□ Sara Morrison
□译/孟佳惠 王锦涛
关于“HIPAA”,您应该了解的第一件事是明确“HIPAA”,而不是“HIPPA”。该缩写中只有一个“P”,而“P”并不代表“privacy”(隐私)。
“这个首字母缩写的意思是人们编出来的。”医疗记录平台Ciitizen的联合创始人兼首席监管官、卫生与公众服务部(HHS)民权办公室前卫生信息隐私副主任德文·麦格劳 (Deven McGraw)表示,“通常情况下,他们认为HIPPA是健康信息隐私保护法。然而,事实却并非如此。”
HIPAA是美国前总统克林顿1996年签署的《健康保险携带和责任法案》(Health Insurance Portability and Accountability Act)的缩写。该法案是继1974年《雇员退休收入保障法案》(“ERISA”)后,最具深远影响的法案,它对多种医疗健康产业都具有规范作用,包括交易规则、医疗服务机构的识别、从业人员的识别、医疗信息安全、医疗隐私、健康计划识别、第一伤病报告、病人识别等。
对HIPAA的误解难消
由于习惯性的拼写错误,美国人普遍认为HIPAA为所有健康数据提供了严格的隐私保护。同时,由于大多数人认为他们的健康信息非常敏感,且仅在签署与医疗保健隐私相关的法律文件时才会遇到这项法案。因此,美国人普遍认为他们的立法者已经通过HIPAA设置了适当的护栏以对健康隐私实现尽可能保密。
但事实上,HIPAA的隐私规则远比他们以为的更为有限。
总部位于旧金山的社交健康公司Omada Health首席隐私和监管官、HHS国家健康IT协调办公室前首席隐私官露西娅·萨维奇(Lucia Savage)表示,“HIPAA拥有很广泛的认知度,每个人都知道它,即使他们拼错了。不过人们不太了解它的局限性。这是一项非常具体的法律,主要用于监管人们在寻求医疗保健时收集的信息。”
通常情况下,人们对HIPAA的误解无伤大雅。但在疫情的“推波助澜”下,健康隐私问题被推到了风口浪尖。
遵循“无接触”原则,在过去一年中,美国人已经将许多医疗保健活动转移到了线上进行。其中一些信息已经不在HIPAA的保护范畴之内了,但许多美国人还是想当然地认为这些医疗保健都在监管之下。
随着疫情变得越来越政治化,许多人以HIPAA为借口,试图摆脱口罩强制令并宣称疫苗护照是非法的。事实上,口罩强制令、疫苗护照等政策并不违反HIPAA法案,而且潜藏着极大的公共安全隐患。
“在新冠肺炎疫情时代,人们对HIPAA的误解每况愈下。社交媒体上传播的信息更是错得离谱,但还是有很多人相信它。”麦格劳提到,认为HIPAA仅仅是一项每个人都必须遵守的健康隐私法的看法已经变得十分普遍,以至于现在有一个 Twitter账户来专门记录它。
在疫情暴发几个月后,Twitter上出现了一个名为“Bad HIPPA Takes”的账户,该名称中的拼写错误是故意暗讽那些声称了解法律却弄错缩写词的人。该账户由一位匿名的前医疗保健工作者创建,他表示,“我厌倦了看到有关HIPAA的大量错误信息,担心这些信息可能会对公共安全造成伤害。过去一年中,最常见的民众对HIPAA的误解则是关于戴口罩、接触者追踪、强制性体温检查,以及疫苗护照等要求是否违反该法案。公众对HIPAA实际适用的场景存在大量混淆。我可以尽力澄清,但真正实现‘全民科普’还任重道远。”
HIPAA覆盖范围有限
今天,我们大多数人与HIPAA联系在一起的隐私条款实际上并不是当时制定这项法律的重点。
“当国会通过这项法案时,他们意识到未来健康数据将会大规模数字化,可能需要为此提供隐私保护。”麦格劳介绍,HIPAA有几个要素,包括防止卫生保健欺诈、简化和标准化医疗记录的条款、税前雇员医疗储蓄账户的规则,以及确保失业或更换工作的雇员获得持续的健康保险。目前大多数人关注的隐私规则,属于其行政简化部分。
HIPAA只适用于所谓的“受覆盖实体”。这些机构本质上是医疗保健提供者(医生、医院和药房等)、健康保险公司和处理医疗数据的医疗保健信息交换所。此外,还包括他们的“业务伙伴”,或承包商。这些机构必须以某种方式处理医疗记录,以为涉及的实体工作,必须遵守某些协议,以确保公民私密健康信息受到保护。
