首页 > 资讯 > [图]个人健康信息保护——美国HIPAA法案隐私规则解析

[图]个人健康信息保护——美国HIPAA法案隐私规则解析

泰然健康网
2024-12-14 11:01

一、个人健康信息的时代背景

个人健康信息与私人的身体特征和心理状况密切相关，具有高度的敏感性。倘若对个人健康信息处理不当，可能会造成健康信息权利人的社会地位降低、名誉毁损、遭受歧视等负面影响。特别是在现在这样信息技术发达的时代，信息能快速、大量传输和发散的特点更是给个人健康信息造成了不可忽视的威胁，个人健康信息与越来越多的个人和实体共享，隐私和数据安全问题在涉及医疗健康信息的各个行业继续扩散。

个人健康信息不仅是医学和其他科学研究原始资料的重要来源，是政府实施和执行公共卫生政策的重要依据，还是商业机构抢占巨额利润的重要信息来源。例如保险机构可以通过掌握的个人医疗信息有针对性的决定是否承保，以及如何调整保险费率来实现自身利益的最大化;产品服务经营者可以针对特定的消费群体发布广告，投其所好;甚至教育机构也可以根据掌握的基因信息选取具有最大潜力的学生;除此之外，不法分子还可能利用个人医疗信息隐私进行违法犯罪活动。很多个人医疗信息的泄露，就是这些利益的驱使下产生的暗箱操作。

二、HIPAA法案概述

美国《健康保险携带和责任法案》(Health Insurance Portability and Accountability Act，简称HIPAA法案)是一项非常复杂的联邦法律，其规定各组织必须采取具体行动来保护可识别个人的健康信息。在过去的20多年中，HIPAA法案已经被多次修订和扩展，它制定了受保护健康信息的物理存储和维护的保障标准、传输和访问要求以及合法使用和披露方式等等，它的主要目标是确保个人的健康信息得到适当保护，同时允许提供和促进高质量医疗保健所需的健康信息流动。

HIPAA法案由许多不同的规则组成，主要可以分成以下四个部分：

1)HIPAA隐私规则。HIPAA隐私规则为患者对受保护的健康信息(Protected Health Information，简称PHI)的权利制定了国家标准。HIPAA隐私规则只适用于涵盖实体(Covered Entities，简称CE)，而不适用商业伙伴(Business Associates，简称BA)。HIPAA隐私规则所列出的一些标准包括：信息主体访问PHI的权利、医疗服务提供者拒绝访问PHI的权利、使用和披露方式及标准和隐私惯例通知的内容等。监管标准必须被记录在组织的HIPAA政策和程序中，所有员工必须每年接受关于这些政策和程序的培训，并有文件证明。

2)HIPAA安全规则。HIPAA安全规则规定了安全维护、传输和处理电子健康保险的国家标准。HIPAA安全规则适用于CE和BA，因为他们有可能共享电子形式的PHI(ePHI)。安全规则概述了ePHI的完整性和安全性的标准，包括任何医疗机构必须具备的物理、管理和技术保障措施。该规则的具体内容必须记录在组织的HIPAA政策和程序中。工作人员必须每年接受关于这些政策和程序的培训，并有文件证明。

3)HIPAA 违规通知规则。HIPAA违规通知规则是一套标准，在发生含有PHI或ePHI的数据违规时，CE和BA必须遵守该标准。该规则根据不同的范围和规模，对违规报告提出了不同的要求。违规主体必须向美国卫生和公共服务部(HHS)的民权办公室(OCR)报告所有的违规事件，无论违规事件的规模大小。

4)HIPAA综合规则。HIPAA综合规则是HIPAA法案的一个附录，它的颁布是为了将HIPAA法案适用于除CE之外的BA。HIPAA综合规则规定，BA必须符合HIPAA法案的规定，并概述了围绕商业伙伴协议(BAA)的规则。BAA是覆盖CE和BA之间或两个BA之间必须执行的协议，然后才能转移或共享任何PHI或ePHI。

三、中国涉个人健康信息企业的HIPAA法案合规工作必要性

对于很多在美国没有设立主体的中国企业或中资企业来说，可能不太理解为何要遵守美国的法律。实际上，HIPAA法案为了向个人健康信息提供完备的保护，其几乎涵盖了所有可能接触个人健康信息隐私的机构和个人，更包括这些机构和个人的商业伙伴。美国的医院系统、医疗诊所和其他医疗机构需要确保他们合作的企业能够满足HIPAA法案的要求，为了与美国的医疗机构做生意，我们的企业必须展示他们有足够的能力保护相关的个人健康信息，否则美国的相关企业可能会不愿意建立业务关系。也就是说，即使中国企业不直接在美国提供医疗保健服务，但在如医疗器械、云服务、智能健康设备等中国企业活跃的领域，中国企业有较大机会接触到美国的个人健康信息，也有较大机会被视为HIPAA法案定义的商业伙伴(BA)，并且法规的强制要求下与涵盖实体(CE)签订书面的商业伙伴协议(BAA)，从而需要严格遵守HIPAA法案的各项规定。

