2010年7月14日,美国卫生与公众服务部(HHS)民权办公室发布了一份拟议规则制定通知(拟议规则),提议对《健康保险携带与责任法案》(HIPAA)的隐私规则、安全规则及执法规则进行重大修订。 这些修订主要为落实《经济与临床健康信息技术法案》(HITECH)对HIPAA的修改要求——该法案于2009年2月17日正式生效。 此外,拟议规则还包含多项其他修订内容,旨在解决过去七年实施HIPAA过程中出现的问题;加强受保护健康信息(PHI)的隐私与安全;并提升现有HIPAA规则的可操作性和有效性。
《健康信息技术经济与临床健康法案》(HITECH)将《健康保险流通与责任法案》(HIPAA)的直接适用范围扩展至业务合作伙伴,将其隐私规则和安全规则的特定条款直接适用于该群体。该法案要求承保实体和业务合作伙伴均须就未受保护的受保护健康信息(PHI)泄露事件进行通报。同时修订了营销与筹款条款,禁止出售受保护健康信息,要求将有限数据集视为最低必要信息量,并扩大了个人对其受保护健康信息的权利。 此外,《HITECH法案》强化并扩展了HIPAA的执法条款。
美国卫生与公众服务部(HHS)正就拟议规则征集公众意见,意见可在该规则于《联邦公报》发布后60天内提交。该拟议规则预计将于2010年7月14日发布。现将拟议规则中最重要的修订内容概述如下:
业务合作伙伴
《医疗信息技术促进法案》对《健康保险流通与责任法案》中关于业务合作伙伴的规定进行了重大修订,涵盖从业务合作伙伴的定义到其法律义务与责任的方方面面。
业务合作伙伴定义。拟议规则将大幅扩展业务合作伙伴的定义,使其更广泛地适用于为覆盖实体创建或接收个人健康信息(PHI)的实体。 根据《HITECH法案》的法定条款,业务伙伴的定义将涵盖:(1)健康信息组织、电子处方网关、为受保护实体提供PHI数据传输服务的其他主体;以及(2)代表受保护实体向个人提供个人健康记录的供应商。 此外,为符合下文详述的《2005年患者安全与质量改进法案》(PSQIA)的法定要求,拟议定义还将患者安全活动纳入构成业务伙伴关系的职能与活动清单。
此外,拟议规则规定业务伙伴的"分包商"——即以非雇员身份为业务伙伴履行职能或提供服务的人员(分包商)——同样被定义为业务伙伴。 尽管使用了"分包商"一词,但拟议规则适用于任何代表业务伙伴处理个人健康信息(PHI)的代理人或其他人员,即使双方之间不存在合同关系。
拟议规则还修订了"工作人员"的定义,明确该术语适用于雇员、志愿者、实习生及其他人员——其在为业务伙伴履行工作职责时的行为受业务伙伴直接管控。此项修订强调,业务伙伴因违反《健康保险流通与责任法案》所承担的责任范围,已扩展至雇员以外的其他人员。
隐私与安全规则对业务合作伙伴的适用。目前,业务合作伙伴仅需根据其与覆盖实体签订的业务合作协议遵守《健康保险流通与责任法案》(HIPAA),且在违规时不直接对卫生与公众服务部(HHS)承担责任。《健康信息技术经济与临床健康法案》(HITECH)规定业务合作伙伴须直接遵守隐私与安全规则,并使其在违规时直接承担法律责任。
关于安全规则,《HITECH法案》规定,45 C.F.R. §§ 164.308、 164.310及164.312条款所列行政、物理及技术保障措施要求,以及第164.316条规定的政策程序与文件记录要求,均应以与适用覆盖实体相同的方式适用于业务合作伙伴。业务合作伙伴若违反上述规定,须承担民事及刑事处罚责任。 为落实上述法定要求,拟议规则在安全规则前述条款中纳入了对业务伙伴的引用。卫生与公众服务部同时主张,国会无意以区别于覆盖实体的方式将安全规则的列明条款适用于业务伙伴,因此亦在§164.306中增补业务伙伴条款,使安全规则的一般性安全要求明确适用于业务伙伴。
