美國NIST發布更新《網路安全資源指南》提升醫療領域的網路安全及隱私風險管理

  美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)於2022年7月21日發布更新《網路安全資源指南》(A Cybersecurity Resource Guide, NIST SP 800-66r2 ipd)。本指南源自於1996年美國《健康保險流通與責任法》(Health Insurance Portability and Accountability Act, HIPAA)旨在避免未經患者同意或不知情下揭露患者之敏感健康資料,並側重於保護由健康照護組織所建立、接收、維護或傳輸之受保護電子健康資訊(electronic protected health information, ePHI),包括就診紀錄、疫苗接種紀錄、處方箋、實驗室結果等患者資料之機密性、完整性及可用性。其適用對象包含健康照護提供者(Covered Healthcare Providers)、使用電子方式傳送任何健康資料的醫療計畫(Health Plans)、健康照護資料交換機構(Healthcare Clearinghouses)及為協助上述對象提供健康照護服務之業務夥伴(Business Associate)均應遵守。

  本指南最初於2005年發布並經2008年修訂(NIST SP 800-66r1 ipd),而本次更新主要為整合其他網路安全相關指南,使本指南與《網路安全框架》(Cybersecurity Framework, NIST SP 800-53)之控制措施等規範保持一致性。具體更新重點包括:(1)簡要概述HIPAA安全規則;(2)為受監管實體在ePHI風險評估與管理上提供指導;(3)確定受監管實體可能考慮作為資訊安全計畫的一部分所實施的典型活動;(4)列出受監管實體在實施HIPAA安全規則之注意事項及其他可用資源,如操作模板、工具等。特別在本指南第三章風險評估與第四章風險管理提供組織處理之流程及控制措施,包括安全管理流程、指定安全責任、員工安全、資訊近用管理、安全意識與培訓、應變計畫、評估及業務夥伴契約等。而在管理方面包括設施權限控管、工作站使用及安全、設備媒體控制;技術方面則包含近用與審計控管、完整性、個人或實體身分驗證及傳輸安全。上述組織要求得由政策、程序規範、業務夥伴契約、團體健康計畫所組成,以助於改善醫療領域的網路安全及隱私保護風險管理。預計本指南更新將徵求公眾意見至2022年9月21日止。

相關連結
你可能會想參加
※ 美國NIST發布更新《網路安全資源指南》提升醫療領域的網路安全及隱私風險管理, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8883&no=64&tp=1 (最後瀏覽日:2026/07/13)
引註此篇文章
科法觀點
你可能還會想看
Horizon Europe

  Horizon Europe為歐盟2021-2027年之科技研發架構計畫。科技研發架構計畫(Framework Programmes for Research and Technological Development,依不同期別縮寫為FP1-FP8)為全球最大型的多年期科研架構計畫,今期之Horizon 2020已進入尾聲,2021年起所實施的歐盟科研架構計畫──FP9正式命名為「Horizon Europe」。   為打造歐盟成為創新市場先鋒,延續Horizon 2020計畫成效,Horizon Europe重視投資研發與發展創新,包含強化歐盟的科學與技術基礎、促進歐洲創新能力,以及永續歐洲社會經濟的模式與價值。   Horizon Europe發展方向分為三大主軸,分別為: 卓越科學(Excellent Science):透過歐洲研究理事會(European Research Council, ERC)、新居禮夫人人才培育計畫(Marie Skłodowska-Curie Actions, MSCA)和研究基礎設施(Research Infrastructures)加強歐盟科學領導力。 全球挑戰與產業競爭力(Global Challenges and European Industrial Competitiveness):此主軸再分別發展6個子題,以應對歐盟和全球政策並加速產業轉型。該6個子題分別為(1)健康;(2)文化與創造力;(3)社會安全;(4)數位與太空產業;(5)氣候、能源與交通;(6)糧食、生物經濟(Bioeconomy)、自然資源、農業與永續環境。 創新歐洲(Innovative Europe):促進、培育和部署市場創新,維護友善創新環境之歐洲生態系統(European ecosystems)。   此外,Horizon Europe擬把實驗階段中具備高潛力和前瞻性的技術帶入市場,轉以任務導向協助新創產業設立,推動跨事業多方整合。

