Refuah公司與紐約總檢察長達成和解並投資120萬美元保護病人資料

紐約州總檢察長Letitia James於2024年1月5日與健康照護服務業者Refuah Health Center, Inc.(下稱Refuah公司)達成和解,主因為該公司遭受勒索軟體攻擊(ransomware attack),約25萬紐約州民個資遭到洩漏。和解協議要求Refuah公司支付共計45 萬美元之民事懲罰金及費用(penalties and costs),且應投資 120 萬美元加強網路安全(cybersecurity)。

Refuah公司主要業務為經營三家醫療機構和五輛行動醫療車(mobile medical vans)。2021 年 5 月,Refuah公司遭到勒索軟體攻擊,網路攻擊者得以近用數千名病人的資料,取得了包含姓名、地址、電話號碼、社會保險號碼、駕照號碼、出生日期、金融帳號、醫療保險號碼等資料。

依據檢察長辦公室的調查顯示,攻擊者之所以得近用這些資料,原因為 Refuah公司未採取適當安全維護措施,包括:未停用不活躍之使用者帳號(inactive user accounts);未定期更換使用者帳號憑證(user account credentials);未限制員工僅得近用其業務所必需之資源和資料;未使用多重要素驗證(multi-factor authentication)以及未加密病人資料。

依據協議內容,Refuah公司同意投資 120 萬美元,用於開發和維護更強大的資訊安全計畫(information security programs),以更妥適地保護病人資料。該協議還要求Refuah公司應:

1.維護全面的資訊安全計畫,以保護消費者資料的安全性、機密性和完整性;

2.實施並持續更新消費者資料近用限制相關政策和程序;

3.遠端近用資源和資料應使用多重要素驗證;

4.定期更新近用資源和資料的憑證;

5.至少每半年進行一次稽核,確保使用者僅近用其業務所必需之資源和資料;

6.對所有儲存或傳輸的消費者資料進行加密;

7.實施控制措施,監控和記錄公司網路和系統的所有安全和操作活動;以及

8.制定、實施和持續更新全面的事故應變計畫。

Refuah公司還須向州政府支付共計45 萬美元之民事懲罰金及費用,其中 10 萬美元將在該公司投入 120 萬美元開發和維護其資訊安全計畫後,得暫緩支付。

相關連結
你可能會想參加
※ Refuah公司與紐約總檢察長達成和解並投資120萬美元保護病人資料, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=9164&no=67&tp=1 (最後瀏覽日:2026/07/17)
引註此篇文章
你可能還會想看
美國產業安全局放寬對敘利亞的出口管制措施

美國產業安全局(Bureau of Industry and Security)於2025年9月2日發布《放寬對敘利亞的出口管制》(Relaxing Export Controls for Syria)最終細則,此最終細則依《總統行政命令第14312號》(E.O.14312)修訂、放寬《出口管制規則》(Export Administration Regulations,以下簡稱EAR)對敘利亞的出口管制措施。 此次的修訂放寬重點如下: 1. 新增或擴大對敘利亞出口、再出口的許可例外(license exception)範疇 (1) 針對EAR第740部分為新增和擴張,如新增有關於敘利亞和平與繁榮(Peace and Prosperity)的許可例外,擴大EAR第740.9條許可例外之範圍至與消費性通訊裝置(Consumer Communications Devices)相關的貨品及軟體; (2) 為了允許對敘利亞出口、再出口新增的許可例外情況,修訂EAR第746.9條第b項一般限制條款。 2. 對敘利亞出口、再出口採取更寬鬆的許可審查 (1) 於EAR第746.9條第c項第1款特定最終使用情況(如電信通訊、水供應和衛生、電力等)採取推定同意(presumption of approval licensing); (2) 其餘最終使用的出口和再出口許可申請,依EAR第746.9條第c項第2款以逐案審查(case-by-case)的方式為之。 3. 刪除部分條文 例如EAR第746.1條第a項第3款刪除適用《第二號一般命令》(General Order No. 2.)之內容,而交叉參照EAR第746.9條。

