Refuah公司與紐約總檢察長達成和解並投資120萬美元保護病人資料

紐約州總檢察長Letitia James於2024年1月5日與健康照護服務業者Refuah Health Center, Inc.(下稱Refuah公司)達成和解,主因為該公司遭受勒索軟體攻擊(ransomware attack),約25萬紐約州民個資遭到洩漏。和解協議要求Refuah公司支付共計45 萬美元之民事懲罰金及費用(penalties and costs),且應投資 120 萬美元加強網路安全(cybersecurity)。

Refuah公司主要業務為經營三家醫療機構和五輛行動醫療車(mobile medical vans)。2021 年 5 月,Refuah公司遭到勒索軟體攻擊,網路攻擊者得以近用數千名病人的資料,取得了包含姓名、地址、電話號碼、社會保險號碼、駕照號碼、出生日期、金融帳號、醫療保險號碼等資料。

依據檢察長辦公室的調查顯示,攻擊者之所以得近用這些資料,原因為 Refuah公司未採取適當安全維護措施,包括:未停用不活躍之使用者帳號(inactive user accounts);未定期更換使用者帳號憑證(user account credentials);未限制員工僅得近用其業務所必需之資源和資料;未使用多重要素驗證(multi-factor authentication)以及未加密病人資料。

依據協議內容,Refuah公司同意投資 120 萬美元,用於開發和維護更強大的資訊安全計畫(information security programs),以更妥適地保護病人資料。該協議還要求Refuah公司應:

1.維護全面的資訊安全計畫,以保護消費者資料的安全性、機密性和完整性;

2.實施並持續更新消費者資料近用限制相關政策和程序;

3.遠端近用資源和資料應使用多重要素驗證;

4.定期更新近用資源和資料的憑證;

5.至少每半年進行一次稽核,確保使用者僅近用其業務所必需之資源和資料;

6.對所有儲存或傳輸的消費者資料進行加密;

7.實施控制措施,監控和記錄公司網路和系統的所有安全和操作活動;以及

8.制定、實施和持續更新全面的事故應變計畫。

Refuah公司還須向州政府支付共計45 萬美元之民事懲罰金及費用,其中 10 萬美元將在該公司投入 120 萬美元開發和維護其資訊安全計畫後,得暫緩支付。

相關連結
你可能會想參加
※ Refuah公司與紐約總檢察長達成和解並投資120萬美元保護病人資料, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=9164&no=57&tp=1 (最後瀏覽日:2026/07/19)
引註此篇文章
你可能還會想看
歐盟理事會公告延長對俄羅斯經濟制裁

  歐盟理事會(European Council)於2023年1月27日決定將針對俄羅斯特定經濟部門的限制措施延長六個月至2023年7月31日。歐盟對俄羅斯的制裁可回溯自2014年「克里米亞危機」,俄羅斯破壞烏克蘭局勢穩定。自2022年2月以來,鑑於俄羅斯對烏克蘭軍事侵略,歐盟制裁範圍大幅擴大(截至2022年12月16日共有9輪制裁)。歐盟的制裁範圍廣泛,涉及如下不同領域的措施:   (1)貿易層面:對技術和軍民兩用貨品(dual-use goods)、提升俄羅斯工業能力交易、陸海空運輸以及奢侈品交易等進行限制。   (2)能源層面:禁止向俄羅斯購買原油及特定石油產品;或透過第三國將原油及特定石油產品從俄羅斯進口或移轉到歐盟境內。   (3)金融層面:將俄羅斯銀行踢出「環球銀行金融電信協會」(SWIFT)支付系統,以及限制提供給俄羅斯的金融服務(如存款、信託、信評等)。   (4)資訊層面:終止透過假消息(disinformation)支持克里姆林宮的廣播活動和廣播許可證。   歐盟自2022年2月24日以來,針對俄羅斯全面入侵烏克蘭採取史無前例的強硬制裁措施。歐盟並藉此傳達其支持烏克蘭在國際公認邊界內的獨立、主權以及領土完整。

歐盟於2020年3月提出「歐洲氣候法」草案以實踐零碳排願景

  歐盟執委會(European Commission)於2020年3月6日提出「歐洲氣候法」(European Climate Law)草案,執委會提出該草案之目的,係為實現2019年「歐盟綠色新政」(European Green Deal)所確立的目標,以敦促歐盟所有政策及公、私部門,皆能為零碳排願景共同努力。歐盟期望在2050年前成為世界第一個碳中和地區,並轉型為一個經濟成長卻不損及資源消耗與開採的綠色經濟體。該法性質屬於「規則」(regulation)的法律位階,具有普遍性規範效力,得直接適用於歐盟成員國,意即歐盟成員國必須遵守及實施歐洲氣候法的規範內容。「歐洲氣候法」草案全文共11條條文,其規範重點及法制架構,簡要整理如下: 氣候法草案之法律框架應與歐盟現行政策保持一致性,例如再生能源、綠色新政下的投融資計畫、產業戰略及循環經濟行動計畫等,並審查歐盟能否將原先2030年與1990年相比減少40%的減量目標,提高至減少50至55%。 法律基礎應奠基於維護、保護及改善環境品質,輔助及加強國家與地方因應氣候變遷的行動措施;在符合比例原則下,要求歐盟成員國針對氣候中和目標採取必要保護措施。 依據歐盟基本權利憲章第37條環境保護之要求,有關高標準之環境保護及環境品質改善,必須納入歐盟政策及符合永續發展原則;透過氣候法來促成及凝聚社會轉型的共識,該法要求執委會應促進利害關係人及公民社會的參與,增強公民參與的交流,透過社會參與達成廣泛的永續發展共識,並規劃多層次氣候與能源的社會對話。 考量歐盟內部公平且團結的重要性,執委會於2023年9月開始,每隔5年將監測與評估歐盟及各會員國之綱要政策與保護行動,並針對不一致行動或保護不足情形,將提供適當的改善建議及具體措施,藉以確保歐盟成員國彼此間氣候政策與歐盟框架保持一致。   歐盟執委會期望透過具有強制約束力的法制框架,除實現巴黎協定之承諾(2050年前達到零排放之願景)外,更是為了結構性脆弱與抵禦氣候變遷能力不足的成員國,提供一個公平的轉型框架。目前該草案已於2020年5月完成公眾意見徵集,歐盟執委會雖未明確公布預計通過的日期及相關規劃,但其將於2021年6月前盤點相關規範,藉以整體性調修法制規範與氣候治理行動。