值得注意的是,医疗隐私并非始于HIPAA,而且它也不是唯一的健康隐私法。还有其他法律保护某些类型的健康信息:一些州有自己更严格的医疗隐私法,或者像《美国残疾人法》(Americans With Disabilities Act)这样的法律,要求雇主必须对雇员的残疾相关医疗信息保密。
医患保密的概念已经由来已久,这是希波克拉底誓言的一部分,而非法律。信任是良好医疗服务的必要组成部分。
“如果我是医生,你是病人,你来找我,你可能会告诉我一些真正的秘密。”萨维奇表示,“我需要知道这些才能给你正确的治疗和诊断。”
与此同时,我们中的许多人将自己的健康信息免费泄露给各种平台和人群,而这些人并没有真正的法律义务来保护这些隐私的安全。随着互联网普及,健康信息泄露的现象比以往任何时候都多。
麦格劳认为,“一般来说,当你与官方的医疗保健系统进行互动时,他们受到HIPAA保护的可能性非常大。如果你用Fitbit记录步数,或者你在使用其他营养或健康监测的应用,HIPAA则不会涵盖这些。”
你在推特上提到预约某个心理医生?你在Instagram上上传自己的疫苗信息?你是Facebook上疱疹患者支持小组的成员?你手机上有经期预测软件?你手腕上佩戴着心率监测器?诸如此类的行为几乎涵盖了你所有的健康信息,甚至是敏感信息,而HIPAA并不具备保护这些信息的能力。
此外,如果有人询问你是否接种过疫苗,这并不违反HIPAA。事实上,任何人询问你的健康状况都不违反HIPAA,尽管这可能会被认为是粗鲁的。
公共场所有权要求你在进入之前出示已接种疫苗的证明;企业有权要求你接种疫苗并在你去办公室之前出示证明;学校有权要求学生在入学前接种特定的疫苗,这些都不违反HIPAA法案。
更重要的是,疫苗护照也不违反HIPAA法案。以纽约Excelsior通行证为例,要使用它,公民是在自愿地允许应用程序访问其健康记录,并且,正如应用程序的免责声明所明确指出的:“本网站并非由医疗保健提供者提供给您,因此,您并未提供受保护的医疗保健治疗、支付或操作的健康信息”。
填补健康隐私法的空白
因此,HIPAA并不是像大众所认为的那样,是一部“包罗万象”的健康隐私法案。但事实表面,这样的法律是需要的。健康隐私法目前仍留有许多空白,疫情使这一矛盾显得尤为突出。
电子隐私信息中心(EPIC)副主任凯特里奥娜·菲茨杰拉德(Caitriona Fitzgerald)表示,“人们对自己的健康信息安全相当在意。他们会理所当然地认为其会被覆盖,因为倘若不被覆盖是荒谬的。”
专家们则认为,这一覆盖范围必须来自全面的联邦隐私法,其中包括敏感信息的条款,如健康数据,或可能被视为敏感使用数据的条款。
菲茨杰拉德表示,“我们需要的是国会通过一项全面的隐私法,对这些公司可以使用这些数据的用途、可以保存多长时间、可以向谁披露这些数据都作出明确限制,而且不把处理这些数据的负担加在个人身上。收集数据的公司需要承担责任,保护这些数据,并尽量减少使用。”
“对于个别议员来说,要推进某件事,他们必须明白为什么它很重要。”萨维奇表示,“给你的立法者发一封电子邮件说,‘我发生了这件事,我真的很担心,它让我对接种疫苗犹豫不决。你能解决这个问题吗?’可能这就是一项法案诞生故事的开端。”
众议员苏赞·德尔本(Suzan DelBene)是在疫情期间推动更好的健康隐私保护法案的几位议员之一,同时也作为《公共卫生紧急隐私法案》的共同提案人之一,该法案于2020年在国会两院提出,并于2021年初重新提出,它将保护为阻止新冠肺炎疫情而收集的数字健康数据(如通过接触者追踪应用程序或疫苗预约工具)不会被政府或私人企业用于无关的目的。
德尔本表示,“HIPAA为我们的健康信息提供了一些保护,但技术的进步远比我们的法律更快。在新技术的作用下,HIPAA已经难以满足消费者的隐私保护需求。《公共卫生紧急隐私法》显示了我们如何在疫情期间保护消费者的信息,但我认为我们需要更进一步,因为这个问题已经渗透进数字生活的方方面面。”
原文发表于2021年7月30日的Recode-Vox上,原标题为《HIPAA, the health privacy law that’s more limited than you think, explained》。