同样,拟议规则对业务合作伙伴施加了特定隐私要求,并规定业务合作伙伴违反隐私规则将承担直接责任。 除其他义务外,拟议规则要求业务合作伙伴必须:(1)为合规目的向HHS披露PHI;(2)以电子格式向覆盖实体、个人或其指定人披露PHI,以使覆盖实体履行提供PHI电子访问权限的义务; (3) 遵守最低必要性标准;(4) 采取合理措施纠正分包商的重大违约行为或终止与分包商的协议。
未能签订协议。拟议规则指出,若覆盖实体与业务合作伙伴未能签订业务合作伙伴合同或其他协议,该业务合作伙伴仅可在履行对覆盖实体义务所需范围内或法律要求时使用或披露个人健康信息。任何其他使用或披露行为均将违反隐私规则。
对分包商的适用。拟议规则最重大的修订之一,是明确某些安全和隐私要求同样适用于业务合作伙伴的分包商。 如前所述,业务伙伴的拟议定义已涵盖分包商。综合来看,新规要求业务伙伴的分包商对违反隐私规则和安全规则的行为承担直接及合同责任。此外,业务伙伴现须与分包商签订协议,确保分包商承担与受保护实体对业务伙伴所承担的同等合同义务。 同样地,业务伙伴有责任通过充分的合同保障措施,确保分包商对电子PHI实施安全保护。分包商则需与其服务合同方签订业务伙伴协议,以保障涉及PHI访问权限的服务安全。尽管覆盖实体可能因分包商行为承担责任,但其并无与分包商签订业务伙伴协议的新义务。
最后,HHS明确指出,无论业务合作伙伴及其分包商是否签订业务伙伴协议,直接责任均适用。
业务伙伴合同。拟议规则修订了业务伙伴合同条款,要求:(1) 业务伙伴在适用情况下,须遵守《安全规则》关于电子PHI的规定; (2) 业务伙伴须向承保实体报告未受保护的PHI泄露事件;(3) 业务伙伴须确保任何代表其创建或接收PHI的分包商,就该信息接受与业务伙伴相同的限制与条件约束。
拟议规则取消了覆盖实体在知悉业务伙伴存在违规行为且无法纠正违规情况时,必须向卫生与公众服务部(HHS)报告的要求,同时终止业务伙伴合同亦不可行。 鉴于业务伙伴对违反《健康保险流通与责任法案》规则的行为需承担直接民事罚款责任,且受保护实体与业务伙伴均有义务报告未加密的个人健康信息泄露事件,HHS指出其拥有其他机制来掌握业务伙伴滥用行为。 然而,拟议规则现要求:商业伙伴若知悉其分包商存在违规行为,必须采取与知悉商业伙伴违规的受保护实体相同的应对措施——即采取合理措施纠正违规行为,若措施无效且可行时终止合同。
最后,拟议规则强调,除因违规使用和披露个人健康信息(PHI)而直接承担民事罚款责任外,业务合作伙伴仍须根据其业务合作伙伴合同向覆盖实体承担合同责任。
过渡条款。拟议规则通过增设过渡条款,对特定现有业务伙伴合同给予过渡期豁免,从而减轻了遵守修订后业务伙伴条款的合规负担。该条款允许覆盖实体与业务伙伴(含分包商)在最终规则(即拟议规则形成的最终法规)生效后,继续依据现有合同运营最长一年。 卫生与公众服务部提议将此类合同视为符合最终规则的修订要求,直至受保护实体或业务合作伙伴在修订合规截止日之后续签或修改合同,或直至合规截止日满一年之日(以较早者为准)。
隐私规则
拟议规则将对隐私规则作出多项修订,包括扩大医疗保健业务的定义,并修改关于营销、筹款及其他受《健康保险流通与责任法案》监管活动的条款。