德國聯邦內閣提出安全數位通訊及醫療應用法(E-Health-Gesetz)草案

  德國聯邦內閣於2015年5月27日提出安全數位通訊及醫療應用法(Entwurf eines Gesetzes für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen, E-Health-Gesetz)草案。   德國聯邦衛生部部長說明因草案的形成一直有所爭議,以致過程冗長。而為了保證大量數據的資料維護及安全,德國資料保護及資訊流通之主管機關聯邦資料保護官(Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, BfDI)及聯邦資訊安全局(Bundesamt für Sicherheit in der Informationstechnik, BSI),從一開始即密切參與其中合作。針對電子健保卡(die elektronische Gesundheitskarte)的資訊安全要求,德國聯邦衛生部將關注科技發展,持續更新相關規定。   本法案包括高安全標準之數位設施的建置期程,以及產生病人具體應用效益的時間規劃表,重要規定如下: 1.主檔資料管理(Stammdatenmanagement):被保險人主檔資料(Versichertenstammdaten)的測試及更新,自2016年7月1日起,於兩年內針對全國區域進行大範圍測試。 2.結合病人的緊急資訊(Notfalldaten):醫生能立即取得所有重要資訊,如過敏或過去病史等資料。當病人有該等需求之意願時,自2018年起健保卡即應包含緊急資訊。 3.藥物治療計畫(Medikationsplan):包含病人使用藥物治療的所有資訊,藥物治療計畫能於治療過程中使病人更加安全。而同時最少使用三種藥物的被保險人,自2016年起應採行藥物治療計畫。之後應可於電子健保卡取得藥物治療計畫相關資訊。 4.以電子方式發送醫療診斷報告(Arztbriefe):因目前為止醫療診斷報告仍係透過郵寄,然而為求重要資訊立即呈現,於2016年及2017年醫生以電子方式安全寄送診斷報告者,每份報告應收取55歐分的費用。 5.遠距醫療(Telemedizin):為推動遠距醫療的利用,自2017年4月1日起遠端傳輸X光照(Röntgenaufnahmen)的醫療診斷結果將收取費用。 6.醫療資訊系統的互通性:建立互通性指引(Interoperabilitätsverzeichnis)應可使醫療方面各類資訊系統所採行的標準透明化,且可使其規範更加標準化。而該指引應包含遠距醫療應用資料入口網站(Informationsportal)。 7.本法案所提期程,特別係針對實施的代表性自治組織(Organisationen der Selbstverwaltung),德國聯邦法定健康保險總會(GKV-Spitzenverband)、聯邦特約醫師協會(Kassenärztliche Bundesvereinigung)及聯邦特約牙醫協會(Kassenzahnärztliche Bundesvereinigung)適用。

日本發布美國數位政策現狀報告,呼籲推動AI發展的同時,亦應注重資料安全性

日本獨立行政法人情報處理推進機構(下稱IPA)於2025年10月發布美國第二次川普政權數位政策現狀報告(下稱現狀報告),內文聚焦於美國政權輪換後數位政策之變動與解讀,同時提及在推動AI發展的同時,亦應注重其安全性。 日本觀測美國數位政策的現狀報告指出,隨著社會數位化程度日益增加,除了雲端數位資料的累積,以及提升對於AI的依賴程度外,亦會造成釣魚信件難以識別,透過可自動生成程式碼的惡意攻擊型AI進行攻擊行為等AI濫用之風險。 準此,美國為確保AI與資料的安全性,並維持其領域之競爭優勢,於2025年7月23日發布AI行動計畫,並提出三大方針,包括加速AI創新、建構AI基礎設施,以及透過國際性的AI外交與安全保障發揮領導能力。此外,內文亦提及為確保競爭優勢,需要建立作為AI發展基礎的科學資料集,並建置資料中心,同時確保其具備高度安全性,以避免AI使用者輸入AI之資料遭到竄改或外洩。 此外,現狀報告內文提及日本企業Softbank與OnenAI、Oracle等公司共同參與規模達5000億美元的Stargate計畫,並已於德州著手建設AI資料中心,顯示日本在美國的AI基礎建設中扮演重要角色並佔有一席之地。然而,內文亦指出美國數位政策具備不透明性而有潛在風險,須持續留意與關注。 我國企業如欲深耕AI領域,並透過AI進行技術研發,可由建立科學資料集開始著手,以作為訓練AI模型的基礎,以達到運用AI輔助及縮短研發週期、減少研發過程中的試錯成本等效益。此外,為確保安全性,科學資料集建置過程中所需之數位資料,可參考資訊工業策進會科技法律研究所創意智財中心所發布之《重要數位資料治理暨管理制度規範》,建立貫穿數位資料生命週期之資料治理機制。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)

「聯合國2017年年度隱私報告聚焦政府監督行為」

  聯合國人權理事會(Human Rights Council)於2016年3月8日依據28/16號「數位時代下之隱私權」(Right to Privacy in the Digital Age)決議,設立隱私特別報告員(Special Rapporteur on Privacy, SRP),專責調查各國隱私保護情形並每年定期向人權理事會和聯合國大會提交隱私報告(Report of the Sepcial Rapporteur on the right to privacy)。   2017年年度隱私報告(A/HRC/34/60)於2月24日提出,報告除延續第一年報告中所列出的五大隱私優先課題 (跨國界隱私認知、安全與監督、巨量資料與開放資料、健康資料、企業擔任資料管理者議題等),主題聚焦於「情報蒐集」行為的監督,將政府監督行為歸類為十項: 基於使用國際化、標準化的術語和語言而有監督必要; 基於了解國家體系、體系比較之監督必要,以秘密(secretive)或公開形式進行; 促進、保護基本人權之相關措施; 保障與救濟措施(隱私特別報告員建議採國際性層次); 責任與透明度; 為蒐集、討論實務實踐狀況; 對政府監督行為之進一步討論; 尋求與公民溝通管道; 基於放寬安全部門、執法機關秘密性監督之必要; 基於對政府監督議題之公共論壇需求。   期中報告對現階段政府監督行為以隱私友善(privacy-friendly)立場出發,總結後續推動方向如下: 為何民粹主義(polulism)、隱私兩議題與安全議題會產生衝突; 國家如何透過監督情報增進隱私保護; 誰有權主張隱私權,隱私權的普世性(universality)於政府監督行為具特別意義; 隱私權如何透過內國法、國際法的推動而更加落實; 透過更廣泛討論,關於監督的法律文件及相關國際法規範可期待成熟發展。

TOP