뉴욕 건강정보 개인정보 보호법 (NYHIPA)이 제정될 경우, 뉴욕 시민들이 의존하는 쉽게 접근 가능한 디지털 의료 서비스에 대한 환자의 접근성과 참여에 위축 효과를 초래할 수 있습니다. 디지털 헬스 기업들은 NYHIPA로 인해 발생하는 재정적·운영적 부담으로 인해 환자 참여와 진료 연계 유지에 어려움을 겪을 것이며, 제품 및 서비스 개선 과정에서 거의 확실히 장애물에 직면하게 될 것입니다.
2025년 1월 23일 현재, 뉴욕주 건강정보보호법(NYHIPA)은 뉴욕주 상원과 하원을 모두 통과했으며 주지사의 서명을 위해 제출될 예정이다. 이 법안이 시행될 경우, 뉴욕주 내 디지털 헬스 기업들이 소비자 건강 정보를 수집, 공개 및 활용하는 방식에 중대한 영향을 미칠 것이다.
누가 규제 대상인가?
현재 초안대로라면, NYHIPA는 뉴욕과 관련이 있는 환자나 고객을 보유한 모든 의료 기관에 적용될 것입니다.
구체적으로, NYHIPA는 다음에 해당하는 모든 기관에 적용됩니다:
- 뉴욕 거주자의 규제 대상 건강 정보 처리를 통제하는
- 뉴욕에 물리적으로 체류 중인 개인의 규제 대상 건강 정보 처리를 해당 개인이 뉴욕에 체류하는 동안 통제하거나,
- 뉴욕에 소재하며 규제 대상 건강 정보의 처리를 관리합니다.
기관 차원의 면제 범위는 다른 소비자 데이터 개인정보 보호법에 비해 제한적입니다. HIPAA 적용 기관은 면제되나, 해당 기관이 HIPAA 보호 건강정보와 동일한 방식으로 환자 정보를 관리하는 범위 내에서만 적용됩니다. HIPAA 적용 기관이 보유한 기존 의료 기록은 면제될 가능성이 높으나, 사용자 작업 흐름 초기에 수집된 개인정보는 규제 기관에 의한 처리 전 NYHIPA의 적용을 받으며 아래에서 논의된 엄격한 승인 요건을 충족해야 합니다. 단, 해당 기관이 HIPAA 적용 기관이며 해당 정보를 HIPAA 보호 건강정보로 취급하는 경우는 예외입니다.
어떤 정보가 규제 대상인가요?
NYHIPA는 기기 데이터를 포함하여 건강 또는 웰빙과 연결될 수 있는 모든 정보를 규제하고자 합니다. 규제 대상 정보는 개인 또는 기기와 합리적으로 연결될 수 있는 모든 정보로, 개인의 신체적·정신적 건강과 관련하여 수집·처리된 정보(개인의 신체적·정신적 건강과 관련된 위치·결제 정보 포함) 또는 개인의 신체적·정신적 건강에 대해 추론·유추된 내용으로 개인 또는 기기와 합리적으로 연결될 수 있는 정보를 포함합니다. HIPAA 보호 건강정보 및 비식별 정보는 규제 대상에서 제외됩니다.
가공 제한 사항은 무엇입니까??
"처리"는 명시적인 승인을 얻지 않는 한, 개인이 요청한 특정 제품 또는 서비스에 엄격히 한정되어야 합니다. NYHIPA에 정의된 바에 따르면, 처리는 일반적으로 건강 정보에 대해 수행되는 모든 작업을 의미하며, 여기에는 건강 정보의 수집, 사용, 공개, 접근, 판매, 공유, 생성, 생성 또는 비식별화가 포함됩니다.
규제 대상 기관은 다음의 경우를 제외하고는 건강 정보를 처리할 수 없습니다:
- 해당 개인이 승인을 제공한 경우; 또는
- 해당 처리는 특정 열거된 목적, 즉 해당 개인이 요청한 특정 제품 또는 서비스의 제공 또는 유지 관리, 또는 규제 대상 기관의 내부 업무 운영 수행을 포함하여 엄격히 필요한 경우에 한합니다.
