一、個(gè)人健康信息的時(shí)代背景

個(gè)人健康信息與私人的身體特征和心理狀況密切相關(guān)，具有高度的敏感性。倘若對(duì)個(gè)人健康信息處理不當(dāng)，可能會(huì)造成健康信息權(quán)利人的社會(huì)地位降低、名譽(yù)毀損、遭受歧視等負(fù)面影響。特別是在現(xiàn)在這樣信息技術(shù)發(fā)達(dá)的時(shí)代，信息能快速、大量傳輸和發(fā)散的特點(diǎn)更是給個(gè)人健康信息造成了不可忽視的威脅，個(gè)人健康信息與越來(lái)越多的個(gè)人和實(shí)體共享，隱私和數(shù)據(jù)安全問(wèn)題在涉及醫(yī)療健康信息的各個(gè)行業(yè)繼續(xù)擴(kuò)散。

個(gè)人健康信息不僅是醫(yī)學(xué)和其他科學(xué)研究原始資料的重要來(lái)源，是政府實(shí)施和執(zhí)行公共衛(wèi)生政策的重要依據(jù)，還是商業(yè)機(jī)構(gòu)搶占巨額利潤(rùn)的重要信息來(lái)源。例如保險(xiǎn)機(jī)構(gòu)可以通過(guò)掌握的個(gè)人醫(yī)療信息有針對(duì)性的決定是否承保，以及如何調(diào)整保險(xiǎn)費(fèi)率來(lái)實(shí)現(xiàn)自身利益的最大化;產(chǎn)品服務(wù)經(jīng)營(yíng)者可以針對(duì)特定的消費(fèi)群體發(fā)布廣告，投其所好;甚至教育機(jī)構(gòu)也可以根據(jù)掌握的基因信息選取具有最大潛力的學(xué)生;除此之外，不法分子還可能利用個(gè)人醫(yī)療信息隱私進(jìn)行違法犯罪活動(dòng)。很多個(gè)人醫(yī)療信息的泄露，就是這些利益的驅(qū)使下產(chǎn)生的暗箱操作。

二、HIPAA法案概述

美國(guó)《健康保險(xiǎn)攜帶和責(zé)任法案》(Health Insurance Portability and Accountability Act，簡(jiǎn)稱HIPAA法案)是一項(xiàng)非常復(fù)雜的聯(lián)邦法律，其規(guī)定各組織必須采取具體行動(dòng)來(lái)保護(hù)可識(shí)別個(gè)人的健康信息。在過(guò)去的20多年中，HIPAA法案已經(jīng)被多次修訂和擴(kuò)展，它制定了受保護(hù)健康信息的物理存儲(chǔ)和維護(hù)的保障標(biāo)準(zhǔn)、傳輸和訪問(wèn)要求以及合法使用和披露方式等等，它的主要目標(biāo)是確保個(gè)人的健康信息得到適當(dāng)保護(hù)，同時(shí)允許提供和促進(jìn)高質(zhì)量醫(yī)療保健所需的健康信息流動(dòng)。

HIPAA法案由許多不同的規(guī)則組成，主要可以分成以下四個(gè)部分：

1)HIPAA隱私規(guī)則。HIPAA隱私規(guī)則為患者對(duì)受保護(hù)的健康信息(Protected Health Information，簡(jiǎn)稱PHI)的權(quán)利制定了國(guó)家標(biāo)準(zhǔn)。HIPAA隱私規(guī)則只適用于涵蓋實(shí)體(Covered Entities，簡(jiǎn)稱CE)，而不適用商業(yè)伙伴(Business Associates，簡(jiǎn)稱BA)。HIPAA隱私規(guī)則所列出的一些標(biāo)準(zhǔn)包括：信息主體訪問(wèn)PHI的權(quán)利、醫(yī)療服務(wù)提供者拒絕訪問(wèn)PHI的權(quán)利、使用和披露方式及標(biāo)準(zhǔn)和隱私慣例通知的內(nèi)容等。監(jiān)管標(biāo)準(zhǔn)必須被記錄在組織的HIPAA政策和程序中，所有員工必須每年接受關(guān)于這些政策和程序的培訓(xùn)，并有文件證明。

