美國NIST發布更新《網路安全資源指南》提升醫療領域的網路安全及隱私風險管理
美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)於2022年7月21日發布更新《網路安全資源指南》(A Cybersecurity Resource Guide, NIST SP 800-66r2 ipd)。本指南源自於1996年美國《健康保險流通與責任法》(Health Insurance Portability and Accountability Act, HIPAA)旨在避免未經患者同意或不知情下揭露患者之敏感健康資料,並側重於保護由健康照護組織所建立、接收、維護或傳輸之受保護電子健康資訊(electronic protected health information, ePHI),包括就診紀錄、疫苗接種紀錄、處方箋、實驗室結果等患者資料之機密性、完整性及可用性。其適用對象包含健康照護提供者(Covered Healthcare Providers)、使用電子方式傳送任何健康資料的醫療計畫(Health Plans)、健康照護資料交換機構(Healthcare Clearinghouses)及為協助上述對象提供健康照護服務之業務夥伴(Business Associate)均應遵守。
本指南最初於2005年發布並經2008年修訂(NIST SP 800-66r1 ipd),而本次更新主要為整合其他網路安全相關指南,使本指南與《網路安全框架》(Cybersecurity Framework, NIST SP 800-53)之控制措施等規範保持一致性。具體更新重點包括:(1)簡要概述HIPAA安全規則;(2)為受監管實體在ePHI風險評估與管理上提供指導;(3)確定受監管實體可能考慮作為資訊安全計畫的一部分所實施的典型活動;(4)列出受監管實體在實施HIPAA安全規則之注意事項及其他可用資源,如操作模板、工具等。特別在本指南第三章風險評估與第四章風險管理提供組織處理之流程及控制措施,包括安全管理流程、指定安全責任、員工安全、資訊近用管理、安全意識與培訓、應變計畫、評估及業務夥伴契約等。而在管理方面包括設施權限控管、工作站使用及安全、設備媒體控制;技術方面則包含近用與審計控管、完整性、個人或實體身分驗證及傳輸安全。上述組織要求得由政策、程序規範、業務夥伴契約、團體健康計畫所組成,以助於改善醫療領域的網路安全及隱私保護風險管理。預計本指南更新將徵求公眾意見至2022年9月21日止。
- NIST Updates Guidance for Health Care Cybersecurity, National Institute of Standards and Technology, July 21, 2022
- Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide (NIST Special Publication 800-66, Revision 2), National Institute of Standards and Technology, July 21, 2022
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
- 【北部場1】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場2】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場3】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場4】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【南部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【中部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
盧秉羲
專案經理 編譯整理
NIST Updates Guidance for Health Care Cybersecurity, National Institute of Standards and Technology, July 21, 2022, https://www.nist.gov/news-events/news/2022/07/nist-updates-guidance-health-care-cybersecurity(last visited Sept. 2, 2022).
Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide (NIST Special Publication 800-66, Revision 2), National Institute of Standards and Technology, July 21, 2022, https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-66r2.ipd.pdf(last visited Sept. 2, 2022).
施雅薰,〈歐盟執委會發布「歐洲健康資料空間」規則提案,旨在克服健康資料利用之障礙〉,資訊工業策進會科技法律研究所,2022/6,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8858(最後瀏覽日:2022/9/2)。
邱美蘅,〈美國21世紀醫療法最終規則下之資訊封鎖條文生效,患者健康資料進用權利獲保障〉,資訊工業策進會科技法律研究所,2021/6,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8679&no=64(最後瀏覽日:2022/9/2)。
