□ Sara Morrison

□譯/孟佳惠 王錦濤

關(guān)于“HIPAA”，您應(yīng)該了解的第一件事是明確“HIPAA”，而不是“HIPPA”。該縮寫中只有一個“P”，而“P”并不代表“privacy”（隱私）。

“這個首字母縮寫的意思是人們編出來的。”醫(yī)療記錄平臺Ciitizen的聯(lián)合創(chuàng)始人兼首席監(jiān)管官、衛(wèi)生與公眾服務(wù)部(HHS)民權(quán)辦公室前衛(wèi)生信息隱私副主任德文·麥格勞 (Deven McGraw)表示，“通常情況下，他們認(rèn)為HIPPA是健康信息隱私保護法。然而，事實卻并非如此。”

HIPAA是美國前總統(tǒng)克林頓1996年簽署的《健康保險攜帶和責(zé)任法案》（Health Insurance Portability and Accountability Act）的縮寫。該法案是繼1974年《雇員退休收入保障法案》（“ERISA”）后，最具深遠(yuǎn)影響的法案，它對多種醫(yī)療健康產(chǎn)業(yè)都具有規(guī)范作用，包括交易規(guī)則、醫(yī)療服務(wù)機構(gòu)的識別、從業(yè)人員的識別、醫(yī)療信息安全、醫(yī)療隱私、健康計劃識別、第一傷病報告、病人識別等。

對HIPAA的誤解難消

由于習(xí)慣性的拼寫錯誤，美國人普遍認(rèn)為HIPAA為所有健康數(shù)據(jù)提供了嚴(yán)格的隱私保護。同時，由于大多數(shù)人認(rèn)為他們的健康信息非常敏感，且僅在簽署與醫(yī)療保健隱私相關(guān)的法律文件時才會遇到這項法案。因此，美國人普遍認(rèn)為他們的立法者已經(jīng)通過HIPAA設(shè)置了適當(dāng)?shù)淖o欄以對健康隱私實現(xiàn)盡可能保密。

但事實上，HIPAA的隱私規(guī)則遠(yuǎn)比他們以為的更為有限。

總部位于舊金山的社交健康公司Omada Health首席隱私和監(jiān)管官、HHS國家健康IT協(xié)調(diào)辦公室前首席隱私官露西婭·薩維奇（Lucia Savage）表示，“HIPAA擁有很廣泛的認(rèn)知度，每個人都知道它，即使他們拼錯了。不過人們不太了解它的局限性。這是一項非常具體的法律，主要用于監(jiān)管人們在尋求醫(yī)療保健時收集的信息?！?/p>

通常情況下，人們對HIPAA的誤解無傷大雅。但在疫情的“推波助瀾”下，健康隱私問題被推到了風(fēng)口浪尖。

遵循“無接觸”原則，在過去一年中，美國人已經(jīng)將許多醫(yī)療保健活動轉(zhuǎn)移到了線上進行。其中一些信息已經(jīng)不在HIPAA的保護范疇之內(nèi)了，但許多美國人還是想當(dāng)然地認(rèn)為這些醫(yī)療保健都在監(jiān)管之下。

隨著疫情變得越來越政治化，許多人以HIPAA為借口，試圖擺脫口罩強制令并宣稱疫苗護照是非法的。事實上，口罩強制令、疫苗護照等政策并不違反HIPAA法案，而且潛藏著極大的公共安全隱患。

“在新冠肺炎疫情時代，人們對HIPAA的誤解每況愈下。社交媒體上傳播的信息更是錯得離譜，但還是有很多人相信它?！丙湼駝谔岬?，認(rèn)為HIPAA僅僅是一項每個人都必須遵守的健康隱私法的看法已經(jīng)變得十分普遍，以至于現(xiàn)在有一個 Twitter賬戶來專門記錄它。

在疫情暴發(fā)幾個月后，Twitter上出現(xiàn)了一個名為“Bad HIPPA Takes”的賬戶，該名稱中的拼寫錯誤是故意暗諷那些聲稱了解法律卻弄錯縮寫詞的人。該賬戶由一位匿名的前醫(yī)療保健工作者創(chuàng)建，他表示，“我厭倦了看到有關(guān)HIPAA的大量錯誤信息，擔(dān)心這些信息可能會對公共安全造成傷害。過去一年中，最常見的民眾對HIPAA的誤解則是關(guān)于戴口罩、接觸者追蹤、強制性體溫檢查，以及疫苗護照等要求是否違反該法案。公眾對HIPAA實際適用的場景存在大量混淆。我可以盡力澄清，但真正實現(xiàn)‘全民科普’還任重道遠(yuǎn)?！?/p>

