欧路尔

标题: 详谈美国对个人健康医疗信息的保护 [打印本页]

---

作者: 滿天的星座    时间: 2017-1-27 17:07
标题: 详谈美国对个人健康医疗信息的保护
　　欧盟和美国都对个人健康医疗信息进行了立法保护，且在近十年中都因互联网技术的迅速发展，颁布了新的法律以适应新的情景和需求。其中主要有美国2003年生效的HIPAA隐私规则和安全规则、2013年生效的HITECH Omnibus Rule以及欧盟2015年颁布的《一般数据保护条例》。

　　由于法律体系和医疗健康产业发展过程的不同，美国和欧盟法律对于个人健康医疗信息的保护在立法体制、覆盖主体、保护范围和“公共利益”议题上都出现了较大差异，但美国法律赋予个人关于健康医疗信息的隐私权与欧盟法律中体现的个人信息权的具体内容非常相似：都强调个人对于自己的健康医疗信息拥有支配权、决定权和控制权。

(, 下载次数: 14)

上传

点击文件名下载附件

　　美国个人健康医疗信息保护的主要相关法规

　　HIPAA及相关法案的一些重要概念

　　自1996年发布以来，将近20年的不断修订（2003年、2009年、2013年），包括HITECH法案《Health Information Technology for Economic and Clinical Health》 和 GINA法案《Genetic Information Nondiscrimination Act of 2007》的相继出台，HIPAA及其补充法案已经形成了一套系统、完整、详细且与时俱进的医疗健康信息领域的专门法。

　　HIPAA在全美范围内已执行多年，对保护个人健康医疗信息权益和促进美国健康医疗大数据的应用产生了不可磨灭的影响。美国对于个人健康医疗信息保护，主要从个人隐私权的角度体现。纵观全球，HIPAA及其补充法案可以说是目前在个人医疗健康信息保护的专门领域最具影响力的一系列法案。

　　HIPAA对约束范围内各类实体的定义、具体的隐私保护机制和安全措施都进行了详细规定，非常具有借鉴意义。

　　受保护的健康信息（Protected Health Information，PHI） | HIPAA提出“受保护的健康信息”（Protected Health Information，PHI），其定义为由适用主体或其商业伙伴持有或传输的以口头、书面和电子等任何形式或媒体存在的可识别的个人健康信息。

　　在法律层面对个人健康信息进行定义是对其进行保护的必要基础。值得注意的是，对于不能够识别个人的健康信息和不是由适用主体和其商业伙伴持有的健康信息，HIPAA、HITECH和GINA对其并无约束力。

　　可识别的个人健康信息（Individually Identifiable Health Information） | 可识别的个人健康信息是健康信息的一个子集，指的是个人过去，目前和未来的生理和心理健康状况、医疗护理状况及与医疗护理相关的支付信息，并且这些信息包含了法律规定的能够识别出个人的18项身份识别信息（详见4.2“脱敏机制”）中至少一项。

　　适用主体（Covered Entity，CE） | 定义中的适用主体（Covered Entity，CE）指的是三种受到HIPAA约束的法律实体，分别是医疗健康服务提供方、保险提供方和数据清洗公司，如图 3所示其具体范畴。

　　商业伙伴（Business  Associate，BA）| 在HITECH Omnibus rule生效之前，HIPAA隐私条例仅仅对CE有约束力，然而随着医疗服务需求增多以及医疗信息化的发展，绝大部分的医疗机构和保险公司都无法完全独立的完成所有的业务，而需要借助第三方机构或个人，越来越多的第三方机构通过CE获得了患者PHI。为了加强对PHI的保护，美国法律将BA加入了管辖范围。法律条文中对BA提供的服务进行了举例，其中包括：

　　职能服务：健康数据分析、处理和管理；保险申诉处理和管理；质量管理；医保报销等；

　　其他服务：法务；审计；会计；咨询；数据采集；行政管理；认证和投资等。

　　HIPAA约束范围内的三大CE

　　常见的BA类型有：

　　为医疗机构提供个人健康档案（Personal Health Record，PHR）服务的机构或企业；

　　为医疗机构提供数据存储或数据分析服务的机构或者企业；

　　为医疗机构提供报销和收费服务的企业或机构；

　　为社会医疗保险或商业医疗保险机构提供处理索赔服务的企业或机构；

　　提供电子健康数据交换服务的机构（Health Information Organization，HIO）等。

　　法律基本原则：HIPAA隐私和安全规则

　　2003年生效的HIPAA隐私和安全规则是个人健康信息保护的基础条例，适用于所有受HIPAA约束的CE和BA。美国对个人健康信息的保护体现为对个人隐私权的保护，但美国的隐私概念与中国和欧盟的隐私概念都有明显的差别，属于“大隐私”类型：