2)HIPAA安全規(guī)則。HIPAA安全規(guī)則規(guī)定了安全維護(hù)、傳輸和處理電子健康保險(xiǎn)的國(guó)家標(biāo)準(zhǔn)。HIPAA安全規(guī)則適用于CE和BA，因?yàn)樗麄冇锌赡芄蚕黼娮有问降腜HI(ePHI)。安全規(guī)則概述了ePHI的完整性和安全性的標(biāo)準(zhǔn)，包括任何醫(yī)療機(jī)構(gòu)必須具備的物理、管理和技術(shù)保障措施。該規(guī)則的具體內(nèi)容必須記錄在組織的HIPAA政策和程序中。工作人員必須每年接受關(guān)于這些政策和程序的培訓(xùn)，并有文件證明。

3)HIPAA 違規(guī)通知規(guī)則。HIPAA違規(guī)通知規(guī)則是一套標(biāo)準(zhǔn)，在發(fā)生含有PHI或ePHI的數(shù)據(jù)違規(guī)時(shí)，CE和BA必須遵守該標(biāo)準(zhǔn)。該規(guī)則根據(jù)不同的范圍和規(guī)模，對(duì)違規(guī)報(bào)告提出了不同的要求。違規(guī)主體必須向美國(guó)衛(wèi)生和公共服務(wù)部(HHS)的民權(quán)辦公室(OCR)報(bào)告所有的違規(guī)事件，無(wú)論違規(guī)事件的規(guī)模大小。

4)HIPAA綜合規(guī)則。HIPAA綜合規(guī)則是HIPAA法案的一個(gè)附錄，它的頒布是為了將HIPAA法案適用于除CE之外的BA。HIPAA綜合規(guī)則規(guī)定，BA必須符合HIPAA法案的規(guī)定，并概述了圍繞商業(yè)伙伴協(xié)議(BAA)的規(guī)則。BAA是覆蓋CE和BA之間或兩個(gè)BA之間必須執(zhí)行的協(xié)議，然后才能轉(zhuǎn)移或共享任何PHI或ePHI。

三、中國(guó)涉?zhèn)€人健康信息企業(yè)的HIPAA法案合規(guī)工作必要性

對(duì)于很多在美國(guó)沒(méi)有設(shè)立主體的中國(guó)企業(yè)或中資企業(yè)來(lái)說(shuō)，可能不太理解為何要遵守美國(guó)的法律。實(shí)際上，HIPAA法案為了向個(gè)人健康信息提供完備的保護(hù)，其幾乎涵蓋了所有可能接觸個(gè)人健康信息隱私的機(jī)構(gòu)和個(gè)人，更包括這些機(jī)構(gòu)和個(gè)人的商業(yè)伙伴。美國(guó)的醫(yī)院系統(tǒng)、醫(yī)療診所和其他醫(yī)療機(jī)構(gòu)需要確保他們合作的企業(yè)能夠滿足HIPAA法案的要求，為了與美國(guó)的醫(yī)療機(jī)構(gòu)做生意，我們的企業(yè)必須展示他們有足夠的能力保護(hù)相關(guān)的個(gè)人健康信息，否則美國(guó)的相關(guān)企業(yè)可能會(huì)不愿意建立業(yè)務(wù)關(guān)系。也就是說(shuō)，即使中國(guó)企業(yè)不直接在美國(guó)提供醫(yī)療保健服務(wù)，但在如醫(yī)療器械、云服務(wù)、智能健康設(shè)備等中國(guó)企業(yè)活躍的領(lǐng)域，中國(guó)企業(yè)有較大機(jī)會(huì)接觸到美國(guó)的個(gè)人健康信息，也有較大機(jī)會(huì)被視為HIPAA法案定義的商業(yè)伙伴(BA)，并且法規(guī)的強(qiáng)制要求下與涵蓋實(shí)體(CE)簽訂書(shū)面的商業(yè)伙伴協(xié)議(BAA)，從而需要嚴(yán)格遵守HIPAA法案的各項(xiàng)規(guī)定。

以中國(guó)云計(jì)算及人工智能科技公司阿里云為例，阿里云的官網(wǎng)明確表示會(huì)遵從HIPAA的安全要求，滿足客戶保護(hù)健康隱私和安全信息的需求，并支持 HIPAA 的商業(yè)伙伴協(xié)議(BAA)。阿里云也提供了HIPAA白皮書(shū)說(shuō)明如何在各種產(chǎn)品和服務(wù)中滿足對(duì)HIPAA法案的合規(guī)。

