梅斯医学MedSci APP
医路相伴,成就大医

个人健康医疗数据隐私安全法律法规研究

Tags: 医疗数据      作者:胡冉 更新:2018-10-11

OMAHA的第九期《“当归”个人健康档案项目白皮书》中对于个人健康档案有着明确定义,其中个人健康信息分为两个部分,电子病历信息(Electronic Medical Record,EMR)和患者产生型健康医疗数据(Patient Generated Health Data,PGHD)。

对患者而言,个人健康信息属于敏感信息,在储存、使用和共享等方面有着严格的隐私安全要求。通过比较美国和中国在隐私安全方面的法律条款,我们将对国内个人健康隐私安全法律法规的制定提出建议。

HIPAA及其相关法案介绍

美国关于隐私安全的立法较早,1974年即通过《隐私权法》(The Privacy Act),保护公民个人信息的隐私权。1996年,美国通过《健康保险携带与责任法》(

Health Insurance Portability and Accountability Act,HIPAA),2003年HIPAA中的隐私规则(Privacy Rule)和安全规则(Sercurity Rule)生效。在随后几年,HIPAA相关补充法案进一步发布,美国形成了一整套针对个人健康信息的隐私安全法律保护体系。

一、隐私规则(Privacy Rule):

a.相关概念:

· 受保护的健康信息(Protected Health Information,PHI)

HIPAA提出“受保护的健康信息”(ProtectedHealth Information,PHI),其定义为:由适用主体或其商业伙伴持有或传输的以口头、书面和电子等任何形式或媒体存在的可识别的个人健康信息。

· 可识别的个人健康信息(Individually Identifiable Health Information)

可识别的个人健康信息是健康信息的一个子集,是指个人过去,目前和未来的生理和心理健康状况、医疗护理状况及与医疗护理相关的支付信息,并且这些信息至少包含法律规定的能够识别出个人的18项身份识别信息中的一项。

· 适用主体(Covered Entity,CE)

定义中的适用主体是指三种受到HIPAA约束的法律实体,分别是医疗健康服务提供方、保险提供方和数据清洗公司。

· 商业伙伴(Business Associate,BA)

定义中的商业伙伴是指通过CE获得患者PHI的第三方机构,此概念是2013年HITECH Omnibus rule生效后加入的,法案中要求BA与CE受相同的法律准则。法律条文中对BA提供的服务进行了举例,其中包括:

·职能服务:健康数据分析、处理和管理;保险申诉处理和管理;质量管理;医保报销等;

·其他服务:法务;审计;会计;咨询;数据采集;行政管理;认证和投资等。

b.个人信息权:

HIPAA定义了患者的个人信息相关的权利,包括限制个人信息使用权、申请获取个人信息的权利、更正权、个人信息使用情况知情权等。其中申请获取的权利包括查阅和复制权利。

c.第一次服务前告知:

此条款规定,在首次使用PHI之前必须告知患者本人,告知内容包括使用和披露PHI的方式,患者的权利以及CE的法律责任等。同时也规定告知用语必须通俗易懂,电子形式告知要符合要求等。

d.使用前需患者授权同意的情况:

此条款例举了两种情况,包括需要患者一般授权同意和特殊授权同意。当CE为了制作内部的索引或者告知患者家人病情时,只需要患者一般授权同意,并且可以口头告知;而当CE使用心理诊断记录或者利用患者PHI获取经济利益时,则需要患者进行特殊授权,且授权形式必须是书面通俗语言,具体内容如使用机构名称、使用目的、结束日期、患者有撤回同意权等。

e.使用前无需患者授权同意的情况:

为患者治疗、支付和健康照顾相关的目的使用患者的PHI无需患者授权同意,即无需每次在治疗前都经过患者的授权同意,包括患者转诊后,转诊后的医院可不经患者授权获得其个人信息。此条款还例举了诸多无需患者同意授权的情况,包括法律规定、政府特殊需要、劳工保险、健康监督和公共健康活动等。

同时关于个人健康数据在科研领域的使用也可以在未经患者授权同意的条件下进行,但前提是CE必须得到机构审查委员会(Institutional Review Board)等相关隐私委员会的同意(privacy board)。

f.特殊情况:

· 最小必要原则:

CE在向外提供PHI

时,必须遵循最小必要原则(MinimumNecessary),即能不披露尽量不披露,以治疗为目的的披露、向患者本人的披露和依据患者意愿的披露例外。

· 脱敏数据:

