美国HIPAA隐私规则对于个人健康医疗数据合规的启示
作者:丁恒 胡运思
#网络安全和数据保护# #医疗健康#
前言
在医疗保健与生命科学领域,健康医疗数据系统的交互性、安全性与个人健康医疗数据的隐私性是看似对立、极难平衡的利益。如何提升数据系统的交互性,使患者能够享受到健康医疗数据联通带来的诊疗便利,同时保证数据储存系统的安全性,降低个人健康医疗数据泄露造成的对于个人隐私、公共利益甚至国家安全的威胁,引发了学界对于健康医疗数据监管规则的诸多探讨。新冠疫情的爆发加剧了健康医疗数据处理和隐私保护间的冲突,患者健康医疗数据的过度披露可能导致隐私泄露,从而引发患者在工作、生活中的社交危机;但出于公共安全的考量,如果对于患者健康医疗数据完全不披露或披露不到位,则不利于病毒溯源,导致无法有效部署疫情防控措施。
我国的健康医疗数据安全监管体系以《生物安全法》《网络安全法》《数据安全法》等一般生物安全、网络安全和数据安全法律为基础,以《人口健康信息管理办法(试行)》《国家健康医疗大数据标准、安全和服务管理办法(试行)》等医疗保健与生命科学领域数据管理的单行法规、条例和国家标准为具体规则的监管体系。本文将眼光转向域外,简要分析美国《健康保险携带和责任法案》(HIPAA)隐私规则对于个人健康医疗数据的保护路径,并通过将HIPAA健康信息隐私保护模式与中国个人健康医疗数据保护模式进行比较,为企业跨国健康医疗数据合规的实践提供参考。
一、HIPAA的历史沿革
1996年,美国联邦政府正式签署了《健康保险携带和责任法案》(Health Insurance Portability and Accountability Act,HIPAA),该法案出台的目的主要在于修订职工退休收入安全法案(Employee Retirement Income Security Act,ERISA)和公共健康服务法案(Public Health Service Act,PHSA)的部分规则,提高健康保险的可携带性和连续性。<1>HIPAA第261条规定,如果美国国会未能在HIPAA出台后3年内颁布隐私立法,届时则由美国健康和人力服务部(Department of Health and Human Services,HHS)发布可识别的个人健康信息隐私规则。因此在2000年,HHS发布了HIPAA的隐私规则(Privacy Rule),针对个人健康医疗数据缺乏隐私保护的情况,设定了健康数据的隐私保护标准。<2>2009年,健康信息技术促进经济和临床健康法案(Health Information Technology for Economic and Clinical Health Act,HITECH)顺应了电子时代个人健康医疗数据逐步电子化的趋势,扩展了HIPAA的适用范围。<3>2020年12月10日,在新冠疫情的背景下,HHS发布了修订HIPAA隐私规则的提案。该提案提出,要强化数据主体访问自己个人健康信息的权利;增强医疗合作和个人病例管理中的信息共享;提升家庭成员和医疗服务提供者对于紧急情况和患者健康危机的参与度;在以新冠疫情为代表的公共医疗卫生事件等具有紧迫性、威胁性的情况下,增强数据披露的灵活性。在保护个人健康医疗数据隐私的前提下,减轻HIPAA适用主体的行政负担。<4>
二、HIPAA的适用主体
HIPAA的适用主体在法案中被称为“涵盖实体”(Covered Entity),主要为以下三种:
1、健康计划(Health Plans),指提供医疗保健服务或支付医疗保健费用的个人或团体。健康计划包括健康、牙科、视力、处方药保险公司、医疗保健组织(HMOs)及各类美国公费医疗保险如Medicare和Medicaid。同时也包括雇主赞助的团体健康计划、政府或教会赞助的健康计划和多雇主健康计划。
2、健康保健服务提供者(Health Care Providers),指无论规模大小,在特定交易中对健康信息进行电子传输健康保健服务提供者。
3、健康保健信息处理机构(Health Care Clearinghouses),指将从另一机构收集来的非标准格式的信息处理成标准信息,或将标准信息处理成非标准信息,以及进行数据传输的机构。健康保健信息处理机构包括账单服务、重新定价公司、社区健康管理信息系统以及增值性网络和交换机构等。<5>
此外,HIPAA隐私规则还适用于商业关联方(Business Associates)<6>,指代表HIPAA涵盖实体发挥特定作用或向主体提供特定服务,对个人特定健康数据进行使用和公开的自然人或组织,但此类自然人或组织并不包括HIPAA涵盖实体的成员或雇员。
