美國NIST發布更新《網路安全資源指南》提升醫療領域的網路安全及隱私風險管理
美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)於2022年7月21日發布更新《網路安全資源指南》(A Cybersecurity Resource Guide, NIST SP 800-66r2 ipd)。本指南源自於1996年美國《健康保險流通與責任法》(Health Insurance Portability and Accountability Act, HIPAA)旨在避免未經患者同意或不知情下揭露患者之敏感健康資料,並側重於保護由健康照護組織所建立、接收、維護或傳輸之受保護電子健康資訊(electronic protected health information, ePHI),包括就診紀錄、疫苗接種紀錄、處方箋、實驗室結果等患者資料之機密性、完整性及可用性。其適用對象包含健康照護提供者(Covered Healthcare Providers)、使用電子方式傳送任何健康資料的醫療計畫(Health Plans)、健康照護資料交換機構(Healthcare Clearinghouses)及為協助上述對象提供健康照護服務之業務夥伴(Business Associate)均應遵守。
本指南最初於2005年發布並經2008年修訂(NIST SP 800-66r1 ipd),而本次更新主要為整合其他網路安全相關指南,使本指南與《網路安全框架》(Cybersecurity Framework, NIST SP 800-53)之控制措施等規範保持一致性。具體更新重點包括:(1)簡要概述HIPAA安全規則;(2)為受監管實體在ePHI風險評估與管理上提供指導;(3)確定受監管實體可能考慮作為資訊安全計畫的一部分所實施的典型活動;(4)列出受監管實體在實施HIPAA安全規則之注意事項及其他可用資源,如操作模板、工具等。特別在本指南第三章風險評估與第四章風險管理提供組織處理之流程及控制措施,包括安全管理流程、指定安全責任、員工安全、資訊近用管理、安全意識與培訓、應變計畫、評估及業務夥伴契約等。而在管理方面包括設施權限控管、工作站使用及安全、設備媒體控制;技術方面則包含近用與審計控管、完整性、個人或實體身分驗證及傳輸安全。上述組織要求得由政策、程序規範、業務夥伴契約、團體健康計畫所組成,以助於改善醫療領域的網路安全及隱私保護風險管理。預計本指南更新將徵求公眾意見至2022年9月21日止。
- NIST Updates Guidance for Health Care Cybersecurity, National Institute of Standards and Technology, July 21, 2022
- Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide (NIST Special Publication 800-66, Revision 2), National Institute of Standards and Technology, July 21, 2022
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
- 【北部場1】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場2】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場3】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場4】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【南部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【中部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
盧秉羲
專案經理 編譯整理
NIST Updates Guidance for Health Care Cybersecurity, National Institute of Standards and Technology, July 21, 2022, https://www.nist.gov/news-events/news/2022/07/nist-updates-guidance-health-care-cybersecurity(last visited Sept. 2, 2022).
Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide (NIST Special Publication 800-66, Revision 2), National Institute of Standards and Technology, July 21, 2022, https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-66r2.ipd.pdf(last visited Sept. 2, 2022).
施雅薰,〈歐盟執委會發布「歐洲健康資料空間」規則提案,旨在克服健康資料利用之障礙〉,資訊工業策進會科技法律研究所,2022/6,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8858(最後瀏覽日:2022/9/2)。
邱美蘅,〈美國21世紀醫療法最終規則下之資訊封鎖條文生效,患者健康資料進用權利獲保障〉,資訊工業策進會科技法律研究所,2021/6,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8679&no=64(最後瀏覽日:2022/9/2)。
科法觀點