医疗保健运营。受保护实体无需授权即可将个人健康信息用于医疗保健运营。尽管患者安全活动已包含在"医疗保健运营"的定义中,但卫生与公众服务部在针对PSQIA的拟议规则中回应了规则制定期间收到的公众意见。 拟议规则通过修订医疗保健运营定义,明确纳入PSQIA中定义的"患者安全活动"概念,使隐私规则与PSQIA保持一致。 现行医疗保健业务定义涵盖:质量评估与改进活动(包括疗效评估及临床指南制定);提升健康水平或降低医疗成本的群体性活动;方案制定;病例管理与护理协调;向医疗服务提供者及患者提供治疗方案信息;以及除治疗外的相关职能。
营销。隐私规则通常要求受保护实体必须获得个人授权,方可为营销目的使用或披露个人健康信息(PHI)。"营销"被定义为"关于产品或服务的沟通,旨在鼓励接收者购买或使用该产品或服务",但存在某些例外情况。拟议规则将修改并进一步限制营销定义中的例外条款。
根据拟议规则,营销不包括以下情形的沟通:
- 医疗保健提供者对个人的诊疗行为(包括病例管理或护理协调,或向个人推荐替代性治疗方案、疗法、医疗保健提供者或诊疗场所),但若该沟通以书面形式进行,且医疗保健提供者因进行该沟通而获得经济报酬,则须满足特定通知与选择退出要求。
- 为个人当前处方的药物或生物制品提供续方提醒或其他相关沟通,前提是受保护实体因进行该沟通而获得的任何经济报酬,须与其进行该沟通的成本合理相关。
- 对于以下医疗保健业务,除非承保实体因进行沟通而获得经济报酬,否则:(1) 描述由进行沟通的承保实体提供或包含在其福利计划中的医疗相关产品或服务(或此类产品或服务的支付方式) (包括关于参与医疗服务提供者网络或健康计划网络的实体的信息;健康计划的替代或升级;以及仅向健康计划参保人提供的、为福利计划增值但不属于福利计划组成部分的健康相关产品或服务);或(2)为病例管理或护理协调目的,向个人提供治疗方案选择信息,以及相关职能——前提是此类活动不属于治疗定义范畴。
就上述目的而言,“财务报酬”定义为“来自或代表第三方(其产品或服务正在被描述)的直接或间接付款”。拟议规则同时澄清,直接或间接付款不包括任何为个人治疗支付的费用。最后,卫生与公众服务部声明,仅当财务报酬是为进行传播而支付时,才与营销定义相关。
混合实体的组织要求。拟议规则澄清了隐私规则中定义的混合实体相关问题。针对混合实体 ,拟议规则明确指出:覆盖实体本身(即法律实体)——而非仅其指定的医疗保健组成部分——仍须承担遵守业务伙伴安排相关安全规则及其他组织要求的责任。 HHS现征询公众意见:是否应强制要求(而非允许)覆盖实体在其医疗组件内纳入执行业务伙伴活动的组件,使该组件直接受规则约束。
《HITECH法案》禁止受保护实体或业务合作伙伴为披露个人健康信息(PHI)而直接或间接收取报酬,除非该实体或合作伙伴已获得个人有效授权。拟议规则落实了《HITECH法案》的此项规定,要求受保护实体为披露个人健康信息而获取的授权书必须明确说明:该披露行为将导致受保护实体获得报酬。
拟议规则对该授权要求设定了若干例外情形。以下情形下披露个人健康信息(PHI)不适用授权要求:
- 为公共卫生目的
- 在研究用途中,受保护实体所获得的唯一报酬是合理成本费用的补偿,用于支付为此目的准备和传输个人健康信息(PHI)所产生的成本。
- 用于治疗和支付目的
- 就受覆盖实体全部或部分的出售、转让、合并或整合事宜,以及相关尽职调查事宜
- 向业务合作伙伴或由其进行的活动,该业务合作伙伴代表覆盖实体开展此类活动,且唯一报酬由覆盖实体为业务合作伙伴履行此类活动而提供。
- 根据法律要求的隐私规则中关于访问和披露记录的规定,任何个人在被要求时
