美国HIPAA隐私规则对于个人健康医疗数据合规解析Word文件下载.docx
《美国HIPAA隐私规则对于个人健康医疗数据合规解析Word文件下载.docx》由会员分享,可在线阅读,更多相关《美国HIPAA隐私规则对于个人健康医疗数据合规解析Word文件下载.docx(7页珍藏版)》请在冰豆网上搜索。
一、
HIPAA的历史沿革
1996年,美国联邦政府正式签署了《健康保险携带和责任法案》(HealthInsurancePortabilityandAccountabilityAct,HIPAA),该法案出台的目的主要在于修订职工退休收入安全法案(EmployeeRetirementIncomeSecurityAct,ERISA)和公共健康服务法案(PublicHealthServiceAct,PHSA)的部分规则,提高健康保险的可携带性和连续性。
[1]HIPAA第261条规定,如果美国国会未能在HIPAA出台后3年内颁布隐私立法,届时则由美国健康和人力服务部(DepartmentofHealthandHumanServices,HHS)发布可识别的个人健康信息隐私规则。
因此在2000年,HHS发布了HIPAA的隐私规则(PrivacyRule),针对个人健康医疗数据缺乏隐私保护的情况,设定了健康数据的隐私保护标准。
[2]2009年,健康信息技术促进经济和临床健康法案(HealthInformationTechnologyforEconomicandClinicalHealthAct,HITECH)顺应了电子时代个人健康医疗数据逐步电子化的趋势,扩展了HIPAA的适用范围。
[3]2020年12月10日,在新冠疫情的背景下,HHS发布了修订HIPAA隐私规则的提案。
该提案提出,要强化数据主体访问自己个人健康信息的权利;
增强医疗合作和个人病例管理中的信息共享;
提升家庭成员和医疗服务提供者对于紧急情况和患者健康危机的参与度;
在以新冠疫情为代表的公共医疗卫生事件等具有紧迫性、威胁性的情况下,增强数据披露的灵活性。
在保护个人健康医疗数据隐私的前提下,减轻HIPAA适用主体的行政负担。
[4]
二、
HIPAA的适用主体
HIPAA的适用主体在法案中被称为“涵盖实体”(CoveredEntity),主要为以下三种:
1、健康计划(HealthPlans),指提供医疗保健服务或支付医疗保健费用的个人或团体。
健康计划包括健康、牙科、视力、处方药保险公司、医疗保健组织(HMOs)及各类美国公费医疗保险如Medicare和Medicaid。
同时也包括雇主赞助的团体健康计划、政府或教会赞助的健康计划和多雇主健康计划。
2、健康保健服务提供者(HealthCareProviders),指无论规模大小,在特定交易中对健康信息进行电子传输健康保健服务提供者。
3、健康保健信息处理机构(HealthCareClearinghouses),指将从另一机构收集来的非标准格式的信息处理成标准信息,或将标准信息处理成非标准信息,以及进行数据传输的机构。
健康保健信息处理机构包括账单服务、重新定价公司、社区健康管理信息系统以及增值性网络和交换机构等。
[5]
此外,HIPAA隐私规则还适用于商业关联方(BusinessAssociates)[6],指代表HIPAA涵盖实体发挥特定作用或向主体提供特定服务,对个人特定健康数据进行使用和公开的自然人或组织,但此类自然人或组织并不包括HIPAA涵盖实体的成员或雇员。
三、
HIPAA的保护客体
HIPAA的保护客体被称为“受保护的健康信息”(Protectedhealthinformation,PHI)。
PHI指所有以电子、纸质或口头形式,被上文提到的涵盖实体或其商业关联方掌握或传输的个人可识别的健康信息。
个人可识别的健康信息指关于
(1)个人过去、现在或将来生理或心理健康状况的;
(2)向个人提供健康保健的;
(3)现在、过去或将来支付个人健康保健费用的信息或人口信息,并且该等信息识别到个人或可以被用作识别个人。
PHI主要包含19种信息,具体为姓名、地址、电话号码、传真号码、日期(包括出生、死亡、入院日、出院日等)、社会保障号码、电子邮箱、医疗记录编号、医疗保险号码、账户号码、证书和证件号码、车辆识别号和序列号(包括车牌号码)、设备识别号和序列号、URLs、IP地址、生物识别号(包括指纹和声纹)、全脸及任何类似照片、任何其他独特的识别号码、特征或编码以及患者医疗记录。
与此对应的,对于去识别的健康信息,HIPAA并没有限制使用和公开,因为去识别的健康信息并没有识别个人或足以识别个人。
[7]根据HIPAA,有两种途径将信息去识别化,一是被有资质的统计机构正式决定将相关信息去识别化;
二是移除特定个人及其亲属、雇主或其家庭成员的识别信息,并且只有当没有实际的信息[8]能够识别到个人时,这种移除才能够被视为足够充分。
四、
HIPAA的隐私保护规则
1、一般使用和披露原则
HIPAA的一般使用和披露原则是除
(1)隐私规则允许或要求;
(2)作为信息主体的个人(或其代表)书面授权之外,HIPAA涵盖实体不得使用和披露PHI。