科法觀點
流行音樂之抄襲,於我國著作權法之評價上,是以著作權法第91條第1項「擅自以重製之方法侵害他人之著作財產權者」來評價,我國智慧財產法院已有相關判決可供參酌,如智慧財產法院 103 年刑智上易字第 47 號刑事判決。惟流行音樂之創作,往往受到流行趨勢及過去其他作品的啟發,但將任何的風格上的模仿皆認為係著作權之侵害顯然並不恰當,而旋律相似度高達九成左右者屬於抄襲固然無庸置疑,然僅取樣(sampling)使用少數詞曲,用以表達概念或致敬之使用他人創作情形,其判斷標準,或可參考美國法院之判決見解。 2003年的Newton v. Diamond案中,第九巡迴上訴法院認可「微量取用」(de minimis use)原則,認為在有數十秒的取樣情形時,當一般聽眾不認為是挪用,即構成微量取用,並無實質近似,且若未取樣原曲之重要部分,亦不構成抄襲。但2005年時,聯邦第六巡迴上訴法院在Bridgeport Music, Inc. v. Dimension Films案中,對微量取用的情形提出「明確性規則」(bright- line rule),認為必須要取得授權方得取樣;而美國最高法院則在1994年的Campbell v. Acuff-Rose案中,認為雖有擷取他曲旋律,但整體曲風不同時,採取轉化性原則,認為構成合理使用。
中國衛生部發布「抗菌藥物臨床應用管理辦法」長久以來,中國民眾對於抗菌藥物(如抗生素等)存有高度的依賴性,造就了國內規模龐大的抗菌藥物市場,依據中國衛生部統計,中國民眾對抗菌藥物的人均消費額幾乎是美國民眾的10倍。對此,世界衛生組織早於2011年4月7日便正式提出警告與呼籲,若中國未能控制抗菌藥物濫用的情況,很快將面臨「無藥可用」的窘境,並演變為全球人類的災難。 為扭轉前述抗菌藥物濫用狀況,中國衛生部於2012年4月24日正式發布了「抗菌藥物臨床應用管理辦法」(以下稱管理辦法),分別對於抗菌藥物的使用及醫療院所之管理制度作了如下的完整規範: 1. 對抗菌藥物採分級管理制,分為「非限制使用級」、「限制使用級」及「特殊使用級」三類,並要求醫療院所依此分類,擬定「抗菌藥物供應目錄」,凡具有同一通用名稱者,其注射型和口服型各不得超過兩種、具有相似或相同藥理學特徵的藥物亦不得重複列入。 2. 依上述分級對抗菌藥物作臨床使用管理:「限制使用級」者,只有當發生嚴重感染、免疫功能下降合併感染,或病菌只對限制級藥物有反應時,才允許使用;「特殊使用級」者,非經醫療院所內設置的「抗菌藥物管理工作機構」同意,不得使用;惟若係為搶救生命垂危的病患或其他緊急情況下,可以越級使用,但須於24小時內補行程序。 3. 各院所必須設置「抗菌藥物管理工作機構」或專責人員,負責制定抗菌藥物管理制度、擬定「抗菌藥物供應目錄」,並建立細菌抗藥預警制度。 管理辦法將於2012年8月起正式施行,一般預料將有助於改善中國抗菌藥物濫用的現象,然用藥限制也必定衝擊現今許多對抗菌藥物產品銷售已存有高度依賴性的企業;相反地,由於管理辦法中明文將「具有抗菌作用的中醫製劑」排除於管制範圍外,或許將促成抗菌中醫藥品的發展契機,而值得持續觀察之。
英國電信廣播主管機關發布未來三年之數位廣播(digital audio broadcasting)服務推動聲明日前英國電信廣播主管機關 Ofcom(Office of Communication) 就未來三年之數位廣播服務推動發表聲明,其主要內容為: • 全國性數位廣播服務執照 Ofcom 預計於 2006 年底開始第二張全國性的數位廣播服務執照之發放工作,預計於 2007 年挪出頻段以供該全國性數位廣播服務之用,於 2008 年時民眾將可收聽該全國性數位廣播服務,其服務範圍將含蓋全英國地區,但為避免對他國頻段之運作造成干擾,部分沿海地區將無法接收到該服務。 • 地方性數位廣播服務執照 Ofcom 預計於 2006 年下旬開始 12 張地方性數位廣播服務執照之發放工作;其次,於 North Wales, Suffolk 以及 Northern Ireland ,目前並無額外的頻段可作為地方性數位廣播服務之用,但 Ofcom 仍會尋求釋出其他頻段,以供地方性數位廣播服務之用的可能性。
中國民航局公布《關於推動「人工智慧+民航」高品質發展的實施意見》,以加速推動AI於民用航空領域的創新與產業發展中國民用航空局於2025年11月19日公布《關於推動「人工智慧+民航」高品質發展的實施意見》(关于推动“人工智能+民航”高质量发展的实施意见),旨在貫徹《國務院關於深入實施「人工智慧+」行動的意見》(国务院关于深入实施 “人工智能+”行动的意见)及《關於「人工智慧+交通運輸」的實施意見》(关于 “人工智能+交通运输”的实施意见)的要求,以加速推動AI於民用航空領域的創新與產業發展。 本文件說明,中國政府將於安全、物流、監管、建設等領域,持續推動AI驅動的創新產業發展,深化產業與AI的結合。2027年將首先實現AI於民航安全、物流之發展,預計屆時民航領域的高品質資料、基礎設施平台、產業模型演算法等AI核心要素已見成效,形成具指標性的前瞻示範案例以及具有競爭力的智慧產品與應用;而預計至2030年,民航AI治理體系與安全保障體系已逐步建立,成為民航領域發展的基礎。 本文件針對AI具發展優勢之民航領域,提出其於安全、運行、監管等層面的應用場景,例如飛機故障預測性維護、入侵物辨識、鳥情監控、航班編制、航程調度、智慧旅客服務、自動化倉儲管理、執法輔助、風險控管機制等多元應用。此外,為推動民用航空AI算力基礎設施的建設,也鼓勵建造算力與資料中心,期能建立標準化、資料共享的可信資料基礎建設。 而為指導民航單位落實AI應用,本文件亦於附件中編入《民航人工智慧應用場景參考指引》(民航人工智能应用场景参考指引),該指引中介紹發展程度較高的42個航空領域AI應用場景,說明各應用場景的基本應用概念及技術發展成熟度,以作為各單位根據自身條件制定AI導入應用策略的參考依據。