Refuah公司與紐約總檢察長達成和解並投資120萬美元保護病人資料
紐約州總檢察長Letitia James於2024年1月5日與健康照護服務業者Refuah Health Center, Inc.(下稱Refuah公司)達成和解,主因為該公司遭受勒索軟體攻擊(ransomware attack),約25萬紐約州民個資遭到洩漏。和解協議要求Refuah公司支付共計45 萬美元之民事懲罰金及費用(penalties and costs),且應投資 120 萬美元加強網路安全(cybersecurity)。
Refuah公司主要業務為經營三家醫療機構和五輛行動醫療車(mobile medical vans)。2021 年 5 月,Refuah公司遭到勒索軟體攻擊,網路攻擊者得以近用數千名病人的資料,取得了包含姓名、地址、電話號碼、社會保險號碼、駕照號碼、出生日期、金融帳號、醫療保險號碼等資料。
依據檢察長辦公室的調查顯示,攻擊者之所以得近用這些資料,原因為 Refuah公司未採取適當安全維護措施,包括:未停用不活躍之使用者帳號(inactive user accounts);未定期更換使用者帳號憑證(user account credentials);未限制員工僅得近用其業務所必需之資源和資料;未使用多重要素驗證(multi-factor authentication)以及未加密病人資料。
依據協議內容,Refuah公司同意投資 120 萬美元,用於開發和維護更強大的資訊安全計畫(information security programs),以更妥適地保護病人資料。該協議還要求Refuah公司應:
1.維護全面的資訊安全計畫,以保護消費者資料的安全性、機密性和完整性;
2.實施並持續更新消費者資料近用限制相關政策和程序;
3.遠端近用資源和資料應使用多重要素驗證;
4.定期更新近用資源和資料的憑證;
5.至少每半年進行一次稽核,確保使用者僅近用其業務所必需之資源和資料;
6.對所有儲存或傳輸的消費者資料進行加密;
7.實施控制措施,監控和記錄公司網路和系統的所有安全和操作活動;以及
8.制定、實施和持續更新全面的事故應變計畫。
Refuah公司還須向州政府支付共計45 萬美元之民事懲罰金及費用,其中 10 萬美元將在該公司投入 120 萬美元開發和維護其資訊安全計畫後,得暫緩支付。
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
- 【北部場1】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場2】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場3】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場4】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【南部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【中部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
謝淯婷
法律研究員 編譯整理
Office of the New York State Attorney General[NYAG], Attorney General James Reaches Agreement with Hudson Valley Health Care Provider to Invest $1.2 Million to Protect Patient Data (2024), https://ag.ny.gov/press-release/2024/attorney-general-james-reaches-agreement-hudson-valley-health-care-provider (last visited Mar.20, 2024).
阮韻蒨,〈美國公布實施零信任架構相關資安實務指引〉,資策會科法所法律要聞,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8885&no=64(最後瀏覽日:2024/03/20)。
