美國民權辦公室發布遠距醫療隱私和資訊安全保護相關建議
美國衛生及公共服務部(U.S. Department of Health and Human Services, HHS)民權辦公室(Office for Civil Rights, OCR)於2023年10月18日發布了兩份文件,針對遠距醫療情境下的隱私和資訊安全保護,分別給予病人及健康照護服務提供者(下稱提供者)實務運作之建議。本文主要將發布文件中針對提供者的部分綜合整理如下:
1.於開始進行遠距醫療前,提供者應向病人解釋什麼是遠距醫療及過程中所使用的通訊技術。讓病人可瞭解遠距醫療服務實際運作方式,若使用遠距醫療服務,其無須親自前往醫療院所就診(如可以透過語音通話或視訊會議預約看診、以遠端監測儀器追蹤生命徵象等)。
2.提供者應向病人說明遠距醫療隱私和安全保護受到重視的原因。並且向病人告知為避免遭遇個資事故,提供者對於通訊技術採取了哪些隱私和安全保護措施,加以保護其健康資訊(如診療記錄、預約期間所共享資訊等)。
3.提供者應向病人解釋使用通訊技術對健康資訊帶來的風險,以及可以採取哪些方法降低風險。使病人考慮安裝防毒軟體等相關方案,以防範病毒和其他惡意軟體入侵;另網路犯罪者常利用有漏洞之軟體入侵病人裝置,竊取健康資訊,因此可於軟體有最新版本時,盡快更新補強漏洞降低風險;若非於私人場所預約看診,病人則可透過調整裝置或使用即時聊天功能,避免預約資訊洩漏。
4.提供者應協助病人保護健康資訊。確保病人知悉提供者或通訊技術供應商聯絡資訊(如何時聯絡、以什麼方式聯絡等),使病人遭網路釣魚信件或其他方式詐騙時可以加以確認;也應鼓勵病人有疑慮時都可洽詢協助,包括如何使用通訊技術及已採取之隱私和安全保護措施等。
5.提供者應使病人了解通訊技術供應商所採取之隱私和安全保護措施。告知病人通訊技術供應商名稱、採取之隱私和安全保護措施,及如何得知前開措施內容;使病人了解進行遠距醫療時是否使用線上追蹤技術。
6.提供者應告知病人擁有提出隱私投訴的權益。若病人認為自身健康隱私權受到侵犯,得透過OCR網站進行投訴。
- U.S. Department of Health and Human Services[HHS], Resource for Health Care Providers on Educating Patients about Privacy and Security Risks to Protected Health Information when Using Remote Communication Technologies for Telehealth (2023)
- U.S. Department of Health and Human Services[HHS], HHS Office for Civil Rights Issues Resources for Health Care Providers and Patients to Help Educate Patients about Telehealth and the Privacy and Security of Protected Health Information (2023)
- 零售業個資保護及資訊安全教育講習
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
謝淯婷
法律研究員 編譯整理
U.S. Department of Health and Human Services[HHS], Resource for Health Care Providers on Educating Patients about Privacy and Security Risks to Protected Health Information when Using Remote Communication Technologies for Telehealth (2023), https://www.hhs.gov/hipaa/for-professionals/privacy/guidance/resource-health-care-providers-educating-patients/index.html (last visited Oct.20, 2023).
U.S. Department of Health and Human Services[HHS], HHS Office for Civil Rights Issues Resources for Health Care Providers and Patients to Help Educate Patients about Telehealth and the Privacy and Security of Protected Health Information (2023), https://www.hhs.gov/about/news/2023/10/18/civil-rights-issues-resources-help-educate-patients-telehealth-privacy-security-protected-health-information.html (last visited Oct.20, 2023).