CE可以将脱敏后的数据(De-Identified Information)提供给第三方,脱敏必须符合专家决定原则或者避风港原则。专家决定原则是指由行业内的相关专家决定哪些信息必须去除并且提供书面分析结果;避风港原则是指18项能够识别出个人的关键信息必须要去除。18项身份识别信息如下:

·姓名

·小于省级的地址,包括街道,城市,地区和三位以后的邮编

·除年份以外与个人相关的日期,包括(生日、进院日、出院日、死亡日期、超过89岁的年龄)

·电话号码

·车辆登记号码、车牌号码

·医疗器械标识号和序列号

·传真号码

·电子邮件

·URL

·社保号码

·IP地址

·病历编号·指纹等生物标记信息

·医疗保险号码

·正面全脸照片

·银行账户号码

·证件号码(身份证、驾照等)

·任何其他可用于识别的编码或特征

· 有限数据集(limited data sets):有限数据集和避风港原则类似,是指删除特定信息后的PHI,相较于避风港原则,其要求更加宽松,允许保留生日,地址中的市、州和邮政编码和其他相关的识别特征。

二、安全规则(Security Rule):

安全规则是针对隐私规则中以电子形式存储和传输的PHI,HIPAA将其定义为“受保护的电子健康信息”(Electronic Protected Health Information, ePHI),安全规则分为必选规则和推荐规则,其中必选规则是CE和BA必须遵循的安全规则,共13条;推荐规则则是CE和BA可以根据自身的情况决定是否采纳,其中不采纳的规则需要说明理由并且采取其他的保障措施。安全保护措施具体可分为管理保护、物理保护、技术保护三个方面。

a.   管理保护(Administrative Safeguards)

管理保护中要求CE必须遵循信息安全管理程序,具体可以分为风险分析、风险管理、惩罚政策和信息系统日志审查四个必选项。同时还包括CE需在员工中指定一人担任信息安全官,建立独立的健康照顾统计清算中心以防部门内部的信息泄漏、信息安全事件管理程序,突发事件应变计划和商业伙伴协议管理等。

b.  物理保护(Physical Safeguards)

物理保护则是对电子系统、设备和资料,设置保护机制,使其不受环境风险和未授权人的访问和攻击。主要包括设施的接触管制,工作站的使用和信息安全规则,设备和媒体的管控等。

c.   技术保护(Technical Safeguards)

技术保护是指通过软件等技术手段来保护ePHI,主要分为以下几个方面:

· 接触管制

根据信息接触管理相关政策决定不同对象的权限后,以软件程序的方式执行每个对象的权限,具体包括四个方面:

·个人账号(必要性):应要求每人登入其姓名和编号,以确认并追踪其使用。

·紧急接触程序(必要性):在紧急情况下,建立相关程序,开放可接触必要的受保护信息。

·自动注销(建议性):超过预计的时间或一段时期没有动作后,建议其自动注销。

·加密和解密(建议性):对受保护信息执行加密和解密。

·监视控制

CE应设计硬件、软件或程序机制,记录信息系统中使用受保护信息的活动。

· 完整性

建议以电子机制来确认受保护信息是否被以未授权的方法修改或销毁。

·个人和机构认证

应有相关程序,以确认接触的个人和机构确实为本人。

·传输安全

CE应采取相关安全措施,避免未经授权的者透过电子传输网络接触电子受保护健康信息。具体提出二项建议。

·完整性:采取安全措施,确保电子传输的受保护信息无法在未经察觉下被不当修正。

·加密:必要时,采取机制对所传输的受保护信息进行加密。

中国相关规范介绍

不论在个人信息安全还是个人健康信息安全领域,我国都没有一部相关的法律,与信息安全的法律规定主要分散在《网络安全法》等法规中,条款的规定相较于国外法律条款略显粗犷,缺乏系统性。2017年12月29日正式发布,2018年5月1日实施的GB/T 35273-2017《信息安全技术个人信息安全规范》是一部相对较完善的个人信息安全规范,从个人信息的收集、保存、使用、共享、转让、公开披露等环节出发,提出了保护个人信息安全应遵循的原则和安全要求。

78.jpg

目前该规范只是一个国家推荐标准,暂未上升到法律法规层面,考虑到其专业性以及未来可能对个人信息安全领域专业法规产生的影响,我们对该标准进行了以下研究。

关于个人信息的定义:

国标中将“个人信息”定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。”“个人敏感信息”定义为“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。”同时,对这两种信息举例说明,对判定某项未举例的信息是否属于个人信息或个人敏感信息有了明确的定义。

个人信息安全基本原则:

a.  权责一致原则:对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任。

b.  目的明确原则:具有合法、正当、必要、明确的个人信息处理目的。

c.  选择同意原则:向个人信息主体明示个人信息处理目的、方式、范围、规则等,征求其授权同意。

d.  最少够用原则:除与个人信息主体另有约定外,只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时根据约定删除个人信息。

e..公开透明原则:以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督。

f.  确保安全原则:具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段,保护个人信息的保密性、完整性、可用性。

g.  主体参与原则:向个人信息主体提供能够访问、更正、删除其个人信息,以及撤回同意、注销账户等方法。

HIPAA和国标的相似点:

a. 基本原则相似:中美在针对信息安全相关的基本原则上有很大程度的相似,比如选择同意原则、最少够用(最小必要)原则。

b. 明确个人有权获得自己的个人信息:HIPAA及其相关法案中明确规定患者有获得 PHR 的权利;国标指出数据主体可以访问个人信息。

c. 明确个人有权修改或删除个人信息:HIPAA及其相关法案中明确规定患者有权修改 PHR 中个人输入的信息;国标指出个人信息主体拥有更正、删除、撤回同意和注销账户的权利。

d. 个人有权清晰知晓个人健康医疗信息被披露和使用的内容、目的及主体:HIPPA 隐私规则中明确授权书中必须包括以上内容并清晰告知患者;国标文件在隐私政策中与HIPAA有着相似的规定,并且在资料性附录中给出了隐私政策的模版供参考。

e. 个人有权不受阻碍的向另一个医疗机构传输个人健康医疗信息:HIPAA及其相关法案中明确规定个人有权下载和传输个人 PHR;国标则规定根据个人信息主体的请求下,信息控制者应提供含有个人基本资料、个人身份信息、个人健康生理信息、个人教育工作信息等信息副本给个人信息主体或者直接传给第三方。

国标相较于HIPAA的差别:

a. 国标是针对个人信息安全的规范标准,并未上升到法律层面,且仅适用于个人信息范围,而HIPAA则是针对于医疗环境下的一项法规,国标专业性和细致性都与HIPAA存在较大差距。

b. 关于数据脱敏在HIPAA中明确写出,包括专家决定原则和避风港原则等,但是在国标规范中仅对“匿名化 anonymization”给出了定义:“通过对个人信息的技术处理,使得个人信息主体无法被识别,且处理后的信息不能被复原的过程”,并未对如何具体进行匿名化作出要求。

c. 在安全规则上,HIPAA相较于国标规范规定更加细致,国标仅从安全事件处置和组织管理角度来初步明确相关要求,而HIPAA则从管理、物理和技术三个角度,更加专业的从医疗健康数据的方向明确了安全规则的要求。

相关建议

通过对比HIPAA和我国国标文件,我们从个人健康信息的隐私安全角度,对我国的相关法律法规提出以下几点建议:

1、加快制定《个人信息安全法》,明确个人信息安全的重要性,进一步确定个人健康信息的定义,并且在保证个人信息安全的基础上就个人健康信息制定出更加专业和细致的法律法规。

2、规范数据脱敏的使用方法和要求,切实保障个人健康大数据的形成以及更有意义和规范化地利用。

3、制定明确的奖惩机制,推进信息控制者、数据拥有者以及第三方机构在个人健康数据储存和共享上隐私安全的规范化。

4、结合区块链等新技术在个人健康信息安全上的应用,提高相关法律法规的系统性和前瞻性。

来源:OMAHA联盟
版权声明:
本网站所有注明“来源:梅斯医学”或“来源:MedSci原创”的文字、图片和音视频资料,版权均属于梅斯医学所有,非经授权,任何媒体、网站或个人不得转载,授权转载时须注明“来源:梅斯医学”。本网所有转载文章系出于传递更多信息之目的,且明确注明来源和作者,不希望被转载的媒体或个人可与我们联系,我们将立即进行删除处理。同时转载内容不代表本站立场。
在此留言
小提示:本篇资讯需要登录阅读,点击跳转登录

相关推荐

移动应用
medsci.cn © 2020