以中国云计算及人工智能科技公司阿里云为例，阿里云的官网明确表示会遵从HIPAA的安全要求，满足客户保护健康隐私和安全信息的需求，并支持 HIPAA 的商业伙伴协议(BAA)。阿里云也提供了HIPAA白皮书说明如何在各种产品和服务中满足对HIPAA法案的合规。

但与此同时，我们在实务中接触了一批可能触及境外健康信息的中国企业，如云服务提供商、医疗器械公司、数据分析及存储公司、智能设备制造商等，发现这些企业普遍对于HIPAA法案缺乏认识和警惕性，也缺乏相应的合规工作。考虑到HIPAA法案的复杂性、美国监管部门执法的积极性、惩罚力度等因素，在中美关系前景不明朗的大环境下，我们建议涉境外健康信息的中国企业应提高对HIPAA法案的重视。

四、哪些个人信息受到HIPAA法案的保护

HIPAA法案保护由涵盖实体(CE)或其商业伙伴(BA)持有或传送的所有“可识别个人的健康信息”，其形式或媒介包括电子、纸张或口头，这些个人信息在HIPAA法案中被称为受保护的健康信息(Protected Health Information，简称PHI)。具体而言，PHI是指与个人的过去、现在或将来的身体或精神健康状况有关的，或与提供医疗服务、支付医疗服务或用于医疗业务有关的可识别个人的健康信息。以下19种信息项目被认为是PHI：

姓名(Names)

地址(所有小于州的地理细分，例如街道地址、城市、县、邮政编码)

所有与个人直接相关的日期元素(除年份外)，包括出生日期、入院日期、出院日期、死亡日期

电话号码(Telephone numbers)

传真号码(Fax numbers)

电子邮件地址(E-mail addresses)

社会安全号码(Social Security numbers)

医疗记录号码(Medical record numbers)

健康计划受益人号码(Health plan beneficiary numbers)

账户号码(Account numbers)

证书/执照号码(Certificate/license numbers)

车辆标识符、序列号或车牌号(Vehicle identifiers and serial numbers, including license plate numbers)

设备标识符和序列号(Device identifiers and serial numbers)

网络URL(Web URLs)

IP地址(IP address numbers)

生物标识符，包括指纹和声纹(Biometric identifiers, including finger and voice prints)

全脸摄影图像和任何类似的图像(Full-face photographic images and any comparable images)

任何其他独特的识别号码、特征或代码

可识别个人的遗传信息(Individually identifying genetic information，2010年在GINA法案中新增)

应注意，HIPAA法案不限制使用或披露已经去识别化(De-Identification)的健康信息，这些信息不再能识别个人，也不能提供合理的基础来识别个人，因此不再被视为PHI。CE和BA通常可以自由使用去识别化的信息，而无需寻求授权或其他协议。去识别化的目的是确保识别个人的风险和信息的有用性之间有一个合理可行的平衡。HIPAA 隐私规则第164.514(a)节提供了对PHI进行去识别化的标准和实施规范，根据该标准，有两种去识别化的方法：(1)由合格的专家正式确定;或(2)删除指定的可识别个人的数据，使得CE和BA无法从剩余信息中识别个人。

五、谁需要遵守HIPAA法案涵盖实体和商业伙伴

1. 涵盖实体

Covered Entities，简称CE

几乎整个医疗保健行业，以及其他行业的大量组织，都以各种方式受到HIPAA法案的影响。大型保险公司、医院、自保雇主、小型医生诊所和独立的健康保险代理商等等，这些组织被称为CE，他们都必须遵守HIPAA法案。根据美国联邦法规45 CFR § 160.103，目前主要有三类CE：

1)医疗保健提供者(Health Care Providers)

医疗保健提供者可以是个人(individual)、团体(group)或组织(organization)。个人是指获得许可或以其他方式获得授权从事或提供医疗服务、护理服务、设备或用品的自然人，一些常见的例子包括医生、护士、药剂师和物理治疗师等。团体是指通常由一个以上的人组成的聚合来提供病人护理服务，也包括专业服务，如开票、付款等。例如，两名医生通过作为一个团体开具账单和接受付款，作为一个团体进行执业。组织是指由一个以上的人组成的实体，一些例子包括医院、实验室、药房、护理机构和健康维护组织(HMO)。

