美國NIST發布更新《網路安全資源指南》提升醫療領域的網路安全及隱私風險管理
美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)於2022年7月21日發布更新《網路安全資源指南》(A Cybersecurity Resource Guide, NIST SP 800-66r2 ipd)。本指南源自於1996年美國《健康保險流通與責任法》(Health Insurance Portability and Accountability Act, HIPAA)旨在避免未經患者同意或不知情下揭露患者之敏感健康資料,並側重於保護由健康照護組織所建立、接收、維護或傳輸之受保護電子健康資訊(electronic protected health information, ePHI),包括就診紀錄、疫苗接種紀錄、處方箋、實驗室結果等患者資料之機密性、完整性及可用性。其適用對象包含健康照護提供者(Covered Healthcare Providers)、使用電子方式傳送任何健康資料的醫療計畫(Health Plans)、健康照護資料交換機構(Healthcare Clearinghouses)及為協助上述對象提供健康照護服務之業務夥伴(Business Associate)均應遵守。
本指南最初於2005年發布並經2008年修訂(NIST SP 800-66r1 ipd),而本次更新主要為整合其他網路安全相關指南,使本指南與《網路安全框架》(Cybersecurity Framework, NIST SP 800-53)之控制措施等規範保持一致性。具體更新重點包括:(1)簡要概述HIPAA安全規則;(2)為受監管實體在ePHI風險評估與管理上提供指導;(3)確定受監管實體可能考慮作為資訊安全計畫的一部分所實施的典型活動;(4)列出受監管實體在實施HIPAA安全規則之注意事項及其他可用資源,如操作模板、工具等。特別在本指南第三章風險評估與第四章風險管理提供組織處理之流程及控制措施,包括安全管理流程、指定安全責任、員工安全、資訊近用管理、安全意識與培訓、應變計畫、評估及業務夥伴契約等。而在管理方面包括設施權限控管、工作站使用及安全、設備媒體控制;技術方面則包含近用與審計控管、完整性、個人或實體身分驗證及傳輸安全。上述組織要求得由政策、程序規範、業務夥伴契約、團體健康計畫所組成,以助於改善醫療領域的網路安全及隱私保護風險管理。預計本指南更新將徵求公眾意見至2022年9月21日止。
- NIST Updates Guidance for Health Care Cybersecurity, National Institute of Standards and Technology, July 21, 2022
- Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide (NIST Special Publication 800-66, Revision 2), National Institute of Standards and Technology, July 21, 2022
- 零售業個資保護及資訊安全教育講習
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
盧秉羲
專案經理 編譯整理
NIST Updates Guidance for Health Care Cybersecurity, National Institute of Standards and Technology, July 21, 2022, https://www.nist.gov/news-events/news/2022/07/nist-updates-guidance-health-care-cybersecurity(last visited Sept. 2, 2022).
Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide (NIST Special Publication 800-66, Revision 2), National Institute of Standards and Technology, July 21, 2022, https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-66r2.ipd.pdf(last visited Sept. 2, 2022).
施雅薰,〈歐盟執委會發布「歐洲健康資料空間」規則提案,旨在克服健康資料利用之障礙〉,資訊工業策進會科技法律研究所,2022/6,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8858(最後瀏覽日:2022/9/2)。
邱美蘅,〈美國21世紀醫療法最終規則下之資訊封鎖條文生效,患者健康資料進用權利獲保障〉,資訊工業策進會科技法律研究所,2021/6,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8679&no=64(最後瀏覽日:2022/9/2)。
科法觀點
