美國NIST發布更新《網路安全資源指南》提升醫療領域的網路安全及隱私風險管理
美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)於2022年7月21日發布更新《網路安全資源指南》(A Cybersecurity Resource Guide, NIST SP 800-66r2 ipd)。本指南源自於1996年美國《健康保險流通與責任法》(Health Insurance Portability and Accountability Act, HIPAA)旨在避免未經患者同意或不知情下揭露患者之敏感健康資料,並側重於保護由健康照護組織所建立、接收、維護或傳輸之受保護電子健康資訊(electronic protected health information, ePHI),包括就診紀錄、疫苗接種紀錄、處方箋、實驗室結果等患者資料之機密性、完整性及可用性。其適用對象包含健康照護提供者(Covered Healthcare Providers)、使用電子方式傳送任何健康資料的醫療計畫(Health Plans)、健康照護資料交換機構(Healthcare Clearinghouses)及為協助上述對象提供健康照護服務之業務夥伴(Business Associate)均應遵守。
本指南最初於2005年發布並經2008年修訂(NIST SP 800-66r1 ipd),而本次更新主要為整合其他網路安全相關指南,使本指南與《網路安全框架》(Cybersecurity Framework, NIST SP 800-53)之控制措施等規範保持一致性。具體更新重點包括:(1)簡要概述HIPAA安全規則;(2)為受監管實體在ePHI風險評估與管理上提供指導;(3)確定受監管實體可能考慮作為資訊安全計畫的一部分所實施的典型活動;(4)列出受監管實體在實施HIPAA安全規則之注意事項及其他可用資源,如操作模板、工具等。特別在本指南第三章風險評估與第四章風險管理提供組織處理之流程及控制措施,包括安全管理流程、指定安全責任、員工安全、資訊近用管理、安全意識與培訓、應變計畫、評估及業務夥伴契約等。而在管理方面包括設施權限控管、工作站使用及安全、設備媒體控制;技術方面則包含近用與審計控管、完整性、個人或實體身分驗證及傳輸安全。上述組織要求得由政策、程序規範、業務夥伴契約、團體健康計畫所組成,以助於改善醫療領域的網路安全及隱私保護風險管理。預計本指南更新將徵求公眾意見至2022年9月21日止。
- NIST Updates Guidance for Health Care Cybersecurity, National Institute of Standards and Technology, July 21, 2022
- Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide (NIST Special Publication 800-66, Revision 2), National Institute of Standards and Technology, July 21, 2022
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
盧秉羲
專案經理 編譯整理
NIST Updates Guidance for Health Care Cybersecurity, National Institute of Standards and Technology, July 21, 2022, https://www.nist.gov/news-events/news/2022/07/nist-updates-guidance-health-care-cybersecurity(last visited Sept. 2, 2022).
Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide (NIST Special Publication 800-66, Revision 2), National Institute of Standards and Technology, July 21, 2022, https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-66r2.ipd.pdf(last visited Sept. 2, 2022).
施雅薰,〈歐盟執委會發布「歐洲健康資料空間」規則提案,旨在克服健康資料利用之障礙〉,資訊工業策進會科技法律研究所,2022/6,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8858(最後瀏覽日:2022/9/2)。
邱美蘅,〈美國21世紀醫療法最終規則下之資訊封鎖條文生效,患者健康資料進用權利獲保障〉,資訊工業策進會科技法律研究所,2021/6,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8679&no=64(最後瀏覽日:2022/9/2)。
科法觀點
