美國NIST發布更新《網路安全資源指南》提升醫療領域的網路安全及隱私風險管理
美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)於2022年7月21日發布更新《網路安全資源指南》(A Cybersecurity Resource Guide, NIST SP 800-66r2 ipd)。本指南源自於1996年美國《健康保險流通與責任法》(Health Insurance Portability and Accountability Act, HIPAA)旨在避免未經患者同意或不知情下揭露患者之敏感健康資料,並側重於保護由健康照護組織所建立、接收、維護或傳輸之受保護電子健康資訊(electronic protected health information, ePHI),包括就診紀錄、疫苗接種紀錄、處方箋、實驗室結果等患者資料之機密性、完整性及可用性。其適用對象包含健康照護提供者(Covered Healthcare Providers)、使用電子方式傳送任何健康資料的醫療計畫(Health Plans)、健康照護資料交換機構(Healthcare Clearinghouses)及為協助上述對象提供健康照護服務之業務夥伴(Business Associate)均應遵守。
本指南最初於2005年發布並經2008年修訂(NIST SP 800-66r1 ipd),而本次更新主要為整合其他網路安全相關指南,使本指南與《網路安全框架》(Cybersecurity Framework, NIST SP 800-53)之控制措施等規範保持一致性。具體更新重點包括:(1)簡要概述HIPAA安全規則;(2)為受監管實體在ePHI風險評估與管理上提供指導;(3)確定受監管實體可能考慮作為資訊安全計畫的一部分所實施的典型活動;(4)列出受監管實體在實施HIPAA安全規則之注意事項及其他可用資源,如操作模板、工具等。特別在本指南第三章風險評估與第四章風險管理提供組織處理之流程及控制措施,包括安全管理流程、指定安全責任、員工安全、資訊近用管理、安全意識與培訓、應變計畫、評估及業務夥伴契約等。而在管理方面包括設施權限控管、工作站使用及安全、設備媒體控制;技術方面則包含近用與審計控管、完整性、個人或實體身分驗證及傳輸安全。上述組織要求得由政策、程序規範、業務夥伴契約、團體健康計畫所組成,以助於改善醫療領域的網路安全及隱私保護風險管理。預計本指南更新將徵求公眾意見至2022年9月21日止。
- NIST Updates Guidance for Health Care Cybersecurity, National Institute of Standards and Technology, July 21, 2022
- Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide (NIST Special Publication 800-66, Revision 2), National Institute of Standards and Technology, July 21, 2022
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
盧秉羲
專案經理 編譯整理
NIST Updates Guidance for Health Care Cybersecurity, National Institute of Standards and Technology, July 21, 2022, https://www.nist.gov/news-events/news/2022/07/nist-updates-guidance-health-care-cybersecurity(last visited Sept. 2, 2022).
Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide (NIST Special Publication 800-66, Revision 2), National Institute of Standards and Technology, July 21, 2022, https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-66r2.ipd.pdf(last visited Sept. 2, 2022).
施雅薰,〈歐盟執委會發布「歐洲健康資料空間」規則提案,旨在克服健康資料利用之障礙〉,資訊工業策進會科技法律研究所,2022/6,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8858(最後瀏覽日:2022/9/2)。
邱美蘅,〈美國21世紀醫療法最終規則下之資訊封鎖條文生效,患者健康資料進用權利獲保障〉,資訊工業策進會科技法律研究所,2021/6,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8679&no=64(最後瀏覽日:2022/9/2)。
科法觀點