- 根据隐私规则的适用要求,经许可且符合其规定,当受保护实体所获得的唯一报酬是为准备和传输该目的所需的PHI而收取的合理成本费用,或依据其他法律明确允许的费用时。
研究。 在拟议规则中,HHS承认研究通常涉及提供研究相关治疗,并收集个人健康信息(PHI)和/或生物样本(附带相关PHI)以建立研究数据库或组织库。为回应研究界提出的关切,HHS提议修改现行隐私规则中关于此类研究试验使用复合授权(定义见下文)的相关条款,并就未来研究中授权的使用征求意见。
关于复合授权,根据现行隐私规则,受保护实体可将特定研究相关治疗的提供与研究对象签署披露授权书的同意挂钩。在此情况下,受保护实体采用"复合授权"是可接受的——该文件将研究对象参与研究试验的同意与披露其个人健康信息(PHI)的授权相结合。 但当研究试验同时包含研究相关治疗及衍生活动(如组织库建立及相关PHI管理)时,覆盖实体必须从受试者处获取两份独立授权:一份针对研究相关治疗(可与研究同意书合并),另一份专门针对组织库建立。
卫生与公众服务部提议取消单独文件的要求,只要满足特定条件即可。所使用的文件必须:(1) 明确区分与研究相关治疗相关的授权与与附带活动相关的授权;(2) 明确允许研究对象批准或拒绝与附带活动相关的授权。 例如,覆盖实体可在单独页面描述非治疗相关附带活动,并通过勾选框或独立签名栏表明受试者是否授权为该活动披露个人健康信息。HHS现征集其他可明确区分治疗相关研究活动授权与附带活动授权的方案。
美国卫生与公众服务部(HHS)承认,在数据库或存储库中收集个人健康信息(PHI)或标本(附带相关PHI)通常旨在用于未来研究。然而,HHS对现行隐私规则的解释要求:与研究相关的披露授权必须针对具体研究项目,这限制了个人同意未来研究使用或披露其PHI的能力——即未来无需再次联系签署额外授权文件即可实现。 评论人士敦促HHS允许受保护实体使用个人授权披露PHI用于未来研究的授权书,或修改现行解释以允许该授权涵盖特定未来研究用途(需满足特定条件)。 拟议规则阐述了针对该问题的多种备选方案。HHS就每项方案征求意见,包括其对研究实施及患者对授权理解的影响。此外,HHS特别说明:未来任何修改均不影响个人随时撤销未来研究授权的权利,并就撤销授权对未来研究项目的影响征求意见。
逝者。现行《隐私规则》要求受保护实体无限期保护逝者的个人健康信息隐私,其保护方式与在世个人的个人健康信息基本一致。拟议规则针对逝者的个人健康信息提出了两项重大变更。
首先,卫生与公众服务部(HHS)提议修订个人健康信息(PHI)的定义,将逝世超过50年的个人可识别健康信息排除在外。此项修订旨在回应各界向HHS提出的关切——在漫长岁月之后,往往难以寻获个人代表来授权使用或披露逝者的个人健康信息。 HHS指出,50年(约两代人的时间跨度)足以保护绝大多数(若非全部)在世亲属及其他相关个体的隐私权益。
其次,拟议规则将解决以下问题:在逝者生前能够获取其个人健康信息(PHI)的家庭成员及其他人员,往往在逝者去世后难以继续获取这些信息。这是因为这些人员通常不符合《隐私规则》中"个人代表"的定义。 卫生与公众服务部提议修订隐私规则,允许受规管实体向死者生前参与其护理或支付护理费用的亲属及其他人员披露死者信息,除非此举与受规管实体已知的死者生前明确意愿相冲突。