2)健康计划(Health Plans)

一般来说，这些是提供或支付医疗服务的个人或团体计划。常见的例子包括私人和政府的健康保险公司、HMO、各类美国公费医疗保险如Medicare和Medicaid，以及为50名或以上雇员提供保险的雇主赞助的健康计划。

3)健康保健信息交换中心(Health Care Clearinghouses)

健康保健信息中心负责处理或促进健康信息的非标准数据元素变成标准格式，或从标准格式转换为非标准格式，以进行电子交易。一些例子包括计费服务、重新定价公司、增值网络，甚至一些银行。

2. 商业伙伴

Business Associates，简称BA

自HIPAA法案制定和不断修订以来，其规范的主体在不断扩大，最引人注目的是2009年的《经济和临床健康信息技术法案》(HITECH法案)将HIPAA法案的适用范围扩展到了CE的商业伙伴，也就是BA。

BA是指代表CE执行某些职能或活动，或向CE提供某些涉及使用、储存、维护或披露PHI的服务的主体，而不是CE的工作人员。BA从CE或代表CE接收PHI，并使用PHI为CE执行某项功能或活动。BA代表CE的职能或活动包括索赔处理、数据分析、审核评估和开具账单等。BA对CE的服务包括法律、精算、会计、咨询、数据汇总、管理、行政、认证或财务服务。然而，如果个人或组织的职能或服务不涉及使用或披露PHI，并且这些人对PHI的任何访问都是偶然的或无意的，则不被视为BA。另外需要注意的是，一个CE可以是另一个CE的BA。以下类型的公司如涉及PHI，则很有可能是BA：

医疗转录公司

文件储存或处理公司

医疗账单公司

数据转换、去识别化、数据分析服务公司

医疗器械公司

数据管理、备份公司

会计事务所

律师事务所

银行

软件供应商

云计算、云服务供应商

根据HITECH法案，以下实体被特别指定为BA：

健康信息组织(Health Information Organizations)

电子处方系统(E-prescribing Gateways)

经常访问PHI的数据传输供应商

代表CE向个人提供个人健康记录(PHR)的PHR供应商

代表或为了BA创建、接收、维护或传输PHI的分包商

我们将在接下来的文章中分析HIPAA法案对于BA的要求以及提供相关合规指引。

六、使用和披露PHI的一般原则

1. 基本原则

HIPAA隐私规则的一个主要目的是界定和限制CE使用或披露PHI的情况。CE不得使用或披露受保护的健康信息，但以下情况除外：(1)HIPAA隐私规则允许或要求;或(2)经信息主体的个人(或其个人代表)书面授权。

“使用(Use)”一词是指在CE、BA或分包商内部共享、使用、应用、利用、检查或分析PHI。“披露(Disclosure)”一词是指在持有信息的实体之外以任何方式发布、转移、提供访问权或透露信息的行为。

2. 必要的披露

CE必须在两种情况下披露PHI：(1)当个人(或其个人代表)要求获取或说明其PHI的披露情况时，专门向他们披露;以及(2)在进行合规调查、审查或执法行动时，向HHS披露。

3. 经允许的使用和披露

HIPAA隐私规则允许CE在没有个人授权的情况下，为以下目的或情况使用和披露PHI：(1)对信息主体披露其PHI;(2)治疗、付款和医疗保健业务;(3)有机会表示同意或反对的使用和披露，可以通过直接询问个人，或通过明确给予个人同意、默许或反对机会的情况来获得许可;(4)偶然的使用和披露;(5)公共利益和福利活动;以及(6)为研究、公共卫生或医疗保健业务而进行的有限数据集。

4. 经信息主体授权的使用和披露

如果使用或披露PHI的目的不是为了治疗、付款或医疗保健业务，也不是HIPAA隐私规则所允许或要求的，CE必须获得个人的书面授权。授权书必须以具体条款写成，它可以允许寻求授权的CE或第三方实体使用和披露PHI。需要个人授权的披露信息的例子包括：出于保险目的向保险公司披露信息;向雇主披露就业前的体检或实验室测试结果;或出于自身营销目的向制药公司披露信息。

所有授权都必须使用通俗易懂的语言，并包含有关要披露或使用的信息、披露和接收信息的人、有效期、书面撤销的权利以及其他数据的具体信息。

5. 将使用和披露限制在最低限度的必要范围内

隐私规则的一个核心是“最小必要”的使用和披露原则。CE必须做出合理努力，只使用、披露和请求使用、披露最低数量的PHI来达到预期目的。CE必须制定和实施政策和程序，合理地将使用和披露限制在最低限度的必要范围内。