為了促進美國、韓國兩國之間的反托拉斯法主管機關合作。今年9月8日,美國司法部(Department of Justice,DOJ)、美國聯邦貿易委員會(Federal Trade Commission,FTC)與韓國公平貿易委員會(Korea Fair Trade Commission,KFTC)於華盛頓特區簽訂一反托拉斯備忘錄(memorandum of understanding,MOU);該備忘錄係由美國司法部反托拉斯署助理檢察總長Bill Baer與聯邦貿易委員會女主席Edith Ramirez及韓國公平交易委員會Jeong Jae-chan共同簽署。本備忘錄於簽署後立即生效。 反托拉斯署助理檢察總長Bill Baer表示:「具有坦誠和建設性對話之執法合作對於美國、韓國及全世界各地之競爭市場維持皆極其重要。本備忘錄標示了一直以來美國與韓國公平貿易委員會之間的合作關係;並展現出我們在未來日子中,欲持續加強該合作關係的企圖心。」該備忘錄的重點包含: 反托拉斯合作重要性的相互承認,包括在進行共同執法時,互相協調的重要性。 闡明了美國反托拉斯執法機關與韓國公平貿易委員會之間溝通的重要性。 承諾保護另一方所提供訊息之機密性;並承諾在法規不允許的情況下,禁止分享資訊。 自韓國1981年通過其反托拉斯法後,美國反托拉斯主管機關和韓國公平貿易委員會之合作關係越來越緊密;其中包括政策意見的交換,並視情況進行合作開展調查。本次所簽訂之備忘錄旨在進一步推動這些合作關係。
美國提出消費者隱私保護法案美國政府於今年(2012年)02月23日提出「消費者隱私保護法案」(Consumer Privacy Bill of Rights),總統歐巴馬認為:「為保護美國消費者網路上的個人資訊,清楚的法律已刻不容緩。電子商務的成功,必須讓消費者感到安全…,保護消費者的資訊能確保網路交易平台的成長」。 白宮提出的法案中明確點出下列幾項值得關注的議題:1、獨立控制:消費者有權了解自身資料被誰蒐集,以及他們如何使用這些資料。2、透明度:消費者能容易的了解隱私及資訊安全的訊息。3、考慮內文:消費者有權期待蒐集個人資料的組織,處理個人資料的方式能提供消費者知悉並且言行一致。4、安全:消費者的個人資料應受到安全可信任的保護。5、近用與正確性:消費者有權查詢與更正個人資料。5、集中蒐集:企業僅能有限度的蒐集消費者資訊。6、責任:消費者有權要求蒐集資訊的公司妥善保管個人資料並遵循「消費者隱私保護法案」。 美國商務部及資訊管理局會將在未來幾周進行細部的規劃,並尋求技術專家、業界、學者的意見,商務部將研擬相關具體可行的做法。
美國發明法(Leahy-Smith America Invents Act,AIA)第18條修正案之觀察美國國會於今年5月針對美國發明法(Leahy-Smith America Invents Act,AIA)第18條提出擴張性修法。美國發明法第18條係規範專利改革過渡期間涵蓋商業方法專利之複審程序(Transition Program for Cover Business Method Patents Review, CBM),並且定有落日條款,預計將在2020年9月16日失效。本次修正案研擬將落日條款刪除以外,將適用對象從原先適用於金融產品或服務(a financial product or service)之商業方法專利(Business Method Patents)修正為適用於企業、商品或服務(used in the practice, administration, or management of enterprise、product or service)之商業方法專利,此將擴張商業方法專利複審程序之適用範圍。 奇異電子(GE Co.)、3M(3M Co.)、禮來(Lilly & Co.)、施樂(Xerox Corp.)等多家產業界知名公司於今年(2013)9月19日發出聯合信函反對美國國會此次針對美國發明法第18條的擴張性修法。信中表示本次修法將意味著數據處理專利(Data Processing Patents)等尖端的癌症治療方法到汽車安全系統等都可能包含在內,可提起專利侵權的範圍將擴大至難以界定的程度,再者刪除落日條款,會造成諸多不確定性與風險阻礙科技創新的持續投入。 然而,產業界並非意見一致,諸如谷歌(Google Inc.)、臉書(Facebook Inc.)、沃爾瑪(Wal-Mart Stores Inc.)等知名公司則立場相左,早於今年7月即率先表示贊成,聲明此次修法提供創新者一個積極保護自身專利的具體手段。由此足見歐巴馬政府與立法者在專利法制改革中,必然要面對難以預測的產業效應和衝擊,從而增加其制度改革策略思考和制度設計的難度。
世界衛生組織發布歐洲區域人工智慧於醫療系統準備情況報告,責任規則為最重要之關鍵政策因素世界衛生組織發布歐洲區域人工智慧於醫療系統準備情況報告,責任規則為最重要之關鍵政策因素 資訊工業策進會科技法律研究所 2025年12月18日 世界衛生組織(World Health Organization, WHO)於2025年11月19日發布「人工智慧正在重塑醫療系統:世衛組織歐洲區域準備情況報告」(Artificial intelligence is reshaping health systems: state of readiness across the WHO European Region)[1],本報告為2024年至2025年於WHO歐洲區域醫療照護領域人工智慧(AI for health care)調查結果,借鑒50個成員國之經驗,檢視各國之國家戰略、治理模式、法律與倫理框架、勞動力準備、資料治理、利益相關者參與、私部門角色以及AI應用之普及情況,探討各國如何應對AI於醫療系統中之機會與挑戰。其中責任規則(liability rules)之建立,為成員國認為係推動AI於醫療照護領域廣泛應用之最重要關鍵政策因素,因此本報告建議應明確開發者、臨床醫生、資料提供者與醫療機構之責任,透過救濟與執法管道以保護病患與醫療系統之權益。 壹、事件摘要 本報告發現調查對象中僅有8%成員國已發布國家級醫療領域特定AI策略(national health-specific AI strategy),顯示此處仍有相當大之缺口需要補足。