2020年12月10日,美国卫生与公众服务部民权办公室(OCR)发布拟议规则制定通知(NPRM),旨在修订《健康保险流通与责任法案》(HIPAA)隐私规则。 此次隐私规则修订旨在修改那些"未能通过隐私保护措施充分补偿或抵消相关负担"、从而阻碍协调护理的条款。OCR在审阅公众对2018年12月《修改HIPAA规则以改善协调护理的信息征询》的反馈后制定了这些提案。 修订提案将大幅扩大个人获取受保护健康信息(PHI)的权利,鼓励为协调护理或协助特定情况下的物质使用障碍患者而进行更多信息共享,修订隐私实践通知(NPP)要求,并允许向电信中继服务(TRS)披露信息。
我们已将隐私规则的主要拟议修订内容汇总如下。但请注意,无论这些拟议修改最终是否实施,其他适用法律(如各州医疗隐私法及《联邦法规汇编》第42卷第2部分等)仍需一并考虑。
访问权限的扩展
该拟议规则若成为法律,将大幅扩展个人在《健康保险流通与责任法案》下的获取权:
- 响应时限。相关实体需在"可行的情况下尽快"回应访问请求,但无论如何不得迟于收到请求后15个日历日内(而非现行的30个日历日)。
- 要求的形式与格式。隐私规则目前要求受保护实体在"可便捷生成"的情况下,按个人要求的形式和格式提供个人健康信息(PHI)。拟议修改将明确"可便捷生成"包括使用个人选择的应用程序(如"个人健康应用程序")的安全、基于标准的API。 个人还享有以下权利:现场查阅或采集PHI时,可进行笔记记录、视频拍摄、照片拍摄,或使用其他个人资源。
- 费用。个人查阅或获取自身个人健康信息(PHI)副本时,若选择现场查阅或通过互联网访问,应享有免费获取的权利。民权办公室(OCR)将继续允许收取劳务费、耗材费及邮费等特定费用,并允许对要求将电子版PHI传输给第三方的个人收取有限费用。 承保实体须在其网站(如有)预先公布常见PHI副本申请的费用估算表,并应要求提供副本费用个性化估算及申请副本的实际成本明细清单。
- 向第三方提供副本的权利。 根据该提案,个人要求 将个人健康信息副本提供给第三方的权利将 仅限于电子副本,此举旨在将此前法院对此问题的裁决纳入法规。此类请求不再需要书面形式,只要其表达"清晰、醒目且具体"即可。 此外,该提案要求承保实体必须将电子健康记录中的电子PHI传输给另一承保实体,作为个人获取权的组成部分。
- 核验。OCR同时提议禁止受规管实体对个人实施"不合理"的身份核验措施。不合理措施包括要求申请经公证、在远程核验可行的情况下仍强制个人当面提供身份证明,或要求访问请求必须填写完整的HIPAA授权表格。
鼓励护理协调与个案管理活动
该拟议规则主要致力于进一步鼓励受规管实体(无论是医疗保健提供者还是健康计划)参与个人层面的护理协调与病例管理活动。民权办公室提议通过以下方式消除现行隐私规则对这些护理协调与病例管理活动造成的障碍:
- 修订医疗保健运营的定义。在现行隐私规则中,部分覆盖实体将"医疗保健运营"仅解释为涵盖基于人群的护理协调与个案管理,而非"治疗"活动允许的个体化活动。 通过修订"医疗保健业务"定义以纳入个体层面的护理协调与个案管理活动,民权办公室将明确:未参与治疗活动的覆盖实体(如健康计划)可开展个体层面的护理协调或个案管理活动。
- 创建披露信息最低必要标准的例外条款。当前《隐私规则》豁免了从事个人治疗的覆盖实体在进行护理协调和病例管理时,对披露信息是否达到最低必要标准的考量。然而,未参与个人治疗的覆盖实体必须遵守相同披露行为的最低必要要求。 该拟议规则旨在对所有从事基于个人的护理协调和病例管理活动的受规管实体采取统一标准,无论其活动是否属于HIPAA定义的"治疗"或"医疗保健运营"范畴。
- 允许向特定第三方披露个人健康信息。 拟议修订允许受保护实体在未获得个人有效授权的情况下,向特定第三方披露PHI,包括社区组织、居家及社区服务(HCBS)提供者、社会服务机构及其他提供健康相关服务的类似第三方,用于个人层面的护理协调与个案管理。例如,第三方可为通过提供食物或庇护所住房来解决健康社会决定因素及健康风险的社区组织。
隐私保护措施通知更新
