美國民權辦公室發布遠距醫療隱私和資訊安全保護相關建議
美國衛生及公共服務部(U.S. Department of Health and Human Services, HHS)民權辦公室(Office for Civil Rights, OCR)於2023年10月18日發布了兩份文件,針對遠距醫療情境下的隱私和資訊安全保護,分別給予病人及健康照護服務提供者(下稱提供者)實務運作之建議。本文主要將發布文件中針對提供者的部分綜合整理如下:
1.於開始進行遠距醫療前,提供者應向病人解釋什麼是遠距醫療及過程中所使用的通訊技術。讓病人可瞭解遠距醫療服務實際運作方式,若使用遠距醫療服務,其無須親自前往醫療院所就診(如可以透過語音通話或視訊會議預約看診、以遠端監測儀器追蹤生命徵象等)。
2.提供者應向病人說明遠距醫療隱私和安全保護受到重視的原因。並且向病人告知為避免遭遇個資事故,提供者對於通訊技術採取了哪些隱私和安全保護措施,加以保護其健康資訊(如診療記錄、預約期間所共享資訊等)。
3.提供者應向病人解釋使用通訊技術對健康資訊帶來的風險,以及可以採取哪些方法降低風險。使病人考慮安裝防毒軟體等相關方案,以防範病毒和其他惡意軟體入侵;另網路犯罪者常利用有漏洞之軟體入侵病人裝置,竊取健康資訊,因此可於軟體有最新版本時,盡快更新補強漏洞降低風險;若非於私人場所預約看診,病人則可透過調整裝置或使用即時聊天功能,避免預約資訊洩漏。
4.提供者應協助病人保護健康資訊。確保病人知悉提供者或通訊技術供應商聯絡資訊(如何時聯絡、以什麼方式聯絡等),使病人遭網路釣魚信件或其他方式詐騙時可以加以確認;也應鼓勵病人有疑慮時都可洽詢協助,包括如何使用通訊技術及已採取之隱私和安全保護措施等。
5.提供者應使病人了解通訊技術供應商所採取之隱私和安全保護措施。告知病人通訊技術供應商名稱、採取之隱私和安全保護措施,及如何得知前開措施內容;使病人了解進行遠距醫療時是否使用線上追蹤技術。
6.提供者應告知病人擁有提出隱私投訴的權益。若病人認為自身健康隱私權受到侵犯,得透過OCR網站進行投訴。
- U.S. Department of Health and Human Services[HHS], Resource for Health Care Providers on Educating Patients about Privacy and Security Risks to Protected Health Information when Using Remote Communication Technologies for Telehealth (2023)
- U.S. Department of Health and Human Services[HHS], HHS Office for Civil Rights Issues Resources for Health Care Providers and Patients to Help Educate Patients about Telehealth and the Privacy and Security of Protected Health Information (2023)
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 【下午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
謝淯婷
法律研究員 編譯整理
U.S. Department of Health and Human Services[HHS], Resource for Health Care Providers on Educating Patients about Privacy and Security Risks to Protected Health Information when Using Remote Communication Technologies for Telehealth (2023), https://www.hhs.gov/hipaa/for-professionals/privacy/guidance/resource-health-care-providers-educating-patients/index.html (last visited Oct.20, 2023).
U.S. Department of Health and Human Services[HHS], HHS Office for Civil Rights Issues Resources for Health Care Providers and Patients to Help Educate Patients about Telehealth and the Privacy and Security of Protected Health Information (2023), https://www.hhs.gov/about/news/2023/10/18/civil-rights-issues-resources-help-educate-patients-telehealth-privacy-security-protected-health-information.html (last visited Oct.20, 2023).
