通過比較美國和中國在隱私安全方面的法律條款,我們將對國內個人健康隱私安全法律法規(guī)的制定提出建議。
OMAHA的第九期《“當歸”個人健康檔案項目白皮書》中對于個人健康檔案有著明確定義,其中個人健康信息分為兩個部分,電子病歷信息(Electronic Medical Record, EMR)和患者產(chǎn)生型健康醫(yī)療數(shù)據(jù)(Patient Generated Health Data, PGHD)。
對患者而言,個人健康信息屬于敏感信息,在儲存、使用和共享等方面有著嚴格的隱私安全要求。通過比較美國和中國在隱私安全方面的法律條款,我們將對國內個人健康隱私安全法律法規(guī)的制定提出建議。
HIPAA及其相關法案介紹
美國關于隱私安全的立法較早,1974年即通過《隱私權法》(The Privacy Act),保護公民個人信息的隱私權。1996年,美國通過《健康保險攜帶與責任法》(Health Insurance Portability and Accountability Act, HIPAA),2003年HIPAA中的隱私規(guī)則(Privacy Rule)和安全規(guī)則(Sercurity Rule)生效。在隨后幾年,HIPAA相關補充法案進一步發(fā)布,美國形成了一整套針對個人健康信息的隱私安全法律保護體系。
一、隱私規(guī)則(Privacy Rule):
a. 相關概念:
· 受保護的健康信息(Protected Health Information,PHI)
HIPAA 提出“受保護的健康信息”(ProtectedHealth Information,PHI),其定義為:由適用主體或其商業(yè)伙伴持有或傳輸?shù)囊钥陬^、書面和電子等任何形式或媒體存在的可識別的個人健康信息。
· 可識別的個人健康信息(Individually Identifiable Health Information)
可識別的個人健康信息是健康信息的一個子集,是指個人過去,目前和未來的生理和心理健康狀況、醫(yī)療護理狀況及與醫(yī)療護理相關的支付信息,并且這些信息至少包含法律規(guī)定的能夠識別出個人的 18 項身份識別信息中的一項。
· 適用主體(Covered Entity,CE)
定義中的適用主體是指三種受到 HIPAA 約束的法律實體,分別是醫(yī)療健康服務提供方、保險提供方和數(shù)據(jù)清洗公司。
· 商業(yè)伙伴(Business Associate,BA)
定義中的商業(yè)伙伴是指通過CE獲得患者PHI的第三方機構,此概念是2013年HITECH Omnibus rule 生效后加入的,法案中要求BA與CE受相同的法律準則。法律條文中對 BA 提供的服務進行了舉例,其中包括:
· 職能服務:健康數(shù)據(jù)分析、處理和管理;保險申訴處理和管理;質量管理;醫(yī)保報銷等;
· 其他服務:法務;審計;會計;咨詢;數(shù)據(jù)采集;行政管理;認證和投資等。
b. 個人信息權:
HIPAA定義了患者的個人信息相關的權利,包括限制個人信息使用權、申請獲取個人信息的權利、更正權、個人信息使用情況知情權等。其中申請獲取的權利包括查閱和復制權利。
c. 第一次服務前告知:
此條款規(guī)定,在首次使用PHI之前必須告知患者本人,告知內容包括使用和披露PHI的方式,患者的權利以及CE的法律責任等。同時也規(guī)定告知用語必須通俗易懂,電子形式告知要符合要求等。
d. 使用前需患者授權同意的情況:
此條款例舉了兩種情況,包括需要患者一般授權同意和特殊授權同意。當CE為了制作內部的索引或者告知患者家人病情時,只需要患者一般授權同意,并且可以口頭告知;而當CE使用心理診斷記錄或者利用患者PHI獲取經(jīng)濟利益時,則需要患者進行特殊授權,且授權形式必須是書面通俗語言,具體內容如使用機構名稱、使用目的、結束日期、患者有撤回同意權等。
e. 使用前無需患者授權同意的情況:
為患者治療、支付和健康照顧相關的目的使用患者的PHI無需患者授權同意,即無需每次在治療前都經(jīng)過患者的授權同意,包括患者轉診后,轉診后的醫(yī)院可不經(jīng)患者授權獲得其個人信息。
此條款還例舉了諸多無需患者同意授權的情況,包括法律規(guī)定、政府特殊需要、勞工保險、健康監(jiān)督和公共健康活動等。
同時關于個人健康數(shù)據(jù)在科研領域的使用也可以在未經(jīng)患者授權同意的條件下進行,但前提是CE必須得到機構審查委員會(Institutional Review Board)等相關隱私委員會的同意(privacy board)。
f. 特殊情況:
· 最小必要原則:
CE在向外提供PHI時,必須遵循最小必要原則(MinimumNecessary),即能不披露盡量不披露,以治療為目的的披露、向患者本人的披露和依據(jù)患者意愿的披露例外。