但與此同時(shí)，我們?cè)趯?shí)務(wù)中接觸了一批可能觸及境外健康信息的中國(guó)企業(yè)，如云服務(wù)提供商、醫(yī)療器械公司、數(shù)據(jù)分析及存儲(chǔ)公司、智能設(shè)備制造商等，發(fā)現(xiàn)這些企業(yè)普遍對(duì)于HIPAA法案缺乏認(rèn)識(shí)和警惕性，也缺乏相應(yīng)的合規(guī)工作?？紤]到HIPAA法案的復(fù)雜性、美國(guó)監(jiān)管部門(mén)執(zhí)法的積極性、懲罰力度等因素，在中美關(guān)系前景不明朗的大環(huán)境下，我們建議涉境外健康信息的中國(guó)企業(yè)應(yīng)提高對(duì)HIPAA法案的重視。

四、哪些個(gè)人信息受到HIPAA法案的保護(hù)

HIPAA法案保護(hù)由涵蓋實(shí)體(CE)或其商業(yè)伙伴(BA)持有或傳送的所有“可識(shí)別個(gè)人的健康信息”，其形式或媒介包括電子、紙張或口頭，這些個(gè)人信息在HIPAA法案中被稱為受保護(hù)的健康信息(Protected Health Information，簡(jiǎn)稱PHI)。具體而言，PHI是指與個(gè)人的過(guò)去、現(xiàn)在或?qū)?lái)的身體或精神健康狀況有關(guān)的，或與提供醫(yī)療服務(wù)、支付醫(yī)療服務(wù)或用于醫(yī)療業(yè)務(wù)有關(guān)的可識(shí)別個(gè)人的健康信息。以下19種信息項(xiàng)目被認(rèn)為是PHI：

姓名(Names)

地址(所有小于州的地理細(xì)分，例如街道地址、城市、縣、郵政編碼)

所有與個(gè)人直接相關(guān)的日期元素(除年份外)，包括出生日期、入院日期、出院日期、死亡日期

電話號(hào)碼(Telephone numbers)

傳真號(hào)碼(Fax numbers)

電子郵件地址(E-mail addresses)

社會(huì)安全號(hào)碼(Social Security numbers)

醫(yī)療記錄號(hào)碼(Medical record numbers)

健康計(jì)劃受益人號(hào)碼(Health plan beneficiary numbers)

賬戶號(hào)碼(Account numbers)

證書(shū)/執(zhí)照號(hào)碼(Certificate/license numbers)

車(chē)輛標(biāo)識(shí)符、序列號(hào)或車(chē)牌號(hào)(Vehicle identifiers and serial numbers, including license plate numbers)

設(shè)備標(biāo)識(shí)符和序列號(hào)(Device identifiers and serial numbers)

網(wǎng)絡(luò)URL(Web URLs)

IP地址(IP address numbers)

生物標(biāo)識(shí)符，包括指紋和聲紋(Biometric identifiers, including finger and voice prints)

全臉攝影圖像和任何類(lèi)似的圖像(Full-face photographic images and any comparable images)

任何其他獨(dú)特的識(shí)別號(hào)碼、特征或代碼

可識(shí)別個(gè)人的遺傳信息(Individually identifying genetic information，2010年在GINA法案中新增)

應(yīng)注意，HIPAA法案不限制使用或披露已經(jīng)去識(shí)別化(De-Identification)的健康信息，這些信息不再能識(shí)別個(gè)人，也不能提供合理的基礎(chǔ)來(lái)識(shí)別個(gè)人，因此不再被視為PHI。CE和BA通?？梢宰杂墒褂萌プR(shí)別化的信息，而無(wú)需尋求授權(quán)或其他協(xié)議。去識(shí)別化的目的是確保識(shí)別個(gè)人的風(fēng)險(xiǎn)和信息的有用性之間有一個(gè)合理可行的平衡。HIPAA 隱私規(guī)則第164.514(a)節(jié)提供了對(duì)PHI進(jìn)行去識(shí)別化的標(biāo)準(zhǔn)和實(shí)施規(guī)范，根據(jù)該標(biāo)準(zhǔn)，有兩種去識(shí)別化的方法：(1)由合格的專(zhuān)家正式確定;或(2)刪除指定的可識(shí)別個(gè)人的數(shù)據(jù)，使得CE和BA無(wú)法從剩余信息中識(shí)別個(gè)人。