陳政陽,〈新加坡物聯網產品網路安全防護之初探〉,資策會科法所法律要聞,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9061&no=64(最後瀏覽日:2024/03/20)。
劉宥妤,〈歐盟推出給在中華區企業參考之網路犯罪與營業秘密保護指南〉,資策會科法所法律要聞,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8929&no=64,(最後瀏覽日:2024/03/20)。
中國大陸改組成立「國家新聞出版廣播電影電視總局」簡評與說明 科技法律研究所 法律研究員 劉得正 102年03月12日 壹、背景說明:組成依據與目的 中國大陸在第十八屆二中全會審議通過「國務院機構改革和職能轉變方案」(以下簡稱方案)後,日前(3/10)由國務院正式提交方案於第十二屆全國人民代表大會第一次會議審議[1]。預計通過後,除辦公廳外,國務院設置部門將縮編為25個。 其中將整併現有之國家新聞出版總署、國家廣播電影電視總局兩大機構,組成「國家新聞出版廣播電影電視總局」,並加掛「國家版權局」機關名稱,承接原國家新聞出版總署負責之著作物管理工作業務。 彙整中國大陸官方針對方案說明可知[2],本次整併兩大機構之目的,係為統籌規劃新聞出版、廣播、電影、電視事業等產業之發展方向,集中監督、管理相關機構、業務及其作品內容。 其主要原因在於隨著數位科技、資訊技術的進步,不同媒體間相互結合,已衍生出許多非傳統之新媒體。在此等媒體多元發展之趨勢下,勢必須整合新聞出版總署、廣電總局的業務,始能避免管理權責疊床架屋,提高管理效率,進而有利於推動新媒體發展與整合,提高文化傳播力與競爭力。 貳、事件簡評 一、政府組織面-邁向文廣新合併 中國大陸長久以來針對文化推動、廣電影視、新聞出版三者間的管理工作,早有整併之呼籲。特別是地方上,基於組織編制考量與事件性質認定問題,由縣到省、市間,已有不少將三者工作合併於單一單位管理之實例。相對於地方發展,中國大陸中央政府卻仍以文化部、廣播電影電視總局、新聞出版總署分頭管理,造成「單一下級機關需同時對三個上級機關負責」之不合理情況[3]。因此,隨著中國國務院之組織調整,可視為解決此不合理情況的第一步。 考量廣播電影電視與新聞出版在內容性質與管制對象上較為相近,業務合併之可行性較高,因此,本次合併在影響最小之前提下,先試圖將國家新聞出版總署與廣電總局予以整併,組成「國家新聞出版廣播電影電視總局」,以期至少解決一部份重疊管制之問題。另一方面,也將透過國家新聞出版總署與廣電總局合併工作之歷程,可作為將來與中國文化部合併之借鏡,達成中央與地方文廣新組織編制一致之目標。 二、產業面-透過管制、審批程序簡化,幫助產業推動 根據方案之說明文件,除對於組織裁併(包括新聞出版總署與廣播電影電視總局合併)之理由作出個別說明外,針對國務院整體組織職能改變,更提出十大措施,作為未來改造方向、原則和重點,包括[4]:「(一)减少和下放投资审批事项;(二)减少和下放生产经营活动审批事项;(三)减少资质资格许可和认定;(四)减少专项转移支付和收费;(五)减少部门职责交叉和分散;(六)改革工商登记制度;(七)改革社会组织管理制度;(八)改善和加强宏观管理;(九)加强基础性制度建设;(十)加强依法行政。」 由此可知,「國家新聞出版廣播電影電視總局」之組成,除達到集中管理、避免行政資源浪費外,對於產業界更重要的意義在於,未來將配合方案所列目標,針對現有之相關審批程序進行整併、簡化,藉以降低企業進入市場門檻,及提高產業更新之動能。 因此,對於中國大陸國務院本次組織改造方案,後續應持續關注陸方對相關審批程序的調整方向,掌握數位內容相關審批規範、流程是否會有對應的調整,以利協助我國業者赴大陸投資之法律風險評估。 附件、「新聞出版總署」、「廣播電影電視總局」現行權責介紹 ●國家廣播電影電視總局主要職責介紹[5] (一) 擬訂廣播電影電視宣傳、創作的方針政策,把握正確的輿論導向和創作導向。 (二) 起草廣播電影電視和資訊網路視聽節目服務的法律法規草案,擬訂相關技術標準和部門規章,推進廣播電影電視領域的體制機制改革。 (三) 組織推進廣播電影電視領域的公共服務,組織實施廣播電影電視重大工程,扶助老少邊貧地區廣播電影電視建設和發展,指導、監管廣播電影電視重點基礎設施建設。 (四) 制訂廣播電影電視事業、產業發展規劃,指導、協調廣播電影電視事業、產業發展,管理全國性重大廣播電影電視活動。 (五) 負責廣播電影電視、資訊網路視聽節目服務機構和業務的監管並實施准入和退出管理,指導對從事廣播電影電視節目製作民辦機構的監管工作。 (六) 監管廣播電影電視節目、資訊網路視聽節目和公共視聽載體播放的視聽節目,審查其內容和品質。 (七) 指導廣播電影電視和資訊網路視聽節目服務的科技工作,負責監管廣播電影電視節目傳輸、監測和安全播出。 (八) 指導、管理廣播電影電視對外及對港澳臺的交流與合作,負責廣播電影電視節目的進口和收錄管理。 (九) 領導中央人民廣播電臺、中國國際廣播電臺和中央電視臺,對其宣傳、發展、傳輸覆蓋等重大事項進行指導、協調和管理。 (十) 承辦黨中央、國務院交辦的其他事項。 ●新聞出版總署(國家版權局)主要職責介紹[6] (一) 起草新聞出版、著作權管理的法律法規草案,擬訂新聞出版業的方針政策,制定新聞出版、著作權管理的規章並組織實施。 (二) 制定新聞出版事業、產業發展規劃、調控目標和產業政策並指導實施,制定全國出版、印刷、複製、發行和出版物進出口單位總量、結構、佈局的規劃並組織實施,推進新聞出版領域的體制機制改革。 (三) 監管出版活動,組織查處嚴重違規出版物和重大違法違規出版活動,指導對從事出版活動的民辦機構的監管工作。 (四) 負責對新聞出版單位進行行業監管,實施准入和退出管理。 (五) 負責出版物內容監管,組織指導黨和國家重要文件文獻、重點出版物和教科書的出版、印製和發行工作,制定國家古籍整理出版規劃並承擔組織協調工作。 (六) 負責對互聯網出版活動和開辦手機書刊、手機文學業務進行審批和監管。 (七) 擬訂出版物市場“掃黃打非”計畫並組織實施,組織查處非法出版物和非法出版活動的大案要案。 (八) 擬訂出版物市場的調控政策、措施並指導實施,指導對出版物市場經營活動的監管工作。 (九) 負責全國新聞單位記者證的監製管理,負責國內報刊社、通訊社分支機搆和記者站的監管,組織查處重大新聞違法活動。 (十) 負責印刷業的監管。 (十一) 負責著作權管理工作,組織查處有重大影響的著作權侵權案件和涉外侵權案件,負責處理涉外著作權關係和有關著作權國際條約應對事務。 (十二) 組織開展新聞出版和著作權對外交流與合作的有關工作,負責出版物的進口管理工作,協調、推動出版物的進出口。 (十三) 承辦黨中央、國務院交辦的其他事項。 [1]參照「關於國務院機構改革和職能轉變方案的説明—2013年3月10日在第十二屆全國人民代表大會第一次會議上國務委員兼國務院秘書長馬凱」,http://big5.gov.cn/gate/big5/www.gov.cn/2013lh/content_2350848.htm ( 最後瀏覽日:2013/03/12)。 [2]「中央編辦負責人就國務院機構改革和職能轉變答記者問」,http://news.xinhuanet.com/2013lh/2013-03/10/c_114967850.htm ( 最後瀏覽日:2013/03/12)。 [3]「新聞出版總署與廣電總局合併增強文化整體實力」,京華時報報導,2013年3月11日,http://www.chinadaily.com.cn/micro-reading/dzh/2013-03-11/content_8460858.html ( 最後瀏覽日:2013/03/12)。 [4]「国务院机构改革和职能转变方案(提交十二届全国人大一次会议审议)」,http://news.xinhuanet.com/2013lh/2013-03/10/c_114968104_2.htm ( 最後瀏覽日:2013/03/12) [5]中華人民共和國國家廣播電視電影總局網站,http://www.chinasarft.gov.cn/articles/2008/08/07/20070919194959740037.html ( 最後瀏覽日 2013/03/12) [6]中華人民共和國新聞出版總署(國家版權局)網站,http://www.gapp.gov.cn/govpublic/65/81278.shtml ( 最後瀏覽日 2013/03/12)