隐私规则要求披露的场景有两个,一是在特定个人(或其代表)要求访问或要求对其PHI披露情况进行统计时向特定个人披露;
二是在HHS进行合规调查、审查或采取强制措施时向HHS披露。
2、允许使用和披露的场景[9]
HIPAA允许在没有数据主体授权的情形下,基于下列6个目的或场景的PHI披露:
(1)向数据主体披露;
(2)治疗、费用支付、健康保健活动(在此情形下,获得数据主体同意只是非强制性规定);
(3)数据主体具有同意或反对权的使用和披露。
相较于上文提到的数据主体书面授权,这里的同意可以在形式上具有多样性和非正式性。
数据主体的同意主要有两种,一是直接询问数据主体时获得的同意;
二是在明确给数据主体同意、默许或反对的机会时,数据主体作出的同意。
医疗服务提供者一般会将患者的联系信息记录在医院名录(FacilityDirectories)上,以便向来访者或神职人员披露。
这类联系信息一般包括患者姓名、基本情况、宗教信仰、位置等。
此外,医疗服务提供者出于告知病情或医疗费用支付的目的,也可以将数据主体的健康医疗数据告知其家人、亲戚、朋友或其他由数据主体指定的个人。
需要注意的是,在数据主体丧失生活自理能力的情况下,如遇紧急情况或实难获得同意,经医护人员专业判断,使用和披露数据主体的PHI能够实现数据主体的最大利益(BestInterests),则可以在未经同意的情况下使用和披露PHI。
(4)偶然的使用和披露。
只要涵盖实体为数据的使用和披露提供了合理的安全保障措施,并将数据控制在最小必要范围内,那么偶然使用和披露该等信息并不被HIPAA绝对禁止。
根据HHS的解释,偶然的使用和披露指不能合理避免的、有限的、由其他HIPAA允许的使用或披露导致的二次数据使用和披露。
[10]
(5)公共利益和有益的活动。
HIPAA规定了12项国家优先目的,基于这12种目的,XX或许可地使用和披露PHI是被允许的。
这12种目的包括法律规定、公共健康活动、向政府权力机关披露虐待、疏于照顾、家庭暴力受害者的信息、健康医疗系统的监督活动、司法和行政程序、执法目的、为验尸或安葬等目的披露死者信息、遗体器官、眼睛和身体组织捐赠、研究、用于避免或减轻对个人或公共健康安全的严重威胁、出于履行核心政府职能的目的、出于救济工人工伤或疾病的目的。
(6)有限数据集。
指数据主体、其家庭成员和雇主的直接识别号被移除的PHI。
当涵盖实体和数据接收方签订数据使用协议并为数据的使用和披露提供安全保障时,出于研究、健康保健活动或公共健康的目的,涵盖实体可以以有限数据集的形式向接收方披露PHI。
3、授权使用和披露的场景[11]
除为治疗、费用支付、健康保健活动以及其他隐私规则允许或要求的情形,涵盖实体使用和披露个人数据必须获得个人的书面授权。
除极少数情况外,涵盖实体不得将该授权作为治疗、费用支付、注册、优惠的条件。
所有需要获得授权的内容都必须通过通俗易懂的语言向数据主体告知,并至少包含使用、披露信息的内容、接收方、授权到期日、数据主体撤销权等内容。
4、基于最小必要限制使用和公开的场景[12]
使用和披露的最小必要原则指涵盖实体必须尽合理的努力,仅使用、披露和向数据主体请求能够满足预期目的的最小数量的PHI。
例如,在内部使用时,涵盖实体必须设置相应的内部规则,使得内部人员按照职位划分,对访问和使用PHI进行限制;
在PHI的使用和披露上,涵盖实体必须设置标准规则,对PHI进行系统的、稳定的、只满足最小必要的披露。
值得注意的是,常规的PHI披露并不需要单独审查;
但对于非常规的数据披露,涵盖实体需要设计一套检验数据披露是否合理必要的标准,对于非常规数据披露进行逐一审查。
此外,当政府官员、出于为涵盖实体提供服务之目的的商业关联方、研究人员向涵盖实体要求披露PHI时,涵盖实体可以就上述主体收集数据遵循了最小必要原则产生合理信赖。
[13]
五、
HIPAA监管规则与中国个人健康医疗数据监管规则简要对比
我国实行数据分类分级保护制度。
根据《数据安全法》的规定,在分类分级的基础上,对国家核心数据、重要数据分别实行更严格的管理制度和进行重点保护。
[14]现阶段国家核心数据的具体内涵[15]尚待明确,但我们认为,医疗健康数据中关于生物安全和遗传资源等内容的部分存在将来被认定为国家核心数据的可能性。
根据《信息安全技术数据出境安全评估指南(征求意见稿)》的附录A《重要数据识别指南》,人口健康类信息属于重要数据的范畴。
此外,由于上述健康医疗数据的安全可能直接关系到国家安全、国计民生、公共利益,医疗健康数据的处理者还可能被认定为“关键信息基础设施运营者(CriticalInformationInfrastructureOperator,CIIO)”,应当履行关键信息基础设施运营者的义务。
综上所述,个人健康医疗数据在我国数据安全监管体系下,应当属于等级较高、需要重点保护的数据。
其次,狭义的健康医疗数据包括人口健康信息、病例信息、人类遗传资源和医疗健康大数据等数据类型,而广义的健康医疗数据还可能包括部分个人信息,因此,个人健康医疗数据不仅处于数据分类分级保护制度的监管框架内,还可能受到个人信息保护规则的规制。
由此可见,与HIPAA划定保护客体、进行集中监管的单一路径