七、隐私惯例通知及信息主体的个人权利

1. 隐私惯例通知

Notice of Privacy Practices，简称NPP

除某些例外情况外，每个CE都必须提供有关其隐私惯例的通知。HIPAA隐私规则要求该通知必须包括以下内容：

必须描述CE可能使用和披露受保护健康信息的方式

必须说明CE保护隐私的责任

必须说明个人的权利，包括在个人认为其隐私权受到侵犯时向HHS和CE投诉的权利

必须包括提供进一步信息和向CE提出投诉的联络方式

CE必须按照其通知行事，将通知张贴在每个服务提供地点的清晰和显眼的地方，以使寻求服务的人可以合理地预期能够阅读该通知。HIPAA隐私规则还包含对直接治疗提供者、所有其他医疗保健提供者和健康计划的具体分发要求。

2. 访问

Access

除某些特殊情况外，个人有权审查和获取CE指定记录集中PHI的副本。CE可以对复印和邮寄的费用收取合理的、基于成本的费用。

3. 修改

Amendment

当PHI不准确或不完整时，个人有权要求CE修改其在指定记录集中的PHI。如果请求被CE拒绝，CE必须向个人提供书面拒绝，并允许个人提交一份不同意声明，以列入记录。

4. 披露核查

Disclosure Accounting

个人有权要求对CE或BA披露其PHI的情况进行核查。

5. 限制

Restriction Request

个人有权要求CE限制使用或披露PHI。

6. 机密通信

Confidential Communications Requirements

CE必须允许个人要求以其他方式或地点接收PHI的通信，而不是CE通常采用的方式。例如，个人可以要求提供者通过指定的地址或电话号码与个人通信。

八、HIPAA法案的处罚、执法和常见违规类型

HIPAA隐私规则为使用和披露PHI制定了一套国家标准，以及为个人提供了解和控制其PHI使用方式的隐私权标准。美国卫生与公众服务部(HHS)民权办公室(OCR)负责管理和执行这些标准，并可进行投诉调查和合规审查。

根据HIPAA法案规定的合规原则，OCR将寻求与CE和BA的合作，并可能提供技术援助，帮助他们自愿遵守HIPAA各项规则。未能自愿遵守规则的主体可能会受到民事罚款的处罚。此外，某些违反HIPAA隐私规则的行为可能会受到刑事起诉。

1. 民事罚款

OCR可对未能遵守HIPAA隐私规则要求的主体进行处罚。罚金将因各种因素而有很大差异，这些因素包括违规行为的性质和程度、受影响的人数、违规行为造成的伤害的性质和程度、以前是否有违规的历史、违规主体的财务状况等等。

如果投诉人对某一主体提出投诉，经OCR调查或合规性审查确定不存在违规行为，OCR将以书面形式通知该主体和投诉人。如果投诉人对某一主体提出投诉，而合规性审查结果确认存在违规的情况，OCR将以书面形式通知CE或BA，如有可能，OCR将尝试以非正式方式解决。如果违规情况不能以这种方式解决，将向提出投诉的人和CE或BA发出正式的违规情况报告。

在OCR实施处罚之前，它将通知违规主体，并为其提供一个机会，以提供那些可以减少或阻止处罚的情况的书面证据。这些证据必须在收到通知的30天内提交给OCR。此外，如果OCR声明其打算实施处罚，将受到处罚的主体有权要求举行听证会，对拟议的处罚提出上诉。

民事罚款根据违规行为的严重性分为以下四级结构，在每一种情况下，一个日历年内同一类型的违规行为的民事罚款总额上限为150万美元(罚款金额会根据当年通货膨胀进行调整)：

1)第一级：不知情。违规主体不知道，并且合理地不应该知道该违规行为。每次违规最低罚款 100 美元，最高50,000美元。

2)第二级：有合理的理由。违规主体知道或应该知道该行为是违规的，但其没有故意忽视的行为。每次违规最低罚款1,000美元，最高50,000美元。

3)第三级：故意忽视，已纠正。违规行为是由于故意或轻率漠视，但在发现后30天内纠正了违规行为。每次违规最低罚款10,000美元，最高50,000美元。

4)第四级：故意忽视，未纠正。违规行为是由于故意或轻率漠视，并且在发现后30天内没有纠正违规行为。每次违规最低罚款50,000美元。

在每一种情况下，一个日历年内同一类型的违规行为的民事罚款总额上限为150万美元。

应注意，根据HIPAA法案的多种安全和隐私标准，任何违规行为导致的数据泄露或安全事件可能会针对违规的不同方面分别处以罚款，罚款也可以按违规的天数、次数累积计算。因此，严重违反HIPAA法案所引发的民事罚款可以非常高昂。