가장 중요한 점은, 디지털 헬스케어 업계 내에서 분명히 불안을 야기할 것이지만, 내부 업무 운영은 마케팅, 광고, 연구 개발 또는 제3자에게 제품이나 서비스를 제공하는 활동과 관련된 모든 행위를 명시적으로 배제하며, 해당 활동을 승인하는 개인의 명시적 허가 없이는 이를 수행할 수 없습니다.
승인은 언제 얻을 수 있으며 승인은 무엇을 포함해야 합니까??
NYHIPA는 계정 생성 또는 제품·서비스 최초 이용 후 24시간 동안 개인으로부터 동의 획득을 금지합니다. 옵트인 동의만으로는 충분하지 않으며, 개인이 요청한 제품 또는 서비스에 엄격히 필수적이지 않은 각 활동에 대해 명시적 승인을 획득해야 합니다.
승인은 반드시
- 거래의 어느 부분과도 별도로 이루어져야 한다;
- (ii) 해당 개인이 계정을 생성하거나 요청된 제품 또는 서비스를 최초로 사용한 후 최소 24시간이 경과한 시점에 이루어져야 하며;
- 개인이 각 처리 활동 범주에 대해 별도로 동의를 제공하거나 거부할 수 있도록 허용하는 것을 비롯한 기타 요건을 충족해야 합니다.
해당 기관에 온라인 계정을 보유한 개인(대부분의 디지털 헬스 기업이 해당됨)의 경우, 규제 대상 기관은 "계정 설정 내 눈에 잘 띄고 쉽게 접근 가능한 위치"에 개인이 동의한 모든 처리 활동 목록을 제공해야 하며, 각 처리 활동에 대해 동일한 위치에서 "단일 동작 또는 조치"로 동의를 철회할 수 있도록 허용해야 합니다. 사업체는 제품 또는 서비스 제공을 승낙 조건으로 할 수 없으며, 할인이나 기타 혜택 제공을 포함한 제품 또는 서비스 가격 차등 적용 등 승낙을 거부한 개인을 차별할 수 없습니다.
개인정보 처리방침이 필요한가요?
규제 대상 기관이 허가된 목적에 따라 건강 정보를 동의 없이 처리하는 경우 NYHIPA는 개인정보 처리 고지를 요구합니다. 해당 고지에는 처리되는 정보, 처리 활동의 성격, 그러한 처리의 "구체적 목적", 정보가 공개되는 서비스 제공자 및 제3자의 명칭 또는 범주와 공개 목적, 그리고 개인이 자신의 건강 정보에 대한 접근 및 삭제를 요청할 수 있는 절차가 포함되어야 합니다. 특히, 규제 대상 기관이 처리 활동을 실질적으로 변경하는 경우, 규제 대상 기관은 개인정보 처리방침, 이용약관 또는 유사 문서와 별도로 명확하고 눈에 띄는 고지를 제공해야 합니다. 개인정보 처리방침, 서비스 약관 또는 유사 문서와 별도로처리 활동의 중대한 변경 사항을 설명하고 개인이 자신의 건강 정보 삭제를 요청할 기회를 제공해야 합니다. 다른 소비자 데이터 개인정보 보호법과 달리, 제안된 NYHIPA 하의 삭제 요건에 대한 유일한 예외는 "규제 대상 기관의 법적 의무를 준수하는 데 필요한 범위 내에서" 보존을 허용한다는 점에 유의하십시오.
디지털 헬스 기업이 인지해야 할 다른 주요 요건은 무엇인가요??
