查看原文
其他

医疗健康数据(1)美国健康数据保护法律框架及其演变

数据信任与治理 数据信任与治理
2024-09-16

随着技术的进步,医疗健康行业发生了深刻变化,从传统的纸质记录到现在的电子健康记录(EHR)、移动健康应用和人工智能(AI)工具的广泛应用,这同时也医疗健康数据的管理和保护带来了前所未有的挑战。
作为医疗健康数据系列的第一篇,本文将全面绘制美国健康数据保护的法律框架及其发展历程,以期更好地理解现行法规如何应对不断变化的技术环境,并展望未来在医疗健康数据治理中可能面临的挑战。













1970年代和1980年代:奠定基础

美国健康数据保护的历程始于1970年代和1980年代。当时,美国并没有针对健康数据进行专门立法,而是产生了一些基础性的隐私保护法律。由于当时健康信息的数字化处理尚未普及,这些法律并没有明确涉及数字记录(digital records),但依旧对后来的健康数据专门立法产生了影响。

1974年《隐私法》(The Privacy Act of 1974)
该法案规范了联邦机构系统中关于个人可识别信息的收集、维护、使用和传播。

1973年《健康维护组织法》(Health Maintenance Organization Act of 1973)
虽然该法案主要目的是为健康维护组织(HMO)的建立提供联邦认可、认证和援助,但它同时也为HMO的医疗记录保存设定了标准。

1990年代至今——HIPAA及其扩展

1990年代是美国健康数据保护的关键时期,1996年《健康保险携带和责任法案》(Health Insurance Portability and Accountability Act,“HIPAA”)的颁布标志着这一时代的到来。

HIPAA最初的主要目的是帮助人们在换工作期间保持医疗保险的有效性,简化医疗通信,并减少医疗欺诈和滥用。随着电子记录日益普及,HIPAA在2000年代得到了扩展,以全面满足美国对健康数据隐私和安全标准的需求。

“隐私规则”(Privacy Rule):隐私规则是在HIPAA颁布后引入的,于2000年12月最终确定,并于2003年4月生效。它通过规范被覆盖实体如何使用和披露受保护的健康信息(PHI)来建立保护个人可识别健康信息的全国标准。

“安全规则”(Security Rule):作为隐私规则的补充,安全规则于2003年最终确定,并于2005年实施。它通过规定一系列组织、物理和技术保障措施,为覆盖实体确保电子受保护健康信息(ePHI)的机密性、完整性和可用性设定了全国标准。

这些发展反映了在加强和扩展健康数据保护监管框架方面的重大转变,既应对了数字和电子健康记录系统带来的机遇,也应对了其带来的脆弱风险。

HIPAA的重要性在于,它不像早期更为零散的立法,提供了一个涵盖整个医疗行业的数据保护综合框架,影响了医疗服务提供者、保险提供者和第三方。

电子健康记录(EHR)

在很大程度上,电子健康记录(EHR)及其相应基础设施的在美国的普遍采用和发展受到了政府激励和相关法规的影响。

2009年,作为《美国复苏与再投资法案》(American Recovery and Reinvestment Act)的一部分颁布的《健康信息技术经济与临床健康法案》(The Health Information Technology for Economic and Clinical Health Act,“HITECH”)标志着这一演变的关键点。在该法案颁布之前,只有9%的医院采用了EHR。而在2021年,这一数字已增加到96%。

HITECH法案为医疗服务提供者采用和使用EHR系统引入了数十亿美元的大量财政激励。它还规定了从2015年开始对未能证明EHR有意义使用的Medicare提供者的处罚。这种胡萝卜加大棒的方法促使EHR采用率在十年内迅速提高。HITECH法案还通过更新HIPAA安全和隐私规则,解决了与EHR传输相关的额外隐私和安全问题。

【Medicare 是针对65岁及以上人员以及一些65岁以下有特定残疾或疾病的人员的联邦健康保险。】

美国的EHR基础设施主要由私人服务提供商提供。美国联邦政府(特别是通过国家健康信息技术协调办公室)的倡议在制定标准、法规以及提供资金和激励措施方面发挥了重要作用,但EHR系统的实际开发和维护主要由私人公司负责。

这些私人EHR提供商设计、构建和支持医疗机构用来管理患者数据的软件和系统。该领域的主要公司包括Epic Systems、Cerner Corporation和Allscripts等。这些公司在一个充满活力的市场中竞争,提供符合政府认证标准的EHR解决方案,以确保其系统支持如电子处方、电子健康信息交换等使用功能,以提高医疗质量和提供临床决策支持。