阮韻蒨,〈美國公布實施零信任架構相關資安實務指引〉,資策會科法所法律要聞,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8885&no=64(最後瀏覽日:2023/10/24)。
楊政一,〈WHO公布實施遠距醫療綜合指引〉,資策會科法所法律要聞,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8944&no=64(最後瀏覽日:2023/10/30)。
黃昱揚,〈美國聯邦貿易委員會(FTC)持續開鍘違約揭露用戶個資的業者〉,資策會科法所法律要聞,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9006&no=64(最後瀏覽日:2023/10/30)。
共享經濟(Sharing-economy)為近來很夯的議題,其概念係藉由網路平台分享自有資產、資源、時間及技能及其他有用的事物,透過資源分享能更有效利用或者獲得收入。共享經濟不僅能夠促進經濟成長、鼓勵創業,同時也促進資產有效再利用,許多創新服務成功案例,例如Uber、Lyft、Airbnb等因此產生,然而,這類型之創新商業模式推展至世界其他各國發展時,卻遭遇到法規範的差異,與各國政府監督與管理出發點的不同,對各國政府與創新商業模式皆成為未來的挑戰。 舉例來說,目前Uber公司在法國、西班牙和德國等國禁止其提供服務,由於德國政府認為Uber未事先依法律規定辦理司機與營業車輛登記,故禁止Uber於德國境內服務;而西班牙政府認為Uber公司未取得經營執照,亦禁止其於西班牙提供服務。然而Uber公司認為,上述國家對於公司的發展已產生限制競爭與不公平的對待,進而向歐盟執委會(European Commission)提出申訴。 依歐盟條約(The Treaty on the Functioning of the EU, TFEU)規定,歐盟會員國各該內國法之制定原則上不可抵觸歐盟競爭法(EU competition laws),是以,各該歐盟會員國必須遵守歐盟競爭法訂立至少符合歐盟競爭法的相關規範。因此,若認為歐盟會員國的規範與實務操作有悖於歐盟條約所制定之公平競爭規則時,可向歐盟執委會提出申訴,該委員會如發現確實有違背公平競爭規則時,可要求該歐盟會員國修訂其國家的監管制度。 對此,歐盟、各該會員國之監管部門、市場競爭當局試圖尋找解決問題的平衡點,並在適當的監管與促進創新與競爭的環境下,俾利共享經濟於各國的推動與發展。
歐盟NIS 2指令生效,為歐盟建構更安全與穩固的數位環境歐盟第2022/2555號《於歐盟實施高度共通程度之資安措施指令》(Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union, NIS 2 Directive)於2023年1月16日正式生效,其於《網路與資訊系統安全指令》(Directive on Security of Network and Information Systems, NIS Directive)之基礎上,對監管範圍、成員國協調合作,以及資安風險管理措施面向進行補充。 (1)監管範圍: NIS 2納入公共電子通訊網路或服務供應、特定關鍵產品(如藥品與醫療器材)製造、社交網路平台與資料中心相關數位服務、太空及公共行政等類型,並以企業規模進行區分,所有中大型企業皆須遵守NIS 2之規定,而個別具高度安全風險之小型企業是否需要遵守,則可由成員國自行規範。 (2)成員國協調合作: NIS 2簡化資安事件報告流程,對報告程序、內容與期程進行更精確的規定,以提升成員國間資訊共享的有效性;建立歐洲網路危機聯絡組織網路(European cyber crisis liaison organisation network, EU-CyCLONe),以支持對大規模資安事件與危機的協調管理;為弱點建立資料庫及揭露之基本框架;並引入更嚴格的監督措施與執法要求,以使成員國間之裁罰制度能具有一致性。 (3)資安風險管理措施: NIS 2具有更為詳盡且具體之資安風險管理措施,包含資安事件回報與危機管理、弱點處理與揭露、評估措施有效性的政策與程序、密碼的有效使用等,並要求各公司解決供應鏈中的資安風險。
挪威政府提案修改著作權法,將處罰把CD音樂複製成MP3檔案之行為為解決日益猖狂的網路侵權行為,挪威政府已提出著作權法修正草案,針對侵害著作權及網路盜版行為處以罰金及三年以下有期徒刑之刑責。其中最主要的就是要遏止破解DVD及CD之科技保護措施以及處罰提供軟硬體進行破解之行為。不過,在修正草案下,為個人使用之目的而複製CD或DVD之行為,即便在此過程中意味有破解科技保護措施之行為存在,仍不構成違法;但是,若破解科技保護措施而將CD歌曲轉換成MP3格式則構成侵權行為。 此一修正案的提出雖獲業界一致喝采,但是亦受到學者的抨擊,認為此修正案內容定義不清,完全無法執行。由於挪威國會預計於今年三、四月審查此案,若能順利過關,最快將於今年七月正式施行,不過未來如何發展,仍存在相當變數,值得追蹤觀察。
美國對於聯網環境中「關鍵基礎設施」之資訊安全議題展開行動面對境外網路安全的風險,美國歐巴馬總統於2013年2月12日,正式簽署「改善關鍵基礎設施之網路安全」行政命令(Executive Order 13636–Improving Critical Infrastructure Cyber security),據該行政命令第二款,將「關鍵基礎設施」定義為,「對於美國至關重要,而當其無法運作或遭受損害時,將削弱國家安全、經濟穩定、公共健康或安全之有形或虛擬系統或資產」,遂採取相對廣義之解釋。該行政命令第七款,亦指示美國商務部「國家標準技術研究所」(National Institute of Standard and Technology, NIST),將研議ㄧ個提升關鍵基礎設施資通訊安全之架構(Framework to Improve Critical Infrastructure Cybersecurity),將美國聯邦憲法所保障的企業商業機密、個人隱私權和公民自由等法益納入考量。 針對關鍵基礎設施引發重要之法制議題,美國副司法部長Mr. James M. Cole表示,由於關鍵基礎設施影響所及者,乃人民在法律下的權益,公部門政府將在該項議題上與私部門共同合作(partnership),且未來將研議通過立法途徑(legislation),將隱私權和公民權保護(the incorporation of privacy and civil liberties safeguards)納入關鍵基礎設施資通訊安全法制之全盤考量,相關趨勢殊值注意。