保護個人健康醫療資料隱私安全,美國值得學習
【編者按】 近年來,國內醫療大資料領域發展迅速,但同時醫療資料的安全也引起了大家普遍關注。美國對於隱私保護的立法相對中國來說要早,那美國有哪些值得我們學習的呢?
本文來源OMAHA聯盟,作者胡冉;經億歐大健康編輯,供行業人士參考。
OMAHA的第九期《“當歸”個人健康檔案專案白皮書》中對於個人健康檔案有著明確定義,其中個人健康資訊分為兩個部分,電子病歷資訊(Electronic Medical Record,EMR)和患者產生型健康醫療資料(Patient Generated Health Data,PGHD)。
對患者而言,個人健康資訊屬於敏感資訊,在儲存、使用和共享等方面有著嚴格的隱私安全要求。通過比較美國和中國在隱私安全方面的法律條款,我們將對國內個人健康隱私安全法律法規的制定提出建議。
HIPAA及其相關法案介紹
美國關於隱私安全的立法較早,1974年即通過《隱私權法》(The Privacy Act),保護公民個人資訊的隱私權。1996年,美國通過《健康保險攜帶與責任法》(Health Insurance Portability and Accountability Act,HIPAA),2003年HIPAA中的隱私規則(Privacy Rule)和安全規則(Sercurity Rule)生效。在隨後幾年,HIPAA相關補充法案進一步釋出,美國形成了一整套針對個人健康資訊的隱私安全法律保護體系。
一、隱私規則(Privacy Rule):
a.相關概念:
· 受保護的健康資訊(Protected Health Information,PHI)
HIPAA提出“受保護的健康資訊”(ProtectedHealth Information,PHI),其定義為:由適用主體或其商業夥伴持有或傳輸的以口頭、書面和電子等任何形式或媒體存在的可識別的個人健康資訊。
· 可識別的個人健康資訊(Individually Identifiable Health Information)
可識別的個人健康資訊是健康資訊的一個子集,是指個人過去,目前和未來的生理和心理健康狀況、醫療護理狀況及與醫療護理相關的支付資訊,並且這些資訊至少包含法律規定的能夠識別出個人的18項身份識別資訊中的一項。
· 適用主體(Covered Entity,CE)
定義中的適用主體是指三種受到HIPAA約束的法律實體,分別是醫療健康服務提供方、保險提供方和資料清洗公司。
· 商業夥伴(Business Associate,BA)
定義中的商業夥伴是指通過CE獲得患者PHI的第三方機構,此概念是2013年HITECH Omnibus rule生效後加入的,法案中要求BA與CE受相同的法律準則。法律條文中對BA提供的服務進行了舉例,其中包括:
·職能服務:健康資料分析、處理和管理;保險申訴處理和管理;質量管理;醫保報銷等;
·其他服務:法務;審計;會計;諮詢;資料採集;行政管理;認證和投資等。
b.個人資訊權:
HIPAA定義了患者的個人資訊相關的權利,包括限制個人資訊使用權、申請獲取個人資訊的權利、更正權、個人資訊使用情況知情權等。其中申請獲取的權利包括查閱和複製權利。
c.第一次服務前告知:
此條款規定,在首次使用PHI之前必須告知患者本人,告知內容包括使用和披露PHI的方式,患者的權利以及CE的法律責任等。同時也規定告知用語必須通俗易懂,電子形式告知要符合要求等。
d.使用前需患者授權同意的情況:
此條款例舉了兩種情況,包括需要患者一般授權同意和特殊授權同意。當CE為了製作內部的索引或者告知患者家人病情時,只需要患者一般授權同意,並且可以口頭告知;而當CE使用心理診斷記錄或者利用患者PHI獲取經濟利益時,則需要患者進行特殊授權,且授權形式必須是書面通俗語言,具體內容如使用機構名稱、使用目的、結束日期、患者有撤回同意權等。
e.使用前無需患者授權同意的情況:
為患者治療、支付和健康照顧相關的目的使用患者的PHI無需患者授權同意,即無需每次在治療前都經過患者的授權同意,包括患者轉診後,轉診後的醫院可不經患者授權獲得其個人資訊。此條款還例舉了諸多無需患者同意授權的情況,包括法律規定、政府特殊需要、勞工保險、健康監督和公共健康活動等。
同時關於個人健康資料在科研領域的使用也可以在未經患者授權同意的條件下進行,但前提是CE必須得到機構審查委員會(Institutional Review Board)等相關隱私委員會的同意(privacy board)。
f.特殊情況:
· 最小必要原則:
CE在向外提供PHI時,必須遵循最小必要原則(MinimumNecessary),即能不披露儘量不披露,以治療為目的的披露、向患者本人的披露和依據患者意願的披露例外。