五、誰(shuí)需要遵守HIPAA法案涵蓋實(shí)體和商業(yè)伙伴

1. 涵蓋實(shí)體

Covered Entities，簡(jiǎn)稱CE

幾乎整個(gè)醫(yī)療保健行業(yè)，以及其他行業(yè)的大量組織，都以各種方式受到HIPAA法案的影響。大型保險(xiǎn)公司、醫(yī)院、自保雇主、小型醫(yī)生診所和獨(dú)立的健康保險(xiǎn)代理商等等，這些組織被稱為CE，他們都必須遵守HIPAA法案。根據(jù)美國(guó)聯(lián)邦法規(guī)45 CFR § 160.103，目前主要有三類(lèi)CE：

1)醫(yī)療保健提供者(Health Care Providers)

醫(yī)療保健提供者可以是個(gè)人(individual)、團(tuán)體(group)或組織(organization)。個(gè)人是指獲得許可或以其他方式獲得授權(quán)從事或提供醫(yī)療服務(wù)、護(hù)理服務(wù)、設(shè)備或用品的自然人，一些常見(jiàn)的例子包括醫(yī)生、護(hù)士、藥劑師和物理治療師等。團(tuán)體是指通常由一個(gè)以上的人組成的聚合來(lái)提供病人護(hù)理服務(wù)，也包括專(zhuān)業(yè)服務(wù)，如開(kāi)票、付款等。例如，兩名醫(yī)生通過(guò)作為一個(gè)團(tuán)體開(kāi)具賬單和接受付款，作為一個(gè)團(tuán)體進(jìn)行執(zhí)業(yè)。組織是指由一個(gè)以上的人組成的實(shí)體，一些例子包括醫(yī)院、實(shí)驗(yàn)室、藥房、護(hù)理機(jī)構(gòu)和健康維護(hù)組織(HMO)。

2)健康計(jì)劃(Health Plans)

一般來(lái)說(shuō)，這些是提供或支付醫(yī)療服務(wù)的個(gè)人或團(tuán)體計(jì)劃。常見(jiàn)的例子包括私人和政府的健康保險(xiǎn)公司、HMO、各類(lèi)美國(guó)公費(fèi)醫(yī)療保險(xiǎn)如Medicare和Medicaid，以及為50名或以上雇員提供保險(xiǎn)的雇主贊助的健康計(jì)劃。

3)健康保健信息交換中心(Health Care Clearinghouses)

健康保健信息中心負(fù)責(zé)處理或促進(jìn)健康信息的非標(biāo)準(zhǔn)數(shù)據(jù)元素變成標(biāo)準(zhǔn)格式，或從標(biāo)準(zhǔn)格式轉(zhuǎn)換為非標(biāo)準(zhǔn)格式，以進(jìn)行電子交易。一些例子包括計(jì)費(fèi)服務(wù)、重新定價(jià)公司、增值網(wǎng)絡(luò)，甚至一些銀行。

2. 商業(yè)伙伴

Business Associates，簡(jiǎn)稱BA

自HIPAA法案制定和不斷修訂以來(lái)，其規(guī)范的主體在不斷擴(kuò)大，最引人注目的是2009年的《經(jīng)濟(jì)和臨床健康信息技術(shù)法案》(HITECH法案)將HIPAA法案的適用范圍擴(kuò)展到了CE的商業(yè)伙伴，也就是BA。

BA是指代表CE執(zhí)行某些職能或活動(dòng)，或向CE提供某些涉及使用、儲(chǔ)存、維護(hù)或披露PHI的服務(wù)的主體，而不是CE的工作人員。BA從CE或代表CE接收PHI，并使用PHI為CE執(zhí)行某項(xiàng)功能或活動(dòng)。BA代表CE的職能或活動(dòng)包括索賠處理、數(shù)據(jù)分析、審核評(píng)估和開(kāi)具賬單等。BA對(duì)CE的服務(wù)包括法律、精算、會(huì)計(jì)、咨詢、數(shù)據(jù)匯總、管理、行政、認(rèn)證或財(cái)務(wù)服務(wù)。然而，如果個(gè)人或組織的職能或服務(wù)不涉及使用或披露PHI，并且這些人對(duì)PHI的任何訪問(wèn)都是偶然的或無(wú)意的，則不被視為BA。另外需要注意的是，一個(gè)CE可以是另一個(gè)CE的BA。以下類(lèi)型的公司如涉及PHI，則很有可能是BA：

醫(yī)療轉(zhuǎn)錄公司

文件儲(chǔ)存或處理公司

醫(yī)療賬單公司

數(shù)據(jù)轉(zhuǎn)換、去識(shí)別化、數(shù)據(jù)分析服務(wù)公司

醫(yī)療器械公司

數(shù)據(jù)管理、備份公司

會(huì)計(jì)事務(wù)所

律師事務(wù)所

銀行

軟件供應(yīng)商

云計(jì)算、云服務(wù)供應(yīng)商

根據(jù)HITECH法案，以下實(shí)體被特別指定為BA：

健康信息組織(Health Information Organizations)