Like or Not!德國地方法院針對facebook「讚」按鈕功能之判決

  日前有新聞報導,google將推出「+1」按鈕功能,用戶可以點擊該按鈕,向好友推薦特定的搜尋結果,市場上普遍預測google新增此「+1」按鈕功能,主要是用來跟facebook「讚」按鈕(Like Button)競爭。facebook「讚」按鈕功能已成為時下潮流新用語,諸如「給你一個讚」;而且還可以將facebook「讚」按鈕安裝在個人的部落格網頁、文章中。惟facebook的這項功能,一直以來也存在著侵害用戶個人隱私之疑慮。   德國柏林地方法院於今年(2011)03月14日針對facebook「讚」按鈕功能作出一則判決(LG Berlin, Beschluss vom 14.03.2011 - 91 O 25/11)。本案被告經營一項與原告相同的電子商務業務,並在其線上商店網頁中,安裝facebook「讚」按鈕(Gefällt-mir-Button)功能。判決中指出,安裝facebook「讚」按鈕,須運用facebook內建框架(iframe)語法,一旦安裝後,只要是登錄facebook的用戶,同時瀏覽被告網頁時,即使未點擊被告網頁上的「讚」按鈕,用戶的使用記錄都會回傳至facebook。但被告網頁上並未刊登任何有關提醒用戶注意該項資料蒐集、回傳之訊息。   原告因而主張,被告未盡到告知用戶有關個人資料蒐集、加工資訊之義務,已經違反電信服務法(Telemediengesetz,以下簡稱TMG)第13條規定,因而構成不正競爭防止法(Gesetz gegen den unlauteren Wettbewerb,以下簡稱UWG)第4條第11款規定之不允許交易行為。UWG第4條第11款規定「違反本質上涉及交易相對人(Marktteilnehmer)之利益的市場行為(Marktverhalten)有關之法律規定,亦屬於不允許的交易行為(unlautere geschäftliche Handlungen)。」   柏林地方法院認為,TMG第13條本質上係與個人資料保護有關之規定,與涉及交易相對人之利益的市場行為無關,故本案無UWG第4條第11款規定之情形,與不正競爭行為無關,原告之主張因欠缺請求權基礎而敗訴。   然而,值得注意的是,本案法院並未進一步針對被告行為是否違反TMG第13條「有關個人資料保護」之規定提出其見解。TMG第13條係依據「歐盟1995年個人資料保護指令」轉換而來,TMG第13條規定,若網站涉及個人資料的蒐集、加工行為,電信服務提供者(Diensteanbieter)有義務明確告知用戶相關訊息(包括明確告知用戶其可隨時撤回許可相關資料蒐集之表示等)。   爰此,被告於個人網頁安裝facebook「讚」按鈕功能,卻未告知用戶個人資料蒐集、加工之相關訊息,是否違反TMG第13條規定之告知義務,尚有待上級審加以定奪。而判決出爐後,也有專家建議,為避免有侵害個人資料之虞,在社群網站安裝facebook「讚」按鈕時,宜加註個人資料處理、保護之相關聲明。