　　美国法律赋予个人关于PHI的隐私权内容远远超过其他国家对隐私权的保护范畴；

　　隐私权具体内容与欧盟数据保护的相关法律中体现的个人信息权非常相似。

　　HIPAA隐私规则 | CE对于任何非治疗、报销及医疗运营目的而使用和披露PHI时必须取得个人的书面授权（除为公共卫生控制，公众利益的使用以外）。患者的PHI信息指包含了18项可识别个人信息中任意一项的健康信息。对于PHI的脱敏过程本身就是使用PHI，同样需要患者授权。

　　隐私规则的核心原则是对PHI的使用和披露需要满足“最少必要”（minimum necessary）。CE必须保证披露PHI信息量和使用形式仅需满足患者授权使用目的的最低要求，能不披露尽量不披露，能不使用尽量不使用。

　　HIPAA安全规则 | HIPAA安全规则包括对ePHI（electronic Protected Health Information）的管理保护、实体保护和技术保护三方面，CE和BA都必须按照安全规则规定对PHI进行保护。安全措施分为必选措施和自选措施，具体措施在法律条款中均有列出。

　　关键业务场景的法规解析

　　随着产业和技术的发展，相关BA的加入增加了PHI管理的难度和复杂性，为此，HIPAA对BA和CE之间的关系及权责做出了详细法律规定。

　　总体原则上，HIPAA允许CE向BA披露PHI，但两方之间的关系是服务和被服务，代表和被代表的关系。BA必须提供书面承诺书（Satisfactory Assurance）并和CE签订相关商业伙伴合同（Business Associate Contract）表示会遵守HIPAA隐私和安全规则，并只会为了满足CE的需求和目的而使用PHI，不会将PHI用于任何自身的目的。与此同时，CE和BA每次对PHI的披露和使用都必须满足HIPAA隐私条例的基本原则：个人授权和最少必要原则。

　　对于更加具体的涉及不同BA类型的业务场景，美国卫生和公共服务部（U.S. Department of Health & Human Services，HHS）及其下属的国家HIT协调办公室 （The Office of the National Coordinator for Health Information Technology，ONC）作出了详细的法律解读和管理建议：

　　1）HIT机构或企业

　　HHS将HIT（Health Information Technology）定义为所有涉及健康信息在电子环境中交换的技术，而将所有涉及监督和管理健康信息的电子交换过程的企业或机构称为（Health Information Organization，HIO），HIO也是最为常见的BA类型之一。常见的HIO包括区域健康信息组织（Regional Health Information Organization，RHIO），RHIO通常负责在一定地理区域内的电子健康信息的互换，以提高医疗质量、安全和有效性。RHIO的利益相关方通常包括：

　　提供医疗服务的机构

　　提供医疗保险报销的企业或者政府部门

　　与医疗质量提高相关的研究人员和机构

　　公共卫生部门

　　医疗服务的消费者

　　RHIO提供的服务包括但不限于：

　　在各个法律实体的数据库中为个人匹配健康医疗信息

　　为HIO网络中的所有法律实体提供电子健康信息交换的基础条件

　　管理个人对于其健康信息的隐私保护偏好

　　HIO在监督和管理电子健康信息交换的过程中需要遵守以下原则：

　　可更正原则：应当提供个人及时的途径参与讨论其个人可识别健康信息的准确性和完整性，并能够更正错误信息，或记录下讨论的内容和结论；

　　公开和透明原则：与个人或其可识别个人健康信息相关的政策，流程以及技术应当完全公开透明；

　　保护原则：可识别个人健康信息应当被给予合理的管理，技术和实体的保护以确保其保密性，完整性和可及性，并预防未授权或不正当的接入，使用或披露；

　　限制采集、使用和披露原则：可识别个人健康信息应当只因完成特定目的的必要而被采集、使用或披露，并且绝不应当受到不恰当的歧视；

　　责任性原则：以上提到原则应当通过恰当的监管和相应的报告手段被确保执行。

　　相关业务流程——以RHIO为例，实现区域内的电子健康信息互换需要通过以下步骤：

　　首先持有PHI的所有医疗或保险机构等CE需要获得个人授权后才能向RHIO披露患者PHI信息；

　　RHIO需要与网络内的CE进一步签订相关商业伙伴合同以明确RHIO所需要提供的服务。同时HIPAA允许RHIO与其网络内所有CE签订一份多边协议以简化流程。

　　2）PHR服务提供商

　　HHS通将个人健康档案PHR理解为一份个人健康信息的电子记录。患者可以查看这些健康信息，亲自控制谁能够获得这些信息，并能借此参与自己的健康管理，而有相当部分的医疗机构（属于CE）通过第三方机构（属于BA）向患者开放PHR。