美國白宮於2024年5月23日公開呼籲採取行動以打擊利用AI生成性影像,及未經當事人同意傳播真實影像的性虐待行為。此次呼籲源自白宮「解決線上騷擾與虐待問題工作小組」(Task Force to Address Online Harassment and Abuse)相關行動、總統第14110號行政命令-「安全、可靠且可信任之AI開發及利用」(Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence),以及尖端AI公司自願管理AI風險之承諾(Voluntary AI Commitments)。 白宮指出,迄今為止生成式AI已淪為性虐待的主要工具,同時,涉及未經同意散布或威脅散布私人性影像,亦將對受害者造成嚴重的心理傷害。白宮呼籲相關利害關係人透過自願性承諾,預防與減輕性虐待影像之影響,如: (1)阻止性虐待影像獲利: 對於從事性虐待影像業務的網站或應用程式,支付平臺與金融機構可限制或拒絕對其提供支付服務。 (2)停止創建深偽性虐待影像 : 對於可透過AI生成性影像之網路服務或應用程式,雲端服務供應商與應用程式商店得減少此類網路服務或應用程式運作。此外,應用程式商店可要求應用程式開發人員採取措施,防止使用者製作非經當事人同意的AI生成性影像。 (3)防止散播性虐待影像: 應用程式與作業系統開發人員可啟用技術保護措施,以保護數位裝置上儲存之內容,防止未經當事人同意分享其影像。 (4)支援並參與為受害者提供有效補救措施之服務: 平臺與利害關係人可選擇與相關組織合作,使性虐待影像受害者可輕鬆且安全地從線上平臺中刪除未經同意之內容。此外,白宮亦呼籲國會修訂於2022年重新授權之「婦女暴力防制法」(Violence Against Women Act Reauthorization),延續並加強原有法律保護效力,同時為AI生成之性虐待影像的受害者提供關鍵援助資源。
歐盟通過「資料保存指令」「資料保存指令」( Directive on the retention of data ,下稱本指令)已於 2006 年 2 月 21 日 經歐盟部長理事會( European Council of Minister )批可而正式生效。但部分歐盟國家,如愛爾蘭( Irish )與斯洛伐克( Slovak )仍認為,由於資料保存對於歐盟民眾權益影響甚鉅,故應透過更嚴格的立法程序,如由歐盟部長理事會( European Council of Minister )全體一致通過「決定」( Decision ),而不應透過議會表決後再交由理事會批可指令( Directive )的方式生效。 本指令要求網路服務業者( Internet service providers, ISPs )與固定( fixed-line )及行動 (Mobile) 網路業者必須要保存客戶通聯之通聯日期、地點、通話時間等通聯資料等,保存期限從 6 個月到 2 年不等。而除了保存之責任以外,上述業者還必須要確保其保存之資料可隨時配合執法單位之調查,提供執法單位進行嚴重犯罪之調查與恐怖分子調查之參考與利用。 國際隱私權組織( Privacy International )表示,本指令的通過將對歐盟地區民眾之人權造成不可磨滅之影響。此外,歐盟地區之電信公司與 ISPs 則表示,本指令實施後,若政府單位未給予任何的補助,將大量增加業者在資料儲存之費用,進而影響市場競爭。 本指令最遲將於公布後隔年開始實施。
建立G2B2C電子公文交換法制 精簡專利審查:加拿大專利法修正案即將生效因應加拿大-美國-墨西哥協定(Canada-United States-Mexico Agreement, CUSMA)中關於專利期間調整及精簡專利審查程序,加拿大政府對加拿大專利法進行重大修改,新法於2022年10月3日生效,其主要修正重點如下: 1.初步審查報告後之繼續審查要求 如專利申請人欲於3份審查意見報告做成後申請繼續審查(Request for Continues Examination),需支付816加幣之費用(小型企業之費用為408加幣)並可額外獲得最多2份審查意見,如專利仍未核准,申請人需另外再申請繼續審查。 2.超過20項專利請求項之超額費用 專利範圍中多於20項之專利請求項,每多1項專利請求項將被要求額外支付100加幣之超額費用(但小型企業僅需支付40加幣之超額費用),該費用將於以下2個情形產生: (1)當提出審查時,申請案中有超過20項之專利請求項; (2)當支付授予專利的最終費用時,專利請求項在審查過程中超過20項。 3.附條件之專利核准通知 一旦專利申請已接近核准階段,僅剩下次要的手續問題時,加拿大專利局可核發附條件之核准,使申請人修正該問題並支付最終費用以獲取專利。 加拿大政府於2021年7月出版的法規影響聲明(Regulatory Impact Analysis Statement)闡述該法修正理由,並對加拿大專利局無法於合理時間內完成專利審查表示擔憂,於2020年至2021年,加拿大專利審查至授予專利平均時間為31個月,且於本修正案前,對於專利局在授予專利或放棄專利前之審查報告數量未有限制,且無論花費的資源多寡,所有專利之審查費均相同。 該法規影響聲明亦提到加拿大專利申請案包含平均多於其他國家的專利請求項,導致專利審查效率低下,並解釋政府不鼓勵專利申請案包含不必要、過多的專利請求項,確保更快地給予專利,並預計本修正案施行後將減少專利申請量並提高專利品質。 另有論者指出,此修正案可能導致專利申請成本提高,使申請人於加拿大申請專利之意願降低,並認為加拿大專利制度尚待解決的問題在於雙重專利制度(double patenting regime)及專利適格性(subject matter eligibility),本法施行後的實務發展值得持續關注。 「本文同步刊登於TIPS網站(https://www.tips.org.tw)」