Refuah公司與紐約總檢察長達成和解並投資120萬美元保護病人資料
紐約州總檢察長Letitia James於2024年1月5日與健康照護服務業者Refuah Health Center, Inc.(下稱Refuah公司)達成和解,主因為該公司遭受勒索軟體攻擊(ransomware attack),約25萬紐約州民個資遭到洩漏。和解協議要求Refuah公司支付共計45 萬美元之民事懲罰金及費用(penalties and costs),且應投資 120 萬美元加強網路安全(cybersecurity)。
Refuah公司主要業務為經營三家醫療機構和五輛行動醫療車(mobile medical vans)。2021 年 5 月,Refuah公司遭到勒索軟體攻擊,網路攻擊者得以近用數千名病人的資料,取得了包含姓名、地址、電話號碼、社會保險號碼、駕照號碼、出生日期、金融帳號、醫療保險號碼等資料。
依據檢察長辦公室的調查顯示,攻擊者之所以得近用這些資料,原因為 Refuah公司未採取適當安全維護措施,包括:未停用不活躍之使用者帳號(inactive user accounts);未定期更換使用者帳號憑證(user account credentials);未限制員工僅得近用其業務所必需之資源和資料;未使用多重要素驗證(multi-factor authentication)以及未加密病人資料。
依據協議內容,Refuah公司同意投資 120 萬美元,用於開發和維護更強大的資訊安全計畫(information security programs),以更妥適地保護病人資料。該協議還要求Refuah公司應:
1.維護全面的資訊安全計畫,以保護消費者資料的安全性、機密性和完整性;
2.實施並持續更新消費者資料近用限制相關政策和程序;
3.遠端近用資源和資料應使用多重要素驗證;
4.定期更新近用資源和資料的憑證;
5.至少每半年進行一次稽核,確保使用者僅近用其業務所必需之資源和資料;
6.對所有儲存或傳輸的消費者資料進行加密;
7.實施控制措施,監控和記錄公司網路和系統的所有安全和操作活動;以及
8.制定、實施和持續更新全面的事故應變計畫。
Refuah公司還須向州政府支付共計45 萬美元之民事懲罰金及費用,其中 10 萬美元將在該公司投入 120 萬美元開發和維護其資訊安全計畫後,得暫緩支付。
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
- 【北部場1】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場2】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場3】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場4】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【南部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【中部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
謝淯婷
法律研究員 編譯整理
Office of the New York State Attorney General[NYAG], Attorney General James Reaches Agreement with Hudson Valley Health Care Provider to Invest $1.2 Million to Protect Patient Data (2024), https://ag.ny.gov/press-release/2024/attorney-general-james-reaches-agreement-hudson-valley-health-care-provider (last visited Mar.20, 2024).
阮韻蒨,〈美國公布實施零信任架構相關資安實務指引〉,資策會科法所法律要聞,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8885&no=64(最後瀏覽日:2024/03/20)。
陳政陽,〈新加坡物聯網產品網路安全防護之初探〉,資策會科法所法律要聞,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9061&no=64(最後瀏覽日:2024/03/20)。
劉宥妤,〈歐盟推出給在中華區企業參考之網路犯罪與營業秘密保護指南〉,資策會科法所法律要聞,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8929&no=64,(最後瀏覽日:2024/03/20)。