　　根据HIPAA规定，BA在向个人提供PHR服务时必须确保个人能够：获得个人PHR；添加个人信息进入PHR，并能够更新和编辑自己输入的信息；允许其他人查看自己的PHR，比如伴侣、家庭成员或者其他的医生。

　　相关业务流程——医疗机构通过第三方机构向患者开放PHR，必须通过以下步骤：

　　首先医疗机构需要根据法律规定确定PHR开放的最小数据集；

　　医疗机构需要获得患者授权后才能向商业机构披露患者PHI信息；

　　医疗机构必须和商业机构进一步签订相关商业伙伴合同，明确商业机构的权责（只能以开放PHR为目的对PHI进行最低限度的使用）。

　　 （注：如果 PHR服务提供方是一个完全独立的机构，不与任何医疗机构相连接，不从医疗机构获取数据，完全由患者个人负责上传PHR，则不受到HIPAA的约束。）

　　3）研究机构

　　第三方研究机构的加入可以加强对健康数据的分析，提高对电子健康信息的利用，同时CE和BA仍然需要遵守HIPAA规定对PHI进行披露和使用。

　　相关业务流程——根据总体原则，若某CE希望通过第三方机构来完成一项数据分析，需要经过以下步骤：

　　CE需要确定此次分析的研究目标；

　　根据研究目标确定需要向第三方机构披露的最小数据集；

　　CE需要获得患者授权才能向研究机构披露PHI；

　　医疗机构必须和商业机构进一步签订相关商业伙伴合同，明确研究机构的权责（只能就此次研究目标对数据进行分析）。

　　4）云计算服务提供方

　　云计算（Cloud Computing）解决方案已被医疗机构广泛使用，云服务提供方（Cloud Services Provider，CSP）可提供的服务涵盖很广，包括从简单存储电子病历信息到开发新软件的平台。CE和BA也对是否能够在保护ePHI的同时利用云计算的巨大优势十分关注。

　　值得注意的是，根据HIPAA规定，哪怕CSP仅仅储存加密后的ePHI且没有密钥，CSP仍然属于BA或BA的分包方（Subcontractor），必须签订相关商业伙伴合同并遵守HIPAA的相关法规。

　　相关业务流程——如果CE或者BA需要CSP提供服务需要经过以下步骤：

　　CE或者BA需要获得患者授权后才能向CSP披露患者PHI信息；

　　CE需要和CSPs进一步签订相关商业伙伴合同，明确商业机构的权责；如果CSP属于BA的分包方，则需要与BA签订相关商业伙伴合同。

(, 下载次数: 15)

上传

点击文件名下载附件

　　关键管理和技术要求的法规解析

　　1）信息的所有权

　　尽管在美国法律中确定了个人对PHI的控制权、决定权和支配权等权力，但在美国法律中并未对由CE产生、持有和保管的个人健康医疗信息的所有权作出明确的规定，对于数据的所有权是属于医疗机构还是患者本人，在美国国内也一直存在较大的争议。但通常与BA签订的合同中，CE可以明确表明BA对于PHI没有所有权。

　　2）相关商业伙伴合同

　　CE本身对PHI的使用和披露已受到HIPAA的严格约束，在此基础上，商业伙伴合同（Business Associate Contract）可以让CE进一步约束商业机构对于PHI的使用和披露，此合同通常包括商业机构承诺书的内容，并受到HIPAA保护，即BA必须承担HIPAA规定的所有义务，但不享有除合同中CE批准以外的对于PHI的任何权利。

　　商业伙伴合同通常包括以下内容：

　　a. 基本概念的定义；

　　b. BA的义务：

　　允许BA对PHI使用和披露的范围（尽量详细）；

　　禁止BA对PHI使用和披露的范围（尽量详细）；

　　对于提供患者隐私安全必要技术保障的承诺；

　　BA必须承诺报告任何不恰当的接入、用和披露；

　　明确商业机构对数据没有所有权；

　　c. 合同终止的时间（具体时间点，或者约定可以导致合同终止的违约情形）。

　　3）授权机制

　　CE对于任何非治疗、报销及医疗运营必须而使用和披露PHI时必须取得个人的书面授权（Authorization）。值得注意的是，如果授权内容发生任何变化或授权已过期，对同一位患者的PHI披露仍然需要再次授权。