最低必要原则。隐私规则要求覆盖实体将个人健康信息的使用、披露及请求限制在实现使用、披露或请求预期目的所需的最低限度。隐私规则虽未定义"最低必要",但规定该标准在特定情形下不适用(例如:为治疗目的进行披露、向本人披露、依据有效授权进行披露等)。 《HITECH法案》限制了覆盖实体对"最低必要"的自主判定权。在卫生与公众服务部(HHS)发布具体指导前,覆盖实体或业务伙伴必须将PHI的使用、披露或请求限制在有限数据集范围内(如可行)。有限数据集指排除个人直接标识符及亲属、雇主、家庭成员信息的PHI,例如姓名、电话号码及其他特定标识符。 若有限数据集无法满足特定使用、披露或请求需求,实体可实施其传统最低必要性政策与程序。拟议规则未就此主题提供额外指导,但HHS要求公众就最低必要性标准的具体方面提出意见,以便在未来规则制定或相关指导中予以处理。
筹款活动。拟议规则修改了《隐私规则》中多项筹款要求以落实《HITECH法案》。首先,拟议规则强化了个人选择退出权,要求覆盖实体在每次筹款通讯中提供清晰醒目的选择退出渠道,以便接收者拒绝未来筹款通讯。卫生与公众服务部(HHS)建议该权利不应给个人造成过重负担。 (例如要求个人书写并邮寄信函至覆盖实体即构成不合理负担。)其次,拟议规则明确规定覆盖实体不得因个人选择接收或拒绝接收募资通讯而限制其治疗或支付权益。 第三,拟议规则明确规定:当个人选择退出接收募资通讯后,覆盖实体不得向其发送此类信息——这与先前"应尽合理努力避免发送"的要求形成对比。
卫生与公众服务部(HHS)正就若干筹款条款征求公众意见,包括:(1)选择退出机制应适用于哪些筹款通讯(例如:所有未来筹款活动还是特定活动);(2)是否及如何修改《隐私规则》以允许覆盖实体开展定向筹款活动。
隐私保护措施通知。现行隐私规则要求大多数适用实体制定并向个人分发隐私保护措施通知(NPP)。拟议规则将要求适用实体对其NPP进行若干实质性修改。
首先,隐私通知必须包含以下内容:说明需要授权的个人健康信息使用和披露情形(心理治疗记录的使用和披露、用于营销目的或出售个人健康信息的行为);声明通知中未描述的其他使用和披露行为仅在获得个人书面授权后方可实施;以及声明个人有权撤销授权。
其次,关于为治疗、支付及医疗保健运营目的披露个人健康信息(PHI)的说明,若覆盖实体计划开展下列任一活动,则必须包含单独声明告知个人: (1) 受保护的医疗服务提供者可能向个人发送治疗通讯,内容涉及治疗方案选择或其他健康相关产品或服务,且该提供者因发送通讯而获得经济报酬,个人有权选择不接收此类通讯; (2) 受保护实体可联系个人为其筹集资金,个人有权选择拒绝接收此类通讯;或(3) 团体健康计划、或团体健康计划相关的健康保险发行机构或HMO,可向计划发起方披露PHI。
最后,隐私通知必须包含关于个人有权要求限制特定使用和披露个人健康信息(PHI)的声明,其中应说明:除下文定义的"健康计划披露限制"情形外,承保实体无义务同意所请求的限制。
健康计划披露限制。现行隐私规则要求承保实体允许个人要求限制其对个人健康信息的使用或披露,但并不要求承保实体必须同意此类请求。若承保实体同意某项限制,则必须记录该限制并遵守(紧急情况除外)。 在特定情况下,承保实体可终止其对限制的同意。
根据拟议规则,当个人提出请求时,受保护实体必须同意限制向健康计划披露个人健康信息(PHI),前提是:(1)该披露旨在执行支付或医疗保健运营,且法律未作其他要求; 且(2)该PHI仅涉及个人或其代理人(除健康计划外)已向受规管实体全额支付的医疗项目或服务(健康计划披露限制)。
根据美国卫生与公众服务部(HHS)规定,若个人有意支付相关项目或服务费用却未实际支付,承保实体可向健康计划提交信息以获取付款,但须先行尝试与该个人协商解决付款问题。HHS现就承保实体必须采取何种程度的合理努力来解决付款问题征求公众意见。
