美國民權辦公室發布遠距醫療隱私和資訊安全保護相關建議
美國衛生及公共服務部(U.S. Department of Health and Human Services, HHS)民權辦公室(Office for Civil Rights, OCR)於2023年10月18日發布了兩份文件,針對遠距醫療情境下的隱私和資訊安全保護,分別給予病人及健康照護服務提供者(下稱提供者)實務運作之建議。本文主要將發布文件中針對提供者的部分綜合整理如下:
1.於開始進行遠距醫療前,提供者應向病人解釋什麼是遠距醫療及過程中所使用的通訊技術。讓病人可瞭解遠距醫療服務實際運作方式,若使用遠距醫療服務,其無須親自前往醫療院所就診(如可以透過語音通話或視訊會議預約看診、以遠端監測儀器追蹤生命徵象等)。
2.提供者應向病人說明遠距醫療隱私和安全保護受到重視的原因。並且向病人告知為避免遭遇個資事故,提供者對於通訊技術採取了哪些隱私和安全保護措施,加以保護其健康資訊(如診療記錄、預約期間所共享資訊等)。
3.提供者應向病人解釋使用通訊技術對健康資訊帶來的風險,以及可以採取哪些方法降低風險。使病人考慮安裝防毒軟體等相關方案,以防範病毒和其他惡意軟體入侵;另網路犯罪者常利用有漏洞之軟體入侵病人裝置,竊取健康資訊,因此可於軟體有最新版本時,盡快更新補強漏洞降低風險;若非於私人場所預約看診,病人則可透過調整裝置或使用即時聊天功能,避免預約資訊洩漏。
4.提供者應協助病人保護健康資訊。確保病人知悉提供者或通訊技術供應商聯絡資訊(如何時聯絡、以什麼方式聯絡等),使病人遭網路釣魚信件或其他方式詐騙時可以加以確認;也應鼓勵病人有疑慮時都可洽詢協助,包括如何使用通訊技術及已採取之隱私和安全保護措施等。
5.提供者應使病人了解通訊技術供應商所採取之隱私和安全保護措施。告知病人通訊技術供應商名稱、採取之隱私和安全保護措施,及如何得知前開措施內容;使病人了解進行遠距醫療時是否使用線上追蹤技術。
6.提供者應告知病人擁有提出隱私投訴的權益。若病人認為自身健康隱私權受到侵犯,得透過OCR網站進行投訴。
- U.S. Department of Health and Human Services[HHS], Resource for Health Care Providers on Educating Patients about Privacy and Security Risks to Protected Health Information when Using Remote Communication Technologies for Telehealth (2023)
- U.S. Department of Health and Human Services[HHS], HHS Office for Civil Rights Issues Resources for Health Care Providers and Patients to Help Educate Patients about Telehealth and the Privacy and Security of Protected Health Information (2023)
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
謝淯婷
法律研究員 編譯整理
U.S. Department of Health and Human Services[HHS], Resource for Health Care Providers on Educating Patients about Privacy and Security Risks to Protected Health Information when Using Remote Communication Technologies for Telehealth (2023), https://www.hhs.gov/hipaa/for-professionals/privacy/guidance/resource-health-care-providers-educating-patients/index.html (last visited Oct.20, 2023).
U.S. Department of Health and Human Services[HHS], HHS Office for Civil Rights Issues Resources for Health Care Providers and Patients to Help Educate Patients about Telehealth and the Privacy and Security of Protected Health Information (2023), https://www.hhs.gov/about/news/2023/10/18/civil-rights-issues-resources-help-educate-patients-telehealth-privacy-security-protected-health-information.html (last visited Oct.20, 2023).
阮韻蒨,〈美國公布實施零信任架構相關資安實務指引〉,資策會科法所法律要聞,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8885&no=64(最後瀏覽日:2023/10/24)。
楊政一,〈WHO公布實施遠距醫療綜合指引〉,資策會科法所法律要聞,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8944&no=64(最後瀏覽日:2023/10/30)。
黃昱揚,〈美國聯邦貿易委員會(FTC)持續開鍘違約揭露用戶個資的業者〉,資策會科法所法律要聞,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9006&no=64(最後瀏覽日:2023/10/30)。