93年專利申請統計資料顯示我國受理專利申請案總數、發明申請案數量、及國人發明申請案等指標,均呈現相當幅度成長,顯示我國過去幾年官方與民間投資創新研發成果有明顯成長。 93年專利、商標申請與核准統計出爐,全年專利新申請案件總數72,105件,較92年的65,742 件增加6,363件(9.68﹪),本國人申請案43,038件,外國人29,067件。其中屬技術強度較高的發明申請案件總數計41,930件,較前一年增加6,107件(17.05﹪);本國人發明申請案16,754件,較前一年大幅增加3,705件(28.39﹪),顯示我國產業研發技術成果有向上提昇的趨勢。93年專利發證數66,415件,比92年大幅增加24,333件(57.82﹪),此係因93年7月專利法修正實施,新型專利改採形式審查,縮短專利審查時程,及專利廢除異議制度改採繳費後公告同時發證的制度轉換短期影響。 93年商標申請案依類別統計為72,650件,比92年申請案件數65,907件,增加6,743件(10.23﹪),;93年商標公告註冊案計54,912件,較前一年74,572件減少19,660件(-26.36﹪);依類別計55,986件,均較前一年減少。不論是在申請或公告註冊數都是以本國人佔絕大多數。商標申請於92年底開始實施一申請案多類別制度,不同類別毋需另提出一獨立申請案,因此依類別統計數會比申請案件數多。
談傳統民俗文化藝術之保護-兼論原住民族傳統智慧創作保護法草案 歐洲議會對開放900MHz達成初步共識歐洲議會於2009年4月27日一讀通過GSM指令修正案(Directive 87/372/EEC),對開放900MHz 頻段(880~915MHz、925~960MHz)供UMTS/HSPA技術使用達成共識。 全球行動供應商協會GSA (Global mobile Suppliers Association)協會歡迎這項進展,宣稱行動寬頻系統HSPA應用於900MHz段將可為網路營運商帶來實質的效益。因為相較於目前多數3G系統使用的較高頻率2100MHz,UMTS系統使用900MHz頻段能讓網路營運商以更低的成本、更好的電波穿透率進行網路布建。 根據UMTS論壇,雖然在歐洲900MHz係保留給GSM系統使用,但UMTS900-HSPA系統之商業布建與運轉已經在如澳洲、愛沙尼亞、芬蘭、冰島,甚至泰國等國家開始進行。 瑞典是最近一個宣布將開放900MHz頻段供3G使用之國家。其主管機關PTS於2009年3月19日宣稱將在執照更新時,允許仍以本頻段提供GSM服務的營運商以新的科技提供新的行動寬頻服務。 本案預計於2009年5月6日進行表決。
美國消費者金融保護局發布最終規則強化消費者金融資料控制權與隱私保護.Pindent{text-indent: 2em;} .Noindent{margin-left: 22px;} .NoPindent{text-indent: 2em; margin-left: 38px;} .No2indent{margin-left: 3em;} .No2Pindent{text-indent: 2em; margin-left: 3em} .No3indent{margin-left: 4em;} .No3Pindent{text-indent: 2em; margin-left: 4em} 美國消費者金融保護局發布最終規則強化消費者金融資料控制權與隱私保護 資訊工業策進會科技法律研究所 2024年12月10日 美國消費者金融保護局(Consumer Financial Protection Bureau, CFPB)於2024年10月22日發布最終規則以落實2010年《消費者金融保護法》(Consumer Financial Protection Act, CFPA)第1033條規定之個人金融資料權利[1],該規則即通常所稱之「開放銀行」(Open Banking)規則。 壹、事件摘要 本次CFPB頒布最終規則旨在賦予消費者對其個人金融資料更大的權利、隱私與安全性。透過開放消費者金融資料,消費者得更自由地更換金融服務提供者以尋求最佳交易,從而促進市場競爭,並激勵金融機構精進其產品與服務[2]。 貳、重點說明 最終規則要求資料提供者在消費者及授權第三方之請求下,提供消費者金融產品或服務相關資料,並應以消費者及授權第三方可使用之電子形式提供。最終規則亦制定標準,以促進資料標準化格式(standardized formats)之發展和使用,同時規範第三方近用消費者資料義務,包括對資料之蒐集、利用及保留限制。相關重點如下: 一、受規範機構主體 最終規則規範對象為資料提供者(data provider),包含銀行、信用合作社等存款機構(depository institution);發行信用卡、持有交易帳戶、發行用於近用帳戶設備或提供支付促進服務(payment facilitation service)等非存款機構[3]。值得注意者,最終規則將數位錢包(digital wallet)及支付應用程式(payment app)業者納入資料提供者範圍,亦即被廣泛使用的金融科技服務亦將受到開放銀行規範體系之約束。此外,資料提供者不得向消費者或第三方收取資料近用之費用。 二、受規範資料範圍 最終規則規範之資料範圍涵蓋:資料提供者控制或擁有之24個月內之歷史交易資訊、帳戶餘額、付款資訊、契約條款與條件、即將到期之帳單、以及基本帳戶驗證資訊(Basic account verification information)等[4],消費者得授權第三方近用此類資料。至於機密商業資訊、蒐集資料僅用於防止詐欺、洗錢,或為偵測或報告其他非法及潛在非法行為,又或基於其他法律要求保密之資訊,以及在正常業務過程中無法檢索之資料,則豁免最終規則之適用[5]。 三、消費者與開發者介面 根據最終規則,資料提供者須建立及維護兩個獨立的介面以利資料之近用,包含:消費者介面,例如提供消費者近用其資料之入口網站,以及授權第三方之開發者介面(developer interface),例如應用程式介面(Application Programming Interface, API),雖最終規則不要求使用任何特定技術,然仍要求資料提供者須以標準化機器可讀格式(Standardized and Machine-Readable Format)提供資料,介面功能要求須達每月最低99.5%之回應率(response rate)[6]。