美國醫療資訊保護法規之研究 以HIPAA/HITECH之隱私規則與資安規則為中心

Presentation on theme: "美國醫療資訊保護法規之研究 以HIPAA/HITECH之隱私規則與資安規則為中心"— Presentation transcript:

1 美國醫療資訊保護法規之研究 以HIPAA/HITECH之隱私規則與資安規則為中心
雲林科技大學科技法律所 副教授楊智傑

2 壹、前言 美國並無一般性個人資料保護法 美國並不像歐洲那麼注重個資隱私

3 1996年HIPAA 國會通過的「一九九六年健康保險可攜性和責任法」（Health Insurance Portability and Accountability Act of 1996 (簡稱HIPAA)） 該法的主管機關則是「健康人類服務部」（U.S. Department of Health and Human Services ，簡稱HHS）。所謂的個人可辨識健康資訊，就是可以辨識出個人身分的健康資訊，也稱為「受保護的健康資訊」（protected health information）。

4 隱私規則和資安規則 必須在1999年8月21日以前通過資訊保護立法，結果未通過
「健康人類服務部」部長自行發布行政命令，「個人可辨識健康資訊隱私標準」(Standards for Privacy of Individually Identifiable Health Information)，簡稱隱私規則（Privacy Rule 保護電子受保護健康資訊之資安標準（Security Standards for the Protection of Electronic Protected Health Information），簡稱資安規則

5

6 2009年HITECH 2009年，美國國會又通過「美國恢復與再投資法」（American Recovery and Reinvestment Act of 2009 ），其中包含了一部份，稱為「經濟和臨床健康之健康資訊科技法」（Health Information Technology for Economic and Clinical Health Act），簡稱為HITECH法。HITECH部分修改了1996年的HIPAA法，尤其是加重違法的處罰，並新增了出現違反行為的通知程序。

7 受保護的健康資訊（protected health information，簡稱PHI）
「任何資訊、包含遺傳資訊（genetic information），不論是口頭或記錄在任何形式或媒介的資訊，其：(1) 是由健康照顧提供者、健康計畫、公共健康主管機關、雇主、壽險業者、學校或大學、或健康照顧中心所創造或收到的（created or received）資訊；且該資訊(2) 與個人過去、現在、未來的身理或心理健康或情況有關；對個人所提供的健康照顧有關；或與提供給個人之過去、現在、未來之健康照顧的帳單（payment）有關。」

8 2.被涵蓋的機構 該規則規範的對象，就是所謂的「被涵蓋的機構」（covered entity），包括健康計畫（a health plan）、健康照顧清算中心（a health care clearinghouse）和以電子形式傳輸任何與該規則所涵蓋交易有關之健康資訊的健康照提供者（a health care provider who transmits any health information in electronic form in connection with a transaction covered by this subchapter）

9 3.商業伙伴（Business Associates）
(ii) 在並非被涵蓋機構的內部單位，而像被涵蓋機構或被涵蓋機構參與的醫療照顧組織提供法律、會計、顧問、資料整理、管理、行政、認證或金融服務的人，且其所提供的服務會涉及從被涵蓋機構或被涵蓋機構的商業伙伴那取得的受保護健康資訊之揭露

10 間接要求商業伙伴遵守 在委託商業伙伴時，必須得到「滿意保證」（satisfactory assurance）。而商業伙伴或要再將其任務再委任給第四人，亦需從第四人處取得此滿意保證。 此一滿意保證必須以書面方式在「商業伙伴協議」中明訂。雖然此一規定只是在契約中要求商業伙伴對受保護健康資訊做適當地保護，但實質上該規則對於該商業伙伴協議的內容，卻詳細列出了具體的要求

11 個人資料權 （一）限制資訊使用 （二）申請取得個人資料 （三）更正權 （四）揭露資訊報告

12 （一）限制資訊使用 個人可以要求被涵蓋機構對受保護健康資訊提供隱私保護，要求被涵蓋機構，對於在治療、支付或健康照顧運作用途上，限制對其健康資訊的使用或揭露。對於此一要求，被涵蓋機關原則上並沒有接受的義務

13 （二）申請取得個人資料 個人可以要求取得（access）被涵蓋機構所掌有的個人的受保護健康資訊。
包括在現場閱覽（inspection）和複製（obtain a copy）。 雖然個人有權閱覽複製個人健康資訊，但該規則仍規定了例外情況，被涵蓋機構可以拒絕個人所提出之申請。其進一步將拒絕閱覽的情況，區分為不可申覆（unreviewable grounds for denial）和可以申覆（reviewable grounds for denial）

14 「指定記錄組」（designated record set）
由被涵蓋機構管理或提供給被涵蓋機構的一組醫療記錄：(i) 被涵蓋健康照顧提供者所保管、或提供給健康照顧提供者的有關個人的醫療紀錄或帳單紀錄；(ii) 健康計畫所保管或提供給健康計畫的登記、支付、請款決定、案件和醫療管理記錄系統；或 (iii)被涵蓋機構在作出與個人有關決策時所使用的全部或一部之紀錄