三、HIPAA的保护客体
HIPAA的保护客体被称为“受保护的健康信息”(Protected health information, PHI)。PHI指所有以电子、纸质或口头形式,被上文提到的涵盖实体或其商业关联方掌握或传输的个人可识别的健康信息。个人可识别的健康信息指关于(1)个人过去、现在或将来生理或心理健康状况的;(2)向个人提供健康保健的;(3)现在、过去或将来支付个人健康保健费用的信息或人口信息,并且该等信息识别到个人或可以被用作识别个人。PHI主要包含19种信息,具体为姓名、地址、电话号码、传真号码、日期(包括出生、死亡、入院日、出院日等)、社会保障号码、电子邮箱、医疗记录编号、医疗保险号码、账户号码、证书和证件号码、车辆识别号和序列号(包括车牌号码)、设备识别号和序列号、URLs、IP地址、生物识别号(包括指纹和声纹)、全脸及任何类似照片、任何其他独特的识别号码、特征或编码以及患者医疗记录。
与此对应的,对于去识别的健康信息,HIPAA并没有限制使用和公开,因为去识别的健康信息并没有识别个人或足以识别个人。<7>根据HIPAA,有两种途径将信息去识别化,一是被有资质的统计机构正式决定将相关信息去识别化;二是移除特定个人及其亲属、雇主或其家庭成员的识别信息,并且只有当没有实际的信息<8>能够识别到个人时,这种移除才能够被视为足够充分。
四、HIPAA的隐私保护规则
1、一般使用和披露原则
HIPAA的一般使用和披露原则是除(1)隐私规则允许或要求;(2)作为信息主体的个人(或其代表)书面授权之外,HIPAA涵盖实体不得使用和披露PHI。隐私规则要求披露的场景有两个,一是在特定个人(或其代表)要求访问或要求对其PHI披露情况进行统计时向特定个人披露;二是在HHS进行合规调查、审查或采取强制措施时向HHS披露。
2、允许使用和披露的场景<9>
HIPAA允许在没有数据主体授权的情形下,基于下列6个目的或场景的PHI披露:
(1) 向数据主体披露;
(2) 治疗、费用支付、健康保健活动(在此情形下,获得数据主体同意只是非强制性规定);
(3) 数据主体具有同意或反对权的使用和披露。相较于上文提到的数据主体书面授权,这里的同意可以在形式上具有多样性和非正式性。数据主体的同意主要有两种,一是直接询问数据主体时获得的同意;二是在明确给数据主体同意、默许或反对的机会时,数据主体作出的同意。医疗服务提供者一般会将患者的联系信息记录在医院名录(Facility Directories)上,以便向来访者或神职人员披露。这类联系信息一般包括患者姓名、基本情况、宗教信仰、位置等。此外,医疗服务提供者出于告知病情或医疗费用支付的目的,也可以将数据主体的健康医疗数据告知其家人、亲戚、朋友或其他由数据主体指定的个人。需要注意的是,在数据主体丧失生活自理能力的情况下,如遇紧急情况或实难获得同意,经医护人员专业判断,使用和披露数据主体的PHI能够实现数据主体的最大利益(Best Interests),则可以在未经同意的情况下使用和披露PHI。
(4) 偶然的使用和披露。只要涵盖实体为数据的使用和披露提供了合理的安全保障措施,并将数据控制在最小必要范围内,那么偶然使用和披露该等信息并不被HIPAA绝对禁止。根据HHS的解释,偶然的使用和披露指不能合理避免的、有限的、由其他HIPAA允许的使用或披露导致的二次数据使用和披露。<10>
(5) 公共利益和有益的活动。HIPAA规定了12项国家优先目的,基于这12种目的,未经授权或许可地使用和披露PHI是被允许的。这12种目的包括法律规定、公共健康活动、向政府权力机关披露虐待、疏于照顾、家庭暴力受害者的信息、健康医疗系统的监督活动、司法和行政程序、执法目的、为验尸或安葬等目的披露死者信息、遗体器官、眼睛和身体组织捐赠、研究、用于避免或减轻对个人或公共健康安全的严重威胁、出于履行核心政府职能的目的、出于救济工人工伤或疾病的目的。
(6) 有限数据集。指数据主体、其家庭成员和雇主的直接识别号被移除的PHI。当涵盖实体和数据接收方签订数据使用协议并为数据的使用和披露提供安全保障时,出于研究、健康保健活动或公共健康的目的,涵盖实体可以以有限数据集的形式向接收方披露PHI。
3、授权使用和披露的场景<11>
除为治疗、费用支付、健康保健活动以及其他隐私规则允许或要求的情形,涵盖实体使用和披露个人数据必须获得个人的书面授权。除极少数情况外,涵盖实体不得将该授权作为治疗、费用支付、注册、优惠的条件。所有需要获得授权的内容都必须通过通俗易懂的语言向数据主体告知,并至少包含使用、披露信息的内容、接收方、授权到期日、数据主体撤销权等内容。