· 脫敏資料:
CE可以將脫敏後的資料(De-Identified Information)提供給第三方,脫敏必須符合專家決定原則或者避風港原則。專家決定原則是指由行業內的相關專家決定哪些資訊必須去除並且提供書面分析結果;避風港原則是指18項能夠識別出個人的關鍵資訊必須要去除。 18項身份識別資訊如下:
·姓名
·小於省級的地址,包括街道,城市,地區和三位以後的郵編
·除年份以外與個人相關的日期,包括(生日、進院日、出院日、死亡日期、超過89歲的年齡)
·電話號碼
·車輛登記號碼、車牌號碼
·醫療器械標識號和序列號
·傳真號碼
·電子郵件
·URL
·社保號碼
·IP地址
·病歷編號·指紋等生物標記資訊
·醫療保險號碼
·正面全臉照片
·銀行賬戶號碼
·證件號碼(身份證、駕照等)
·任何其他可用於識別的編碼或特徵
· 有限資料集(limited data sets):有限資料集和避風港原則類似,是指刪除特定資訊後的PHI,相較於避風港原則,其要求更加寬鬆,允許保留生日,地址中的市、州和郵政編碼和其他相關的識別特徵。
二、安全規則(Security Rule):
安全規則是針對隱私規則中以電子形式儲存和傳輸的PHI,HIPAA將其定義為“受保護的電子健康資訊”(Electronic Protected Health Information, ePHI),安全規則分為必選規則和推薦規則,其中必選規則是CE和BA必須遵循的安全規則,共13條;推薦規則則是CE和BA可以根據自身的情況決定是否採納,其中不採納的規則需要說明理由並且採取其他的保障措施。安全保護措施具體可分為管理保護、物理保護、技術保護三個方面。
a. 管理保護(Administrative Safeguards)
管理保護中要求CE必須遵循資訊保安管理程式,具體可以分為風險分析、風險管理、懲罰政策和資訊系統日誌審查四個必選項。同時還包括CE需在員工中指定一人擔任資訊保安官,建立獨立的健康照顧統計清算中心以防部門內部的資訊洩漏、資訊保安事件管理程式,突發事件應變計劃和商業夥伴協議管理等。
b. 物理保護(Physical Safeguards)
物理保護則是對電子系統、裝置和資料,設定保護機制,使其不受環境風險和未授權人的訪問和攻擊。主要包括設施的接觸管制,工作站的使用和資訊保安規則,裝置和媒體的管控等。
c. 技術保護(Technical Safeguards)
技術保護是指通過軟體等技術手段來保護ePHI,主要分為以下幾個方面:
· 接觸管制
根據資訊接觸管理相關政策決定不同物件的許可權後,以軟體程式的方式執行每個物件的許可權,具體包括四個方面:
·個人賬號(必要性):應要求每人登入其姓名和編號,以確認並追蹤其使用。
·緊急接觸程式(必要性):在緊急情況下,建立相關程式,開放可接觸必要的受保護資訊。
·自動登出(建議性):超過預計的時間或一段時期沒有動作後,建議其自動登出。
·加密和解密(建議性):對受保護資訊執行加密和解密。
·監視控制
CE應設計硬體、軟體或程式機制,記錄資訊系統中使用受保護資訊的活動。
· 完整性
建議以電子機制來確認受保護資訊是否被以未授權的方法修改或銷燬。
·個人和機構認證
應有相關程式,以確認接觸的個人和機構確實為本人。
·傳輸安全
CE應採取相關安全措施,避免未經授權的者透過電子傳輸網路接觸電子受保護健康資訊。具體提出二項建議。
·完整性:採取安全措施,確保電子傳輸的受保護資訊無法在未經察覺下被不當修正。
·加密:必要時,採取機制對所傳輸的受保護資訊進行加密。
中國相關規範介紹
不論在個人資訊保安還是個人健康資訊保安領域,我國都沒有一部相關的法律,與資訊保安的法律規定主要分散在《網路安全法》等法規中,條款的規定相較於國外法律條款略顯粗獷,缺乏系統性。2017年12月29日正式釋出,2018年5月1日實施的GB/T 35273-2017《資訊保安技術個人資訊保安規範》是一部相對較完善的個人資訊保安規範,從個人資訊的收集、儲存、使用、共享、轉讓、公開披露等環節出發,提出了保護個人資訊保安應遵循的原則和安全要求。
目前該規範只是一個國家推薦標準,暫未上升到法律法規層面,考慮到其專業性以及未來可能對個人資訊保安領域專業法規產生的影響,我們對該標準進行了以下研究。
關於個人資訊的定義:
國標中將“個人資訊”定義為“以電子或者其他方式記錄的能夠單獨或者與其他資訊結合識別特定自然人身份或者反映特定自然人活動情況的各種資訊。”“個人敏感資訊”定義為“一旦洩露、非法提供或濫用可能危害人身和財產安全,極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人資訊。”同時,對這兩種資訊舉例說明,對判定某項未舉例的資訊是否屬於個人資訊或個人敏感資訊有了明確的定義。