數位模擬分身(Digital Twin)係指將實體設備或系統資訊轉為數位資訊,使資訊科學或IT專家可藉此在建立或配置實際設備前進行模擬,從而深入了解目標效能或潛在問題。 於實際運用上,數位模擬分身除可用於實體設備製造前,先行針對產品進行測試,以減少產品缺陷並縮短產品上市時間外,亦可用於產品維護,例如在以某種方式修復物品前,先利用數位模擬分身測試修復效果。此外,數位模擬分身還可用於自駕車及協助落實《一般資料保護規範》(General Data Protection Regulation, 以下簡稱GDPR)規定。在自駕車方面,數位模擬分身可通過雲端運算(cloud computing)和邊緣運算(edge computing)連接,由數位模擬分身分析於雲端運算中涉及自駕系統操作之資訊,包括全部駕駛週期內之資料,如車輛模型在內之製造資料(manufacturing data)、駕駛習慣及偏好等個人隱私資料、感測器所蒐集之環境資料等,協助自駕系統做出決策;在GDPR方面,數位模擬分身可利用以下5大步驟,建立GDPR法規遵循機制以強化隱私保護:1.識別利害關係人與資產,包括外部服務和知識庫;2.漏洞檢測;3.透過虛擬數值替代隱私資料進行個資去識別化;4.解釋結果資料;5.利用資料匿名化以最大限度降低隱私風險,並防止受試者之隱私洩露。
猴子自拍照著作權爭議;美國法院:動物無法擁有著作權2015年1月6日,美國聯邦地區法官裁定,猴子用照相機自拍,猴子無法取得自拍照的著作權。 英國攝影師Slater在四年前,讓黑冠猴Naruto使用其相機,成功的拍出了罕見的黑冠猴自拍照;而攝影師Slater後來把這些自拍照收錄在出版書中,並同時在網路上公開,並獲得廣大迴響。但之後維基百科(Wikipedia)收進免費圖片資源中,供大眾免費下載使用,Slater認為則認為這些照片的著作權已經被英國官方認可屬於Slater所開設的公司,此認可應適用於全世界。惟美國著作權局在2014年最新政策中,認為著作權登記僅適用「人類作品」,據此Naruto之自拍照並不受著作權保障。 而善待動物組織PETA(People for the Ethical Treatment of Animals)組織也加入了著作權爭奪戰局,其認為由Naruto所拍攝自拍照,其著作權應屬於Naruto,但由於Naruto不懂如何行使權利,故由PETA代為管理著作權,相關收益均會用於保護黑冠猴,並且向舊金山聯邦法院提出告訴。美國聯邦法院則在2016年1月6日判決,目前著作權法仍未將保護範圍擴張至動物作品上,故Naruto並未擁有該自拍照著作權,自無PETA代掌著作權可能;PETA接獲判決後表示會提出上訴。
中國大陸商務部《不可靠實體清單規定》中國大陸商務部於2020年9月19日發布「不可靠實體清單規定」(商務部令2020年第4號),作為建立對外國實體(包含外國企業、其他組織或個人)與中國大陸貿易或投資等國際經貿相關活動實施限制之依據。即便中國大陸商務部主張「不可靠實體清單規定」係為落實《對外貿易法》與《國家安全法》之要求,並未針對特定國家或特定實體,但在美中貿易對抗局勢下,仍被認為顯係針對美國商務部貿易管制規則「實體清單」的反制作為。 依據「不可靠實體清單規定」,中國大陸政府堅持獨立自主的對外政策,互相尊重主權並互不干涉內政,在平等互利的原則下,任何外國實體在國際經貿及相關活動中,凡涉及危害中國大陸國家主權、安全、發展利益,或是違反正常的市場交易原則、中斷與中國大陸企業、其他組織或個人的正常交易,或是對中國大陸企業、其他組織或個人採取歧視性措施,嚴重損害其合法權益,中國大陸即有權透過建立不可靠實體清單制度,對上述外國實體採取相應措施。 中國大陸國務院商務主管部門將設置專責組織,負責就經建議或舉報之外國實體進行調查,凡經調查而被公告列入不可靠實體清單者,中國大陸政府可採取的相應措施包含限制或禁止與中國大陸有關之進出口活動、在中國大陸境內投資、限制或禁止其相關人員或交通工具等入境、限制或取消相關人員的工作許可或居留資格、相應數額的罰款或其他必要措施。若中國大陸企業、其他組織或個人因特殊情況須與被限制之外國實體交易,應事前提出申請取得同意。
落實資訊傳遞之流程透明與提昇效率,英國成立照護資訊標準化委員會資訊的保密機制和數據的標準化是當代的醫護過程中,相當關鍵重要的一部分,使得資訊得以安全地蒐集、記錄和交換,同時也是衛生照護系統在品質和服務管理上得以維繫的關鍵。過去英國負責處理醫療資訊交換標準的單位為「衛生和社會照護資訊標準委員會(Information Standards Board for Health and Social Care, ISB)」,負責就國家性的資料標準進行評核、統一資料標準格式,進而符合國際規範。為了因應國家治理在資訊標準、資料收集和資料提取上新的規劃,自今(2014)年4月1日起,ISB轉型為照護資訊標準化委員會(Standardisation Committee for Care Information, SCII)。 新的照護資訊標準化委員會-SCCI主要負責發展、批准並保障資訊標準、資料蒐集與資料提取。該委員會的成員組成廣泛地來自國家單位和相關衛生、照護服務組織。現階段的主要目標為標準化醫院和家庭醫生之間的醫療資訊交換,將醫療資訊標準提升至國家層級,透過該委員會的運作來監督、改善照護服務、照護系統和資訊的處理方式,進而達到流程公開和運作透明。以下為ISB轉型為SCCI之主要原因: 1、2012衛生和社會照護法(Health and Social Care Act 2012)之規定,該法§250賦予衛生部長和NHS England(英國國家健康服務)發布資訊標準的權力; 2、NHS成立新的國家資訊委員會(National Information Board, NIB),該委員會前身為資訊服務調查小組(Information Services Commissioning Group, ISCG),主要針對衛生和社會照護提供國家層級的資訊服務整合規劃,以確保資訊標準統一,使得不同IT系統間得以相互傳輸、驅動更多整合服務給人民。SCCI即隸屬於NIB,負責識別、調查和完整執行資訊標準、資料蒐集和提取。 3、衛生部於2012年發布衛生和照護系統的10 年資訊策略(ten year information strategy for the health and care system)。