美國衛生部門公布個人健康資訊外洩責任實施綱領

  美國健康與人類服務部(Secretary of Health and Human Services;以下簡稱HHS),於2009年4月17日公布「個人健康資訊外洩通知責任實施綱領」(Guidance Specifying the Technologies and Methodologies That Render Protected Health Information Unusable, Unreadable, or Indecipherable to Unauthorized Individuals for Purposes of the Breach Notification Requirements under Section 13402 of Title XIII (Health Information Technology for Economic and Clinical Health Act) of the American Recovery and Reinvestment Act of 2009; Request for Information;以下簡稱本綱領)。本綱領為美國迄今唯一聯盟層級之資料外洩通知責任實施細則,並可望對美國迄今四十餘州之個資外洩通知責任法制,產生重大影響。

 

  本綱領之訂定法源,係依據美國國會於2009年2月17日通過之經濟與臨床健康資訊科技法(Health Information Technology for Economic and Clinical Health Act;以下簡稱HITECH),HITECH並屬於2009年「美國經濟復甦暨再投資法」(America Recovery and Reinvestment Act;簡稱ARRA)之部分內容。

 

  HITECH將個人健康資訊外洩通知責任的適用主體,從「擁有」健康資訊之機構或組織,進一步擴大至任何「接觸、維護、保留、修改、紀錄、儲存、消除,或以其他任何形式持有、使用或揭露安全性不足之健康資訊」的機構或組織。此外,HITECH並規定具體之資料外洩通知方法,即必需向當事人(資訊主體)以「即時」(獲知外洩事件後60天內)、「適當」(書面、或輔以電話、網站公告形式)之方式通知。不過,由於通知之範圍僅限於發生「安全性不足之健康資訊」外洩,故對於「安全性不足」之定義,HITECH即交由HHS制定相關施行細則規範。

 

  HHS本次通過之實施辦法,將「安全」之資料定義「無法為第三人使用或辨識」,至於何謂無法使用或辨識,本綱領明定有兩種情形,一是資料透過適當之加密,使其即使外洩亦無法為他人辨識,另一則是該外洩資訊之儲存媒介(書面或電子形式)已被收回銷毀,故他人無法再辨識內容。

 

  值得注意的是,有異於美國各州法對於加密標準之不明確態度,本綱領已指明特定之技術標準,方為其認可之「經適當加密」,其認可清單包含國家標準與技術研究院(National Institute of Standards and Technology)公布之Special Publication 800-111,與聯邦資訊處理標準140-2。換言之,此次加密標準之公布,已為相關業者提供一可能之「安全港」保護,使業者倘不幸遭遇資料外洩事件,得主張資料已施行適當之加密保護,即無需承擔龐大外洩通知成本之衡平規定。

本文為「經濟部產業技術司科技專案成果」

相關附件
※ 美國衛生部門公布個人健康資訊外洩責任實施綱領, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=57&tp=1&d=3072 (最後瀏覽日:2024/05/27)
引註此篇文章
你可能還會想看
美國管理不實施專利主體立法進程與趨勢