個人資訊保安基本原則:
a. 權責一致原則:對其個人資訊處理活動對個人資訊主體合法權益造成的損害承擔責任。
b. 目的明確原則:具有合法、正當、必要、明確的個人資訊處理目的。
c. 選擇同意原則:向個人資訊主體明示個人資訊處理目的、方式、範圍、規則等,徵求其授權同意。
d. 最少夠用原則:除與個人資訊主體另有約定外,只處理滿足個人資訊主體授權同意的目的所需的最少個人資訊型別和數量。目的達成後,應及時根據約定刪除個人資訊。
e..公開透明原則:以明確、易懂和合理的方式公開處理個人資訊的範圍、目的、規則等,並接受外部監督。
f. 確保安全原則:具備與所面臨的安全風險相匹配的安全能力,並採取足夠的管理措施和技術手段,保護個人資訊的保密性、完整性、可用性。
g. 主體參與原則:向個人資訊主體提供能夠訪問、更正、刪除其個人資訊,以及撤回同意、登出賬戶等方法。
HIPAA和國標的相似點:
a. 基本原則相似:中美在針對資訊保安相關的基本原則上有很大程度的相似,比如選擇同意原則、最少夠用(最小必要)原則。
b. 明確個人有權獲得自己的個人資訊:HIPAA及其相關法案中明確規定患者有獲得 PHR 的權利;國標指出資料主體可以訪問個人資訊。
c. 明確個人有權修改或刪除個人資訊:HIPAA及其相關法案中明確規定患者有權修改 PHR 中個人輸入的資訊;國標指出個人資訊主體擁有更正、刪除、撤回同意和登出賬戶的權利。
d. 個人有權清晰知曉個人健康醫療資訊被披露和使用的內容、目的及主體:HIPPA 隱私規則中明確授權書中必須包括以上內容並清晰告知患者;國標檔案在隱私政策中與HIPAA有著相似的規定,並且在資料性附錄中給出了隱私政策的模版供參考。
e. 個人有權不受阻礙的向另一個醫療機構傳輸個人健康醫療資訊:HIPAA及其相關法案中明確規定個人有權下載和傳輸個人 PHR;國標則規定根據個人資訊主體的請求下,資訊控制者應提供含有個人基本資料、個人身份資訊、個人健康生理資訊、個人教育工作資訊等資訊副本給個人資訊主體或者直接傳給第三方。
國標相較於HIPAA的差別:
a. 國標是針對個人資訊保安的規範標準,並未上升到法律層面,且僅適用於個人資訊範圍,而HIPAA則是針對於醫療環境下的一項法規,國標專業性和細緻性都與HIPAA存在較大差距。
b. 關於資料脫敏在HIPAA中明確寫出,包括專家決定原則和避風港原則等,但是在國標規範中僅對“匿名化 anonymization”給出了定義:“通過對個人資訊的技術處理,使得個人資訊主體無法被識別,且處理後的資訊不能被複原的過程”,並未對如何具體進行匿名化作出要求。
c. 在安全規則上,HIPAA相較於國標規範規定更加細緻,國標僅從安全事件處置和組織管理角度來初步明確相關要求,而HIPAA則從管理、物理和技術三個角度,更加專業的從醫療健康資料的方向明確了安全規則的要求。
相關建議
通過對比HIPAA和我國國標檔案,我們從個人健康資訊的隱私安全形度,對我國的相關法律法規提出以下幾點建議:
1、加快制定《個人資訊保安法》,明確個人資訊保安的重要性,進一步確定個人健康資訊的定義,並且在保證個人資訊保安的基礎上就個人健康資訊制定出更加專業和細緻的法律法規。
2、規範資料脫敏的使用方法和要求,切實保障個人健康大資料的形成以及更有意義和規範化地利用。
3、制定明確的獎懲機制,推進資訊控制者、資料擁有者以及第三方機構在個人健康資料儲存和共享上隱私安全的規範化。
4、結合區塊鏈等新技術在個人健康資訊保安上的應用,提高相關法律法規的系統性和前瞻性。
特別策劃【非公醫療100+】系列專訪與選題報道
消費升級與社會辦醫大潮下,醫美、體檢、全科診所等角色紛紛站上醫療健康行業的舞臺,它們在公立醫療機構的另一頭唱響高歌。億歐大健康頻道特別策劃【非公醫療100+】系列專訪與選題報道,聚焦民營醫院、診所、網際網路醫院、第三方獨立醫療機構和醫生集團等細分,歡迎推薦與約聊。
如果您有合適的企業推薦,請聯絡億歐大健康頻道負責人郭銘梓(微信:Lelion8742390)。
“健康中國2030”的政策定調,直接推動了萬億級市場的不斷擴張。而“促進健康服務業發展的若干意見”,也為大健康產業指明瞭方向。科學生活、健康管理、健康消費等一系列細分賽道上,不斷湧現出創新者的身影。新風口之下,如何把握機會進而彎道超車?大健康投資又該怎麼找到好專案?
2018年11月30日,北京國貿大酒店,2018億歐創新者年會【大健康創新者論壇】 特開免費報名: ofollow,noindex"> https://www.iyiou.com/post/ad/id/709