美國NIST發布更新《網路安全資源指南》提升醫療領域的網路安全及隱私風險管理
美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)於2022年7月21日發布更新《網路安全資源指南》(A Cybersecurity Resource Guide, NIST SP 800-66r2 ipd)。本指南源自於1996年美國《健康保險流通與責任法》(Health Insurance Portability and Accountability Act, HIPAA)旨在避免未經患者同意或不知情下揭露患者之敏感健康資料,並側重於保護由健康照護組織所建立、接收、維護或傳輸之受保護電子健康資訊(electronic protected health information, ePHI),包括就診紀錄、疫苗接種紀錄、處方箋、實驗室結果等患者資料之機密性、完整性及可用性。其適用對象包含健康照護提供者(Covered Healthcare Providers)、使用電子方式傳送任何健康資料的醫療計畫(Health Plans)、健康照護資料交換機構(Healthcare Clearinghouses)及為協助上述對象提供健康照護服務之業務夥伴(Business Associate)均應遵守。
本指南最初於2005年發布並經2008年修訂(NIST SP 800-66r1 ipd),而本次更新主要為整合其他網路安全相關指南,使本指南與《網路安全框架》(Cybersecurity Framework, NIST SP 800-53)之控制措施等規範保持一致性。具體更新重點包括:(1)簡要概述HIPAA安全規則;(2)為受監管實體在ePHI風險評估與管理上提供指導;(3)確定受監管實體可能考慮作為資訊安全計畫的一部分所實施的典型活動;(4)列出受監管實體在實施HIPAA安全規則之注意事項及其他可用資源,如操作模板、工具等。特別在本指南第三章風險評估與第四章風險管理提供組織處理之流程及控制措施,包括安全管理流程、指定安全責任、員工安全、資訊近用管理、安全意識與培訓、應變計畫、評估及業務夥伴契約等。而在管理方面包括設施權限控管、工作站使用及安全、設備媒體控制;技術方面則包含近用與審計控管、完整性、個人或實體身分驗證及傳輸安全。上述組織要求得由政策、程序規範、業務夥伴契約、團體健康計畫所組成,以助於改善醫療領域的網路安全及隱私保護風險管理。預計本指南更新將徵求公眾意見至2022年9月21日止。
- NIST Updates Guidance for Health Care Cybersecurity, National Institute of Standards and Technology, July 21, 2022
- Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide (NIST Special Publication 800-66, Revision 2), National Institute of Standards and Technology, July 21, 2022
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
- 【北部場1】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場2】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場3】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場4】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【南部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【中部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
盧秉羲
專案經理 編譯整理
NIST Updates Guidance for Health Care Cybersecurity, National Institute of Standards and Technology, July 21, 2022, https://www.nist.gov/news-events/news/2022/07/nist-updates-guidance-health-care-cybersecurity(last visited Sept. 2, 2022).
Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide (NIST Special Publication 800-66, Revision 2), National Institute of Standards and Technology, July 21, 2022, https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-66r2.ipd.pdf(last visited Sept. 2, 2022).
施雅薰,〈歐盟執委會發布「歐洲健康資料空間」規則提案,旨在克服健康資料利用之障礙〉,資訊工業策進會科技法律研究所,2022/6,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8858(最後瀏覽日:2022/9/2)。
邱美蘅,〈美國21世紀醫療法最終規則下之資訊封鎖條文生效,患者健康資料進用權利獲保障〉,資訊工業策進會科技法律研究所,2021/6,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8679&no=64(最後瀏覽日:2022/9/2)。
