如何將HIPAA法案運用到移動醫療或遠程醫療當中？

如何有效地保護患者的隱私，是國內從事醫療信息服務行業的人面臨的問題。目前國內沒有相關的法案，很多人都參考美國的hippa法案來做，但具體如何操作，各位有何經驗？

關注這個問題有一陣子了，自己也查了些資料，下面這兩篇文章非常切題且詳盡。原文發表於2011年，在2013年HIPAA Omnibus 最終規則 （Omnibus HIPAA Rulemaking） 出台後，「合作夥伴」等一些定義和相關規定產生了變動，在本文中並未全部體現。

以下來自本人倉促翻譯，難免疏漏，歡迎指正！

原文出處：

When HIPAA applies to mobile applicationsHIPAA法案在移動應用開發中的應用場合

Mobile health: How to comply with HIPAA移動醫療：如何遵守HIPAA法案

原文作者：

Adam H. Greene

本文作者曾作為高級醫療信息技術與隱私專家任職於美國衛生及公共服務部民權辦公室（OCR），主要負責HIPAA隱私、安全和違規通知法案在醫療IT領域的管理與執行。現任戴維斯?萊特?特里梅因律師事務所（Davis Wright Tremaine LLP）的醫療IT/HIPAA合伙人。

正文：

========第一部分主要介紹在什麼情況下開發的哪些醫療app適用於HIPAA法案。-譯者注=====

HIPAA法案只對「被涵蓋實體（covered entities，以下均用英文縮寫CE代替-譯者注）」及其「合作夥伴（Business Associates，以下均用英文縮寫BA代替-譯者注）」有效。就是說這些規定對醫療保健的用戶或其他實體是不起作用的。

那麼哪些實體屬於CE呢？這裡主要包括了:

• 醫療保險計劃（含僱主資助的團體醫保計劃）；
• 醫療結算中心（負責進行（非標準化的）醫療理賠申請及其他行政交易與標準格式間的相互轉換）；
• 醫療服務供應單位——需要注意的是只有在此類供應單位進行電子操作，如電子提交醫療理賠申請時，它們才被列入HIPAA的涵蓋範圍。

BA是指代表CE處理「受保護的醫療信息（protected
health information，以下均用英文縮寫PHI代替-譯者注）」的實體，比如某醫療信息交換機構代表一家醫療服務供應單位共享醫療信息，或某醫藥福利經理人對一項醫保計劃的處方葯福利進行管理。

除此之外，HIPAA法案僅對PHI有效，PHI指可以用來識別個人的：

• 生理或心理健康信息，
• 醫療保健服務信息，
• 對醫療保健服務的支付信息。

對於僱傭記錄和教育機構的記錄有一些例外。如果一個人從CE得到了服務，那麼這件事本身就是PHI。相應地，一個人的姓名或地址可能是公開的，但如果他是或曾經是一個CE的患者（patient）或受保人（enrollee），那麼這些信息在該CE的電腦上就也算是PHI。PHI還包括了一些匿名信息，比如含有（任何比年份更精確的）服務日期。也就是說，一封電子郵件如果提到了「上周在此就醫的那名患者」，那麼它也是PHI，原因是用這個就診時間可以把這名患者識別出來。

一個app開發者應該首先分析：

• 軟體是否會被CE使用，比如醫師、醫院、醫保計劃；
  
• 軟體是否會包含任何PHI：即可以對個人進行識別的健康信息、醫療服務信息、或向醫療服務支付的信息。

舉例說明：一個醫師用於患者隨訪的app需要進行使醫師遵守HIPAA法案的設計。相似的，一個供醫保計劃的工作人員遠程取得個人投保信息的app也要遵守HIPAA。

與上文形成對比的是，如果一個app是開發給患者使用的，那麼它就不屬於HIPAA涵蓋範圍。

比如，一個人在手機上裝了一個提醒用戶按時吃藥的app，這個app是不在HIPAA範圍里的，原因在於這個app的使用中並沒有CE參與進來。即便app允許用戶給自己的醫師發送信息，這個app也不在HIPAA涵蓋範圍內，但發送給醫師的信息一經醫師收到，即落在了HIPAA管轄中。

一個由CE使用的app如果不包括PHI，也是不被HIPAA所涵蓋的。

例如，一個把
「去識別化（de-identified）」的流感統計數據提供給護士的app不屬於HIPAA涵蓋範圍，因為它並沒有使用可對個人進行識別的醫療信息。需要注意的是，如果這個app允許護士添加醫院裡的某個流感患者信息（比如，今天某人就診時表現出了H1N1癥狀），那麼這樣的患者信息就要被HIPAA保護了。

其他種類的實體，比如公共健康管理部門，也是不屬於CE的——除非這個部門同時提供了醫保計劃或是醫療保健服務。相應地，如果一個移動app的作用是輔助當地政府的流行病專家進行公共健康調查，那麼一般情況下它是不屬於HIPAA涵蓋範圍的。