此類資訊須在每月最末日前揭露於資料提供者網站上。此外,介面之設計須遵守《美國金融服務業現代化法》(The Gramm-Leach-Bliley Act, GLBA)」及聯邦貿易委員會(Federal Trade Commission, FTC)之《消費者資訊保障標準》(Standards for Safeguarding Customer Information)等消費者資料保護法規義務[7]。 四、授權第三方之行為義務 授權第三方(authorized third party)為代表消費者向資料提供者請求近用資料,藉以提供消費者產品或服務者。為解決隱私與資料安全問題,該規則對尋求近用消費者資料之第三方提出數項要求[8],包含但不限於: (一)知情同意之取得 第三方須取得消費者明確知情同意(express informed consent),以便代表消費者近用資料。 (二)資料利用之限制 第三方須確保將其資料之蒐集、利用及保留限制在提供消費者所請求的產品或服務之合理必要範圍內。就此部分,精準廣告(targeted advertising)、交叉銷售(Cross-selling),以及銷售資料並非提供產品或服務之合理必要範圍。 (三)遵守聯邦法規 第三方須依GLBA第501條規定或FTC之《消費者資訊保障標準》確保在其系統中採用「資訊安全計畫」(information security program)。 (四)政策與程序文件要求 第三方應擁有合理書面政策和程序,以確保從資料提供者處準確接收資料,並提供於其他第三方,即資料正確性之確保。 (五)資料撤回權之確保 第三方應向消費者提供撤回第三方授權之方法,撤回過程須簡易明瞭。在第三方收到消費者撤回授權之請求時,應通知資料提供者以及已向其提供消費者資料之其他第三方。 (六)第三方監督義務 第三方應透過契約要求其他第三方在向其提供消費者資料前遵守特定第三方法定義務。 (七)資料保存期限 消費者資料之保存期限最長為一年。若繼續蒐集,第三方應取得消費者重新授權。若消費者不提供重新授權或撤回授權,第三方應停止資料之蒐集,並停止利用與保留先前蒐集之資料。 五、實施日期 最終規則將依機構資產規模分階段實施[9],最大規模之機構(資產總額為2500億美元以上之存款機構資料提供者,以及在2023年或2024年任一年中,總收入達到100億美元以上之非存款機構資料提供者)須在2026年4月1日前遵守最終規則。對於規模最小之機構(資產總額低於15億美元但高於8.5億美元之存款機構資料提供者)須於2030年4月1日前遵守該規則。另總資產低於8.5億美元之存款機構不受該規則限制,以減輕小型銀行及信用合作社合規負擔。 參、事件評析 CFPB之CFPA第1033條最終規則將重塑美國金融市場之監理格局,由市場驅動之開放銀行框架走向由政府透過法規實質監理之管制措施,要求業者開放消費者資料。值得留意者,歐盟執委會(European Commission)2023年6月推出之「金融資料近用」(Financial Data Access, FiDA)草案[10]亦基於消費者賦權理念,強化消費者對其資料權利之控制權。由此可觀察國際間金融資料利用與監理規範逐漸走向以消費者資料自主為中心之法制架構,當代金融資料監理趨勢或值得我國主管機關及業者留意關注,除可作為我國金融資料法制與政策制定之參考,亦供我國企業布局全球化金融服務提前作好準備。 [1]Required Rulemaking on Personal Financial Data Rights, 89 Fed. Reg. 90838. [2]Consumer Financial Protection Bureau, CFPB Finalizes Personal Financial Data Rights Rule to Boost Competition, Protect Privacy, and Give Families More Choice in Financial Services, available at https://www.consumerfinance.gov/about-us/newsroom/cfpb-finalizes-personal-financial-data-rights-rule-to-boost-competition-protect-privacy-and-give-families-more-choice-in-financial-services/(last visited Dec. 5, 2024). [3]12 C.F.R. § 1033.111. [4]12 C.F.R. § 1033.211. [5]12 C.F.R. § 1033.221. [6]12 C.F.R. § 1033.311. [7]See id. [8]12 C.F.R. § 1033.421. [9]12 C.F.R. § 1033.121. [10]Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on a framework for Financial Data Access and amending Regulations (EU) No 1093/2010, (EU) No 1094/2010, (EU) No 1095/2010 and (EU) 2022/2554.