美國管理不實施專利主體立法進程與趨勢 科技法律研究所 法律研究員 劉憶成 2015年07月30日 壹、不實施專利主體概述   「不實施專利主體(non-practicing entity, 以下簡稱NPE)」乃是一個中性的名詞,NPE一方面可促進專利技術交易市場的活絡,但另一方面也有NPE不以活絡專利技術交易市場為目的,而是透過以低價購買專利成為專利權人,並據以行使《專利法》上之權利,投機性地靜待商品製造者投入不可回復之鉅額投資後,始對該商品製造者行使專利侵權主張,對於後者有人將其稱之為「Patent Troll」(中文有譯為「專利巨人」、「專利蟑螂」、「專利流氓」、「專利地痞」或「專利恐怖份子」等等,以下統譯為「專利地痞」)。   專利地痞藉由有問題的專利申請範圍恐嚇企業並勒索和解金的案例激增,對美國造成數十億美元的經濟耗損並且破壞了美國的創新,其橫行的技術領域以智慧型手機及其他消費性電子產品為最。根據加州舊金山的專利顧問公司RPX所作的研究,至2014年,美國專利侵權訴訟中有63%的訴訟是由專利地痞所提起,而受害公司花費在法律費用、和解或判決的費用約122億美元。因此如何降低專利訴訟的成本、降低無效專利的數量及提升專利權的授予品質都成為美國的重要政策目標。 貳、美國政府的對應措施   為了解決專利地痞所帶來的問題,美國早在2011年由國會通過《萊希-史密斯美國發明法(Leahy-Smith America Invents Act of 2011),以下簡稱AIA》,該法並於2012年生效。其目的在於透過改善美國專利制度,包括為發明人提供專利處理程序的快速通道、採取重要步驟來降低專利案件的積壓及提升美國人在國外保護其智慧財產權的能力等等。   不過,專利地痞所帶來的挑戰依舊,特別是專利地痞提出侵權訴訟之成本與被控侵權公司為了防禦所付出的成本之間不具對稱性,這使得專利地痞有機會以和解取得利益。因此,2013年美國政府曾向其國會提出立法七項建議,也祭出五項行政措施,使專利制度更具有透明性,並為發明者創造一個公平競爭的環境。 參、美國國會積極立法   對此,美國開始了多項進一步管理專利地痞的立法進程。以下將就2015年美國國會針對專利地痞所提出之法案進行介紹。   (一)新版創新法案(the Innovation Act)   本法案2015年2月5日送入美國眾議院審議,其法案接續2011年的「美國發明法案」(the American Invents Act,AIA),企圖進一步解決專利地痞濫用訴訟之難題,其中重要條款包括:由敗訴方負擔律師費、提高專利訴訟的成案基準(pleading standard)、專利權人揭示制度、客戶中止訴訟程序等等。   (二)警告函透明法案(Demand Letter Transparency Act of 2015)   美國眾院於2015年4月20日提出《警告函透明法案》,該法案首先要求美國專利與商標局(USPTO)建立一個公開可查詢的警告函資料庫,然後要求大量寄發侵害警告函的行為人必須透過這個資料庫對USPTO揭露其行動,同時侵害警告函的內容也必須記載這些資訊,使收信人能夠公平得知。   (三)保護美國人才與企業法案   美國參議院於2015年4月底針對抗衡美國patent troll提出法案,該法案名為《the Protecting American Talent and Entrepreneurship (PATENT) Act》。希望能制止美國近年來濫用美國專利制度,所造成許多不必要之專利訴訟案件等情形。美國眾議院於2015年5月底又針對PATENT Act法案作出修正,希望在打擊專利地痞的同時,又不至於而造成專利權人濫用AIA的保護。 肆、結論   為了解決專利地痞的問題,美國政府分別從立法及行政措施著手,依據美國歐巴馬總統的建議,不論是美國政府或是美國國會,刻正積極雙管齊下透過各項行政手段,例如修改專利相關規則,或者透過國會立法方式,對專利地痞進行規制。其實,專利地痞不僅橫行於美國,其亦在許多國家從事相關活動,故美國相關行政措施與立法,勢必成為各國在解決專利地痞問題時的重要參考依據,因此美國各項法案的後續發展,都值得吾人繼續關注。

FCC提出推動10年國家寬頻計畫

  2009年2月美國總統歐巴馬簽署美國振興經濟方案,釋出72億美元擴展寬頻網路連結應用,以網路開放為前提,要求聯邦通訊委員會提出國家寬頻計劃。美國聯邦通訊委員會(FCC )在2010年3月12日公布將推動一項歷時十年的遠大計畫,希望透過建立高速網際網路,重塑美國媒體與科技優先順序的概念。該計畫預定2010年3月16日送交國會。   這項計畫反映美國正視寬頻網路正逐漸成為取代電話與廣播電視業的普通媒介,工作重點在於強化網際網路存取方便性。該項計畫的重點包括補助網際網路提供者佈建偏遠地區的網路服務、拍賣頻譜以供無線寬頻設備使用,以及發展新型態的有線電視與上網功能之全面式機上盒。   此一計畫牽涉數百億美元的聯邦經費,但FCC認為,應可透過拍賣頻譜自給自足。此外,該計畫中的部分建議,尚須國會採取行動與業者支持才能落實,至於使用者恐怕要在數年後才能看到效果。   目前美國在使用寬頻與高速上網等方面落後包括亞洲國家在內的許多國家,約超過30%的美國人無法上網,原因是負擔不起或是沒有意願使用。而FCC的計畫希望能將美國打造成一個完全網路連結的環境,透過還有待矽谷研發的無線裝置讓民眾能快速上網取得健保資訊、進行網路學習,以及進行警民連線。   不過,FCC必須審慎處理既有業者上網費率與品質的問題,此外,不少電視業者以供公眾利益為由反對,並抗拒交回頻譜,以及認為這樣計畫將會導致訊號覆蓋及干擾的問題。