15 （三）更正權 個人可以要求被保護機構修改其錯誤的受保護健康資訊。其規定：「個人有權要求修正指定紀錄組中與個人有關的受保護健康資訊，只要該受保護健康資訊保存在該指定紀錄組中。」被涵蓋機構必須設計相關政策和程序，接受個人之要求，並且在個人提出要求後的60日內回覆，若無法在60日內回覆，可再延長30日

16 （四）揭露資訊報告 個人可以要求被涵蓋機構將六年內個人受保護健康資訊揭露的情況製作報告（accounting）
對於為了治療、支付、健康照顧運作而為的揭露，並不需要列於報告中。 此報告中，須包括取得該資訊之人或機構的姓名、地址（若有）、取得日期、該揭露資訊的摘要，以及揭露目的之摘要（需可看出其揭露之理由）

17 四、不須經過告知及同意即可利用和揭露的情形
三、事前告知 （一）僅需事前告知之情形 （二）需要得到特別授權才可利用和揭露之情形 （三）利用前需告知並且給予同意與否之機會的情形 四、不須經過告知及同意即可利用和揭露的情形 12種例外

18 （一）僅需事前告知之情形 該規則規定，在使用和揭露「受保護健康資訊」前，必須曾經告知（notice）本人。其在一般性規定中規定，病患有權得到書面告知，告知內容包括1.被涵蓋機構未來會對受保護健康資訊所做的使用和揭露方式，2.個人的權利，3.被涵蓋機構對受保護健康資訊所負的法律責任

19 不須得到同意 此一書面告知並不需要得到病患同意（consent）。
對受保護健康資訊的使用或揭露，只要是用於該規則所定義的治療（treatment）、支付（payment）、健康照顧運作（health care operations），可以（may）先取得病患同意 只要出於此三項目的之使用，其實可免於得到同意而直接使用或揭露

20 （二）需要得到特別授權 （authorization）才可利用和揭露之情形
1.心理診斷筆記之使用（Psychotherapy notes） 2.行銷用途（marketing） 3.販售受保護健康資訊

21 （三）利用前需告知並且給予同意與否之機會的情形
1.被涵蓋機構為了製作機構內的索引而利用 2.為了告知親密家人該病人的情況。

22 四、不須經過告知及同意即可利用和揭露的情形
1.基於法律之要求之使用和揭露（Uses and disclosures required by law） 2.為了公共健康活動之使用和揭露（Uses and disclosures for public health activity） 3.濫用、遺棄、家庭暴力受害者之通報（Disclosures for victims of abuse, neglect or domestic violence） 4.健康監督活動所需（Uses and disclosures for health oversight activities）

23 5.司法和行政程序之揭露（Disclosures for judicial and administrative proceedings）
6.基於法律執行而揭露（Disclosures for law enforcement purposes） 7.對死亡者的資訊之使用與揭露（Uses and disclosures about decedents） 8.為了死後器官捐贈之使用和揭露（Uses and disclosures for cadaveric organ, eye or tissue donation purposes）

24 9.基於研究目的而使用和揭露 被涵蓋機構基於研究之目的，若得到聯邦法規所設之機構審查委員會（Institutional Review Board）之審查同意，或者其他符合該規則所組成的隱私委員會（privacy board）經其同意，撤除（waiver）特別授權之要求，則可使用和揭露受保護健康資訊。

25 10.避免嚴重健康安全危害之使用和揭露（Uses and disclosures to avert a serious threat to health or safety）
11.為了特殊政府功能而使用和揭露（Uses and disclosures for specialized government functions） 12.為了勞工保險而揭露（Disclosures for workers' compensation.

26

27 五、資訊之特殊規定 （一）最小必要原則 「當使用或揭露受保護健康資訊時，或向他人要求提供受保護健康資訊，或向另一受涵蓋機構索取受保護健康資訊，一受涵蓋機構必須作出合理努力，限制該受保護健康資訊是達到該使用、揭露、索取之目的的最小必要範圍。

28 （二）去連結資訊（De-Identified Information）
包括無法識別出個別的健康資訊，且沒有合理理由相信該資料可以被用來識別出個人，就屬於去連結的受保護健康資訊。而具體的判斷標準如下：(1) 一具有統計學與科學背景、且知道如何將資料去連結的專家認定，該資訊被取得者得到後，將其單獨或與其他合理方法可取得的資訊結合，只有非常小的風險，可以識別出該資訊所屬之個人，且(2)該專家提供他的書面分析