而就醫療領域AI之法律、政策與指導方針框架方面,46%之成員國已評估於現有法律及政策相對於醫療衛生領域AI系統不足之處;54%之成員國已設立監管機構以評估與核准AI系統;惟僅有8%之成員國已制定醫療領域AI之責任標準(liability standards for AI in health),更僅有6%之成員國就醫療照護領域之生成式AI系統提出法律要求。依此可知,成員國對於AI政策之優先事項通常集中於醫療領域AI系統之採購、開發與使用,而對個人或群體不利影響之重視與責任標準之建立仍然有限。於缺乏明確責任標準之情況下,可能會導致臨床醫師對AI之依賴猶豫不決,或者相反地過度依賴AI,從而增加病患安全風險。 就可信賴AI之醫療資料治理方面(health data governance for trustworthy AI),66%成員國已制定專門之國家醫療資料戰略,76%成員國已建立或正在制定醫療資料治理框架,66%成員國已建立區域或國家級醫療資料中心(health data hub),30%成員國已發布關於醫療資料二次利用之指引(the secondary use of health data),30%成員國已制定規則,促進以研究為目的之跨境共享醫療資料(cross-border sharing of health data for research purposes)。依此,許多成員國已在制定國家醫療資料戰略與建立治理框架方面取得顯著進展,惟資料二次利用與跨境利用等領域仍較遲滯,這些資料問題仍需解決,以避免產生技術先進卻無法完全滿足臨床或公衛需求之工具。 就於醫療照護領域採用AI之障礙,有高達86%之成員國認為,最主要之障礙為法律之不確定性(legal uncertainty),其次之障礙為78%之成員國所認為之財務可負擔性(financial affordability);依此,雖AI之採用具有前景,惟仍受到監管不確定性、倫理挑戰、監管不力與資金障礙之限制;而財務上之資金障礙,包括高昂之基礎設施成本、持續員工培訓、有限之健保給付與先進AI系統訂閱費用皆限制AI之普及,特別於規模較小或資源有限之醫療系統中。 就推動AI於醫療照護領域廣泛應用之關鍵政策因素,有高達92%之成員國認為是責任規則(liability rules),其次有90%之成員國認為是關於透明度、可驗證性與可解釋性之指引。依此,幾乎所有成員國皆認為,明確AI系統製造商、部署者與使用者之責任規則為政策上之關鍵推動因素,且確保AI解決方案之透明度、可驗證性與可解釋性之指引,也被認為是信任AI所驅動成果之必要條件。 貳、重點說明 因有高達9成之成員國認為責任規則為推動AI於醫療照護領域廣泛應用之關鍵政策因素,為促進AI應用,本報告建議應明確開發者、臨床醫生、資料提供者與醫療機構之責任,並建立相應機制,以便於AI系統造成損害時及時補救與追究責任,此可確保AI生命週期中每個參與者都能瞭解自身之義務,責任透明,並透過可及之救濟與執法管道以保護病患與醫療系統之權益;以及可利用監管沙盒,使監管機構、開發人員與醫療機構能夠在真實但風險較低之環境中進行合作,從而於監管監督下,於廣泛部署前能及早發現安全、倫理與效能問題,同時促進創新。 此外,WHO歐洲區域官員指出,此次調查結果顯示AI於醫療領域之革命已開始,惟準備程度、能力與治理水準尚未完全跟進,因此呼籲醫療領域之領導者與決策者們可考慮往以下四個方向前進[2]: 1.應有目的性地管理AI:使AI安全、合乎倫理與符合人權; 2.應投資人才:因科技無法治癒病人,人才是治癒病人之根本; 3.需建構可信賴之資料生態系:若大眾對資料缺乏信任,創新就會失敗; 4.需進行跨國合作:AI無國界,合作亦不應受限於國界。 參、事件評析 AI於醫療系統之應用實際上已大幅開展,就歐洲之調查可知,目前雖多數國家已致力於AI於醫材監管法規與資料利用規則之建立,據以推動與監管AI醫療科技之發展,惟由於醫療涉及患者生命身體之健康安全,因此絕大多數國家皆同意,真正影響AI於醫療領域利用之因素,為責任規則之建立,然而,調查結果顯示,實際上已建立醫療領域AI之責任標準者,卻僅有8%之成員國(50個國家中僅有4個國家已建立標準),意味著其為重要之真空地帶,亟待責任法制上之發展與填補,以使廠商願意繼續開發先進AI醫療器材、醫療從業人員願意利用AI醫療科技增進患者福祉,亦使患者於受害時得以獲得適當救濟。亦即是,當有明確之責任歸屬規則,各方當事人方能據以瞭解與評估將AI技術應用於醫療可能帶來之風險與機會,新興AI醫療科技才能真正被信任與利用,而帶來廣泛推廣促進醫療進步之效益。由於保護患者之健康安全為醫療領域之普世價值,此項結論應不僅得適用於歐洲,對於世界各國亦應同樣適用,未來觀察各國於AI醫療領域之責任規則發展,對於我國推廣AI醫療之落地應用亦應具有重要參考價值。 [1] Artificial intelligence is reshaping health systems: state of readiness across the WHO European Region, WHO, Nov. 19, 2025, https://iris.who.int/items/84f1c491-c9d0-4bb3-83cf-3a6f4bf3c3b1 (last visited Dec. 9, 2025). [2] Humanity Must Hold the Pen: The European Region Can Write the Story of Ethical AI for Health, Georgia Today, Dec. 8, 2025,https://georgiatoday.ge/humanity-must-hold-the-pen-the-european-region-can-write-the-story-of-ethical-ai-for-health/ (last visited Dec. 9, 2025).