歐盟質疑Google新訂網路隱私權政策服務條款

  2012年3月,Google 公告使用者的新網路隱私權政策條款,這項措施將Google 所提供的各項服務適用同一個隱私權政策,並整合多項服務於同一帳號之中,隨著隱私權政策的變動,使用者條款也一併更新,這項措施並同時透過電子郵件通知所有的使用者。然而,Google 此項新政策在歐洲地區實施時卻碰到困難,歐盟表示該隱私權條款適法性受到質疑,將可能受到有關單位的調查。   歐盟資料保護相關指令乃建構基礎架構規制網路使用者個人的隱私,相關機構與業者都必須遵守。關於此項Google 新隱私權政策條款,規定使用者的資料可以合併使用於各個不同的服務中,將可能造成使用者的個人資料將可能透過不同的服務而洩漏,並且遭受第三人使用,而有違反歐盟資料保護指令之虞。針對此問題,法國資料保護管理機構(The Commission Nationale de l'Informatique, CNIL)已對Google 提出詢問,詢問的內容包含Google是如何保存使用者的資料;如何將使用者於不同服務中揭露的資訊加以整合等問題。由於既存的使用者若要繼續使用Google相關服務,就必須同意該新訂隱私權政策條款,因此CNIL也透過此次機會了解使用者退出資料不被揭露的機制內容,以避免使用者在未經同意下個人隱私受到侵害。不過,屆至目前為止,包含英國在內的歐洲各國仍普遍認為,該隱私權政策條款並未充分賦予使用者掌握個人資料的權限。   相較於歐盟,美國聯邦交易委員會(Federal Trade Commission, FTC)對於使用者於使用網路時隱私權的保護,著重於業者隱私權保護的承諾;亦即歐盟著重於隱私權為個人基本權利,而美國普遍要求網路業者能於條款中,明確承諾保護使用者使用網路時的各項權利。無論如何,各國對於保護使用者使用網路服務的原則與概念雖然不同,但對於使用者資訊揭露的透明化要求均為一致。

美國長粒米受到基因污染 Bayer被告上法庭

  美國農業部( USDA )在今( 2006 )年 8 月 18 日 公布,在 Arkansas 及 Missouri 的米倉發現,這些地方所儲存的美國長粒米( long grain rice )中含有 Bayer CropScience 未經核准的基因改造生物種。高品質的長粒米米粒細長,具有 20 %~ 25 %的中直鏈澱粉含量,米飯柔軟但鬆散,冷飯不變硬,在國際稻米市場有很高的評價,價格也最高。進口此型白米的國家有西歐、中東、加勒比海各國、新加坡、馬來西亞等,出口國為泰國,在歐洲市場上的售價,美國米略高於泰國米。美國長粒米的主要生產地是在 Arkansas ,意外事件發生時,當地農夫正在收成稻米。   截至目前 8 月底,美國本土因為基改稻米的基因污染了美國長粒米( U.S. long grain rice )的供應,而向 Bayer CropScience 提出損害賠償的訴訟已有三起,主要內容為請求因為基因污染致美國長粒米的價格下跌的損害賠償。另 由於相關的安全審查並未檢測出來此次流入外銷市場的美國長粒米,因此 雖然 USDA 表示混入 GMO 的長粒米並不會對人體或環境造成危害,但 世界各大進口國仍採取了相關緊急措施。 例如,日本於此消息一經公布後,當即停止美國長粒米的進口,而歐盟則表示只有經檢測證實從美國進口的長粒米未含有 Bayer CropScience 所研發尚未經許可之 GMO 特性,始得上架販售。

TOP