鉴于新型冠状病毒肺炎的爆发和公共卫生紧急情况,卫生保健服务提供者和其他受1996年“《医疗保险可携带性和责任法案》(Act of 1996 and itsimplementing statutes and regulations,以下简称HIPAA)及其实施法规和条例管辖的主体正在询问在这场前所未有的疾病大流行期间,如何实施健康隐私限制。为了解决这些问题,美国卫生和公共服务部(HHS)的民权办公室(OCR)发布了多份公告(OCR公告),以确保HIPAA覆盖的实体及其业务伙伴了解在传染病或其他疾病爆发时,根据HIPAA隐私规则共享患者信息的方式,并提醒大家,在紧急情况下,隐私规则的保护措施不会被搁置。请注意,美国政府对关于新型冠状病毒的答复仍在继续发布,因此下文概述的信息可能会发生变化。
HIPAA仅适用于被覆盖的实体和业务伙伴
必须注意的是,HIPAA隐私规则仅适用于被覆盖的实体员工、志愿者或其他成员所做的披露。涵盖的实体包括医疗计划、医疗信息交换所,以及那些通过电子方式进行一个或多个受法案保护的卫生保健交易的卫生保健提供者,例如将保健要求转交给保健计划。业务伙伴一般是指代表被覆盖实体履行职能或向其提供某些服务的个人或实体(被覆盖实体的员工除外),这些实体涉及创建、接收、维护或传送受保护的健康信息。业务伙伴还包括代表其他业务伙伴创建、接收、维护或传输受保护健康信息的分包商。隐私规则不适用未被涵盖的主体所做的信息披露行为(尽管这些人或实体可以在自愿的基础上遵循隐私规则标准)。
现行HIPAA豁免
针对特朗普(Donald J.Trump)总统宣布全国范围内涉及新型冠状病毒肺炎的紧急状态,以及秘书亚历克斯 (Alex M.Azar)早些时候于2020年1月31日宣布的公共卫生紧急状态(自2020年3月15日起生效),阿扎尔部长已行使权力,放弃对违反了HIPAA隐私规则以下有限条款的一家医院的制裁和处罚:1. 应当获得病人与照顾病人的家人或朋友达成的同意意见。见45 CFR 164.510(B)。2.对选择退出设施目录的请求予以支持。见45 CFR 164.510(A)。3. 应当发布隐私惯例通知。见45 CFR 164.520。4. 病人有权要求限制隐私。见45 CFR 164.522(A)。5. 病人有权要求保密通讯。见45 CFR 164.522(B)。
这项豁免只适用于:
(1)在紧急情况下;
(2)对已经制定灾害预案的医院;
(3)医院实施其灾害预案已满72小时。
当总统或秘书的公共卫生紧急声明终止时,医院必须对仍在其照管下的任何病人遵守“隐私规则”的所有要求,即使灾害预案实施尚未满足72小时。
执行自由裁量权的通知
OCR于2020年3月17日发布了执行自由裁量权通知,该组织宣布,OCR将不对未遵守“HIPAA规则”监管要求的医疗保健服务提供者实施处罚,因为在新型冠状病毒肺炎全国公共卫生紧急事件期间,提供远程保健的服务是真诚的。OCR表示希望促进使用音频或视频电信为患者提供远程保健服务,即使与新型冠状病毒无关,并打算行使其自由裁量权,不对使用可能部分不符合HIPAA隐私和安全的规则要求的远程健康平台和非公共通信产品(例如,“无商业伙伴协议”)施加处罚。OCR鼓励服务提供商通知患者这些第三方应用可能会带来隐私风险,并指示提供者在使用这些应用程序时启用所有可用的加密和隐私模式。
OCR关于新型冠状病毒肺炎爆发期间数据共享的初步公报在相关部分提供了以下指导:
共享病人信息
治疗。根据“隐私规则”,被涵盖的实体可以在没有病人授权的情况下,根据治疗病人或治疗其他病人的需要,披露有关病人的健康信息。治疗包括一个或多个医疗服务提供者和其他人对医疗服务和相关服务的协调或管理、提供者之间的咨询以及患者的转诊。