在判斷一個app到底是不是歸HIPAA管轄的時候，開發者應該著眼於用戶而不是流通渠道上。

如果一個醫保計劃提供給受保人一個在手機上記錄體重變化的app，這個app是不在HIPAA範疇內的（因為它是由非涵蓋實體——也就是受保人——在受保人的手機上使用的）。但如果這個app在醫保計劃組織的伺服器上存儲了數據，那麼這些數據就要遵守HIPAA法案。

有一點需要強調的是，如果一個醫療相關的app不是被CE或BA使用，這時它雖然不受HIPAA管轄，還是可能需要遵守其他隱私和安全相關的法律。

比方說，一個軟體在違反隱私通知的情況下共享了用戶信息，那麼這就可能屬於一起欺騙性貿易行為，要受到聯邦貿易委員會（Federal Trade Commission）的執法處理。

========第二部分主要介紹適用範圍內醫療app應如何保證遵守HIPAA法案。-譯者注========

一旦你肯定了自己正在開發的app是屬於HIPAA管轄範圍內的，下一步就要確保它支持自己的用戶（HIPAA的CE或BA）嚴格遵守HIPAA關於隱私、安全和違規通知的法案（HIPAA Privacy, Security, and Breach Notification Rules）。

需要注意的是，你所開發的app：如何共享PHI，提供了哪些安全措施，app的用戶如何分辨信息是不是外泄了。

首先，你的app必須支持CE遵守HIPAA隱私法案。通常來說，這就代表該app在未被隱私法案允許的情況下不得使用或泄露任何PHI。

如果你開發的app把患者的郵政編碼發送給你或第三方，然後用於市場研究或其他不被允許的目的，那麼這種行為就導致CE違反了隱私法案（除非CE已經獲得患者授權）。假設你不打算讓你的app用戶面臨百萬美元的潛在HIPAA債務，你就應該避免所開發的軟體在HIPAA不允許的情況下泄露任何PHI——即使你已經收到了CE或BA的許可（他們有可能並不清楚這樣的許可會給自己帶來大麻煩）。

如果你的app使用PHI並且由CE用來對個人進行治療或支付，那麼它有可能屬於CE的「指定記錄集（designated
record set）」。個人對於指定記錄集內的信息（如醫療和支付記錄）享有若干HIPAA隱私權，其中包括了查看指定記錄集副本和要求對任何信息進行修正的權利。

相應地，如果你開發的app屬於指定記錄集的一部分（因為它用於治療或支付決議），那麼你應該考慮如何能夠方便用戶在患者提出要求時出具一份患者信息。進一步來說，如果患者認為信息是不正確的，用戶能否在app中反映這一問題？在這個app里是否允許用戶在患者提出異議時修改信息或添加說明？

第二，你必須確定你所開發的app在合理範圍內的安全性。

理想情況下，作為CE或BA的用戶，應該把你的app列入其對HIPAA安全法案的整體風險評估中，識別其對PHI的潛在威脅和漏洞。對所開發的app進行你自己的風險評估可以為你的用戶提供很大幫助，你可以採用合適的防護措施，並且把這些信息提供給用戶。

比如說，能不能讓你的app對患者或受保人的信息進行加密，從而移動設備遺失後對信息進行保護？如果該app將PHI傳送給某電子醫療信息系統或患者/受保人，是否可以在傳送中對信息加密，進而在信息被中途攔截時進行保護？

類似於加密這樣的防護措施是否合適，取決於多種因素，比如信息的種類和其他防護措施（例如通用控制）的可能性。無論你採用了哪種措施，這個決定都應該立即通知用戶，通知形式如：「本app由於……未對信息進行加密，您可以考慮將您的移動設備上的加密功能打開。」

用戶身份認證是另一個安全問題。如果你開發的app允許用戶遠程訪問一個CE的PHI，app中是否包括了合理的手段幫助CE驗證用戶的身份？在這裡要考慮到移動設備本身的局限，例如，CE可能對遠程訪問電子醫療記錄使用了多重身份驗證（如，物理標記加密碼或個人標識），但手機並不能支持這樣的驗證策略。理想情況下，你的app應該包含了本地存儲的訪問日誌，以便CE記錄患者或受保人的PHI的訪問時間。

CE應報告其已經發現或通過合理調查應該發現的外泄。相應地，作為開發者你應該考慮app如何適用於CE或BA的外泄檢測。如果你的app已受損，有何方式對用戶提出警告？

最後，以上建議都集中在確保你的用戶遵守HIPAA法案，還有一些情況下你自己也是要遵守HIPAA的。

比方說，你擁有對PHI的訪問許可權（如通過app安裝或技術支持），那麼你也可能成為用戶中的CE或BA的BA。在此類情況下，你需要與該用戶簽署合作夥伴協議（Business Associate Agreement）。

更進一步，你還要遵從隱私法案限制對PHI的使用和泄露，遵守全部安全法案的要求，以及按違規通知法案將任何PHI的外泄通知給CE或BA。作為一名BA，觸犯違規通知法案的行為將被處以民事罰款，違反隱私和安全法案在不久的將來也將被處罰（對BA所承擔責任的法案還未最終確定。2013年最新修訂的HIPAA法案中對BA的定義及承擔責任已有更加明確的規定。具體可參見HIPAA omnibus rule: Compliance tips for provider preparedness-譯者注）。

全文完