导读医疗信息的安全与隐私保护问题,目前已经成为制约我国医疗信息共享应用的重要瓶颈。重温最初发表于2013年的此文,更有借鉴意义。
医疗保健信息系统的广泛应用,不可避免地要在不同的系统之间进行数据的共享和交换。目前我国对医疗信息标准化的投入已经相当有力,但无奈标准的实际推动力度还非常弱。究其原因,一是标准关注的范围过于狭窄,没有从个人、医院、医疗保险、科研、教育、企业及其他公共医疗卫生相关机构的更大范围的实际应用需求出发;二是现有的标准研制水平较为欠缺,制定的大多是针对特定业务的卫生标准,而不是具有抽象性和普适性的信息标准;另外,还有一个很重要的原因是,相关医疗信息安全和隐私保护法律、制度建设的缺失,使得这项工作很难让企业有保障且有制约地介入,因此束缚了市场积极性的发挥。医疗信息的安全与隐私保护问题,目前已经成为制约国内医疗信息共享应用的重要瓶颈。而在这方面,美国的相关做法值得借鉴。因此,首先需要比较全面的了解美国的HIPAA法案。
HIPAA是美国前总统克林顿签署的《健康保险携带和责任法案》(Health Insurance Portability and Accountability Act)的缩写。HIPAA起源于1991年。那年,美国医疗保健和人类服务部(United States Department of Health and Human Services,HHS)组建了WEDI(The Workgroup on Electronic Data Interchange)研究电子数据的交换问题。
1992年,WEDI提交了一份关于医疗保险电子数据交换标准化的研究报告,并于1993年发表(1993 WEDI Annual Report)。1996年,克林顿政府签署了经过参议院和众议院通过的医疗保险改革法案:HIPAA/1996,Public Law 104-191。
1997年,HHS要求NCVHS(National Committee of Vital and Health Statistics)提出标准草案建议。
2000年8月,HHS公布了第一批标准和实施指南。
2000年12月,公布了个人健康信息的隐私保护标准和实施指南。
2001年5月7日,107届国会通过修正案,将标准化工作延期到2004年 10月16日,并要求联邦审计总署对HIPPA法实施及电子数据交换标准的实施效果进行评估,于2003年10月31日前向议会提交报告。
HIPAA法案分两个部分,第一部分是换工作或者失业时,为职员提供健康保险;第二部分主要是通过简化行政管理,以降低日益增长的医疗费用开支的信息管理法案。该法案适用于电子健康信息的传输与记录标准,并规定对医疗保健提供者、医疗保险提供者以及个人身份要进行唯一标识。有关医疗信息安全和隐私的条款,是HIPAA法案的重要组成。在美国所有涉及医疗保健的机构中,包括医院、保险部门、保健服务商、医疗信息转换机构(数据格式处理和结构化服务的公司)、医疗信息系统供应商、医科大学、甚至只有一个内科医生的诊室等,对任何形式的个人健康信息的存储、维护和传输,都必须严格遵循HIPAA法案的相关条款约束。 HIPAA的安全与隐私保护条款是技术中立的、可升级的。系统安全可在系统的建立、实现、监控、测试和管理过程中不断提高,并且每个环节都可采用多种工具实现,每个机构可以选择适合自身的技术和解决方案,前提是机构必须保存按照HIPAA标准要求的相关文档,并接受对这些资料和相关过程的定期复查。安全和隐私是两种不同的内容,这在中国国内经常被混为一谈。尤其是行政人员,对二者的理解就是一样的,但其实这是两种不同的内容。HIPAA将安全标准分为三类,以保护信息系统的保密性、一致性和可用性:包括管理上的防护(Administrative Safeguards),建立和落实安全的管理策略;物理设施上的防护(Physical Safeguards) 描述如何保护计算机系统实体以及相关的环境和设备要求,免受自然灾害或人为破坏;技术上的防护(Technical Safeguards) 描述技术方面对数据访问的保护和监控。
HIPAA隐私条款规定了涉及个人健康信息的内容可被组织机构所使用的信息标准,并规定了个人可以了解并控制他们的信息如何被使用和披露。美国医疗保健和人类服务部(HHS)的人权办公室负责实施和执行隐私条款,并对破坏条款的行为进行处罚。HIPAA隐私条款的目标是,既保证私人健康信息能够用于提升个体的医疗安全和质量,同时保护群体的公共健康信息免于泄露。HIPAA隐私条款努力在个人健康信息允许个体在寻求医治时信息被恰当地使用,同时避免不必要的泄露。由于美国医疗市场的多样性,该隐私条款设计覆盖面广,涵盖了健康信息有关各方的使用需求。 隐私条款适用于医疗保险中的计划信息、医疗信息转换机构、以及任何涉及健康信息以电子方式进行记录及传输的医疗保健提供者。(1)医疗保险中的计划信息:是指个人和团体为医疗护理提供和支付的医疗保健保险费用。美国有多种保险,包括健康、牙科、视力、处方药等保险,保健组织的保险,医疗保险,医疗救助,医疗保险+补充医疗保险,以及长期医疗保险等。