HIPAA覆蓋范圍有限

今天，我們大多數(shù)人與HIPAA聯(lián)系在一起的隱私條款實際上并不是當(dāng)時制定這項法律的重點。

“當(dāng)國會通過這項法案時，他們意識到未來健康數(shù)據(jù)將會大規(guī)模數(shù)字化，可能需要為此提供隱私保護?！丙湼駝诮榻B，HIPAA有幾個要素，包括防止衛(wèi)生保健欺詐、簡化和標(biāo)準(zhǔn)化醫(yī)療記錄的條款、稅前雇員醫(yī)療儲蓄賬戶的規(guī)則，以及確保失業(yè)或更換工作的雇員獲得持續(xù)的健康保險。目前大多數(shù)人關(guān)注的隱私規(guī)則，屬于其行政簡化部分。

HIPAA只適用于所謂的“受覆蓋實體”。這些機構(gòu)本質(zhì)上是醫(yī)療保健提供者(醫(yī)生、醫(yī)院和藥房等)、健康保險公司和處理醫(yī)療數(shù)據(jù)的醫(yī)療保健信息交換所。此外，還包括他們的“業(yè)務(wù)伙伴”，或承包商。這些機構(gòu)必須以某種方式處理醫(yī)療記錄，以為涉及的實體工作，必須遵守某些協(xié)議，以確保公民私密健康信息受到保護。

值得注意的是，醫(yī)療隱私并非始于HIPAA，而且它也不是唯一的健康隱私法。還有其他法律保護某些類型的健康信息：一些州有自己更嚴(yán)格的醫(yī)療隱私法，或者像《美國殘疾人法》(Americans With Disabilities Act)這樣的法律，要求雇主必須對雇員的殘疾相關(guān)醫(yī)療信息保密。

醫(yī)患保密的概念已經(jīng)由來已久，這是希波克拉底誓言的一部分，而非法律。信任是良好醫(yī)療服務(wù)的必要組成部分。

“如果我是醫(yī)生，你是病人，你來找我，你可能會告訴我一些真正的秘密。”薩維奇表示，“我需要知道這些才能給你正確的治療和診斷?！?/p>

與此同時，我們中的許多人將自己的健康信息免費泄露給各種平臺和人群，而這些人并沒有真正的法律義務(wù)來保護這些隱私的安全。隨著互聯(lián)網(wǎng)普及，健康信息泄露的現(xiàn)象比以往任何時候都多。

麥格勞認(rèn)為，“一般來說，當(dāng)你與官方的醫(yī)療保健系統(tǒng)進行互動時，他們受到HIPAA保護的可能性非常大。如果你用Fitbit記錄步數(shù)，或者你在使用其他營養(yǎng)或健康監(jiān)測的應(yīng)用，HIPAA則不會涵蓋這些?！?/p>

你在推特上提到預(yù)約某個心理醫(yī)生？你在Instagram上上傳自己的疫苗信息？你是Facebook上皰疹患者支持小組的成員？你手機上有經(jīng)期預(yù)測軟件？你手腕上佩戴著心率監(jiān)測器？諸如此類的行為幾乎涵蓋了你所有的健康信息，甚至是敏感信息，而HIPAA并不具備保護這些信息的能力。

此外，如果有人詢問你是否接種過疫苗，這并不違反HIPAA。事實上，任何人詢問你的健康狀況都不違反HIPAA，盡管這可能會被認(rèn)為是粗魯?shù)摹?/p>

公共場所有權(quán)要求你在進入之前出示已接種疫苗的證明；企業(yè)有權(quán)要求你接種疫苗并在你去辦公室之前出示證明；學(xué)校有權(quán)要求學(xué)生在入學(xué)前接種特定的疫苗，這些都不違反HIPAA法案。