電子處方系統(tǒng)(E-prescribing Gateways)

經(jīng)常訪問(wèn)PHI的數(shù)據(jù)傳輸供應(yīng)商

代表CE向個(gè)人提供個(gè)人健康記錄(PHR)的PHR供應(yīng)商

代表或?yàn)榱薆A創(chuàng)建、接收、維護(hù)或傳輸PHI的分包商

我們將在接下來(lái)的文章中分析HIPAA法案對(duì)于BA的要求以及提供相關(guān)合規(guī)指引。

六、使用和披露PHI的一般原則

1. 基本原則

HIPAA隱私規(guī)則的一個(gè)主要目的是界定和限制CE使用或披露PHI的情況。CE不得使用或披露受保護(hù)的健康信息，但以下情況除外：(1)HIPAA隱私規(guī)則允許或要求;或(2)經(jīng)信息主體的個(gè)人(或其個(gè)人代表)書(shū)面授權(quán)。

“使用(Use)”一詞是指在CE、BA或分包商內(nèi)部共享、使用、應(yīng)用、利用、檢查或分析PHI?！芭?Disclosure)”一詞是指在持有信息的實(shí)體之外以任何方式發(fā)布、轉(zhuǎn)移、提供訪問(wèn)權(quán)或透露信息的行為。

2. 必要的披露

CE必須在兩種情況下披露PHI：(1)當(dāng)個(gè)人(或其個(gè)人代表)要求獲取或說(shuō)明其PHI的披露情況時(shí)，專(zhuān)門(mén)向他們披露;以及(2)在進(jìn)行合規(guī)調(diào)查、審查或執(zhí)法行動(dòng)時(shí)，向HHS披露。

3. 經(jīng)允許的使用和披露

HIPAA隱私規(guī)則允許CE在沒(méi)有個(gè)人授權(quán)的情況下，為以下目的或情況使用和披露PHI：(1)對(duì)信息主體披露其PHI;(2)治療、付款和醫(yī)療保健業(yè)務(wù);(3)有機(jī)會(huì)表示同意或反對(duì)的使用和披露，可以通過(guò)直接詢問(wèn)個(gè)人，或通過(guò)明確給予個(gè)人同意、默許或反對(duì)機(jī)會(huì)的情況來(lái)獲得許可;(4)偶然的使用和披露;(5)公共利益和福利活動(dòng);以及(6)為研究、公共衛(wèi)生或醫(yī)療保健業(yè)務(wù)而進(jìn)行的有限數(shù)據(jù)集。

4. 經(jīng)信息主體授權(quán)的使用和披露

如果使用或披露PHI的目的不是為了治療、付款或醫(yī)療保健業(yè)務(wù)，也不是HIPAA隱私規(guī)則所允許或要求的，CE必須獲得個(gè)人的書(shū)面授權(quán)。授權(quán)書(shū)必須以具體條款寫(xiě)成，它可以允許尋求授權(quán)的CE或第三方實(shí)體使用和披露PHI。需要個(gè)人授權(quán)的披露信息的例子包括：出于保險(xiǎn)目的向保險(xiǎn)公司披露信息;向雇主披露就業(yè)前的體檢或?qū)嶒?yàn)室測(cè)試結(jié)果;或出于自身營(yíng)銷(xiāo)目的向制藥公司披露信息。

所有授權(quán)都必須使用通俗易懂的語(yǔ)言，并包含有關(guān)要披露或使用的信息、披露和接收信息的人、有效期、書(shū)面撤銷(xiāo)的權(quán)利以及其他數(shù)據(jù)的具體信息。

5. 將使用和披露限制在最低限度的必要范圍內(nèi)

隱私規(guī)則的一個(gè)核心是“最小必要”的使用和披露原則。CE必須做出合理努力，只使用、披露和請(qǐng)求使用、披露最低數(shù)量的PHI來(lái)達(dá)到預(yù)期目的。CE必須制定和實(shí)施政策和程序，合理地將使用和披露限制在最低限度的必要范圍內(nèi)。