NYHIPA는 서비스 제공자가 규제 대상 기관별로 건강 정보를 분리하도록 요구할 것입니다. 규제 대상 기관은 서비스 제공자와 서면 계약을 체결해야 합니다. 해당 계약에 요구되는 조건은 일반적으로 다른 소비자 데이터 개인정보 보호법과 유사합니다. 그러나 NYHIPA는 서비스 제공자가 다음 사항을 추가로 준수할 것을 요구합니다:
- 서비스 제공자가 규제 대상 기관으로부터 또는 그 기관을 대신하여 수신한 건강 정보를, 서비스 제공자가 다른 당사자로부터 또는 그 당사자를 대신하여 수신하거나 개인과의 자체 관계에서 수집한 다른 개인정보와 결합하지 않아야 합니다; 그리고
- (ii) 규제 대상 기관은 추가 서비스 제공자와 건강 정보를 공유하기 전에 "합리적인 사전 통지 기간"을 두고 해당 기관에 통지해야 합니다.
모든 웹사이트 및 커뮤니케이션은 장애가 있는 개인이 합리적으로 접근할 수 있어야 하며, 규제 대상 기관이 웹사이트 및 서비스를 통해 정보를 제공하는 언어들로 이용 가능해야 합니다.
이 법은 언제 시행될 수 있으며 가능한 처벌은 무엇인가요?
NYHIPA는 법안이 서명되어 법으로 제정된 후 1년 후에 발효될 것이다.
뉴욕주 법무장관은 해당 법률을 집행할 권한을 가지며, 위반 건당 5만 달러 또는 지난 회계연도 동안 뉴욕주 소비자로부터 얻은 수익의 20% 중 더 큰 금액을 민사적 제재로 부과하는 등 다양한 구제 수단을 행사할 수 있습니다. 법무장관은 또한 시행 규칙 및 규정을 제정할 권한도 보유합니다.
NYHIPA의 실질적 영향은 무엇인가요?
NYHIPA는 디지털 헬스 기업들에게 상당한 재정적·운영적 장벽을 조성할 것입니다. 규제 대상 기관은 개인으로부터 승인을 요청하는 각 처리 활동에 대해 웹사이트와 사용자 워크플로를 업그레이드해야 하며, 새로운 접근성 요건을 충족하기 위한 필수 업그레이드도 수행해야 합니다. 승인 요청에 대한 24시간 유예 기간은 환자 경험, 참여도 및 교육 개선 활동을 실질적으로 방해할 것입니다. 서비스 제공업체는 각 규제 대상 기관의 건강 정보를 분리하는 요건을 이행함으로써 재정적 영향을 받게 될 것입니다. 마지막으로, NYHIPA는 디지털 헬스 기업들에게 다른 주 개인정보 보호법과 실질적으로 다른 또 다른 주 소비자 개인정보 보호법을 준수하도록 요구할 것입니다.
디지털 헬스 기업들은 다음에 무엇을 해야 할까?
NYHIPA는 양원 모두를 통과했으며 주지사의 서명만 기다리고 있는 상태입니다. 앞서 언급한 바와 같이, 이 법의 시행일은 주지사의 서명일로부터 1년 후가 될 것입니다. 이 1년이라는 기간은 디지털 헬스 기업들이 NYHIPA 준수를 위해 필요한 변경 사항을 이행하기에는 매우 짧은 시간입니다. 따라서 법이 시행될 경우, 뉴욕에 환자나 고객을 보유한 디지털 헬스 기업들은 즉시 NYHIPA 준수 계획을 수립해야 합니다.
의료 데이터 개인정보 보호는 지속적으로 빠르게 진화하고 있습니다. 따라서 디지털 헬스 기업들은 새로운 동향을 면밀히 모니터링하고 규정 준수를 위한 필요한 조치를 지속적으로 취해야 합니다. 소비자 건강 데이터 개인정보 보호법 준수 또는 최근 의료 데이터 개인정보 보호법 변경 사항에 관한 문의 사항이 있으시면, 본 문서의 저자 또는 폴리 법률사무소사이버보안 및 데이터 개인정보 보호 그룹또는헬스케어 실무 그룹의 파트너 또는 선임 변호사에게 연락주시기 바랍니다.