更重要的是，疫苗護照也不違反HIPAA法案。以紐約Excelsior通行證為例，要使用它，公民是在自愿地允許應(yīng)用程序訪問其健康記錄，并且，正如應(yīng)用程序的免責(zé)聲明所明確指出的:“本網(wǎng)站并非由醫(yī)療保健提供者提供給您，因此，您并未提供受保護的醫(yī)療保健治療、支付或操作的健康信息”。

填補健康隱私法的空白

因此，HIPAA并不是像大眾所認(rèn)為的那樣，是一部“包羅萬象”的健康隱私法案。但事實表面，這樣的法律是需要的。健康隱私法目前仍留有許多空白，疫情使這一矛盾顯得尤為突出。

電子隱私信息中心(EPIC)副主任凱特里奧娜·菲茨杰拉德(Caitriona Fitzgerald)表示，“人們對自己的健康信息安全相當(dāng)在意。他們會理所當(dāng)然地認(rèn)為其會被覆蓋，因為倘若不被覆蓋是荒謬的?！?/p>

專家們則認(rèn)為，這一覆蓋范圍必須來自全面的聯(lián)邦隱私法，其中包括敏感信息的條款，如健康數(shù)據(jù)，或可能被視為敏感使用數(shù)據(jù)的條款。

菲茨杰拉德表示，“我們需要的是國會通過一項全面的隱私法，對這些公司可以使用這些數(shù)據(jù)的用途、可以保存多長時間、可以向誰披露這些數(shù)據(jù)都作出明確限制，而且不把處理這些數(shù)據(jù)的負(fù)擔(dān)加在個人身上。收集數(shù)據(jù)的公司需要承擔(dān)責(zé)任，保護這些數(shù)據(jù)，并盡量減少使用?！?/p>

“對于個別議員來說，要推進某件事，他們必須明白為什么它很重要?！彼_維奇表示，“給你的立法者發(fā)一封電子郵件說，‘我發(fā)生了這件事，我真的很擔(dān)心，它讓我對接種疫苗猶豫不決。你能解決這個問題嗎？’可能這就是一項法案誕生故事的開端?！?/p>

眾議員蘇贊·德爾本（Suzan DelBene）是在疫情期間推動更好的健康隱私保護法案的幾位議員之一，同時也作為《公共衛(wèi)生緊急隱私法案》的共同提案人之一，該法案于2020年在國會兩院提出，并于2021年初重新提出，它將保護為阻止新冠肺炎疫情而收集的數(shù)字健康數(shù)據(jù)(如通過接觸者追蹤應(yīng)用程序或疫苗預(yù)約工具)不會被政府或私人企業(yè)用于無關(guān)的目的。

德爾本表示，“HIPAA為我們的健康信息提供了一些保護，但技術(shù)的進步遠(yuǎn)比我們的法律更快。在新技術(shù)的作用下，HIPAA已經(jīng)難以滿足消費者的隱私保護需求?！豆残l(wèi)生緊急隱私法》顯示了我們?nèi)绾卧谝咔槠陂g保護消費者的信息，但我認(rèn)為我們需要更進一步，因為這個問題已經(jīng)滲透進數(shù)字生活的方方面面。”

原文發(fā)表于2021年7月30日的Recode-Vox上，原標(biāo)題為《HIPAA, the health privacy law that’s more limited than you think, explained》。

[責(zé)任編輯:張海鶯]

相關(guān)知識

隱私與安全，妥善處理你的電子健康檔案
Splashtop 合規(guī)性：GDPR、HIPAA、FERPA、SOC 2、ISO 等
電子健康檔案，保障你的醫(yī)療信息安全與隱私
美年健康隱私政策
做好健康科普，任重道遠(yuǎn)
5大醫(yī)療保健數(shù)據(jù)安全挑戰(zhàn)和數(shù)據(jù)保護技巧
健康醫(yī)療可穿戴設(shè)備數(shù)據(jù)安全與隱私保護問題研究
遠(yuǎn)程訪問合規(guī)性：關(guān)鍵標(biāo)準(zhǔn)和功能
電子病歷在美國：各種法案相伴的日子
華為運動健康拒絕數(shù)據(jù)濫用，多方位保障用戶隱私安全

網(wǎng)址: HIPAA？美國健康隱私安全任重道遠(yuǎn) http://www.u1s5d6.cn/newsview648757.html