卫生与公众服务部还提议增补条款以明确:(1) 现行关于限制条款的终止及文件记录规定同样适用于健康计划披露限制;(2) 受保护实体不得单方面终止健康计划披露限制。
HHS指出,若个人行使健康计划披露限制权,受保护实体亦不得向该健康计划的业务合作伙伴进行信息披露。 此外,根据HHS解释,《健康信息技术经济与临床健康法案》赋予个人自主决定自费支付项目及限制披露的权利;因此,当个人针对特定项目或服务申请健康计划披露限制时,承保实体不得要求其额外自费支付其他项目或服务。
HHS同时指出,若患者申请健康计划披露限制后又寻求后续治疗,并要求医疗服务提供者向健康计划提交账单,则该提供者可能需要向健康计划提交先前就诊的相关信息。 HHS认为,针对后续治疗未设置披露限制的情况,允许披露任何为支付该后续治疗所需的个人健康信息(PHI),即使该信息包含受先前健康计划披露限制约束的治疗相关PHI。
卫生与公众服务部(HHS)认识到实施该条款可能面临实际困难,现就以下互动情形征求意见:哪些互动会使限制请求或实施更为困难。HHS同时就以下事项征求意见:(1) 是否应要求覆盖实体向其他医疗保健提供者通报此类限制,以及此类通报的可行性;(2) 拟议限制条款在健康维护组织中的运作机制。
个人获取个人健康信息(PHI)的权利。隐私规则现行规定,个人有权查阅或获取其个人健康信息的副本,前提是该信息存储于受保护实体的指定记录集中。无论个人健康信息以电子或纸质形式存在,个人均享有及时获取的权利。 《HITECH法案》强化了隐私规则中关于电子健康记录(EHR)内PHI访问权的规定。为避免形成差异化的访问标准,卫生与公众服务部(HHS)表明拟将这些新要求统一适用于指定记录集中所有电子PHI,无论该记录以EHR或其他电子格式保存。
隐私规则要求受保护实体以个人要求的格式或形式提供个人健康信息(PHI),若该格式或形式可便捷生成;若不可行,则应以可读的纸质形式或其他经受保护实体与个人协商同意的形式或格式提供。 《HITECH法案》明确要求使用或维护电子健康记录(EHR)的受规管实体,须以电子格式向个人提供其请求的PHI副本。拟议规则通过以下规定协调了这些要求:受规管实体必须以个人请求的电子形式和格式提供电子信息访问权限——若该形式或格式可便捷生成;若不可行,则以双方另行商定的电子形式和格式提供。
《健康信息技术促进法案》还规定,若个人提出要求,受保护实体必须将个人健康信息副本直接转交该个人指定的另一人。拟议规则将此要求适用于纸质或电子形式的信息,并明确规定个人请求须以书面形式提出,由本人签名,且须明确标识指定人员及个人健康信息副本的寄送地址。
隐私规则目前允许受保护实体对个人健康信息(PHI)的复印收取合理且基于成本的费用,该费用可包含以下项目:复印PHI所需的耗材及人工成本;如适用,邮寄PHI产生的邮资;以及经个人同意后编制PHI说明或摘要的费用。 然而《HITECH法案》规定,被覆盖实体在响应电子PHI副本请求时,收费不得超过其人工成本。 在拟议规则中,HHS再次协调了这些要求:允许覆盖实体收取PHI复制人工费;若个人要求将电子副本提供在可移动介质上,则收取耗材成本;若个人要求通过邮寄或快递发送可移动介质,则收取邮寄费用。不反映个人请求实际人工成本的标准检索费不予允许。