OCR的提案旨在修改《健康保险流通与责任法案》(HIPAA)的知情同意书要求,目标是在减轻当前确认要求给医疗服务提供者带来的行政负担的同时,继续帮助个人更好地理解其在HIPAA框架下的权利及行使方式。 为实现这种平衡,OCR提议取消要求特定覆盖实体(与个人存在直接治疗关系者)获取并保留个人书面确认已收到隐私通知的副本,转而赋予个人与覆盖实体指定人员讨论隐私通知的权利。 为进一步提升个人对自身权利及承保实体隐私实践的认知,该提案还修改了《隐私通知》内容要求,新增关于个人行使查阅权的说明指引,并强制要求采用更详尽、更具指导性的新标题格式。 该草案拟议的标题将明确规定:NPP需向个人说明其权利内容及行使方式,并注明受保护实体指定联络人的联系方式。
修订内容旨在鼓励在特定情况下向家庭成员及其他照护者披露信息
OCR还对《隐私规则》提出若干修订建议,旨在鼓励医疗保健提供者在满足特定条件的前提下,更广泛地披露涉及物质使用障碍(SUD)或严重精神疾病(SMI)患者及紧急情况的个人健康信息(PHI)。这些修订建议将增强受规管实体对PHI进行特定使用和披露的能力与意愿。
善意信念
拟议的修改将修订隐私规则中关于个人健康信息(PHI)使用和披露的特定要求,包括向参与患者护理的亲友披露PHI的相关条款,旨在鼓励受保护实体在无需担心违反《健康保险流通与责任法案》(HIPAA)的前提下进行更多信息共享。 具体而言,该提案将取代当前允许承保实体基于"专业判断"使用和披露PHI的条款,转而采用相对灵活的标准——允许承保实体在"善意认为"该使用或披露符合个人最佳利益时实施相关操作。拟议修改还将推定承保实体具有善意。
该提案得到教育机会均等办公室(OCR)的关注支持,因现行规则中关于行使"专业判断"的要求可能被解释为:仅允许持证人员或依赖专业培训者来判定个人健康信息(PHI)的使用或披露是否符合个人最佳利益。
虽然专业培训和经验自然会影响医疗保健提供者对个人最佳利益的善意判断,但善意判断并不总是要求覆盖实体或其工作人员具备专业教育背景或从业经验。相反,"善意"标准要求覆盖实体或工作人员在决定使用或披露个人健康信息时,应根据其角色行使适当的判断力,并遵守适用授权中包含的其他条件。 以下列举若干实例,说明该拟议变更在实践中的运作方式:
- 受保护实体可依据经验,本着善意原则作出判断:对于因药物过量、精神健康危机或其他健康紧急状况而丧失行为能力的年轻成年患者,向参与其治疗且根据双方关系可合理预期会参与或协助患者康复的父母披露信息,符合该患者的最佳利益。
- 若急症护理机构未获得书面授权指定紧急联系人,但知悉无行为能力患者的指定紧急联系人信息,在善意认为患者不反对披露的前提下,可向该联系人披露患者的个人健康信息。
- 在适用法律未将未成年人父母视为法定代理人的州或辖区内,当医疗服务提供者真诚认为向父母披露信息可改善未成年人的护理和治疗时,受保护实体可披露患有物质使用障碍的未独立未成年人的个人健康信息。 该提案将消除向未成年人父母或监护人披露PHI的障碍——即使根据州法律,该父母或监护人未被认定为未成年人的法定代理人。 同时,本提案不会取代禁止披露敏感信息的州法律,因为该提案仅允许而非强制要求根据《健康保险流通与责任法案》(HIPAA)进行披露。因此,受保护实体可通过依据州法律限制披露范围,同时遵守HIPAA及更严格的州法律。
严重且合理可预见的威胁
为使受保护实体能够更有效地预防和减轻对个人或公众的伤害,拟议修改还将允许受保护实体在危害"严重且可合理预见"时披露个人健康信息(PHI),以避免对个人或公众健康安全的威胁。现行标准要求必须存在"严重且迫在眉睫"的健康安全威胁,新标准将放宽这一要求。 拟议修改将允许受规管实体在无需判定威胁是否迫在眉睫(某些情况下可能无法判定)的情况下使用或披露PHI,转而仅需判断该威胁是否具有合理可预见性。
OCR提出此项修订旨在避免以下情形:当覆盖实体因无法精确判断危害威胁的紧迫性,而担心可能因违规使用或披露受保护健康信息(PHI)受到《健康保险流通与责任法案》(HIPAA)处罚时,拒绝实施其认为必要的PHI使用或披露行为——这些行为本可用于预防危害或减轻危害威胁。 例如,根据该提案,相关实体在使用或披露PHI时无需判定威胁性伤害是否迫在眉睫(某些情况下可能无法判定),而只需判断该威胁性伤害是否具有合理可预见性。
关于向TRS供应商披露信息的说明
OCR明确提议允许向听障、听力障碍、聋盲人士或言语障碍者披露信息给TRS通讯助理,并修改业务伙伴的定义以排除TRS服务提供商。
尽管尚未确定发布时间,教育部民权办公室(OCR)将在《联邦公报》发布该拟议规则制定通知(NPRM)后,接受为期60天的公众意见征询。
