HIPAA还不够吗……
美国联邦贸易委员会(FTC)正对一家小型医疗实验室采取行政处罚措施,该机构曾发生两次数据安全漏洞事件,导致患者受保护的健康信息落入身份盗窃者手中。本案事实本身并不特殊:一家小型机构遭遇数据泄露,如今面临行政处罚。真正独特之处在于该机构将承受的行政处罚性质。 该机构并未接受卫生与公众服务部公民权利办公室依据《健康保险流通与责任法案》(HIPAA)的调查,而是被联邦贸易委员会指控违反了一项拥有百年历史的消费者保护与反垄断法律——该法律禁止"在商业活动中实施或影响商业的不公平或欺骗性行为或做法"。
联邦贸易委员会的行动令人警醒地提醒我们:处理个人健康信息的企业不仅受《健康保险流通与责任法案》约束,还需遵守更多法律法规。
本案事实
LabMD是一家总部位于亚特兰大的独立医学实验室,其业务(直至近期逐步缩减)主要专注于癌症检测服务。根据本案提交的文件显示,LabMD于2008年某时收到通知,称其保险账龄文件副本——该文件包含数千名患者的详细隐私信息——已被未经授权的第三方访问。 后续调查显示,该第三方实为一家网络安全公司,当时正协助联邦资助的医疗信息安全研究项目。LabMD同时发现,该第三方是通过某员工下载的点对点文件共享应用程序访问保险账龄文件的;获悉此事后,LabMD立即卸载了该文件共享软件。
四年后,在美国的另一端,萨克拉门托警察局逮捕了一伙身份盗窃团伙,并在其藏匿处发现了多份LabMD公司的"日间病历表"复印件,其中包含数百名患者的姓名及社会保障号码。时至今日,这些身份盗窃者究竟如何获得这些文件仍是个谜。
诉讼状态
鉴于LabMD未能妥善保护患者信息,联邦贸易委员会(FTC)依据《联邦贸易委员会法案》第5条对其提起行政指控。该条款相关部分明确禁止"在商业活动中实施或影响商业的不公平或欺骗性行为或做法"。正如本记者在其他报道中所指出的,尽管缺乏明确的监管授权且法律依据不断变化,FTC正日益利用其广泛的第5条权力,对发生数据泄露的企业展开追责。
由于尚不清楚加州身份盗窃者如何获得LabMD的日间病历副本,联邦贸易委员会的理论显然是:LabMD允许一名离职员工在存有个人健康信息的计算机上下载点对点文件共享应用程序的行为属于"不公平"。
LabMD公司在两个层面对联邦贸易委员会(FTC)展开抗争。首先,该公司向联邦地区法院提起诉讼,要求禁止FTC的行政行动,理由是该行动超出了FTC的监管权限。其次,在行政层面,LabMD根据FTC规则申请作出即决裁决——该程序类似于法院中的即决判决申请。
至少目前看来,这两项努力似乎都以失败告终。2014年5月12日,地区法院裁定在联邦贸易委员会发布最终机构行动前,其诉讼行为不得接受司法审查。 一周后,第十一巡回法院仅以一句命令拒绝动用紧急权力推翻该裁决。与此同时,联邦贸易委员会当天一致驳回了LabMD公司以案件实质内容为由终止诉讼的请求。该决定意味着本案将移交行政法法官进行审理。
联邦贸易委员会的裁决意义重大,因为该委员会驳回了"其仅能对违反《健康保险流通与责任法案》(HIPAA)的数据泄露行为提出质疑"的论点;相反,委员会认定其依据《联邦贸易委员会法》第5条行使的权力与HIPAA的要求完全独立。 根据委员会的裁决,LabMD公司的责任认定将取决于纯粹的《联邦贸易委员会法》第5条问题:即其"数据安全措施是否合理,以及这些措施是否造成或可能造成消费者无法避免且无法通过补偿性利益合理化的重大损害"。
收获
联邦贸易委员会的裁决并不令人意外,尽管关注该机构的人士会惊讶于裁决书竟出自赖特委员之手——这位委员向来直言不讳地批评广泛运用《联邦贸易委员会法》第5条"不公平"条款的权力。最重要的是,这项裁决令人不快地提醒人们:民权办公室并非唯一监管机构,HIPAA也并非唯一需要受规管实体及业务伙伴谨记的数据安全法规。
联邦贸易委员会此次行动最令人担忧的潜在影响在于,HIPAA违规行为的诉讼时效可能已悄然延长。 根据《联邦法规汇编》第45卷第160.522条,HIPAA执法行动适用六年诉讼时效。但《联邦贸易委员会法案》第5条并未明确规定时效限制,且(尽管远未达成共识)至少部分评论者公开质疑:FTC处理第5条案件时是否存在诉讼时效限制。
话虽如此,值得注意的是联邦贸易委员会的执法权限存在局限。正如某法院上月在支持联邦贸易委员会数据安全执法行动时所言:"本裁决并非授予联邦贸易委员会一张空白支票,使其得以对每家遭受黑客攻击的企业提起诉讼。"除其他限制外,联邦贸易委员会似乎只会针对其认为存在不合理疏忽的数据处理行为采取行动。 因此,至少在当下,只要遵守《健康保险流通与责任法案》(HIPAA)安全规则所规定的物理、技术及管理保障措施,就足以避免联邦贸易委员会上门找麻烦。