為因應日本2014年接連發生重大營業秘密外洩之事件而使日本國內公司蒙受鉅額損失,日本經濟產業省於去年9月開始,積極地展開《不正競爭防止法》修法專家會議,並在2015年1月15日舉行的會議上,揭露了彙整各界公開意見後之《不正競爭防止法》中期報告書(中間とりまとめ),以作為未來修法方向之指引。 該報告書列出之修法方向區分為民事及刑事規定。第一,民事的修正重點有以下三點:(1) 減輕原告(受害企業)之舉證責任,而改由被告(非法使用營業秘密之企業)負擔;(2) 除斥期間之延長:將現行法規定之除斥期間,由10年延至20年;(3) 使用非法營業秘密而製造的物品,禁止轉讓或出口;以及新增邊境措施之規範。 第二,刑事的修正重點則有以下六點:(1) 擴大國外犯罪的處罰範圍:目前現行法僅規範「日本國內所管理之營業秘密」在國外「使用、開示」 之行為,未來將新增處罰在國外之「取得」營業秘密之行為;(2) 新增未遂犯規定,同時將繼續檢討新增共犯及教唆之處罰態樣;(3) 現行法僅規範竊取營業秘密者本人以及藉由前者直接不法取得營業秘密者為處罰對象,但鑒於智慧型手機、平版電腦等裝置(携帯情報通信端末)之普及,造成營業秘密的竊取及使用型態趨向多樣化,是故未來將新增第三人不法取得之相關處罰規定;(4) 使用非法營業秘密而製造的物品,禁止轉讓或出口:新增相關刑罰規定;(5) 法定刑之提高:目前個人最高罰金為1000萬日圓、企業則為3億日圓,未來預計調整罰金之上限;並且,將新增沒收犯罪收益及海外加重處罰之規定;(6) 擬由告訴乃論改為非告訴乃論。 綜上,經產省力爭在2015年1月26日開始的通常國會期間內,依上述之改正要點為基礎,正式提交《不正競爭防止法》之修正案,預計最快將於2016年開始實行新法 ,後續的立法進度,值得吾人持續關注。
解析中國江蘇省「企業知識產權管理規範」之內容與對台商的影響 Novartis被質疑濫用美國FDA獎勵研發治療被忽視熱帶疾病藥物之制度國際藥廠Novartis被指控濫用美國食品藥品管理局(the U.S. Food and Drug Administration,簡稱FDA)為鼓勵藥廠投入研發被忽視疾病治療藥物所設立的一套獎勵制度。 這套制度是根據2007年美國國會所通過之美國食品藥品管理法修正案(the Food and Drug Administration Amendments Act of 2007)而創設,主要是給予向FDA申請治療其表列之被忽視熱帶疾病(例如瘧疾、血吸蟲病、利什曼病等)藥品查驗登記並獲通過之申請者一份所謂「藥品優先審查劵」(priority review voucher),讓該申請者可以用於之後所提出的人類藥品查驗登記申請,而得以享有優先審查之權利。 這個所謂「藥品優先審查劵」對於藥廠來說可說是價值非凡,因為藥品查驗登記程序正常情況往往超過10個月以上,但是適用優先審查程序之申請案,卻可以有九成左右在6個月內就獲得通過,這對於藥廠的好處在於,其可以比其他競爭者更快地將其所生產藥品上市販售。 Novartis於2009年4月獲得FDA通過其就治療瘧疾藥物Coartem之查驗登記申請,而成為適用此獎勵制度之首例並獲得「藥品優先審查劵」。Novartis的行為之所以招致批判,因為其所申請之藥物Coartem並非是針對治療瘧疾所研發出來的新藥,其從1999年起便已在部分國家被許可使用,只是該藥物在美國從未被申請查驗登記而獲准通過。由於上述獎勵制度並未言明是針對新開發之治療熱帶疾病的藥品,所以Novartis的動作可以符合其要件並獲得獎勵,但此舉卻有鑽法律漏洞之嫌。
法國高等教育暨研究部宣布額外投資新創企業培育計畫,強化產業競爭力與發展深度技術為強化產業競爭力與發展深度技術,法國高等教育暨研究部(Ministère de l'enseignement supérieur et de la recherche)於2023年1月9日宣布將額外投資5億歐元,以培育更多的研究型新創企業。 基於2021年10月12日法國總統宣布的《法國2030投資計畫》(France 2030),法國政府將於五年內投入540億歐元於新創相關事務,且目前已於2022年達到成立25間獨角獸公司的中期目標。為進一步提高學研機構以研發成果衍生新創之數量,讓新創公司數量成長2倍,法國高等教育暨研究部部長Sylvie Retacleau與法國產業部(Ministre chargé de l'Industrie)部長Roland Lescure提出以下三大行動,並額外投資5億歐元執行: (1)建立25個大學創新中心(Pôles Universitaires d'Innovation, PUI):法國政府將投入1.6億歐元,在大學網站上提供創新戰略、單一治理及敏捷方法,藉此激發研發團隊潛力及創意。PUI將在不額外增設法律規範之情況下,與現有政策結合推動上述措施。 (2)透過既有措施推動深度科技:透過i-Lab、法國科技新興獎學金、深度技術發展援助計畫等現有措施,以及增設法國科技實驗室獎學金,加速深度技術發展計畫。此外,未來也將提供6500萬歐元的補助。 (3)加強推廣研究工作及專題研究計畫(Programmes et équipements prioritaires de recherché, PEPR)成果:未來法國政府將投入2.75億歐元,挑選17項研究成果,建立評估研發成果之檢測及支援能力,並依領域性質,研究各領域專利證書、標準化和相關法規。