29 六、機構內部要求 被涵蓋機構，要自行發展出相關的隱私和資安政策（privacy and security policies），以避免隱私受到侵害，並讓消費者信賴健康照顧系統。被涵蓋機構必須執行其政策，以合理避免任何故意或無意的違反本規則之原則、執行細則或其他要求的利用或揭露行為。被涵蓋機構也應制定內部申訴程序，讓人民可以對機構制定的政策，或政策的執行，提出申訴。其也要求機構必須對違反隱私政策或程序、或本規則其他要求的內部員工，施加適當的懲處

30 資安規則 資安規則可區分為三種類型的資安保障（safeguard），分別是行政上（administrative）、物理空間上（physical）及科技上（technical）。每一種保障都規定了被涵蓋機構必須遵守的基本原則（general standards）。且條文中對這些基本原則，規定了執行細節（implementation specifications）。

31 一、主要義務與彈性方法 一，被涵蓋機構必須確保（ensure）所有其生產或取得之電子受保護健康資訊（Electronic Protected Health Information）之秘密性、完整性、和可得性（confidentiality, integrity, and availability）。二，其必須避免任何對電子受保護健康資訊資安的合理預期的威脅或風險。三，其必須確保任何合理預期可能違反HIPAA的對電子受保護健康資訊的利用或揭露。四，被涵蓋機構必須確保其員工遵守資安規則

32 必要（required）及建議（addressable）
必要的執行細則，被涵蓋機構就一定要執行這些政策（policies）和（procedures）。資安規則中一共有13項必要的執行細節。 建議的執行細節，則被涵蓋機構則必須評估，該規定對本身機構的環境來說是否為合理且適當的保障。如果被涵蓋機構在評估後決定不執行該建議執行細節，其必須說明理由，且在合理範圍內，採行其他相當的保障措施 A

33

34 肆、HIPAA之執法 一、違反本法之處罰 健康人類服務部下，由人權辦公室（Office for Civil Rights）負責執行隱私規則與資安規則，並可對相關機構進行調查。 2009年HITECH加重處罰 行政罰鍰（單一違反100至1萬美金不等） 刑事徒刑與罰金（一年至十年不等）

35 二、聯邦與州法之衝突 由於美國是聯邦制國家，其下有50個州，而HIPAA下之隱私規則只是聯邦行政命令，而各州也有各州的健康資訊保護法規。在HIPAA下，各州的健康資訊隱私法規，原則上，比聯邦的HIPAA保護更多時，則優先適用各州法規。因此，該規則只能說是一「最低」規範。例如，各州可能對於基因、心理健康或HIV /AIDS 資訊，提供更多的保護

36 三、2009年HITECH修正 （一）增加執法力道 （二）違反規定之通知（Breach notification） （三）對商業伙伴加重要求
（四）增加行為義務

37 （二）違反規定之通知 若發生或相信出現違反（breach）本法而將「不安全的」（unsecured）個人受保護健康資訊揭露時，被涵蓋機構應通知該個人，而商業伙伴也應通知被涵蓋機構。所謂的不安全之資訊，該法定義，乃指沒有採用健康人類服務部部長所公布之科技或方法加密之資訊

38 （三）對商業伙伴加重要求 在隱私規則部分，過去被涵蓋機構也只能透過商業伙伴契約，要求商業伙伴在契約中履行隱私規則。但若違反契約中的隱私規則，其結果只是違約並且被終止契約。而HITECH 也新增條文，將原本商業伙伴契約中列入的隱私規則義務，擴大直接適用於被涵蓋機構的商業伙伴。若商業伙伴違反這些契約中之義務，一樣會直接面對行政罰鍰與刑事責任

39 （四）增加行為義務 (1)對於那些獲得健康照顧之個人，乃全部以自己費用支付者，因而產生的資訊，該個人可以要求，不得為了支付或健康照顧運作之目的將該資訊向健康計畫透露。 (2) 當依據本法利用或揭露或他人請求提供資料時，被涵蓋機構和商業夥伴除了利用隱私規則中所謂的有限資料組外，還必須積極地認定何謂最小必要的範圍，在最小範圍內利用、揭露與提供。

40 四、實例：販售藥房處方簽 (1) 藥房在收取藥廠的對價後，直接寄信給病人的醫師，建議他們可開立別種藥物
(2) 藥房在收取對價後，藥房將去辨識後的處方簽資訊，直接寄給藥廠和資料分析公司。

41 （二）HIPAA的限制 1.私人無訴權 2.健康照顧運作 3.去連結（De-Identified）資訊 直接與病人醫師聯絡屬於健康照顧運作
提供給藥廠之資料，已經刪除個人姓名，只保留開藥醫生姓名

42 結論：美國模式特色 其並沒有規範個人資料的蒐集行為（collection），而只規範利用和揭露（use and disclosure）行為。
有一個詳細的資安規則 利用例外非常多

43 楊智傑 yangchih@yuntech.edu.tw
謝謝聆聽 楊智傑