公共卫生活动。“HIPAA隐私规则”承认,公共卫生当局和负责确保公共卫生和安全的其他机构有正当的需要获得为执行其公共卫生任务所必需的受保护的卫生信息。因此,“隐私规则”允许涵盖的实体未经个人授权披露所需的受保护健康信息:
公共卫生当局,如疾病控制和预防中心或州或地方卫生部门,经法律授权,为预防或控制疾病、伤害或残疾而收集或接收此类信息,包括疾病或伤害的报告、关于出生死亡等重大事件的报告;以及进行公共卫生监测、调查或干预。“公共卫生当局”是美国政府、一个州、或地区的政治分支机构或负责公共卫生事务的机构或当局,也包括根据公共卫生机构的授权或合同行事的个人或实体。例如,被覆盖的实体可根据需要不断向疾控中心披露受保护的健康信息,以报告所有以前和未来接触或怀疑或确认患有新型冠状病毒肺炎的患者的病例。
向与公共卫生当局合作的外国政府机构发出通知应当在公共卫生当局的指导下进行。
患者有传播疾病的风险或经州法律等其他法律授权,被覆盖实体在尽到必要通知后,可以为了控制或避免疾病传播或进行一项公共公共卫生干预活动以及调查行为而披露患者信息。
向家人、朋友和其他参与个人护理的人员披露,并通知患者,被涵盖实体可与患者的家人、亲属、朋友或其他经患者确认参与患者护理的人员共享受保护的健康信息。所涵盖的实体还可以根据需要共享有关患者的信息,以识别、定位和通知家属、监护人或负责患者护理的任何其他人,了解患者的位置、一般情况或死亡情况。这可能包括在必要时通知家庭成员和其他人、警察、新闻界或广大公众。
披露信息应获得个人口头许可,或能够合理推断患者持不反对态度;如果个人无行为能力或无法取得联系,相关机构可以共享患者信息,前提是根据其专业判断,这样做符合患者的最大利益。请注意,如上文所述,已暂时豁免有关医院须取得批准的规定。
对于失去知觉或无行为能力的患者:如果医疗服务提供者根据专业判断确定这样做符合患者的最佳利益,则医疗服务提供者可以与家人、朋友或参与患者护理或支付护理费用的其他人共享患者的相关信息。例如,提供者可以确定与患者的成年子女共享相关信息符合老年患者的最大利益,但未经许可,通常不能共享与患者病史无关的信息。
此外,有关机构可与美国红十字会等经法律或其章程授权协助救灾工作的救灾组织共享受保护的健康信息,以协调家属或其他参与患者护理的人员告知病人的位置、一般情况或死亡情况。如果取得患者的许可会干扰组织应对紧急情况的能力,则无需获得患者共享信息的许可。
披露以防止严重和迫在眉睫的威胁。根据适用法律(如州法律、法规或判例法)和医疗机构的道德行为标准,医疗机构可与任何人共享必要的患者信息,以防止或减轻对个人或公众健康和安全的严重和紧迫威胁。因此,未经患者许可,医疗机构可向任何能够预防或减轻紧迫情况的人员(包括家人、朋友、护理人员和执法人员)披露患者的健康信息。HIPAA在确定对健康和安全的威胁的性质和严重性时,明确遵从健康专业人员的专业判断。
向媒体或其他未参与患者护理/通知的人披露。一般而言,除非在本“公报”其他部分所述的有限情况下,不得未经患者书面授权(或患者合法授权的代理人所做的书面声明),向媒体或广大公众报告可识别病人的情况,或向公众或媒体披露关于可识别病人的治疗的具体信息,如特定的检查、测试结果或病人疾病的详细情况。如果病人没有反对或限制公布受保护的健康信息,相关医院或其他医疗机构可应要求披露某一特定病人的姓名,发布有限的设施目录信息,以确认一个人是该机构的病人,并可以一般性地提供关于病人状况的基本信息(例如,危重或稳定、死亡或治疗和治愈)。当病人丧失行为能力时,如果披露信息被认为符合病人的最佳利益,并且符合病人事先表达预期,相关机构也可以披露信息,