保险也包括由雇主、政府、教会、或者多个雇主支助的计划。50人以下参与且完全有雇主管理的的医疗保险不在列入的范围,另外有两种种政府提供基金的保险计划也不在列:1)主要目标不是提供或者支付医疗保健费用目的的,如饮食券等支付的;2)主要活动是直接提供医疗服务的,如社区卫生服务中心,或者提供直接医疗的基金等。某些种类的商业保险也不在医疗保险范畴,如只提供工人的赔偿,汽车保险,财产和意外险等,(2)医疗信息转换机构:是指将从另外一个机构接受到的非标准的信息(如格式和内容)转换成为标准化的形式的信息处理服务机构。在大多数情况下,只有在需要处理保险计划时才会碰到这种情况。这种情况只有部分隐私条款适用。这样的服务机构包括计费服务、重新定价服务、社区卫生管理信息系统、增值网络和交换服务等。(3)医疗保健提供者:每一个医疗保健提供者,无论规模大小,只要涉及健康信息的电子记录传输都包括在内。这些记录与传输包括:索赔、福利资格查询、授权请求等。使用电子邮件技术并不包括在内,因为传输必须发生在建立连接的标准化传输的两端。隐私条款涵盖了所有直接使用电子技术的记录和传输,也包括了其它付费或者基于第三方的支付等各种方式。医疗保健提供者包括所有的医疗服务提供者(如医疗服务机构的供应商,如医院)及保健服务提供者(如非机构服务提供者,如内科医生、牙医和其他从业人员等)。 一般意义上,商业关联者是指与上述三种类所覆盖的医疗保健相关者发生某种类型的服务,而这项服务又涉及到个人的健康信息的服务提供者。这种服务包括索赔处理,数据分析,价值评价,和收费等。关联业务的服务仅限于法律、精算、会计、咨询、数据汇总、关联、行政、认证或者金融服务等。如果关联的服务不涉及个人健康信息的使用,则不包括在关联的商业参与者之内。关联商业参与者也包括与该关联商业参与者相关的一切关联参与者。在签订相关的商业合约时,被覆盖的主体必须以书面的形式对个人的健康信息进行保护的承诺,并不能授权给关联商业参与者任何违背隐私保护条款的内容。 保护所有能够用于识别个体身份的健康信息,这些信息不管以何种媒介存贮,如电子的,还是纸质的,还是口头的,只要责任人持有或者传播就是受隐私条款保护的。隐私条款将这样的信息称为“敏感个人健康信息PHI(protected health information)”。 可识别个体身份的健康信息包括个人的基本数据,如:过去、现在和未来的身体或精神健康状况;针对个体提供的医疗措施;过去、现在和未来的医疗支付;可识别个人的或者通过合理的推断可以辨识出个体身份信息的,或者通用的身份识别信息如:姓名,地址,出生日期,社会保障号等;个人隐私条款不适用于雇主、教育等机构在本机构范围内维护的个体健康记录。对于不可识别身份的个人健康信息是可以被应用或者披露的,这些健康信息不能通过直接的身份信息或者通过间接的推断识别出身份信息。如何使个人健康信息不可被身份识别?有两种方式可以做到:(1)只给出统计信息的群体健康信息(需要由合格的统计者来做);(2)移除个人身份信息,并移除相关的亲戚,家庭成员或者雇主的信息,确保不能通过任何剩余的信息来推断个人身份信息。基本原则:隐私条款的主要目的是避免医疗保健责任人泄露受保护的个人健康信息,这些责任人不得使用或披露个人健康信息,除非:(1)隐私法规定或者允许;(2)个人健康信息属主授权同意。
需要披露的情况:只有在两种情况下,医疗保健责任者必须披露个人健康信息:(1)个人健康信息属主(或者个人法定代理)请求查阅个人信息,或者追踪个人健康信息的披露情况;(2)美国医疗保健和人类服务部进行合规性调查或者审查或者强制执行判决的诉讼时。 允许使用和披露的情况:在个体授权的情况下,医疗保健责任者允许使用(但非必需)和披露个人健康信息:(1)针对的是个体健康信息的属主本人自己的健康信息,(2)治疗、支付以及医疗的其它操作;(3)签署同意或者反对意见书;(4)会导致泄漏的灾难事件的处理;(5)公共利益和公益活动;(6)用于研究目的的部分有限数据集的操作。针对这些情况,医疗责任者需要凭借良好的职业操守和自主判断来决定这些应用和披露。 医疗保健责任者对于任何非医疗、支付及医疗有关的操作而需要使用和披露敏感个人健康信息时必须取得个人的书面授权书。这些可能的披露如:寿险保险公司对个人健康的评估;当前雇主需要职工前一份工作中的健康体检或者实验室检验信息;或者给药厂用于市场营销的目的等的信息披露。所有的授权书必须使用通俗易懂的语言,并指出需要披露的特定信息内容,所披露信息的使用者,授权过期日期,并有权撤销此种权力的声明等信息。仅满足使用需要的最少信息原则披露敏感个人健康信息。隐私条款的核心原则是“最低限度的必要”。医疗保健责任者必须保证公开的信息量仅用于满足请求者的最低要求,能不公开的尽量不公开。最低限度原则不适用于:(4)用于美国医疗保健和人类服务部处理投诉、审查和执行诉讼的信息披露;(6)根据HIPAA规则或者行政管理条款要求的披露。
HIT专家网∣致力推进中国卫生信息化长按二维码可申请加入HIT专家网专业交流群投稿:gong_chen@HIT180.com商务合作:(010)82373062