· 脫敏數(shù)據(jù):
CE可以將脫敏后的數(shù)據(jù)(De-Identified Information)提供給第三方,脫敏必須符合專家決定原則或者避風港原則。專家決定原則是指由行業(yè)內的相關專家決定哪些信息必須去除并且提供書面分析結果;避風港原則是指18項能夠識別出個人的關鍵信息必須要去除。
18項身份識別信息如下:
· 姓名;
· 小于省級的地址,包括街道,城市,地區(qū)和三位以后的郵編;
· 除年份以外與個人相關的日期,包括(生日、進院日、出院日、死亡日期、超過 89 歲的年齡);
· 電話號碼;
· 車輛登記號碼、車牌號碼;
· 醫(yī)療器械標識號和序列號;
· 傳真號碼;
· 電子郵件;
· URL;
· 社保號碼;
· IP 地址;
· 病歷編號;
· 指紋等生物標記信息;
· 醫(yī)療保險號碼;
· 正面全臉照片;
· 銀行賬戶號碼;
· 證件號碼(身份證、駕照等);
· 任何其他可用于識別的編碼或特征
· 有限數(shù)據(jù)集(limited data sets):
有限數(shù)據(jù)集和避風港原則類似,是指刪除特定信息后的PHI,相較于避風港原則,其要求更加寬松,允許保留生日,地址中的市、州和郵政編碼和其他相關的識別特征。
二、安全規(guī)則(Security Rule):
安全規(guī)則是針對隱私規(guī)則中以電子形式存儲和傳輸?shù)腜HI,HIPAA將其定義為“受保護的電子健康信息”(Electronic Protected Health Information, ePHI),安全規(guī)則分為必選規(guī)則和推薦規(guī)則,其中必選規(guī)則是CE和BA必須遵循的安全規(guī)則,共13條;推薦規(guī)則則是CE和BA可以根據(jù)自身的情況決定是否采納,其中不采納的規(guī)則需要說明理由并且采取其他的保障措施。安全保護措施具體可分為管理保護、物理保護、技術保護三個方面。
a. 管理保護(Administrative Safeguards)
管理保護中要求CE必須遵循信息安全管理程序,具體可以分為風險分析、風險管理、懲罰政策和信息系統(tǒng)日志審查四個必選項。同時還包括CE需在員工中指定一人擔任信息安全官,建立獨立的健康照顧統(tǒng)計清算中心以防部門內部的信息泄漏、信息安全事件管理程序,突發(fā)事件應變計劃和商業(yè)伙伴協(xié)議管理等。
b. 物理保護(Physical Safeguards)
物理保護則是對電子系統(tǒng)、設備和資料,設置保護機制,使其不受環(huán)境風險和未授權人的訪問和攻擊。主要包括設施的接觸管制,工作站的使用和信息安全規(guī)則,設備和媒體的管控等。
c. 技術保護(Technical Safeguards)
技術保護是指通過軟件等技術手段來保護ePHI,主要分為以下幾個方面:
· 接觸管制
根據(jù)信息接觸管理相關政策決定不同對象的權限后,以軟件程序的方式執(zhí)行每個對象的權限,具體包括四個方面:
· 個人賬號(必要性):應要求每人登入其姓名和編號,以確認并追蹤其使用。
· 緊急接觸程序(必要性):在緊急情況下,建立相關程序,開放可接觸必要的受保護信息。
· 自動注銷(建議性):超過預計的時間或一段時期沒有動作后,建議其自動注銷。
· 加密和解密(建議性):對受保護信息執(zhí)行加密和解密。
· 監(jiān)視控制
CE應設計硬件、軟件或程序機制,記錄信息系統(tǒng)中使用受保護信息的活動。
· 完整性
建議以電子機制來確認受保護信息是否被以未授權的方法修改或銷毀。
· 個人和機構認證
應有相關程序,以確認接觸的個人和機構確實為本人。
· 傳輸安全
CE應采取相關安全措施,避免未經(jīng)授權的者透過電子傳輸網(wǎng)絡接觸電子受保護健康信息。具體提出二項建議。
· 完整性:采取安全措施,確保電子傳輸?shù)氖鼙Wo信息無法在未經(jīng)察覺下被不當修正。
· 加密:必要時,采取機制對所傳輸?shù)氖鼙Wo信息進行加密。
中國相關規(guī)范介紹
不論在個人信息安全還是個人健康信息安全領域,我國都沒有一部相關的法律,與信息安全的法律規(guī)定主要分散在《網(wǎng)絡安全法》等法規(guī)中,條款的規(guī)定相較于國外法律條款略顯粗獷,缺乏系統(tǒng)性。2017年12月29日正式發(fā)布,2018年5月1日實施的GB/T 35273-2017《信息安全技術個人信息安全規(guī)范》是一部相對較完善的個人信息安全規(guī)范,從個人信息的收集、保存、使用、共享、轉讓、公開披露等環(huán)節(jié)出發(fā),提出了保護個人信息安全應遵循的原則和安全要求。
