20
25
Specializing in Cross-Border E-Commerce
专注跨境电商
前言
HIPAA 是由美国国会于1996年通过、由时任总统比尔·克林顿签署生效的一项综合性法案。
HIPAA 在实践中影响最深远的部分是其对医疗数据隐私与安全的规范,尤其是通过后续颁布的《隐私规则》(Privacy Rule)和《安全规则》(Security Rule)。
HIPAA 不仅是一项医疗保险改革法案,更是美国构建现代数字医疗治理体系的基石。它通过平衡患者权利、行业效率与国家安全,为全球医疗数据保护立法(如欧盟 GDPR 中的健康数据特殊保护)提供了重要参考。尽管其合规要求复杂,但其“以风险为基础、技术中立、持续改进”的理念,至今仍深刻影响着全球医疗健康行业的信息安全实践。
本篇是解读的中篇,将对其核心内容“隐私规则”予以解读。
《健康保险携带和责任法案》(HIPAA)的核心内容围绕医疗信息隐私保护、数据安全、行政简化与患者权利保障四大支柱展开。尽管其名称强调“保险可携性”,但实践中最具影响力的是其对受保护健康信息(Protected Health Information, PHI)的规范体系。
本文将解读 HIPAA 的五大核心组成部分中最重要的隐私规则:
核心内容一
隐私规则
1
目的
隐私规则的核心目标是:
保护个人健康信息(PHI);
在保障隐私的同时,不妨碍高质量医疗服务的提供;
赋予患者对其健康信息的知情权、访问权与控制权;
建立全国统一的医疗隐私保护基线标准(各州可制定更严格规定)。
2
关键定义
1.受保护健康信息(PHI)
任何由涵盖实体创建、接收、维护或传输的、可识别特定个人身份的健康信息,包括:
• 健康状况
• 医疗服务提供情况
• 过去、现在或未来的医疗付款信息
• 存储形式:纸质、电子、口头均可
2.可识别标识符(18项)
包括姓名、地址(含城市以下)、电话、社保号、医保ID、生物识别数据(指纹、面部照片)、全脸图像、网址/IP(若可关联身份)等共18类。移除全部18项即视为“去标识化”。
3.去标识化数据(De-identified Data)
不再属于 PHI,不受隐私规则约束。可通过两种方法实现:
1)专家判定法:统计学家证明重识别风险极低;
2)安全港法:移除全部18项标识符。
3
PHI 的使用与披露规则
隐私规则将 PHI 的使用/披露分为三类情形:
(一)无需患者授权即可使用/披露的情形
这些被称为“允许用途”(Permitted Uses and Disclosures),主要包括:
治疗(Treatment):医生之间为患者诊疗共享病历、检验结果等
付款(Payment):向保险公司提交理赔、验证保险资格、追讨欠款等
医疗保健运营(Healthcare Operations): 质量评估、员工培训、合规审计、业务规划等内部管理活动
法律强制要求:如报告传染病、枪伤、虐待儿童等州或联邦法律要求的情形
公共卫生活动:向 CDC、FDA 等机构报告疾病、疫苗不良反应等
涉及死者的信息:向殡仪馆、 coroner 等披露必要信息
(二)需患者书面授权的情形
以下用途必须获得患者签署的明确授权书(Authorization):
用于营销(如推广药品、健康产品);
出售 PHI 给第三方;
大多数研究用途(除非获 IRB 或隐私委员会豁免);
披露给非治疗相关的家庭成员(除非患者同意或紧急情况下合理推定同意)。(三)禁止的使用/披露
将 PHI 用于就业决策(如雇主不得因健康状况解雇员工);
未经同意用于保险承保歧视(但某些寿险、残疾险除外);
为报复举报人而披露其 PHI。
4
患者享有的法定权利
隐私规则赋予个人多项权利,涵盖实体必须建立机制予以保障:
1.访问权
可在30天内(可延长30天)获取 PHI 副本(纸质或电子),机构可收取合理复制成本费
2.更正权
可请求修改错误或不完整信息;机构若拒绝,须书面说明理由并记录异议
3.获知披露记录权(Accounting of Disclosures—)
可要求过去6年内 PHI 被披露的清单(不含治疗、付款、运营类披露)
4.请求限制权
可要求限制某些披露(如告知雇主),但机构有权拒绝(须书面通知)
5.保密沟通请求权
可要求以特定方式或地址联系(如只通过私人邮箱发送账单)
6.投诉权
可向机构隐私官或 HHS 民权办公室(OCR)投诉违规行为
5
重要例外与灵活性机制
紧急情况:
在自然灾害、疫情等危机中,OCR 可发布临时执法 discretion(如允许使用非加密视频问诊);
未成年人信息:
通常由父母或监护人代为行使权利,但涉及性健康、 substance abuse 等敏感服务时可能例外;
精神健康与危险预警:
若患者对自身或他人构成严重威胁,可向执法或家属披露必要信息;
混合实体(Hybrid Entity):
大型组织(如大学医院)可将 HIPAA 适用部分与其他非适用部门隔离,缩小合规范围
6
合规要求与机构义务
涵盖实体必须:
制定书面隐私政策与程序;
指定隐私官(Privacy Officer)负责监督合规;
对员工进行年度 HIPAA 隐私培训;
实施“最小必要”访问控制;
建立投诉处理与违规响应机制;
在显著位置张贴《隐私实践通知》(Notice of Privacy Practices, NPP),并向每位患者首次就诊时提供副本;
保留隐私政策与披露记录至少6年。
7
总结:隐私规则的核心逻辑
“PHI 可用,但不可滥用”
——在保障医疗效率的前提下,通过授权机制、最小必要原则、患者赋权与严格问责,构建医疗隐私保护的“黄金平衡”。
隐私规则不仅是法律义务,更已成为美国医疗文化的一部分。它既防止了“数据黑箱”,也避免了“隐私绝对主义”,为全球敏感个人信息治理提供了重要范式。
作者简介
师伟律师
泰和泰(深圳)律师事务所
具备法院(四川省某人民法院民商事审判庭)、公司法务(超多维集团、环球易购等)和律所三重法律工作背景,拥有10年的法律从业经验。负责多起金额亿元以上的投融资并购交易,另外代理企业500+商事诉讼、仲裁案件,并保持90%胜诉率。
有长达6年的跨境电商行业的从业法律服务经验,在跨境电商企业涉及的境外产品合规、数据合规、广告营销合规、消费者保护合规、跨境电商企业在境内与供应商涉及的产品质量纠纷、与劳动者涉及的竞业限制纠纷、绩效纠纷、商业贿赂纠纷等方面有丰富的司法实践经验,能为客户提供跨境电商行业的常年法律顾问服务、专项服务以及诉讼服务。
电话丨18565822898
邮箱丨wei.shi@tahota.com
免责声明:本文及其内容仅为交流目的。本文任何文字、图片等内容,未经授权不得转载。如需转载或引用,请联系公众号后台取得授权。