最低限度的需要。对于大多数披露,相关医疗机构必须作出合理努力,将披露的信息限制在为达到目的所需的“必要的最低限度”(最低必要要求不适用于实现为治疗目的而向医疗服务提供者披露的信息)。相关医疗机构可依赖公共卫生当局或其他公职人员的声明,即所要求的信息是达到该目的所需的最低限度,在这种情况下,这种依赖是合理的。例如,医疗机构可以依赖CDC的声明,即CDC要求的关于所有暴露于、怀疑或确认患有新型冠状病毒肺炎患者的受保护健康信息是公共健康目的所必需的最低限度信息。此外,在内部,相关主体应继续实施其基于本职的访问政策,将访问受保护的健康信息的权限限制在只有那些履行其职责所需的工作人员。
保护患者信息
在紧急情况下,相关主体必须继续实施合理的保障措施,以保护病人信息在未获得授权的情况下免遭故意或无意的使用和披露。此外,相关主体 (及其业务伙伴)必须对患者电子信息采取符合HIPAA安全规则的行政、物理和技术保障措施。
新型冠状病毒肺炎的未知领域
自1996年颁布HIPAA以来,美国从未遇到过类似新型冠状病毒肺炎这样疾病爆发。因此,OCR和被覆盖的实体从来都不需要对披露健康信息隐私进行广泛的豁免或发布公共卫生声明。目前,“HIPAA隐私和安全规则”仍一如既往地适用于大多数被覆盖的实体,除了部分医院的有限豁免和放宽善意使用远程医疗的有关的执行标准。
联邦法规第42卷第2部分
而HHS药物滥用和精神健康服务管理局(SAMHSA)最近发布了第2部分方案建议在COVID-19紧急情况下寻求临床遏制方面的指导,SAMHSA没有放弃任何与共享第2部分信息有关的要求。除某些有限的例外情况外,42 CFR第2部分一般要求患者书面同意披露第2部分的信息,用于治疗、付款或医疗保健手术目的。本规例列明第2部规例所规定的同意要求,并规定同意须以书面形式,不论是书面或电子形式。它们还要求病人签署同意书,当未成年人需要时,同意必须包括经授权同意的个人的签名。在适用的国家法律不加禁止的情况下,第二部分允许电子签字。然而,在医疗紧急情况下,书面病人同意的要求是有例外的。这一例外规定,第2部分患者的信息可以被披露。医务人员范围内必须应付真正的医疗紧急情况无法获得病人事先知情同意的情况。虽然第二部分条例没有界定这些关键术语,但也有与这一例外情况有关的具体程序,要求第二部分程序立即以书面形式披露病人的记录,包括:
虽然美国卫生部预防药物滥用和精神卫生服务管理局(Substance Abuse and MentalHealth Services Administration ,SAMHSA)最近发布了第2部分计划的建议,寻求在新型冠状病毒肺炎紧急情况下的临床控制指导,但SAMHSA并未豁免第2部分中有关共享信息任何要求。除了某些有限的例外情况,《美国联邦法规》第42卷第2部分通常要求患者书面同意披露第2部分的治疗、付款或医疗操作信息。这些条例规定了第2部分条例下的同意要求,并授权书面同意,无论是纸质同意还是电子同意。他们还要求患者签署同意书,如果是未成年患者,则同意书必须包括授权同意的个人的签名。在适用的州法律不禁止的范围内,第2部分允许电子签名。但是,在医疗紧急情况下,病人书面同意的要求是有例外的。该例外规定,患者信息可在无法获得患者事先知情同意的医疗紧急情况在所必需的范围内披露给医务人员。虽然第二部分条例没有界定这些关键术语,但有与此例外相关的特定程序,要求以书面形式记录患者信息的披露过程,包括:
被披露的医务人员姓名及其与任何医疗机构的关系;
披露人姓名;
披露的日期和时间;以及
紧急情况的性质(或报告是根据2.31(b)提交给
食品药品监督管理局(Food and Drug Administration,FDA的)。
https://www.natlawreview.com/article/sharing-protected-health-information-during-covid-19-public-health-crisis
供稿:杨慕青;编辑:杨慕青
声明:本文来自北邮互联网治理与法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。