然而,这一过程并非没有挑战:EHR系统的成本、集成的复杂性、互操作性、隐私和安全问题以及医疗服务提供者由于破坏既有工作流程而在初期产生的抵制,都减缓了HER采用进展。为此,美国进一步开展了系列立法行动,继续优化EHR采用的环境。例如,对HITECH法案的修改以及2015年《医疗保险接入和儿童健康保险计划重新授权法案》(Medicare Access and CHIP Reauthorization Act of 2015,“MACRA”)的引入,帮助简化了EHR要求,并进一步将EHR的使用整合到更广泛的医疗质量和报销机制中。

直至今日,不同EHR系统之间的互操作性以及监管合规负担等持续存在的问题依然在影响全面实现统一数字健康记录系统。尽管如此,这些法律和相应的EHR基础设施的发展无疑已经改变了医疗实践,具有改善临床结果、患者管理和数据分析的潜力。

州健康隐私法

在美国,州隐私法与联邦法规(如HIPAA)共同运作,以管理个人健康信息的保护。虽然HIPAA设定了全国标准,但各州可以制定更严格的隐私保护措施。许多美国州都制定了适用于健康信息的隐私法,还有一些州法律专门规制健康数据,如加利福尼亚州的《医疗信息保密法》(Confidentiality of Medical Information Act,“CMIA”)。

这些州特定的法律通常规定了HIPAA中的漏洞或适应当地的优先事项和关注点,但同时导致医疗服务提供者必须应对一系列不同的法规:医疗机构不仅要遵守HIPAA,还要遵守其经营所在州法律的各种要求,这意味着他们的合规工作更加复杂。

应对挑战:移动和数字健康


随着技术的进步,移动健康应用、远程医疗和人工智能在医疗保健中的整合确实带来了复杂的挑战,特别是在隐私和现有法规(如HIPAA)的应用方面。


移动健康应用和HIPAA

通常情况下,开发和运营移动健康应用的实体性质不在HIPAA的直接管辖范围内。HIPAA专门适用于受覆盖实体(如医生、医院和健康计划)及其业务伙伴,而许多移动健康应用开发商不属于这些类别:他们既不是医疗服务提供者、计划,通常也没有与这些受覆盖的实体建立正式关系。

这个漏洞可能导致这些应用可能在未遵循HIPAA严格的隐私和安全保护要求的情况下,收集、存储并可能共享敏感的健康信息。例如,一个从消费者那里直接收集健康数据并利用这些信息进行性能指标或健康建议的健身追踪应用,并不一定在进行HIPAA所涵盖的交易(如向保险公司收费或与医生交换健康信息)。在没有HIPAA约束的情况下,这些应用的数据处理实践可能差异很大,可能不需要像受HIPAA覆盖实体那样严格保护用户数据。

医疗中的人工智能和机器学习

在医疗中使用人工智能和机器学习提出了一系列与数据使用、患者同意和潜在偏见相关的复杂问题。

AI系统通常需要大型数据集来训练可以进行预测或辅助诊断的算法。这些数据集可能包含大量的个人健康数据。在HIPAA下,这些数据的使用受到严格监管;然而,AI系统的复杂性可能使合规变得更加复杂。例如,获取患者同意将他们的数据用于AI训练可能是一项挑战性,特别是当数据可能为研究而去识别但在某些情况下仍可能重新识别时。

此外,AI系统可能引入影响患者结果的偏见。这些偏见可能来自用于训练算法的数据,这些数据可能并不代表所有人口群体。解决这些偏见并确保AI驱动的医疗结果的公平性至关重要但很困难,因为这不仅涉及技术解决方案,还需要仔细考虑在医疗环境中部署AI的伦理影响。

美国在健康数据保护方面取得了显著进展,HIPAA及其众多附带更新已成为保护患者信息的基石。与此同时,数字时代不断带来新的挑战,数字健康记录、远程医疗和人工智能等技术的应用,要求立法者和监管者能够采取动态的隐私保护措施,既要推动创新,又要确保保护敏感的健康信息。为了应对这些挑战,健康数据保护法律需要不断演进,确保与技术进步同步,既保护患者隐私,又不抑制创新。随着医疗系统越来越依赖数字解决方案来提升患者护理和运营效率,这种平衡已变得尤为重要。

(完)

【延申阅读】

1. 医疗健康行业中个人信息去标识化的技术方案

2. 我国医疗行业数据治理路径


产品服务

01


前瞻研究

02



中心动态

03

数据信任与治理

“数据信任与治理”由下一代互联网国家工程中心运营。放眼全球数据治理前沿理论与实践进展,探索可信数据治理的中国模式,促进数据要素有序流通,释放数字经济红利。

TDG focuses on the cutting-edge theory and practice of global data governance, explores the Chinese model of trusted data governance, promotes global data flow, and fulfills the potential of the digital economy.

继续滑动看下一个
数据信任与治理
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存