2015年6月美國聯邦最高法院大法官以6比3的同意比例判決維持該法院於1964年所確立之Brulotte原則,即專利失效後禁止要求償付授權金之原則。聯邦最高法院重新檢討Brulotte原則之爭議係起源於Kimble et al. v. Marvel Enterprises Inc.(case num. 13-720)一案。該案中涉及到現實下專利權利人於面對財團時,是否能於專利權有效期間採取手段充分保護專利權之問題,故是否有必要放寬專利權於失效後,專利權人仍得以專利授權契約要求專利被授權人償付授權金。又本案原告知專利發明人Kimble主張放寬Brulotte原則亦有亦於刺激競爭,促進研發創新。 然而,主撰判決本文之美國卡根大法官(Justice Kagan)及贊同維持Brulotte原則之大法官認為,Brulotte原則屬於聯邦最高法院遵照執行之決議事項(stare decisis),必須具有超級特別的理由(superspecial justification)才足以立論推翻該原則。但大法官認為並無有該類理由,並且強調縱然放寬Brulotte原則在學理上證實有助於市場競爭,但這也並非聯邦最高法院在司法權限所應審查或判斷之事項,而應是美國國會於智財政策之取捨。 反對維持Brulotte原則之阿利托大法官(Justice Alito)、羅伯特首席大法官(Chief Justice Roberts)及湯瑪斯大法官(Justice Thomas)提出不同意見書。反對意見認為專利失效及失去任何專有權利,所以涉及授權金之唯一問題即在於最佳契約設計(optimal contract design)。Brulotte原則干預了各方協議授權內容時,可以反映專利真實價值的方式,破壞契約期望(contractual expectation)。 本案作成判決後,各專利事務所及專利律師普遍贊同聯邦法院維持Brulotte原則,主要係基於該原則可以使用來償付授權金之資金轉為用於他處,有助於資金流通,而非用於已失效之專利。
南韓預告修訂《個人資料保護法施行令》草案,擬擴大本人資料傳輸請求權適用範圍2025年6月23日,韓國個人資料保護委員會(개인정보보호위원회,下簡稱個資會)宣布修訂《個人資料保護法施行令》(개인정보 보호법 시행령)草案,擴大「本人傳輸請求權」(본인전송요구권)制度的適用範圍至特定大型個人資料處理者(개인정보처리자)。 南韓政府於2024年3月開始實施MyData(마이데이터)制度,賦予其國民「本人傳輸請求權」。所謂「本人傳輸請求權」,係指當事人向資料持有者請求傳輸個人資料給自己或特定第三方的權利,而個人資料則係指包含所有能夠識別本人身分或與本人有直接關聯的資訊。 本人傳輸請求權的立法目的,在於解決當事人將資料授權予特定企業或機關使用後,無法追蹤個人資料動向的問題。當事人可透過行使本人資料傳輸請求權,隨時確認資料如何被使用、有無被再次轉交他方,以及自由決定是否收回或轉移持有者擁有的個人資料。有助於解決個人資料利用權限一經授權後便難以掌控的問題,並提高國民對於個人資料的自主控制能力。 本次修法前,本人資料請求權的適用範圍僅限於醫療與電信產業,個人資料保護法施行令預告修訂草案進一步將符合以下標準的個人資料處理者納入本人傳輸請求權適用範圍: 1. 年營業額達1500億韓元以上的企業; 2. 持有個人資料人數達100萬人以上的企業或機構; 3. 敏感資料、高識別度資料達5萬人以上的企業或機構; 4. 2萬人以上大學或公部門機關。 韓國個資會此次提出的預告修訂草案,建立了一套可跨領域適用的個人資料管理政策架構,為國民資料自主性與控制權提供更完整的保護,值得作為我國個人資料治理制度之參考。
基改小麥事件爆發 基改標示議題再上火線基因改造食品的安全性,向來引起全球關注,各界爭議不休。美國農業部在上(5)月29日公開表示,在奧勒岡州(Oregon)的私人農場中發現基因改造小麥,這是否屬於單一個案,還是意味著基改防線已有所瓦解,對於美國基改管理體系具有重大意義。以目前而言,美國尚未核准任何基因改造小麥。 美國是全球最大的小麥供應國,每年有4000萬噸小麥輸入亞洲;其中,日本更是美國最重要的海外市場。在本案爆發之後,日本於第一時間暫停來自美國西北的小麥進口至美國境內,這股緊張氣氛預計將快速漫延至其他亞洲國家。 事實上,在這事件同時,於綠色和平(green peace)及其他NGO團體串聯下,全球200萬民眾走上街頭,抗議美國孟山都(Monsanto)及其研發的基因改造食品,包括美國、加拿大、阿根廷等,估計共有52國、436個城市響應,一齊表達對於基因改造食品的不安感。在基因改造食品的長期爭議下,美國有若干州考慮採取立法管制,特別是要求基因改造作物或產品必須要標示清楚,以保護消費者的權益。最新的進展是,在本(6)月4日,康乃迪克州(Connecticut)議會以134比3,通過基因改革食物法案,要求各項食物必須明確標示是否含有基因改造成分。在這之後,緬因(Maine)州也立即跟進,以141比4通過類似的基改標示法案。而案件爆發地–奧勒岡州,則還沒有進一步消息。
歐盟法院於11月28日對Intel v CPM案依英國上訴法院初審判決闡釋著名商標侵害之認定方式歐盟法院(ECJ- the Court of Justice of the European Communities)於11月28日針對Intel v CPM一案宣告,對於著名商標侵害的認定參考英國上訴法院(the Court of Appeal-England and Wales)的初審裁定「著名商標持有人得中止近似商標使用於完全非類似的產品或服務上,只要能舉證近似商標之使用造成對著名商標持有人的侵害並有實質的經濟影響」。 本案原告為Intel Corporation Inc. 註冊「Intel」為英國商標,指定使用於第9類電子商品、第16類文具商品、第38類通訊服務、及第42類電腦軟硬體設計服務,其中並在電腦微處理器及軟體等電子產品上更為全球知名的商標;CPM united Kingdom Ltd. 註冊「INTELMARK」為英國商標,指定使用於第35類的行銷及遠距行銷等廣告服務,Intel主張CPM使用INTELMARK為商標將有致侵害及淡化Intel商標的使用,並產生不正利益。惟英國商標局(Trade Mark Registry Hearing Officer)駁回Intel之申請案,且英國上訴法院初審判決維持原判,並向歐盟法院提出著名商標認定標準。 歐盟法院此次對著名商標的認定,將使著名商標持有人以後如果要保障其商標名稱不被稀釋,必須提出下列證明:1. 前商標(即著名商標)與後商標(近似商標)間必須有一定的關聯性;2. 後商標會使一般消費者產生對前商標的聯想;3.前商標與後商標所註冊的商品間並不一定要類似;4.後商標的使用造成不正利益或侵害前商標持有人的商譽。 本案將待英國上訴法院判決宣判後確定。