目前該規(guī)范只是一個國家推薦標準,暫未上升到法律法規(guī)層面,考慮到其專業(yè)性以及未來可能對個人信息安全領域專業(yè)法規(guī)產(chǎn)生的影響,我們對該標準進行了以下研究。
關于個人信息的定義:
國標中將“個人信息”定義為“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息。”“個人敏感信息”定義為“一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全,極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。”同時,對這兩種信息舉例說明,對判定某項未舉例的信息是否屬于個人信息或個人敏感信息有了明確的定義。
個人信息安全基本原則:
a.權責一致原則:對其個人信息處理活動對個人信息主體合法權益造成的損害承擔責任。
b.目的明確原則:具有合法、正當、必要、明確的個人信息處理目的。
c.選擇同意原則:向個人信息主體明示個人信息處理目的、方式、范圍、規(guī)則等,征求其授權同意。
d.最少夠用原則:除與個人信息主體另有約定外,只處理滿足個人信息主體授權同意的目的所需的最少個人信息類型和數(shù)量。目的達成后,應及時根據(jù)約定刪除個人信息。
e.公開透明原則:以明確、易懂和合理的方式公開處理個人信息的范圍、目的、規(guī)則等,并接受外部監(jiān)督。
f.確保安全原則:具備與所面臨的安全風險相匹配的安全能力,并采取足夠的管理措施和技術手段,保護個人信息的保密性、完整性、可用性。
g. 主體參與原則:向個人信息主體提供能夠訪問、更正、刪除其個人信息,以及撤回同意、注銷賬戶等方法。
HIPAA和國標的相似點:
a.基本原則相似:中美在針對信息安全相關的基本原則上有很大程度的相似,比如選擇同意原則、最少夠用(最小必要)原則。
b.明確個人有權獲得自己的個人信息:HIPAA及其相關法案中明確規(guī)定患者有獲得 PHR 的權利;國標指出數(shù)據(jù)主體可以訪問個人信息。
c.明確個人有權修改或刪除個人信息:HIPAA及其相關法案中明確規(guī)定患者有權修改 PHR 中個人輸入的信息;國標指出個人信息主體擁有更正、刪除、撤回同意和注銷賬戶的權利。
d.個人有權清晰知曉個人健康醫(yī)療信息被披露和使用的內容、目的及主體:HIPPA 隱私規(guī)則中明確授權書中必須包括以上內容并清晰告知患者;國標文件在隱私政策中與HIPAA有著相似的規(guī)定,并且在資料性附錄中給出了隱私政策的模版供參考。
e.個人有權不受阻礙的向另一個醫(yī)療機構傳輸個人健康醫(yī)療信息:HIPAA及其相關法案中明確規(guī)定個人有權下載和傳輸個人 PHR;國標則規(guī)定根據(jù)個人信息主體的請求下,信息控制者應提供含有個人基本資料、個人身份信息、個人健康生理信息、個人教育工作信息等信息副本給個人信息主體或者直接傳給第三方。
國標相較于HIPAA的差別:
a. 國標是針對個人信息安全的規(guī)范標準,并未上升到法律層面,且僅適用于個人信息范圍,而HIPAA則是針對于醫(yī)療環(huán)境下的一項法規(guī),國標專業(yè)性和細致性都與HIPAA存在較大差距。
b.關于數(shù)據(jù)脫敏在HIPAA中明確寫出,包括專家決定原則和避風港原則等,但是在國標規(guī)范中僅對“匿名化 anonymization”給出了定義:“通過對個人信息的技術處理,使得個人信息主體無法被識別,且處理后的信息不能被復原的過程”,并未對如何具體進行匿名化作出要求。
c.在安全規(guī)則上,HIPAA相較于國標規(guī)范規(guī)定更加細致,國標僅從安全事件處置和組織管理角度來初步明確相關要求,而HIPAA則從管理、物理和技術三個角度,更加專業(yè)的從醫(yī)療健康數(shù)據(jù)的方向明確了安全規(guī)則的要求。
相關建議
通過對比HIPAA和我國國標文件,我們從個人健康信息的隱私安全角度,對我國的相關法律法規(guī)提出以下幾點建議:
1、加快制定《個人信息安全法》,明確個人信息安全的重要性,進一步確定個人健康信息的定義,并且在保證個人信息安全的基礎上就個人健康信息制定出更加專業(yè)和細致的法律法規(guī)。
2、規(guī)范數(shù)據(jù)脫敏的使用方法和要求,切實保障個人健康大數(shù)據(jù)的形成以及更有意義和規(guī)范化地利用。
3、制定明確的獎懲機制,推進信息控制者、數(shù)據(jù)擁有者以及第三方機構在個人健康數(shù)據(jù)儲存和共享上隱私安全的規(guī)范化。
4、結合區(qū)塊鏈等新技術在個人健康信息安全上的應用,提高相關法律法規(guī)的系統(tǒng)性和前瞻性。
京公網(wǎng)安備 11010502049343號