美國加州通過藥價透明化法案美國在醫療費用的支出常常超乎預期,其中處方藥之花費就佔了相當大的比例。為了減少醫療費用支出,並讓藥物之價格更為透明,加州州長傑瑞布朗(Jerry Brown)在2017年10月9日簽署了第17號法案(藥價透明化法案),要求藥物製造商若要調高處方藥價格超過一定程度,則須事前通報給主管機關;該法預計於2018年10月1日生效。 藥價透明化法所稱之處方藥(prescription drugs),包含學名藥、原廠藥或特種藥品。本法之主管機關為「加州衛生計畫與發展辦公室」(Office of Statewide Health Planning and Development, OSHPD),掌管本法之執行並對違規製造商處罰民事罰款,本法案施行之相關細節亦由OSHPD訂定。OSHPD依據本法所得之罰款或收入,將全數交給「照護管理基金」(Managed Care Fund)做運用。 依據藥價透明化法規定,處方藥製造商對於其處方藥產品若欲調高產品公告目錄價(Wholesale Acquisition Cost, WAC)超過40美元/療程之漲幅者,須將處方藥漲幅、漲價原因、藥品使用情況或市場等資訊,以「季」為單位,至少於漲價生效60天前通報給加州衛生計畫與發展辦公室。若該藥品為新產品,其WAC超過「醫療保險處方藥物改良和更新法」(Medicare Prescription Drug, Improvement, and Modernization Act)所定之價格區間者,須於新產品上市後3天內通報給OSHPD。 OSHPD在收到處方藥製造商的通報資訊後,則須依法將資訊公開於其網站上。
競業禁止新方向-「勞資雙方簽訂離職後競業禁止條款參考原則」 加拿大聯邦上訴法院判決無實體酒店仍得就酒店服務註冊商標加拿大聯邦上訴法院於Miller Thomson LLP v. Hilton Worldwide Holding LLP案指出,儘管企業在加拿大未設立實體店面,但如在加拿大有提供與該實體店相關聯的服務,仍可就其服務使用該企業之商標。 該案背景為希爾頓集團(Hilton Worldwide Holding)在加拿大未有華爾道夫酒店(Waldorf Astoria)的實體店,卻將WALDORF ASTORIA(下稱系爭商標)於加拿大註冊用於「酒店服務」。對造Miller Thomson欲在加拿大註冊「WALDORF」、「THE WALDORF」、「WALDORF HOTEL」等類此名稱的商標,遭希爾頓集團反對。Miller Thomson為此主張商標註冊官應命希爾頓集團依商標法第45條規定,提出有在加拿大使用系爭商標的證明。希爾頓集團指出,系爭商標有使用於全球預訂、付款服務,且加拿大客戶為忠誠會員亦有獎勵積分等。然而,商標註冊官以先前Motel 6 Inc. v. No. 6 Motel Ltd. [1982] 1 FC 638 (FCTD) (“Motel 6”)判決,與加拿大商標異議委員會(Trademarks Opposition Board,TMOB)Stikeman Elliott LLP v. Millennium & Copthorne International Ltd., 2015 TMOB 231 (“M Hotel”) and Maillis v Mirage Resorts Inc, 2012 TMOB 220等案,認為須由實際位於加拿大的酒店,始能提供酒店服務,遂撤銷系爭商標的註冊。 經希爾頓集團提起訴訟後,聯邦上訴法院認為商標法未有「服務」的定義,因此有無使用商標,認定方式應符合現代的商業慣例。聯邦上訴法院指出,無論企業提供的是主要服務、附帶服務或輔助服務,只要消費者從中獲得實質利益,即代表企業已實現其服務。準此,華爾道夫酒店在加拿大雖僅有預訂、付款服務,屬於附帶或輔助服務,但若消費者有因系爭商標的原因,而願意在加拿大利用華爾道夫酒店提供的附帶或輔助服務,並從中獲得利益,則可認定系爭商標有在加拿大被使用。 該判決的重要性在於確立即便在加拿大無實體存在,商標權人仍可將商標與其服務結合,但聯邦上訴法院提醒,僅在加拿大境外在網站上顯示商標,尚不足證明該商標有使用於所註冊的服務。此外,商標若結合於網路服務使用,則商標人與加拿大消費者間須有足夠程度的互動,因此,商標權人為了持續受商標法的保護,有必要詳細記錄業經註冊商標的使用情況,俾利在發生爭議時,有證據資料得以佐證。