Refuah公司與紐約總檢察長達成和解並投資120萬美元保護病人資料
紐約州總檢察長Letitia James於2024年1月5日與健康照護服務業者Refuah Health Center, Inc.(下稱Refuah公司)達成和解,主因為該公司遭受勒索軟體攻擊(ransomware attack),約25萬紐約州民個資遭到洩漏。和解協議要求Refuah公司支付共計45 萬美元之民事懲罰金及費用(penalties and costs),且應投資 120 萬美元加強網路安全(cybersecurity)。
Refuah公司主要業務為經營三家醫療機構和五輛行動醫療車(mobile medical vans)。2021 年 5 月,Refuah公司遭到勒索軟體攻擊,網路攻擊者得以近用數千名病人的資料,取得了包含姓名、地址、電話號碼、社會保險號碼、駕照號碼、出生日期、金融帳號、醫療保險號碼等資料。
依據檢察長辦公室的調查顯示,攻擊者之所以得近用這些資料,原因為 Refuah公司未採取適當安全維護措施,包括:未停用不活躍之使用者帳號(inactive user accounts);未定期更換使用者帳號憑證(user account credentials);未限制員工僅得近用其業務所必需之資源和資料;未使用多重要素驗證(multi-factor authentication)以及未加密病人資料。
依據協議內容,Refuah公司同意投資 120 萬美元,用於開發和維護更強大的資訊安全計畫(information security programs),以更妥適地保護病人資料。該協議還要求Refuah公司應:
1.維護全面的資訊安全計畫,以保護消費者資料的安全性、機密性和完整性;
2.實施並持續更新消費者資料近用限制相關政策和程序;
3.遠端近用資源和資料應使用多重要素驗證;
4.定期更新近用資源和資料的憑證;
5.至少每半年進行一次稽核,確保使用者僅近用其業務所必需之資源和資料;
6.對所有儲存或傳輸的消費者資料進行加密;
7.實施控制措施,監控和記錄公司網路和系統的所有安全和操作活動;以及
8.制定、實施和持續更新全面的事故應變計畫。
Refuah公司還須向州政府支付共計45 萬美元之民事懲罰金及費用,其中 10 萬美元將在該公司投入 120 萬美元開發和維護其資訊安全計畫後,得暫緩支付。
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
- 【北部場1】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場2】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場3】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場4】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【南部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【中部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
謝淯婷
法律研究員 編譯整理
Office of the New York State Attorney General[NYAG], Attorney General James Reaches Agreement with Hudson Valley Health Care Provider to Invest $1.2 Million to Protect Patient Data (2024), https://ag.ny.gov/press-release/2024/attorney-general-james-reaches-agreement-hudson-valley-health-care-provider (last visited Mar.20, 2024).
阮韻蒨,〈美國公布實施零信任架構相關資安實務指引〉,資策會科法所法律要聞,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8885&no=64(最後瀏覽日:2024/03/20)。
陳政陽,〈新加坡物聯網產品網路安全防護之初探〉,資策會科法所法律要聞,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9061&no=64(最後瀏覽日:2024/03/20)。
劉宥妤,〈歐盟推出給在中華區企業參考之網路犯罪與營業秘密保護指南〉,資策會科法所法律要聞,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8929&no=64,(最後瀏覽日:2024/03/20)。
