Refuah公司與紐約總檢察長達成和解並投資120萬美元保護病人資料

紐約州總檢察長Letitia James於2024年1月5日與健康照護服務業者Refuah Health Center, Inc.(下稱Refuah公司)達成和解,主因為該公司遭受勒索軟體攻擊(ransomware attack),約25萬紐約州民個資遭到洩漏。和解協議要求Refuah公司支付共計45 萬美元之民事懲罰金及費用(penalties and costs),且應投資 120 萬美元加強網路安全(cybersecurity)。

Refuah公司主要業務為經營三家醫療機構和五輛行動醫療車(mobile medical vans)。2021 年 5 月,Refuah公司遭到勒索軟體攻擊,網路攻擊者得以近用數千名病人的資料,取得了包含姓名、地址、電話號碼、社會保險號碼、駕照號碼、出生日期、金融帳號、醫療保險號碼等資料。

依據檢察長辦公室的調查顯示,攻擊者之所以得近用這些資料,原因為 Refuah公司未採取適當安全維護措施,包括:未停用不活躍之使用者帳號(inactive user accounts);未定期更換使用者帳號憑證(user account credentials);未限制員工僅得近用其業務所必需之資源和資料;未使用多重要素驗證(multi-factor authentication)以及未加密病人資料。

依據協議內容,Refuah公司同意投資 120 萬美元,用於開發和維護更強大的資訊安全計畫(information security programs),以更妥適地保護病人資料。該協議還要求Refuah公司應:

1.維護全面的資訊安全計畫,以保護消費者資料的安全性、機密性和完整性;

2.實施並持續更新消費者資料近用限制相關政策和程序;

3.遠端近用資源和資料應使用多重要素驗證;

4.定期更新近用資源和資料的憑證;

5.至少每半年進行一次稽核,確保使用者僅近用其業務所必需之資源和資料;

6.對所有儲存或傳輸的消費者資料進行加密;

7.實施控制措施,監控和記錄公司網路和系統的所有安全和操作活動;以及

8.制定、實施和持續更新全面的事故應變計畫。

Refuah公司還須向州政府支付共計45 萬美元之民事懲罰金及費用,其中 10 萬美元將在該公司投入 120 萬美元開發和維護其資訊安全計畫後,得暫緩支付。

相關連結
你可能會想參加
※ Refuah公司與紐約總檢察長達成和解並投資120萬美元保護病人資料, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=9164&no=57&tp=1 (最後瀏覽日:2026/07/06)
引註此篇文章
你可能還會想看
美國聯邦巡迴上訴法院判決 FCC無權要求網路中立性

  2010年4月6日美國聯邦哥倫比亞巡迴上訴法院於Comcast v. FCC一案中,判決美國聯邦通訊傳播委員會(FCC)要求網路服務供應商(ISP )對所有形式資料傳輸一視同仁的「網路中立性」要求係逾越權限,有違法律保留原則。此裁判將為美國大型網路內容提供業者(ICP)的經營模式及網路使用者上網習慣投下震撼彈。   網路中立性(Net Neutrality)係指同一ISP應公平地處理所有網路服務,不得因頻寬需求而有差別待遇。查原因案件乃業者Comcast禁止某些用戶透過網路點對點(peer-to-peer)的方式,傳輸大型影音檔案,其認為用戶這種做法會佔用過多頻寬,拖累其他用戶的網路速度;FCC則認為Comcast此舉違反了網路中立性。   在判決書中,哥倫比亞巡迴上訴法院援引判決先例(stare decisis),認為立法者課予FCC必須對全美人民提供一「公平、有效率、公正分配」的廣電服務。惟本案FCC擅以立法者未明確授權的網路中立性作為規制準則,逾越其管制權限而違法。   FCC發言人Jen Howard表示:「法院沒有道理否定保障網路自由與開放的重要性,也不該阻止其他可促成這個重要目的的方法。」此判決對諸多大力提倡網路中立性的大型ICP業者,無疑是一大打擊;ISP將來也可能對消費者依照資料傳輸流量分級收費(即tiered service),形成新的網路服務發展型態。FCC目前正極力爭取立法者通過「網路中立性法案」尋求管制的合法性,後續發展值得注意。

開放科學(open science)

  開放科學的基本理念,泛指在數位時代的背景下,各類型實驗測量機器獲得大量數據,以及網路行為累積的人類活動記錄,使各領域的研究活動趨向側重資料處理,結合分析工具後,以可閱讀的形式呈現並發表。   開放科學概念應用於行政與制度建立上,主要有兩個面向,其一為政府資助產出科學期刊論文等研究成果的開放取用(open access),意圖解決期刊雜誌訂閱費用過高,導致研究成果流通困難的問題,屬於早期開放科學關注的重點;其二則係使用官方研究資金進行研發時,於研究過程中取得的實驗、觀測及調查之研究資料開放運用,為近期政策與制度性倡議所聚焦,目的為使科學界、產業界以及一般社會大眾得以廣為接收並利用該些研究結果,令政府資金運用的一切成果均能充分回饋給國民與社會,期望藉由研究資料的公開,進一步深化該領域的研究進程、推展跨域研究或企業的產品與服務開發、以及創新活動。   舉例而言,日本內閣府於2018年提出的「統合創新戰略(統合イノベーション戦略)」第二章內,建構了國內開放科學下研究資料管理開放政策之基礎框架,關注伺服器空間內的研究資料保存與管理,與外國研究資料連動以建構巨量知識泉源,讓所有人得以廣泛活用該些研究資料,促成與加速跨領域與跨國境的新創。