拟议规则不会修改个人获取信息的及时性标准,但卫生与公众服务部(HHS)就电子记录访问权限的适当及时性标准征求意见,包括现有系统中哪些方面能提高电子信息请求的处理效率;是否应调整所有系统(包括纸质和电子系统)的现行标准,以确保在30天内提供访问权限且不存在不合理延误;基于电子记录类型的多样化及时性标准是否为首选方案;以及获取电子记录所需的时间。 纸质与电子系统是否均需调整,以确保在30天内提供访问且无不合理延误;是否应根据电子记录类型采用差异化及时性标准;覆盖实体审核访问请求并作出必要决定所需时间;以及是否应取消"若信息存放于异地,覆盖实体可额外延长30天响应"的条款。 HHS同时邀请公众就以下事项发表意见:哪些与管理电子访问请求相关的活动应被视为可补偿的劳动环节。
安全规则的技术变更
拟议规则对《安全规则》作出若干技术性修订,这些修订同时适用于覆盖实体和业务合作伙伴。该规则明确要求覆盖实体和业务合作伙伴必须审查并调整安全措施,更新相关文件以确保符合《安全规则》要求。 鉴于志愿者可能属于受保护实体或业务合作伙伴的劳动力成员,拟议规则要求:当劳动力成员的雇佣关系或其他合作安排终止时,受保护实体和业务合作伙伴必须对员工、志愿者及其他劳动力成员采取相同的电子PHI访问权限终止程序。
执行
《健康信息技术经济与临床健康法案》(HITECH)对《健康保险流通与责任法案》(HIPAA)的执法机制作出了若干修订。其中部分修订已于2009年2月18日生效,并依据2009年10月30日颁布的临时最终规则纳入《HIPAA执法规则》。本次拟议规则在此前修订基础上进一步完善。
业务合作伙伴。如上所述,《隐私规则》、《安全规则》以及《执法规则》的条款现将适用于业务合作伙伴。拟议的《执法规则》多项修订将符合该要求。如下文所述,这些修订包括明确业务合作伙伴对其代理人(包括分包商)的责任划分。
故意疏忽。根据《HITECH法案》的法定授权,拟议规则将修订《执法规则》,要求卫生与公众服务部部长在初步审查事实表明存在因"故意疏忽"导致的潜在违规行为时,必须对任何投诉展开调查。 对于其他投诉,HHS仍保留裁量权。尽管在规则序言中声明:"实际操作中,HHS目前对每项投诉均进行初步审查,并在符合条件且事实表明可能违反HIPAA规则的案件中启动调查。"
过错等级。HITECH法案设立了四级递增处罚等级,对应违规行为的过错程度。第一类违规(即最低处罚等级)适用于受保护实体或业务合作伙伴既不知情,且通过合理尽职调查亦无法知晓违规行为的情形。第二类违规适用于因"合理原因"而非故意疏忽导致的违规行为。 第三类与第四类分别适用于:因故意疏忽导致的违规行为且在规定期限内予以纠正的情形,以及未及时纠正的故意疏忽行为。
拟议规则对"合理原因"的定义进行了重大修订,该定义属于第二级过失责任,此举将赋予卫生与公众服务部更大裁量权,使其能够将某些违规行为排除在更严苛的故意疏忽层级之外。 现行定义将"合理原因"界定为"即使受规管实体已履行常规商业审慎义务,仍因特定情形导致其无法遵守被违反的行政简化条款"。HHS拟以以下新定义取代:
某覆盖实体或业务合作伙伴明知其行为或不作为违反了行政简化条款,或通过行使合理谨慎本应知悉该违反行为,但该实体或合作伙伴并非出于故意疏忽而为之。
拟议规则,第40页
这一变更意义重大,因为它明确指出:知悉违规行为并不必然将受管辖实体或业务合作伙伴归入故意疏忽范畴——该范畴将触发强制性民事罚款及强制性调查程序。
拟议规则还提供了若干假设情境的示例,这些情境将分别归入不同责任等级。 这些示例明确指出,在判定违规行为属于四级责任等级中的哪一类时,HHS将综合考量:相关实体或业务合作伙伴是否建立了有效的政策与程序以体现遵守HIPAA的意图,以及为合规所采取的具体措施。这使得相关实体和业务合作伙伴必须建立健全的政策体系,并完整记录其实施与遵守政策的具体步骤。