歐洲法院於2016年12月21日針對英國2014年數據保留及調查權力法案(Data Retention and Investigatory Powers Act 2014;簡稱DRIPA)作出裁決,其認為該法案授權政府機關得要求電信營運商「普遍性及無區別性」保留使用戶之流量及位置數據,並應政府機關指示提供,違反歐盟電子通訊隱私指令(2002/58/EC;E-Privacy Directive),與歐洲聯盟基本權利憲章第7條私生活與家庭生活受尊重之權利,及第8條個人資料受保護之權利。 詳言之,歐洲法院認為,歐盟電子通訊隱私指令15(1),雖承認會員國在保障國家安全、國防、公共安全及預防、調查、偵查及起訴刑事犯罪或未經授權使用電子通信系統之行為下,可立法採取適當措施予以限制電子通訊之隱私權,但由於流量及位置數據是可以藉由保留數據精確得出個人私生活,並據以建立個人簡介,因此,倘允許「普遍性及無區別性」之要求保留數據,對於歐洲聯盟基本權利憲章是非常深遠與特別嚴重之侵害,將導致個人未受任何通知,政府即可要求電信營運商保留數據,使民眾之私生活處於不斷被監視之中。 據此,該裁決進一步指出,立法上須具備特定標準及客觀證據,足以證明個人或其數據可能與重大刑事犯罪或恐怖主義有關連性,且保留數據行為具有打擊重大犯罪或預防嚴重公共安全風險之利益,方可限縮歐洲聯盟基本權利憲章所規定之基本權利,且應採取適當保護措施,並確保保留數據於保存期間結束後能徹底且不可復原之銷毀。 然而,歐洲法院之此項裁決見解,在英國脫離歐盟已成定局之情形下,其遵循態度與影響力為何,尚不可知,甚且對於其國內於12月實行,以賦予政府更大權力監控民眾之調查權力法案(Investigatory Powers Act. 2016)之衝擊程度為何,亦值得後續觀察。
歐盟永續經濟活動分類系統規則歐盟部長理事會(The Council of the EU)於2020年4月15日通過「建立促進永續投資框架規則」(REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the establishment of a framework to facilitate sustainable investment, and amending Regulation (EU) 2019/2088)。此規則將提供歐盟內所有企業和投資者一套共通性分類系統(taxonomy,以下簡稱分類法),以識別哪些是被認為具有環境永續性的經濟活動。 該分類法將促使投資者把投資重心轉移至永續發展的技術和業務上,此為歐盟2050年實現氣候中和並達成《巴黎協定》2030年目標的重要基礎,並預計可減少40%的溫室氣體排放。為此,歐盟執委會估計每年必須投資約1800億歐元,方可能達此目的。而未來框架將奠基於六項歐盟環境目標,包括緩解氣候變化、適應氣候變化、水資源和海洋資源的永續利用和保護、朝向循環經濟轉型、污染防治、保護和恢復生物多樣性和生態系統。另外,依照歐盟部長理事會與歐洲議會於2019年12月18日達成的政治協議中指出,永續性經濟活動必須符合的四個要求,包括必須至少為上述六個環境目標其中之一做出實質性貢獻、對其他任何環境目標均無重大損害、遵守穩健且基於科學的技術篩選標準(technical screening criteria)、遵守最低限度的社會和治理保障。 本規則目前雖經歐盟部長理事會通過,後續仍須經歐洲議會(The European Parliament)通過,預計2020年前通過緩解和適應氣候變化的分類法,以確保2021年起能全面適用。
美國情報體系發布「情報體系運用人工智慧倫理架構」美國國家情報體系(United States Intelligence Community)係於1981年依據行政命令第12333號(Executive Order 12333)所建立,其任務為蒐集、分析與提供外國情報與反情報資訊美國國家領導人,服務對象包含美國總統、執法單位以及軍事單位。其於2020年6月提出「情報體系人工智慧倫理架構」(Artificial Intelligence Ethics Framework for the Intelligence Community),為人工智慧系統與訓練資料、測試資料之採購、設計、研發、使用、保護、消費與管理提出指引,並指出人工智慧之利用須遵從以下事項: 一、於經過潛在風險評估後,以適當且符合目的之方法利用; 二、人工智慧之使用應尊重個人權利與自由,且資料取得應合法且符合相關政策與法規之要求; 三、應於利用程序內結合人類判斷與建立問責機制,以因應AI產品之風險並確保其決策之適當性。 四、於不破壞其功能與實用性之前提下,盡可能確認、統計以及降低潛在之歧視問題。 五、AI進行測試時應同時考量其未來利用上可預見之風險。 六、持續維持AI模型之迭代(Iteration)、版本與改動之審查。 七、AI之建立目的、限制與設計之輸出項目,應文件化。 八、盡可能使用可解釋與可理解之方式,讓使用者、審查者與公眾理解為何AI會產出相關決策。 九、持續不定期檢測AI,以確保其符合當初建置之目的。 十、確認AI於產品循環中各階段之負責人,包含其維護相關紀錄之責任。