科法觀點
美國最高法院日前針對Brown v. EMA & ESA(即之前的Schwartzenegger v. EMA)一案作出決定,確認加州政府於2005年制定的一項與禁止販賣暴力電玩(violent video games)有關的法律,係違反聯邦憲法第一修正案而無效。 該加州法律係在阿諾史瓦辛格(Arnold Alois Schwarzenegger)擔任加州州長時通過。根據該法規定,禁止販售或出租暴力電玩給未滿18歲的未成年人,且要求暴力電玩應在包裝盒上加註除現行ESRB分級標誌以外的特別標誌,故有侵害憲法第一修正案所保障的言論自由之虞。本案第一審、第二審法院均認定加州「禁止暴力電玩」法案係屬違憲。 而最高法院日前於6月27日以7比2的票數判決,肯定下級審的見解。最高法院認為,電玩(video games)係透過角色、對話、情節和音樂等媒體,傳達其所欲表達的概念,就如同其他呈現言論的方式(如書本、戲劇、電影),皆應受到憲法言論表達自由原則之保護。 因此,對同樣受到憲法保障的遊戲內容表達,只有在有重大(值得保護)的公益須維護時,才能對其加以限制;同時,限制手段亦須通過最嚴格的審查標準(stringent strict scrutiny test)。最高法院認為,本案中加州政府並無法證明有重大(值得保護)的公益存在,且以法律禁止販賣的手段也無法通過審查標準。 如同美國娛樂軟體協會(ESA)CEO Michael D. Gallagher所說,政府不應採取立法禁止的方式,限制遊戲內容的表達自由;反之,美國電玩產業一直以來都遵守一套自願性的分級制度(Entertainment Software Rating Board rating system),藉以提供消費者有關遊戲內容的資訊。這套分級制度已足以協助家長從包裝盒上辨認出遊戲內容,確保未成年人不接觸不適宜的遊戲。 判決出爐後,產業界紛紛表示這是對遊戲產業的一大勝利。本案也證明,即使面臨日新月異科技發展的挑戰,憲法所保障的言論自由表達原則,同樣適用在新興科技的表現媒介。
瑞典最高法院關於維基所設立公共藝術品之照片資料庫之判決瑞典最高法院(Högsta domstolen)於2016/04/04 針對維基基金會(Wikimedia Sverige)與瑞典照片藝術著作權團體(Bildkonst Upphovsrätt i Sverige-BUS)之訴訟案,認定維基基金會無權經由網路提供公共藝術品資料庫(Swedish WikiMedia Art Map)予公眾使用。 本案由瑞典視覺藝術著作權團體於2016/06在瑞典斯德哥爾摩地方法院向維基基金會以侵犯藝術家(konstnärer)對其作品在線上之公眾提供權而提起訴訟。此案爭點在維基未得藝術家之同意前,維基是否可免費提供公共藝術品資料庫供大眾接近使用。因本件訴訟涉及瑞典著作權法24條第1項公共藝術品之轉載重製(24 § Konstverk får avbildas)。瑞典斯德哥爾摩地方法院依民事訴訟法第56章第13條向瑞典最高法院針對此爭議提出判決前置問題(beslut av tingsrätten om hänskjutande enligt 56 kap. 13 § rättegångsbalken)。 瑞典最高法院認為觀光客固然可以對置於公共場所之雕塑品等公共藝術品為攝影,但資料庫是否可無限制使用這些照片則是另一問題。公共藝術品照片資料庫被推定有一定某種程度之商業價值,且不論其是否具商業目的,最高法院認定藝術家有權利去主張此價值。 維基基金會認為此判決弱化表現自由中之基本元素之視覺自由(the freedom of panorama)。需強調的是,此決定只是針對公共藝術品資料庫之運用,並不影響私人上傳公共藝術品照片至社群媒體之權利。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
IBM提出「人工智慧日常倫理」手冊作為研發人員指引隨著人工智慧快速發,各界開始意識到人工智慧系統應用、發展過程所涉及的倫理議題,應該建構出相應的規範。IBM於2018年9月02日提出了「人工智慧日常倫理」(Everyday Ethics for Artificial Intelligence)手冊,其以明確、具體的指引做為系統設計師以及開發人員間之共同範本。作為可明確操作的規範,該手冊提供了問責制度、價值協同、可理解性等關注點,以促進社會對人工智慧的信任。 一、問責制度(Accountability) 由於人工智慧的決策將作為人們判斷的重要依據,在看似客觀的演算系統中,編寫演算法、定義失敗或成功的程式設計人員,將影響到人工智慧的演算結果。因此,系統的設計和開發團隊,應詳細記錄系統之設計與決策流程,確保設計、開發階段的責任歸屬,以及程序的可檢驗性。 二、價值協同(Value Alignment) 人工智慧在協助人們做出判斷時,應充分考量到事件的背景因素,其中包括經驗、記憶、文化規範等廣泛知識的借鑑。因此系統設計和開發人員,應協同應用領域之價值體系與經驗,並確保演算時對於跨領域的文化規範與價值觀之敏感性。同時,設計師和開發人員應使人工智慧系統得以「了解並認知」用戶的價值觀,使演算系統與使用者之行為準則相符。 三、可理解性(Explainability) 人工智慧系統的設計,應盡可能地讓人們理解,甚至檢測、審視它決策的過程。隨著人工智慧應用範圍的擴大,其演算決策的過程必須以人們得以理解的方式解釋。此係讓用戶與人工智慧系統交互了解,並針對人工智慧結論或建議,進而有所反饋的重要關鍵;並使用戶面對高度敏感決策時,得以據之檢視系統之背景數據、演算邏輯、推理及建議等。 該手冊提醒,倫理考量應在人工智慧設計之初嵌入,以最小化演算的歧視,並使決策過程透明,使用戶始終能意識到他們正在與人工智慧進行互動。而作為人工智慧系統設計人員和開發團隊,應視為影響數百萬人甚至社會生態的核心角色,應負有義務設計以人為本,並與社會價值觀和道德觀一致的智慧系統。