七、隱私慣例通知及信息主體的個(gè)人權(quán)利

1. 隱私慣例通知

Notice of Privacy Practices，簡(jiǎn)稱NPP

除某些例外情況外，每個(gè)CE都必須提供有關(guān)其隱私慣例的通知。HIPAA隱私規(guī)則要求該通知必須包括以下內(nèi)容：

必須描述CE可能使用和披露受保護(hù)健康信息的方式

必須說(shuō)明CE保護(hù)隱私的責(zé)任

必須說(shuō)明個(gè)人的權(quán)利，包括在個(gè)人認(rèn)為其隱私權(quán)受到侵犯時(shí)向HHS和CE投訴的權(quán)利

必須包括提供進(jìn)一步信息和向CE提出投訴的聯(lián)絡(luò)方式

CE必須按照其通知行事，將通知張貼在每個(gè)服務(wù)提供地點(diǎn)的清晰和顯眼的地方，以使尋求服務(wù)的人可以合理地預(yù)期能夠閱讀該通知。HIPAA隱私規(guī)則還包含對(duì)直接治療提供者、所有其他醫(yī)療保健提供者和健康計(jì)劃的具體分發(fā)要求。

2. 訪問(wèn)

Access

除某些特殊情況外，個(gè)人有權(quán)審查和獲取CE指定記錄集中PHI的副本。CE可以對(duì)復(fù)印和郵寄的費(fèi)用收取合理的、基于成本的費(fèi)用。

3. 修改

Amendment

當(dāng)PHI不準(zhǔn)確或不完整時(shí)，個(gè)人有權(quán)要求CE修改其在指定記錄集中的PHI。如果請(qǐng)求被CE拒絕，CE必須向個(gè)人提供書(shū)面拒絕，并允許個(gè)人提交一份不同意聲明，以列入記錄。

4. 披露核查

Disclosure Accounting

個(gè)人有權(quán)要求對(duì)CE或BA披露其PHI的情況進(jìn)行核查。

5. 限制

Restriction Request

個(gè)人有權(quán)要求CE限制使用或披露PHI。

6. 機(jī)密通信

Confidential Communications Requirements

CE必須允許個(gè)人要求以其他方式或地點(diǎn)接收PHI的通信，而不是CE通常采用的方式。例如，個(gè)人可以要求提供者通過(guò)指定的地址或電話號(hào)碼與個(gè)人通信。

八、HIPAA法案的處罰、執(zhí)法和常見(jiàn)違規(guī)類(lèi)型

HIPAA隱私規(guī)則為使用和披露PHI制定了一套國(guó)家標(biāo)準(zhǔn)，以及為個(gè)人提供了解和控制其PHI使用方式的隱私權(quán)標(biāo)準(zhǔn)。美國(guó)衛(wèi)生與公眾服務(wù)部(HHS)民權(quán)辦公室(OCR)負(fù)責(zé)管理和執(zhí)行這些標(biāo)準(zhǔn)，并可進(jìn)行投訴調(diào)查和合規(guī)審查。

根據(jù)HIPAA法案規(guī)定的合規(guī)原則，OCR將尋求與CE和BA的合作，并可能提供技術(shù)援助，幫助他們自愿遵守HIPAA各項(xiàng)規(guī)則。未能自愿遵守規(guī)則的主體可能會(huì)受到民事罰款的處罰。此外，某些違反HIPAA隱私規(guī)則的行為可能會(huì)受到刑事起訴。

1. 民事罰款

OCR可對(duì)未能遵守HIPAA隱私規(guī)則要求的主體進(jìn)行處罰。罰金將因各種因素而有很大差異，這些因素包括違規(guī)行為的性質(zhì)和程度、受影響的人數(shù)、違規(guī)行為造成的傷害的性質(zhì)和程度、以前是否有違規(guī)的歷史、違規(guī)主體的財(cái)務(wù)狀況等等。

如果投訴人對(duì)某一主體提出投訴，經(jīng)OCR調(diào)查或合規(guī)性審查確定不存在違規(guī)行為，OCR將以書(shū)面形式通知該主體和投訴人。如果投訴人對(duì)某一主體提出投訴，而合規(guī)性審查結(jié)果確認(rèn)存在違規(guī)的情況，OCR將以書(shū)面形式通知CE或BA，如有可能，OCR將嘗試以非正式方式解決。如果違規(guī)情況不能以這種方式解決，將向提出投訴的人和CE或BA發(fā)出正式的違規(guī)情況報(bào)告。

