Refuah公司與紐約總檢察長達成和解並投資120萬美元保護病人資料

紐約州總檢察長Letitia James於2024年1月5日與健康照護服務業者Refuah Health Center, Inc.(下稱Refuah公司)達成和解,主因為該公司遭受勒索軟體攻擊(ransomware attack),約25萬紐約州民個資遭到洩漏。和解協議要求Refuah公司支付共計45 萬美元之民事懲罰金及費用(penalties and costs),且應投資 120 萬美元加強網路安全(cybersecurity)。

Refuah公司主要業務為經營三家醫療機構和五輛行動醫療車(mobile medical vans)。2021 年 5 月,Refuah公司遭到勒索軟體攻擊,網路攻擊者得以近用數千名病人的資料,取得了包含姓名、地址、電話號碼、社會保險號碼、駕照號碼、出生日期、金融帳號、醫療保險號碼等資料。

依據檢察長辦公室的調查顯示,攻擊者之所以得近用這些資料,原因為 Refuah公司未採取適當安全維護措施,包括:未停用不活躍之使用者帳號(inactive user accounts);未定期更換使用者帳號憑證(user account credentials);未限制員工僅得近用其業務所必需之資源和資料;未使用多重要素驗證(multi-factor authentication)以及未加密病人資料。

依據協議內容,Refuah公司同意投資 120 萬美元,用於開發和維護更強大的資訊安全計畫(information security programs),以更妥適地保護病人資料。該協議還要求Refuah公司應:

1.維護全面的資訊安全計畫,以保護消費者資料的安全性、機密性和完整性;

2.實施並持續更新消費者資料近用限制相關政策和程序;

3.遠端近用資源和資料應使用多重要素驗證;

4.定期更新近用資源和資料的憑證;

5.至少每半年進行一次稽核,確保使用者僅近用其業務所必需之資源和資料;

6.對所有儲存或傳輸的消費者資料進行加密;

7.實施控制措施,監控和記錄公司網路和系統的所有安全和操作活動;以及

8.制定、實施和持續更新全面的事故應變計畫。

Refuah公司還須向州政府支付共計45 萬美元之民事懲罰金及費用,其中 10 萬美元將在該公司投入 120 萬美元開發和維護其資訊安全計畫後,得暫緩支付。

相關連結
你可能會想參加
※ Refuah公司與紐約總檢察長達成和解並投資120萬美元保護病人資料, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=9164&no=67&tp=1 (最後瀏覽日:2026/07/16)
引註此篇文章
你可能還會想看
美國廠商使用之DMCA侵權調查正確性遭質疑

  一項由華盛頓大學所發表的研究聲明指出,媒體工業團體正使用有瑕疵的方式調查peer-to-peer網路文件共享中侵害著作權的問題。包括M.P.A.A.、E.S.A.、R.I.A.A等團體,不斷寄出逐年增加的DMCA侵權移除通知(takedown notices)給各大學和其他的網路業者。許多大學會在未經查證的情況下直接將侵權移除通知轉寄給學生,R.I.A.A.甚至跟進其中的一些侵權報告並將之寫入財務報告中。   但在2008年6月5日由華盛頓大學的助理教授等三人所發表的研究中認為這一些侵權移除通知應該更審慎檢視之。研究指出,這些團體在指控檔案分享者的調查過程中有嚴重的瑕疵,可能使對方遭受不當的侵權指控,甚至可能來自其他網路使用者的陷害。在2007年5月及8月的兩次實驗中,研究員利用網路監控軟體監控他們的網路流量,實驗結果顯示即使網路監控軟體並未下載任何檔案,卻仍然接收到了超過400次的侵權警告信。   該研究結果顯示執法單位的調查過程中只查詢了網路分享軟體使用者的I.P.位址,卻未真正查明使用者正在下載或是上傳的實際檔案為何,在這種薄弱的搜查技巧跟技術方式之下任何使用網路文件分享軟體的使用者都可能被告,不論其所分享的檔案是否侵權皆如此。

德國2021年再生能源法修正草案最新發展

  德國的再生能源法(Renewable Act)在經歷過2014年及2016年兩次較大的修正後,今年度九月由部分上議院議員提出修正草案。   德國再生能源法起源於20年前,當時主要重點在於提升離岸發電、太陽光電(Solar PV)及生物氣體、水力資源對於城市用電的供應率。由於現階段德國幾乎半數的城市用電仰賴上開再生能源,因此2021年度的修法上,主要導向了協助再生能源廠得以更完善的準備進入市場,包括與現有的政策發展接軌,例如2020年的國家氫能源政策(hydrogen strategy)及電動車的電價制定等。以下將列舉數項較為重大之項目: 實現2050年碳中立的目標 結合歐盟遠大的氣候目標 擴大再生能源產能 重新制定再生能源徵收稅款 提高公眾對於再生能源的接收度 於德國南方增設更多風力發電的渦輪機及生物燃料 訂定彈性電價 提升太陽能板安裝回饋酬勞 響應氫能源政策,擬使氫能源廠商於使用再生能源時得免付費(但此項提案尚待利害關係人取得共識)。   本次再生能源法的修正提案誠然立意良善,但仍有不少批評者認為,本次修法未將日後使用再生能源的人數可能增加一事納入考量,且未將老舊風機重新供電等事納入法規中。   而根據11月份修法決議結果,德國政府並未採納上開提案,其中主要理由是認為該草案所列之內容無法達成氣候目標(climate targets),並建議該提案應擴張再生能源產能,尤其是離岸風電及太陽能。德國能源部則認為提案中所預估的2030年電力需求過低,無法切實因應未來的需求,是以,未來德國再生能源法之修法方向仍有待持續觀察。

美國《確保關鍵礦產安全可靠供應的聯邦戰略》

  《確保關鍵礦產安全可靠供應的聯邦戰略》(A Federal Strategy to Ensure Secure and Reliable Supplies of Critical Minerals),為美國商務部於2019年6月4日發布的一項國家層級礦產行動計劃,制定依據為美國總統於2017年12月20日發布的13817號行政命令,戰略目標是強化美國製造業與國防工業及礦產供應鏈彈性,推進研究開發工作,減少美國對中國大陸等外國實體的關鍵礦產資源依賴。   美國商務部表示,確保關鍵礦產供應穩定及供應鏈彈性,對於美國經濟繁榮與國防安全至關重要,過去美國過分依賴外國關鍵礦產資源及供應鏈,導致經濟和軍事出現戰略性弱點。據統計共有35種與美國經濟與國家安全相關的礦產品,包括鈾、鈦和稀土元素,為智慧手機、飛機、電腦和GPS導航系統及風力發動機、節能照明與混合動力汽車電池等綠色科技產品的必要組成。35種關鍵礦產中有31種選擇進口,其中更有14種關鍵礦產是完全依賴國外進口。   《確保關鍵礦產安全可靠供應的聯邦戰略》提出6項行動綱領包括:(1)推動關鍵礦產供應鏈的轉型研究、開發與部署;(2)加強美國關鍵礦產供應鏈和國防工業基地;(3)強化與關鍵礦產相關的國際貿易合作;(4)提升對國內關鍵礦產資源知識;(5)提升在美國聯邦土地上獲得關鍵礦產資源的機會,並簡化授權開採的審查程序;(6)增加美國關鍵礦產資源勞動力等。

英國先進材料研發之促進輔助法制政策介紹

TOP