代理关系。此外,拟议规则还规定了在何种情况下,被覆盖实体或业务伙伴的代理人的行为将被归责于该被覆盖实体或业务伙伴。不出所料,拟议规则将新增条款,规定业务伙伴需对其代理人(包括在联邦普通法代理关系范围内行事的分包商)的违规行为承担责任。 然而,卫生与公众服务部重申了先前规则中的表述:判定业务合作伙伴是否属于覆盖实体的代理人(或根据拟议规则判定分包商是否属于业务合作伙伴的代理人),将基于双方关系的事实依据,例如对业务合作伙伴或分包商行为的控制程度。
遗憾的是,拟议规则包含一项变更,扩大了覆盖实体对其作为代理人的业务伙伴违规行为的责任范围。 现行HIPAA法规规定,当满足以下条件时,覆盖实体对其代理人(即业务伙伴)的行为可免责:该业务伙伴已满足相关要求;覆盖实体不知晓其存在违反合同的惯常行为模式;且覆盖实体已按隐私规则或安全规则要求对违规行为采取了必要措施。 HHS拟取消该例外条款,使承保实体无论是否签订合规业务伙伴协议,均须对其业务伙伴代理人的行为承担责任。 HHS声明此项变更旨在确保:当受保护实体依据HIPAA规则承担特定义务时,若业务合作伙伴未能代其履行该义务,受保护实体仍须承担相应责任。
最后,拟议规则明确了卫生与公众服务部部长确定处罚金额的方式。此类决定将综合考量多项因素,包括违规行为的性质与程度、违规行为造成的损害性质与程度,以及相关受监管实体或业务合作伙伴的既往合规记录。卫生与公众服务部详细阐述了这些因素的具体适用方式。
拟议规则中未包含的《HITECH法案》条款
拟议规则并未涵盖《HITECH法案》要求制定法规的所有事项。例如,卫生与公众服务部声明,关于个人健康信息披露的记录、州检察长执行《健康保险流通与责任法案》规则的权限,以及最低必要标准等议题,都将作为未来规则或指导方针的制定对象。
结论
拟议规则对《健康保险流通与责任法案》的隐私、安全及执法规则进行了多项重大修订。其中最关键的变更或许是使业务合作伙伴(包括分包商)直接受卫生与公众服务部合规义务及执法行动约束。最终规则颁布后,业务合作伙伴及其协议的修订要求将需要对相关合同进行修改。此外,业务合作伙伴还需建立业务合作伙伴分包商协议。 受规实体还需修订其隐私政策,并审查其营销、研究及其他业务实践,确保符合最终规则要求。鉴于这些要求的复杂性,受规实体、业务合作伙伴及分包商应立即评估现有HIPAA政策,并为即将到来的变更做好规划。
法律新闻快讯是我们持续致力于为医疗保健领域的客户及同仁提供紧迫关切或行业议题最新动态的重要组成部分。若您对本快讯有任何疑问或希望进一步探讨相关议题,请联系您的福里律师事务所律师或以下任一位联系人:
雪莉·P·莫里根
加利福尼亚州洛杉矶市
213.972.4668
[email protected]
杰奎琳·M·索伊
华盛顿特区
202.672.5306
[email protected]
迈克尔·斯卡拉诺
加利福尼亚州圣地亚哥市
858.847.6712
[email protected]
安德鲁·B·塞尔温 加利福尼亚州圣地亚哥市858.847.6712[email protected]
加利福尼亚州圣地亚哥
619.685.6428
[email protected]
M. Leeann Habte
加利福尼亚州洛杉矶
213.972.4679
[email protected]
Maureen Kwiecinski
威斯康星州密尔沃基
414.319.7325
[email protected]