在OCR實(shí)施處罰之前，它將通知違規(guī)主體，并為其提供一個(gè)機(jī)會(huì)，以提供那些可以減少或阻止處罰的情況的書(shū)面證據(jù)。這些證據(jù)必須在收到通知的30天內(nèi)提交給OCR。此外，如果OCR聲明其打算實(shí)施處罰，將受到處罰的主體有權(quán)要求舉行聽(tīng)證會(huì)，對(duì)擬議的處罰提出上訴。

民事罰款根據(jù)違規(guī)行為的嚴(yán)重性分為以下四級(jí)結(jié)構(gòu)，在每一種情況下，一個(gè)日歷年內(nèi)同一類(lèi)型的違規(guī)行為的民事罰款總額上限為150萬(wàn)美元(罰款金額會(huì)根據(jù)當(dāng)年通貨膨脹進(jìn)行調(diào)整)：

1)第一級(jí)：不知情。違規(guī)主體不知道，并且合理地不應(yīng)該知道該違規(guī)行為。每次違規(guī)最低罰款 100 美元，最高50,000美元。

2)第二級(jí)：有合理的理由。違規(guī)主體知道或應(yīng)該知道該行為是違規(guī)的，但其沒(méi)有故意忽視的行為。每次違規(guī)最低罰款1,000美元，最高50,000美元。

3)第三級(jí)：故意忽視，已糾正。違規(guī)行為是由于故意或輕率漠視，但在發(fā)現(xiàn)后30天內(nèi)糾正了違規(guī)行為。每次違規(guī)最低罰款10,000美元，最高50,000美元。

4)第四級(jí)：故意忽視，未糾正。違規(guī)行為是由于故意或輕率漠視，并且在發(fā)現(xiàn)后30天內(nèi)沒(méi)有糾正違規(guī)行為。每次違規(guī)最低罰款50,000美元。

在每一種情況下，一個(gè)日歷年內(nèi)同一類(lèi)型的違規(guī)行為的民事罰款總額上限為150萬(wàn)美元。

應(yīng)注意，根據(jù)HIPAA法案的多種安全和隱私標(biāo)準(zhǔn)，任何違規(guī)行為導(dǎo)致的數(shù)據(jù)泄露或安全事件可能會(huì)針對(duì)違規(guī)的不同方面分別處以罰款，罰款也可以按違規(guī)的天數(shù)、次數(shù)累積計(jì)算。因此，嚴(yán)重違反HIPAA法案所引發(fā)的民事罰款可以非常高昂。

2. 刑事處罰

違反HIPAA隱私規(guī)則，故意獲取或披露PHI的人可能面臨最高5萬(wàn)美元的刑事處罰和最多一年的監(jiān)禁;如果不法行為涉及欺詐，則刑事處罰可以增加到10萬(wàn)美元和最多5年的監(jiān)禁;如果不法行為涉及為商業(yè)利益、個(gè)人利益或惡意傷害而出售、轉(zhuǎn)讓或使用PHI的意圖，則刑事處罰可以增加到25萬(wàn)美元和最多10年的監(jiān)禁。美國(guó)司法部負(fù)責(zé)根據(jù)HIPAA隱私規(guī)則進(jìn)行刑事起訴。

3. 執(zhí)法情況

根據(jù)HHS公布的數(shù)據(jù)顯示，截至2022年9月30日，自HIPAA隱私規(guī)則生效以來(lái)，OCR已收到超過(guò)309,475份HIPAA投訴，并啟動(dòng)了超過(guò)1,053次合規(guī)審查，其中97%的案件已經(jīng)解決。

截至2022年9月30日，OCR已經(jīng)調(diào)查并解決了超過(guò)29,779起案件，要求CE和BA改變對(duì)待PHI的做法和采取糾正措施，或向他們提供技術(shù)援助。OCR在其中的126個(gè)案件中達(dá)成和解或施加了民事罰款，總金額為1.3億美元，平均每個(gè)案件超過(guò)100萬(wàn)美元。OCR也會(huì)將涉及違反規(guī)則故意披露或獲取PHI的適當(dāng)案件提交給美國(guó)司法部進(jìn)行刑事調(diào)查，截至2022年9月30日，OCR共向美國(guó)司法部移交了1,552起此類(lèi)案件。

4. 常見(jiàn)的違規(guī)類(lèi)型

HHS公布了HIPAA法案最常被投訴的、最常見(jiàn)的違規(guī)類(lèi)型，按頻率從高到低依次為：

1)在不被允許的情況下使用和披露PHI;

2)缺乏對(duì)PHI的保護(hù)措施;

3)信息主體無(wú)法訪問(wèn)其PHI;