　　授权主体：CE请求PHI对应的个人进行授权；

　　授权形式：书面授权（线下纸质签名或线上电子签名）；

　　授权内容：以下内容必须明确清晰告知患者：

　　信息接收方名称；

　　披露的具体信息内容（e.g. 性别、药品名称、某次手术名称、某次检验检查等详细信息）；

　　披露目的（e.g. 为了让患者查看、下载和传输病历信息）；

　　不进行授权会带来的后果（e.g. 无法查看自己的病历信息）；

　　授权的过期时间（e.g. 完成此次病历下载后、此次研究结束后等）。

　　4）PHI交易

　　HIPAA明确禁止未经患者本人授权的任何形式的PHI交易或利用PHI进行市场推广的行为。对于市场推广的行为，法律也进行了明确定义：“为协助其他实体鼓励接受方购买或使用某产品或服务，CE向其披露PHI，并换得了直接或间接的经济补偿。”同时法律也明确禁止医疗机构出售在其机构治疗的患者名单。

　　5）脱敏机制

　　如果 PHI 信息依据有关标准和要求经脱敏（De-identifying）操作转变为去识别化PHI，对其使用和发布则不再受HIPAA隐私规则的限制。但值得注意的是，HIPAA规定对PHI的脱敏本身就是对PHI的使用，这也就意味着，对于接触到PHI的BA来说，没有与CE达成协议的情况下不能将PHI进行脱敏并进一步使用。

　　对于去识别化受保护的健康信息流程，HIPAA法案给出了两套细则：专家决定原则和避风港原则，如图所示。

　　HIPAA隐私规则中的脱敏方法

　　专家决定原则

　　个人健康数据持有机构可以通过专家评审的方法决定哪些信息是需要去除的，专家必须在决定个人可识别信息领域拥有相当的统计学和科学知识阅历，专家需根据个人健康数据接收机构无法通过获得信息识别出个人的原则决定去除哪部分信息的，并且记录下作出决定的方法、过程和结果。

　　避风港原则

　　以下18种可能识别出个人，或者其亲属、雇主、家庭成员的信息需要去除：

　　姓名；

　　小于省级的地址，包括街道，城市，地区和三位以后的邮编；

　　除年份以外与个人相关的日期，包括（生日、进院日、出院日、死亡日期、超过89岁的年龄）；

　　电话号码；

　　车辆登记号码、车牌号码；

　　医疗器械标识号和序列号；

　　传真号码；

　　电子邮件；

　　URL；

　　社保号码；

　　IP地址；

　　病历编号；

　　指纹等生物标记信息；

　　医疗保险号码；

　　正面全脸照片；

　　银行账户号码；

　　证件号码（身份证、驾照等）；

　　任何其他可用于识别的编码或特征。

　　6）脱敏后的身份还原/数据再识别

　　随着大数据技术的发展，对于脱敏后个人信息的再识别（Re-identification）成为可能。HIPAA规定任何被再次识别出个人的数据不再是脱敏数据，而重新成为了PHI，持有者需根据HIPAA规定对其进行使用和保管。

　　超出HIPAA保护范畴的个人健康医疗信息

　　根据法律的规定，超出法律保护范畴的个人健康信息可分为两类：脱敏后的个人健康信息和非CE或其BA所持有的个人健康信息，如图所示。

　　HIPAA的保护范围界定

　　脱敏后的个人健康信息

　　尽管美国医疗行业内仍然对脱敏后数据的买卖和使用存在不同的意见和争议，但2011年美国联邦最高法院在Sorrell vs. IMS Health一案中的判决表明，美国的立法和司法对脱敏后的健康医疗数据的运用保留了一些灵活的余地。该案件涉及为了医药公司的市场推广目的，药房出售脱敏后患者的处方药数据，法院最终判决药房并没有违反法律。虽然案件具有一定的特殊性和复杂性，但在一定程度上确立了出售脱敏后个人健康数据并不违反法律规定的司法基调。

　　非CE或其BA所产生或持有的个人健康信息

　　由于各类网络社交平台的兴起，大量由个人有意或无意分享的个人健康信息充斥在网络社交平台上，已有公司通过收集和分析社交平台上的个人健康信息，根据所得结果进行定向的药品推广。

　　此类问题也引起了很多学者的思考和讨论，但目前非CE或其BA所产生或持有的个人健康信息还不属于HIPAA保护的范畴。具体举例如下：

　　患者产生的数据（Patient-Generated Health Data）

　　由个人上传到PHRs 服务提供商的个人健康信息，此类的PHRs服务提供商有Google Health， Microsoft Myhealth Vault；

　　个人在社交网站和APP上分享的个人健康信息；

　　各类移动端软件产生的个人生物体征（步数、心率等），包括患者自测的指标。

　　独立的非CE基因检测机构直接从患者采取得到的数据

　　此类的机构有在线基因检查公司23andMe、Ancestry.com等。目前此类机构受到美国FDA管理和行业内的自我监察。

---

欢迎光临 欧路尔 (https://www.oluer.com/)

Powered by Discuz! X3.4