4、基于最小必要限制使用和公开的场景<12>
使用和披露的最小必要原则指涵盖实体必须尽合理的努力,仅使用、披露和向数据主体请求能够满足预期目的的最小数量的PHI。例如,在内部使用时,涵盖实体必须设置相应的内部规则,使得内部人员按照职位划分,对访问和使用PHI进行限制;在PHI的使用和披露上,涵盖实体必须设置标准规则,对PHI进行系统的、稳定的、只满足最小必要的披露。值得注意的是,常规的PHI披露并不需要单独审查;但对于非常规的数据披露,涵盖实体需要设计一套检验数据披露是否合理必要的标准,对于非常规数据披露进行逐一审查。此外,当政府官员、出于为涵盖实体提供服务之目的的商业关联方、研究人员向涵盖实体要求披露PHI时,涵盖实体可以就上述主体收集数据遵循了最小必要原则产生合理信赖。<13>
五、HIPAA监管规则与中国个人健康医疗数据监管规则简要对比
我国实行数据分类分级保护制度。根据《数据安全法》的规定,在分类分级的基础上,对国家核心数据、重要数据分别实行更严格的管理制度和进行重点保护。<14>现阶段国家核心数据的具体内涵<15>尚待明确,但我们认为,医疗健康数据中关于生物安全和遗传资源等内容的部分存在将来被认定为国家核心数据的可能性。根据《信息安全技术 数据出境安全评估指南(征求意见稿)》的附录A《重要数据识别指南》,人口健康类信息属于重要数据的范畴。此外,由于上述健康医疗数据的安全可能直接关系到国家安全、国计民生、公共利益,医疗健康数据的处理者还可能被认定为“关键信息基础设施运营者(Critical Information Infrastructure Operator, CIIO)”,应当履行关键信息基础设施运营者的义务。综上所述,个人健康医疗数据在我国数据安全监管体系下,应当属于等级较高、需要重点保护的数据。
其次,狭义的健康医疗数据包括人口健康信息、病例信息、人类遗传资源和医疗健康大数据等数据类型,而广义的健康医疗数据还可能包括部分个人信息,因此,个人健康医疗数据不仅处于数据分类分级保护制度的监管框架内,还可能受到个人信息保护规则的规制。由此可见,与HIPAA划定保护客体、进行集中监管的单一路径不同,在我国,个人健康医疗数据是在一般生物安全和数据安全监管规则下,由重要数据保护规则、个人信息安全保护规则、医疗行业数据的特殊规则构成的三位一体的监管模式。而由于美国至今尚未出台联邦层面的数据保护、个人信息保护法律,因此HIPAA隐私规则作为监管个人健康信息隐私的单行规则,明确了受保护的健康信息的定义,并以列举的方式规定了19种受保护的健康信息,专门规定了这类信息的隐私保护规则。这样的立法模式有其优点,例如针对性较强,规则相对精细,且不易与其他法律存在冲突规定;但弊端也较为明显——难以穷尽PHI的全部内涵。伴随着技术的革新与数字化医疗的趋势,PHI的外延呈现出一种动态扩张的状态,相应地,立法需要进行同步更新。这无疑增加了立法的负担,因此从长远来看,HIPAA的监管范围始终具有局限性。
此外,我国数据保护规则将数据的收集、储存、使用、加工、传输、提供、公开等<16>都定义为一般意义上的数据处理活动,并设置规则对于定义下的数据处理活动进行规制。而HIPAA隐私规则仅规定了对PHI使用和披露<17>的合规要求,对于其他形态的数据处理,并未作出明确的规范性要求。考虑到违反HIPAA可能面临执法机构开出的巨额罚单甚至面临刑事处罚,许多涵盖实体投入了巨大的成本进行HIPAA合规;但在达到HIPAA隐私规则的合规要求之后,却怠于进一步进行全面的数据合规,从这一角度来说,是HIPAA的局限性催生了此类现象。
但是,HIPAA隐私规则的部分规定也具有先进性。首先,HIPAA对于个人医疗数据的分类具有开创性。HIPAA提出了受保护的健康信息、个人可识别的健康信息、有限数据集和脱敏信息的不同概念,并规定了不同种类的信息在不同场景下的合规要求(例如出于研究、健康保健活动或公共健康的目的,涵盖实体可以以有限数据集的形式向接收方披露PHI)。同时,HIPAA对于最小必要原则进行了具体化处理,要求涵盖实体内部设置规章制度保证数据的使用和披露仅限于最小必要的要求,同时规定了3种使用和披露最小必要数据的合理信赖情形。由于在实践中,涵盖实体可能经常面临这3种情形,因此有关合理信赖的规定在一定程度上降低了涵盖实体进行数据必要使用和披露的行政成本,有利于数据的高效流动。