美國擬將開放中國家禽類產品之進口

  美國近期可能開放進口中國大陸將已處理或煮熟的家禽類產品至美國。美國農業部(The U.S. Department of Agriculture)表示中國若將處理過之家禽類產品出口至美國販售,前提是必須遵循美國相關食品進口規範完成妥當的進口申報程序,並且在中國所提出之出口健康認證(export health certificate)中,證明該家禽類產品有確實在適當的溫度等處理過程中進行妥善處理。   美國農業部食品安全及監督服務部門(Food Safety and Inspection Service, 簡稱FSIS)之相關負責官員於2014年6月初在美國國會中國事務執行委員會(Congressional-Executive Commission on China, 簡稱CECC)所舉行的聽證會(hearing)中指出,中國已經將出口健康認證提交給FSIS及動物植物健康監督服務(Animal and Plant Health Inspection Service, 簡稱APHIS)進行審核。在聽證會中,最讓美國負責官員顧慮是否通過開放中國進口家禽類產品之因素在於中國鬆懈的法律規範及其政府的貪汙問題,對於所出具的出口健康認證報告之確實性亦有待考證。美國負責的相關人員建議,中國大陸在產品製造過程的透明度是對於出口健康認證最重要的部分,能夠說服美國相信中國大陸對於食品及藥物安全在管理上的謹慎。   另外一個需要注意的地方在於食品原產地之標示(country-of-origin labeling,簡稱COOL)。在美國食品市場中,若食品大部分的成分來源是在美國境內處理的,則該食品會有「美國產品」(product of U.S.A.)之標示,但對於何謂「美國境內處理的食物」仍沒有明確的標準,對於國外進口美國的產品,在美國經過重新包裝或加工,則依據COOL相關規範,應標示該產品為「美國產品」。因此,在此條件下,若美國允許中國進口經過中國當局出口健康認證的家禽類產品,若進口至美國後,又在美國境內經過重新加工或是包裝,則該食品之COOL將會顯示該食品來自美國,而非出產自中國大陸。這樣的結果恐將會讓美國食品標示出現不完全精確之結果,也會讓消費者開始顧慮其購買的食品來源的顧慮及食品安全的可信度,美國將必須對進口食品的安全管控上建立更嚴謹的規範措施。

美國參議院通過「寬頻資料促進法」

  2008年10月,美國參議院通過「寬頻資料促進法」(Broadband Data Improvement Act),由總統簽署後施行。此新法賦予機關提升寬頻有關資料正確性的義務,以精確的資料作為相關政策制定時之衡量基準。美國政府認知,必須架構最完善的寬頻網路基礎,方能保持美國在科技領域的世界領先地位,因此聯邦政府有責任持續拓展寬頻接取網絡,並著手佈建次世代寬頻技術。而此前提,在於取得精確資料供後續施政依循。     以往美國聯邦通訊委員會(FCC)蒐集寬頻相關資料的方式,常被批評不合時宜,2008年3月FCC主動改善其蒐集資料的方式,要求寬頻業者必須透過地域性人口調查方式,提供使用者人數、速度、及技術類型等資料。此新法更要求FCC表列出欠缺寬頻設施的地區,兼調查該等地區人口及收入水準,而改善寬頻接取的情形,為加速佈建寬頻環境的第一步。     除此以外,新法的要求尚包括:1、美國商業部及其他機關應促進所蒐集相關資料的正確性,以擬定較妥適政策來提升寬頻技術架構;2、FCC針對寬頻佈建展開年度例行調查,以五碼郵遞區為一地理單位,列出尚未有寬頻的地區。並依據未有寬頻服務地域的人口數據,劃定可提供最多連線且傳輸高畫質影像的寬頻服務層級。此外,研究其他25個國家與美國寬頻服務的異同點;3、美國國勢調查局(Census Bureau)應持續調查社區居民是否擁有電腦,採取撥接或寬頻連線;4、設置補助金來促進網路普及。     惟有評論家指出,該法雖立意甚佳,但直至下個會計年度通過配套法案前,政府根本沒有足夠預算可執行此法律,該法可能只是政策測溫,並無太大實質效益。

TOP