4)缺乏對(duì)ePHI的管理保障措施;

5)使用或披露超過(guò)最低限度需要的PHI。

九、結(jié)論與建議

最近HHS公布的數(shù)據(jù)顯示，美國(guó)針對(duì)HIPAA法案的執(zhí)法活動(dòng)和罰款金額在不斷上升，面對(duì)HIPAA法案，中國(guó)涉?zhèn)€人健康信息企業(yè)很難完全置身事外。尤其在現(xiàn)在新冠病毒疫情流行的期間，遠(yuǎn)程醫(yī)療、云計(jì)算、高端醫(yī)療器械的需求不斷攀升，電子化的個(gè)人健康信息的全球流動(dòng)正在成為一種需要和事實(shí)。我們建議涉及個(gè)人健康信息的企業(yè)在確認(rèn)自身應(yīng)遵循HIPAA法案的情況下，及時(shí)做好全面的合規(guī)評(píng)估和計(jì)劃，增強(qiáng)對(duì)HIPAA法案和其他必要的數(shù)據(jù)隱私法律的實(shí)質(zhì)性理解，主動(dòng)響應(yīng)不斷變化的法律要求以保護(hù)企業(yè)免受意外違規(guī)行為的侵害。

參考文獻(xiàn)

1. Overseas HIPAA Compliance. (2020, August 3). Accountable: The HIPAA Blog. https://www.accountablehq.com/post/overseas-hipaa-compliance

2. What is HIPAA Compliance. (2022, November 8). Compliancy Group. https://compliancy-group.com/what-is-hipaa-compliance/

3. 方儀靜. 個(gè)人醫(yī)療信息的隱私保護(hù)路徑探究——以美國(guó)HIPAA法案隱私條款為借鑒[ D ]. 南京師范大學(xué).

4. Enforcement Results by Year. (2022, July 19). HHS.gov. https://www.hhs.gov/hipaa/for-professionals/compliance-enforcement/data/enforcement-results-by-year/index.html

5. Herold, R., & Beaver, K. (2014). The Practical Guide to HIPAA Privacy and Security Compliance, Second Edition.

6. What are the Penalties for HIPAA Violations? 2022 Update. (2022, October 31). HIPAA Journal. https://www.hipaajournal.com/what-are-the-penalties-for-hipaa-violations-7096/

7. Enforcement Highlights - Current. (2022, October 7). HHS.gov. https://www.hhs.gov/hipaa/for-professionals/compliance-enforcement/data/enforcement-highlights/index.html

8.曾益康. 數(shù)據(jù)時(shí)代健康信息交換中的隱私保護(hù)——以美國(guó)《HIPAA法案》為例[ J ]. 中國(guó)數(shù)字醫(yī)學(xué), 2022, 17(3):5.

9. Health Insurance Portability and Accountability Act of 1996 (HIPAA).(2022, June 27). Centers for Disease Control and Prevention. https://www.cdc.gov/phlp/publications/topic/hipaa.html

10. HIPAA for Professionals. (2021, August 16). HHS.gov. https://www.hhs.gov/hipaa/for-professionals/privacy/laws-regulations/index.html

11. Petronella, C. (2016). How HIPAA Can Crush Your Medical Practice. Why Most Medical Practices Don’t Have a Clue about Cybersecurity or HIPAA and What to Do about It.

12. Hartley, C. P., & Jones, E. D. (2014). HIPAA Plain and Simple. After the Final Rule.

相關(guān)知識(shí)

電子健康檔案，保障你的醫(yī)療信息安全與隱私
Splashtop 合規(guī)性：GDPR、HIPAA、FERPA、SOC 2、ISO 等
個(gè)人健康醫(yī)療信息保護(hù)模式考察
隱私與安全，妥善處理你的電子健康檔案
電子病歷在美國(guó)：各種法案相伴的日子
美年健康隱私政策
醫(yī)療健康云平臺(tái)，保障個(gè)人隱私與提供高效服務(wù)的平衡
電子病歷SaaS系統(tǒng)，實(shí)現(xiàn)醫(yī)療信息的高效共享與保護(hù)
5大醫(yī)療保健數(shù)據(jù)安全挑戰(zhàn)和數(shù)據(jù)保護(hù)技巧
衛(wèi)生信息化背景下電子健康檔案建設(shè)與管理

網(wǎng)址: [圖]個(gè)人健康信息保護(hù)——美國(guó)HIPAA法案隱私規(guī)則解析 http://m.u1s5d6.cn/newsview515879.html