2. 刑事处罚

违反HIPAA隐私规则，故意获取或披露PHI的人可能面临最高5万美元的刑事处罚和最多一年的监禁;如果不法行为涉及欺诈，则刑事处罚可以增加到10万美元和最多5年的监禁;如果不法行为涉及为商业利益、个人利益或恶意伤害而出售、转让或使用PHI的意图，则刑事处罚可以增加到25万美元和最多10年的监禁。美国司法部负责根据HIPAA隐私规则进行刑事起诉。

3. 执法情况

根据HHS公布的数据显示，截至2022年9月30日，自HIPAA隐私规则生效以来，OCR已收到超过309,475份HIPAA投诉，并启动了超过1,053次合规审查，其中97%的案件已经解决。

截至2022年9月30日，OCR已经调查并解决了超过29,779起案件，要求CE和BA改变对待PHI的做法和采取纠正措施，或向他们提供技术援助。OCR在其中的126个案件中达成和解或施加了民事罚款，总金额为1.3亿美元，平均每个案件超过100万美元。OCR也会将涉及违反规则故意披露或获取PHI的适当案件提交给美国司法部进行刑事调查，截至2022年9月30日，OCR共向美国司法部移交了1,552起此类案件。

4. 常见的违规类型

HHS公布了HIPAA法案最常被投诉的、最常见的违规类型，按频率从高到低依次为：

1)在不被允许的情况下使用和披露PHI;

2)缺乏对PHI的保护措施;

3)信息主体无法访问其PHI;

4)缺乏对ePHI的管理保障措施;

5)使用或披露超过最低限度需要的PHI。

九、结论与建议

最近HHS公布的数据显示，美国针对HIPAA法案的执法活动和罚款金额在不断上升，面对HIPAA法案，中国涉个人健康信息企业很难完全置身事外。尤其在现在新冠病毒疫情流行的期间，远程医疗、云计算、高端医疗器械的需求不断攀升，电子化的个人健康信息的全球流动正在成为一种需要和事实。我们建议涉及个人健康信息的企业在确认自身应遵循HIPAA法案的情况下，及时做好全面的合规评估和计划，增强对HIPAA法案和其他必要的数据隐私法律的实质性理解，主动响应不断变化的法律要求以保护企业免受意外违规行为的侵害。

参考文献

1. Overseas HIPAA Compliance. (2020, August 3). Accountable: The HIPAA Blog. https://www.accountablehq.com/post/overseas-hipaa-compliance

2. What is HIPAA Compliance. (2022, November 8). Compliancy Group. https://compliancy-group.com/what-is-hipaa-compliance/

3. 方仪静. 个人医疗信息的隐私保护路径探究——以美国HIPAA法案隐私条款为借鉴[ D ]. 南京师范大学.

4. Enforcement Results by Year. (2022, July 19). HHS.gov. https://www.hhs.gov/hipaa/for-professionals/compliance-enforcement/data/enforcement-results-by-year/index.html

5. Herold, R., & Beaver, K. (2014). The Practical Guide to HIPAA Privacy and Security Compliance, Second Edition.

6. What are the Penalties for HIPAA Violations? 2022 Update. (2022, October 31). HIPAA Journal. https://www.hipaajournal.com/what-are-the-penalties-for-hipaa-violations-7096/

7. Enforcement Highlights - Current. (2022, October 7). HHS.gov. https://www.hhs.gov/hipaa/for-professionals/compliance-enforcement/data/enforcement-highlights/index.html

8.曾益康. 数据时代健康信息交换中的隐私保护——以美国《HIPAA法案》为例[ J ]. 中国数字医学, 2022, 17(3):5.

9. Health Insurance Portability and Accountability Act of 1996 (HIPAA).(2022, June 27). Centers for Disease Control and Prevention. https://www.cdc.gov/phlp/publications/topic/hipaa.html

10. HIPAA for Professionals. (2021, August 16). HHS.gov. https://www.hhs.gov/hipaa/for-professionals/privacy/laws-regulations/index.html

11. Petronella, C. (2016). How HIPAA Can Crush Your Medical Practice. Why Most Medical Practices Don’t Have a Clue about Cybersecurity or HIPAA and What to Do about It.

12. Hartley, C. P., & Jones, E. D. (2014). HIPAA Plain and Simple. After the Final Rule.