其次,HIPAA规定了偶然的数据披露这一被允许使用和披露的情形。考虑到医疗保健行业中常需要各涵盖实体发挥协同作用,PHI的二次使用或披露可能并不少见。对此。HIPAA并没有绝对禁止二次使用或披露或为其设置巨大的行政负担,而是在涵盖实体提供充分的安全保障前提下,允许偶然的数据二次使用或披露,这对于医疗行业的数据联通具有良好的促进作用。当然,允许这种偶然的数据使用或披露需要把握尺度,如果监管机关以此为据,对于医疗保健行业偶然的数据二次使用或披露放松监管,势必会导致监管漏洞,从而最终可能引发数据主体隐私泄露的不利后果。
最后,HIPAA将为了数据主体的最大利益作为PHI使用和披露必须获得数据主体同意的豁免情形之一。这反映了在医疗保健活动中,个人健康医疗数据的使用和披露无论应该受到何种法律层面的规制,数据主体的最大利益都应该成为监管的出发点和落脚点。由于医疗保健活动直接关涉到个人的生命安全、身体健康、人格尊严等基本权利,规定数据主体最大利益的优先效力显得更加重要。HIPAA关于最大利益的规定反映了立法者在个人健康医疗数据保护制度构建时,对于患者利益与数据安全在发生不可避免的冲突时的价值取向,立法者认为,对于数据安全的保护不应当陷入教条主义的漩涡,在医疗健康领域,患者的最大利益应当是一切制度与规则守护的核心价值。
<注>
<1> J. Fernando, Health Insurance Portability and Accountability Act (HIPAA), Investopedia, https://www.investopedia.com/terms/h/hipaa.asp, last visited 14-07-2021.
<2> Summary of the HIPAA Privacy Rule, OCR of United States Department of Health and Human Service, last revised 05/03, p1.
<3> Ibid.
<4> HHS Proposes Modifications to the HIPAA Privacy Rule to Empower Patients, Improve Coordinated Care, and Reduce Regulatory Burdens, https://www.hhs.gov/about/news/2020/12/10/hhs-proposes-modifications-hipaa-privacy-rule-empower-patients-improve-coordinated-care-reduce-regulatory-burdens.html, last visited 20-07-2021
<5> Ibid, p3.
<6> § 164.502 (e), HIPAA.
<7> § 164.502 (d), HIPAA.
<8> 我们倾向于理解,此处“实际的信息”指上文列举的、PHI项下的19种数据。
<9> § 164.502 (a)(1), HIPAA.
<10> Incidental uses and disclosures, HHS, https://www.hhs.gov/hipaa/for-professionals/privacy/guidance/incidental-uses-and-disclosures/index.html, last visited 22-07-2021.
<11> § 164.508, HIPAA.
<12> § 164.502 (b), HIPAA.
<13> Summary of the HIPAA Privacy Rule, OCR of United States Department of Health and Human Service, last revised 05/03, p11.
<14> 《数据安全法》第二十一条。
<15> 国家核心数据的概念首次出现于《数据安全法》第二十一条:“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度”;但关于国家核心数据的具体内涵,还需要等待相关法律法规进行进一步解读。
<16> 《数据安全法》第三条。
<17> HIPAA原文为“disclosure”,直译为“披露”。我们倾向于理解,此处的“披露”不仅包括狭义理解的公开,还应当包括传输、提供等数据处理活动。
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“下方链接”,可查阅该专业文章官微版。