歐盟公布數位單一市場下ICT標準化優先發展項目

  歐盟於2016年4月19日公布數位單一市場下ICT標準化優先發展項目(ICT Standardisation Priorities for the Digital Single Market),包括:5G通訊、雲端運算、智慧聯網、巨量資料技術、以及網路安全等,作為目前數位單一市場發展的基礎。相關影響產業包含:智慧健康、智慧能源、智慧運輸系統、電動車、智慧家居、以及智慧城市等。其三大主軸依次說明如下: 1. ICT標準建立為數位單一市場發展核心 歐盟將依1025/2012規則為基礎,進行標準化建立,因此將聚焦在數位單一市場需要發展的核心技術領域,優先進行標準訂定。 2. 因應全球技術變遷發展 ICT標準發展主要仍以產業為導向,且由產業自願性採納,建立之原則包括應具備透明性、開放、公平與一致性、有效與連結性等,此同時也能促成歐洲創新能量之發展。 3.以雙主軸計畫優先發展ICT標準設立 (1)首先歐盟執委會將確認數位單一市場優先發展之五項領域,並且設立發展時程。 (2)針對上述的優先發展領域,歐盟將進行施行檢視以及相關細項。   在5G通訊部分,預計將透過5G公私協力合作發展,同時以目前產業的需求為發展導向;在雲端運算方面,歐盟將以資金補助方式,促進雲端應用的互通性與易取性發展,並且支持企業,尤其在中小企業部分,以服務層級協議為基礎,協助採用雲端運算服務;在智慧聯網發展部分,主要為發展技術、介面、Open API等,建立準則,並預計將智慧聯網標準納入成為政府採購項目之一;在網路安全性部分,在上述發展技術領域當中,資料安全與隱私保護為核心議題,因此除了透過公司協力方式發展安全技術以外,同時也鼓勵業者應該設計著手保護隱私等概念優先納入技術之中;關於巨量資料技術部分,包括跨部門技術整合、資料與後設資料有更佳的互通性。此外,尚包括資料與軟體基礎設施服務,提供科學資料的交換、執行資料管理計畫、品質驗證、信賴性與透明性等原則。   最後,在可能受影響之產業方面,以智慧健康發展為例,智慧健康必須符合病人預期要求,如病人安全維護以及達到更佳的健康照護體系。因此,互通性的標準為當中關鍵的角色,未來亦有助於發展各國之間跨境醫療照護實踐。在電子病歷交換方面,從病人病歷摘要、電子處方簽等等,在符合個資保護條件之下,建立互通性標準可使疾病的治療更為完善。歐盟未來將持續鼓勵各會員國之間標準互通性之發展,包含目前行動健康應用程式的使用,以及未來遠距醫療應用。後續,歐盟將從2016年開始至2017年,持續針對標準建立進行討論會議,預計以資金費用補助以及其他政策方式輔導發展,同時也在2016年6月提出規劃說明使歐盟標準化政策發展符合現代化。

Unicolors v. H&M一案可能翻轉美國著作權法§411註冊無效之認定標準

  美國最高法院於2021年11月8日聽取了Unicolors v. H&M案的口頭辯論,該案上訴法院認為著作權法§411所規定的註冊無效情況,並不以著作權人登記註冊時有主觀的詐欺意圖為限,應擴及到對錯誤事實有認知就足以使著作註冊無效,此一見解打破了先例判決。   依美國著作權法規定,著作權登記雖非取得著作權保護的要件,但著作權人須向官方進行註冊登記,才得以在美國提出著作權侵害的民事訴訟,使登記成為在美國主張著作權利之要件。   本案原告Unicolors主張被告H&M銷售之產品侵害其著作權,被告H&M主張原告Unicolors著作登記所涵蓋的31種面料設計並非同一天出版,不符合同一出版作品的要求,依美國著作權法§411規定,若申請註冊之資訊不正確,該錯誤資訊有導致該著作註冊無效的可能性,被告H&M此主張被上訴法院—第九聯邦巡迴法院所接受,法院認為著作權法§411所規定的註冊無效情況,並不以著作權人登記註冊時有主觀的詐欺意圖為限,應擴及到對於該錯誤有概括性了解就足以使著作註冊無效。   原告Unicolors於今(2021)年初向最高法院提交請願書,認為第九聯邦巡迴法院此一認定打破了先例判決。原告Unicolors主張,要使著作註冊無效,必須著作權人登記時有主觀上的重大錯誤,不能僅因著作權人對於法律或事實的誤解所產生的錯誤,就使得著作註冊無效。而被告H&M則再次強調該法條使用”knowledge”一詞,表示著作權人僅須對該錯誤事實有認知即可,解讀該法條時不應侷限於詐欺的主觀要件。   美國最高法院於日前聽取了Unicolors與H&M針對「著作註冊含有錯誤資訊」是否足以導致註冊無效的口頭辯論,目前預計於明(2022)年6月作出判決,若最高法院採認第九聯邦巡迴法院的見解,將有可能造成許多美國著作註冊無效的結果,值得業界留意。 「本文同步刊登於TIPS網站(https://www.tips.org.tw )」

TOP