任天堂將自YOUTUBE影片上傳者收取利潤

  YOUTUBE遊戲頻道 - Rooster Teeth’s Let’s Play的建立者Lewis Turner近期擁有111部上傳遊戲剪輯並超過74890次瀏覽量,現被任天堂(NINTENDO)控訴侵害著作權。   任天堂依YOUTUBE的Content ID政策,向Lewis Turner主張凡運用任天堂遊戲剪輯而賺取收益的部分,一旦這些剪輯被識別包含Content ID所認定之完整或部分的內容,均被要求需支付獲利予任天堂。Content ID為YOUTUBE 的著作權政策,有助保護企業並控制相關影片上傳的內容,藉識別使用者上傳的相關影片(視訊或音訊)的內容,與著作權人提供的內容比對是否侵權的功能,進而採取預先選擇的處理方式,如:透過影片賺取收益或封鎖這類的影片。   許多玩家習慣將時下流行的遊戲闖關歷程上傳至社群網站與其他玩家分享,展現如何破解高難度關卡,或進階的闖關技巧,任天堂此舉,招來許多玩家的不滿,甚至表示再也不玩任天堂的遊戲或上傳更多的遊戲歷程剪輯。一名”Let’s play”玩家表示:「電動遊戲非如電影或電視;當我看到別人正在看的影片,我可能不會再去看;但當我看到別人正在玩的遊戲,我會想自己體驗。每個遊戲過程,都有其獨特視覺經驗,藉由瀏覽遊戲歷程能夠引起購買慾望。」   對此,任天堂則聲明,若是為了持續推動並確保為任天堂的遊戲,仍可透過社群平台分享,即玩家仍可繼續在YOUTUBE上分享任天堂的遊戲歷程;而非像對待娛樂公司一樣,阻止玩家使用任天堂智慧財產權(著作權)的原因。

美國白宮發布「美國就業計畫」說明文件,加強投資基礎建設與科技研發

  美國白宮於2021年3月31日發布「美國就業計畫」說明文件(FACT SHEET: The American Jobs Plan),針對美國當前所面臨基礎建設老舊、失業率攀升、氣候變遷與來自中國的技術競爭等問題,預計在未來八年內每年投資約GDP的1%,共投入約2兆美元(約合新台幣56兆元)於修復與升級國家基礎建設、振興製造業、投資基礎科學研究、支持供應鏈、推動能源轉型、幼兒教育及長照醫療等項目上。   本說明文件指出,雖然美國為世界上最富裕的國家,但許多基礎建設都逐漸變得老舊或不合時宜,部份人民仍無法享有高速網路與價格可負擔的房屋,而在疫情的衝擊下不僅導致工作機會喪失,更威脅到國家經濟安全。除此之外,美國在科技研發、製造與人才培育上開始落後於最大的競爭對手,顯示政府有必要加快在基礎建設與科技研發的投資,以重建美國的國家競爭力並創造更多的就業機會。   針對投資基礎建設部分,包含交通基礎建設如修復高速公路、橋樑,並升級港口、機場及運輸系統,並改善飲水、電力與網路布建,提供全體人民可負擔、可靠的高速寬頻服務;除了提高基礎建設在面對氣候變遷危機時的韌性,也提供美國人民更安全、可靠、便利的生活條件。在更新基礎建設的同時,將採用符合永續性及創新性的建築材料,並優先使用在美國製造與販售的零組件,以支持國內產業與創造就業機會。   而在投資科技研發部分,相對於中國大陸正大力投資於研發,其研發支出為世界第二,美國在投資科技研發占GDP比率卻持續下降,為了支持研發團隊克服高度創新(high-innovation)技術的障礙,有必要提高對於國內研究人員、實驗室及大學院校的投資。因此白宮呼籲國會支持國家科學基金會(NSF)投資500億美元設立技術局(technology directorate),用於整合國家研究資源,投入半導體及高級通訊技術、高級能源技術及生物技術的研發,並預計投資400億美元於全國實驗室研究設施與網路的升級。   除此之外,白宮規劃投資350億美元於研發克服氣候變遷危機的技術解決方案,包括開發減少排放和建立氣候適應力的新方法,並呼籲國會投資100億美元於傳統黑人大學(HBCUs)、弱勢族群教育機構(MSIs)的科技研發以避免種族與性別落差,投資200億美元於區域創新中心及社區再生基金,向國家標準技術協會(NIST)投資140億美元推動產官學合作研發,以及規劃310億美元用於中小企業信貸、創投及研發資金,特別是地區型的小型孵化器及創新聚落,以支持有色人種及弱勢族群的新創事業成長。

TOP