚產業,容易造成消費者混淆,也將使服飾品牌「Rhode」未來在品牌跨界聯名的規劃受到限制。 至於保養品品牌「Rhode」早在2018年便曾以設計字樣Rhode申請美國商標並指定於服飾類別,同年11月也曾向服飾品牌「Rhode」提出商標收購但遭拒絕;爾後,2019年再以「Hailey Rhode」為名稱指定於衣服類別提出商標申請、2020年起陸續於2月及12月以「Rhode」為名稱指定於保養品及香氛類別申請商標。 在此過程中可觀察到,海莉曾試過直接收購服飾品牌「Rhode」商標、也試圖改變品牌商標名稱為「Hailey Rhode」,但最後仍以「Rhode」為品牌商標轉而發展保養品品牌。對服飾品牌「Rhode」而言,當經營多年之品牌市場受到威脅,勢必為此展開商標維權之路。 「本文同步刊登於TIPS網站(https://www.tips.org.tw )」
英、美唱片業者控告YouTube-mp3.org侵權2016年9月國際唱片業協會(International Federation of the Phonographic Industry,簡稱IFPI)、美國唱片產業協(Recording Industry Association of America,簡稱RIAA)及英國唱片產業協會(British Phonographic Industry,簡稱BPI)對全球最大的串流音樂翻錄網站「YouTube-mp3.org」展開法律行動,指控該網站違反YouTube的服務準則,且侵害音樂著作權。目前該案件由美國加州聯邦法院審理。 「YouTube-mp3.org」將串流音樂變成可供下載的音樂檔案,使用者只需在該網站(YouTube-mp3.org)複製貼上原YouTube的音樂影片網址,即能將其轉為MP3檔案下載使用。RIAA表示運營商透過該網站已經獲利數百萬美元的廣告收入,卻未支付任何金錢報酬給音樂家或著作權權利持有人,因此控告YouTube-mp3. org及該站負責人Philip Matesanz侵害著作權。BPI則表示,使用者得透過各種串流服務存取合法音樂,若對此非法轉載音樂的業者或行為不提出法律行動,將會影響合法的音樂串流服務。 另一方面,德國聯邦部門(German Federal Ministry ) 早在2011年時曾認定,從Youtube網站複製下載音樂為非商業之私人行為合法。而電子前線基金會(Electronic Frontier Foundation,簡稱EFF)對於英美唱片業協會要求法院消除此類型網站一事持否定看法,認為法律不應賦予著作權人或商標所有人修訂刪除網站的權力。