阮韻蒨,〈美國公布實施零信任架構相關資安實務指引〉,資策會科法所法律要聞,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8885&no=64(最後瀏覽日:2023/10/24)。
楊政一,〈WHO公布實施遠距醫療綜合指引〉,資策會科法所法律要聞,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8944&no=64(最後瀏覽日:2023/10/30)。
黃昱揚,〈美國聯邦貿易委員會(FTC)持續開鍘違約揭露用戶個資的業者〉,資策會科法所法律要聞,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9006&no=64(最後瀏覽日:2023/10/30)。
企業實證特例制度規定於日本產業競爭力強化法第8條、第10條、第14條及第15條,在企業或任何事業團體有進行新事業活動(引進新商品或服務之開發或生產、新商品或服務之導入)之需要時,若現行法規上有滯礙難行之處,則可提出創設新規制措施之申請,藉以排除某些法令之限制,使新事業活動得以進行。 企業實證特例制度分為兩階段,首先由欲實施新事業活動者向事業主管機關提出申請,而事業主管機關將會與法規主管機關討論後,在安全性得到確保之情形下,由事業主管機關同意創設新規制措施。第二階段則需提出新事業活動計畫申請核准,經核准後便得在一定期間內於一定地區進行新事業活動。 新事業活動計畫備核准後,事業團體得進行新事業之活動,其需於各事業年度終了後3個月內向事業主管機關提出報告,就新事業活動之進行情形(包含新事業活動目標達成程度、新特例措施施形狀況、法規所要求之安全性目的之確保措施…等事項)為報告。法規主管機關亦會綜合新事業活動之施形狀況、國外相關法制情形以及技術進步等等情形,決定是否進行修法。
在美國競業禁止修法趨勢下,雇主可採取的配套措施——–不可避免揭露原則?美國聯邦貿易委員會(Federal Trade Commission, FTC)於2023年1月提出一項提案,將使所有競業禁止條款無效,惟提案尚未確定。儘管FTC同意該提案將影響對雇主的保護,但也指出營業秘密法已為雇主提供了保護其營業秘密的配套,其中「不可避免揭露原則」(the “inevitable disclosure” doctrine)或許將成為競業禁止協議之替代方案。 不可避免揭露原則是指當公司認為前僱員於新公司任職,將不可避免地使用前公司之營業秘密時,可向法院聲請禁止前僱員至新公司任職。法院通常會考慮下列三個因素,以決定是否基於不當使用營業秘密之「威脅」而授予禁制令救濟,包括: 1.前後雇主是否為提供相同或非常相似服務的直接競爭對手; 2.前僱員的新職位是否與原職位雷同,以至於無法合理地期待該僱員在不利用其前雇主之營業秘密的情況下,能履行其新的工作職責; 3.所涉及的營業秘密對於前後雇主是否都具有相當之價值。 雖然部份州法院指出根據其州法,得適用不可避免揭露原則,但各界對於雇主能否向聯邦法院根據《保護營業秘密法》(Defend Trade Secrets Act, DTSA)援引該原則仍未達成共識。儘管如此,部份聯邦法院強調雇主須明確說明前僱員為何將不可避免地使用或揭露其營業秘密,僅證明前僱員在工作期間獲得機密資訊,並隨後於競爭公司擔任類似職位,不足以證明前僱員將不可避免地使用前公司之營業秘密。 綜上所述,不可避免揭露原則可以防止前僱員不當使用其營業秘密的威脅,但由於聯邦法院對於能否援引該原則的標準仍不明確,僅指出不可避免揭露原則將使雇主面臨較高的舉證要求,故其是否能成為競業禁止協議的替代方案,仍有待觀察。 本文同步刊登於TIPS網站(https://www.tips.org.tw)。
歐盟通過《外國補貼規則》並於2023年1月正式生效2023年1月12日,歐盟《外國補貼規則》(Foreign Subsidies Regulation, FSR)正式生效。其旨為歐盟欲有效打擊因領有外國補貼而具不公平競爭優勢之企業,以保護歐盟市場公平競爭。 2021年5月5日,歐盟執委會(European Commission)提出《外國補貼規則》草案以防範上述企業在歐盟市場進行危害競爭之行為。該規則於2022年11月分別經歐洲議會(European Parliament)與歐盟理事會(European Council)通過後,同年12月23日刊載於歐盟官方公報,並於2023年1月正式生效。 歐盟執委會於2023年2月6日公布《外國補貼規則》執行細則草案,詳細規範踐行企業併購及參與公共採購程序通知義務所應提交之資訊、調查期程及受調查企業之權利等。根據新規,執委會可調查非歐盟國家之企業財務補助(financial contribution)情形,就調查結果決定是否限制其在歐盟市場從事企業併購、參與公共採購以及其他可能影響市場競爭之經濟活動。 若併購一方的歐盟營業額達5億歐元(€500 million),且外國注資達5,000萬歐元(€50 million),相關企業須向歐盟執委會報告。另外,執委會有權解除未履行通知義務但已執行之交易。而公共採購標案方面,標案金額預估達2.5億歐元(€250 million),且參與投標之企業受外國補貼達400萬歐元(€4 million),該企業即應通知執委會,執委會得禁止接受補貼之企業或違規者得標。 歐盟執委會將考量利害關係人意見回饋後預計自2023年7月12日起實施,而部分通知義務將自同年10月12日起實施。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
德國法蘭克福高等法院判定ISP業者毋須揭露線上音樂下載使用者個人資料法蘭克福地區高等法院2005年1月25日駁回下級法院判決,後者判定一在家中經營非法音樂下載服務之網路使用者,其個人資料應被予以揭露。 高等法院認為,ISP業者僅提供網路接取的技術服務,毋須監測在其網路內傳輸的資料。只有當ISP業者知悉其本身網路傳輸內容涉非法時,始應被要求去攔截該網路接取。 目前德國法界實務已普遍認可是項判決結果,去年慕尼黑地區高等法院亦做出類似裁判。 然類似案件發生在英美者,則有部分ISP業者被判定,須提供網路音樂檔案持續交換者的個人細部資料。英國倫敦高等法院即於2004年一判決中,認定ISP業者應提供網路上使用者非法進行點對點音樂電影檔案傳輸之個人資料。