《纽约州健康信息隐私法案》(NYHIPA)若获通过,可能对患者获取和使用纽约市民依赖的便捷数字医疗服务产生寒蝉效应。数字健康企业将面临维持患者参与度和协调护理的困境,且因该法案带来的财务与运营负担,其产品服务升级几乎必然遭遇阻碍。
截至2025年1月23日,《纽约州健康信息隐私法案》(NYHIPA)已通过纽约州参议院和众议院审议,即将提交州长签署。若该法案正式生效,将对数字健康企业在纽约州收集、披露和使用消费者健康信息的方式产生重大影响。
谁受到监管?
根据当前草案,纽约州健康保险和医疗补助计划(NYHIPA)将适用于任何拥有与纽约州有联系的患者或客户的医疗保健机构。
具体而言,NYHIPA将适用于任何符合以下条件的实体:
- 控制纽约州居民受监管健康信息的处理,
- 控制在纽约州境内且身处纽约州期间的个人的受监管健康信息的处理,或
- 位于纽约,并负责监管健康信息的处理。
与其他消费者数据隐私法相比,实体层面的豁免范围较为有限。受《健康保险流通与责任法案》(HIPAA)约束的实体可获豁免,但仅限于该实体以与HIPAA保护的健康信息相同方式保存患者信息的情形。 虽然受HIPAA管辖实体保存的传统医疗记录可能获得豁免,但在用户工作流早期收集的个人信息很可能受《纽约州健康信息隐私法案》(NYHIPA)管辖,且在受监管实体进行任何处理前须满足下文所述的严格授权要求——除非该实体属于HIPAA管辖范围,并将该信息视为HIPAA保护的健康信息。
哪些信息受到监管?
纽约州健康信息隐私法案旨在规范所有可能与健康或保健相关的信息,包括设备数据。 受监管信息涵盖任何可合理关联至个人或设备的数据,包括与个人身心健康相关的收集或处理信息,涉及个人身心健康的定位或支付信息,以及任何可合理关联至个人或设备的、关于个人身心健康的推断或衍生信息。受HIPAA保护的健康信息及去标识化信息将豁免于本法规。
有哪些处理限制?
“处理”行为必须严格限定于个人所请求的特定产品或服务,除非获得明确授权根据《纽约州健康信息隐私法》定义,处理通常指对健康信息实施的任何操作,包括收集、使用、披露、访问、销售、共享、创建、生成或去标识化健康信息。
受监管实体不得处理健康信息,除非:
- 该个人已提供授权;或
- 该处理对于某些列举目的而言是绝对必要的,包括提供或维护该个人所请求的特定产品或服务,或开展受监管实体的内部业务运营。
最重要的是,这无疑将引发数字健康领域的焦虑——内部业务运营明确排除任何未经个人授权的营销、广告、研发活动,或向第三方提供产品或服务的行为。
何时可以获得授权,以及授权必须包含哪些内容?
NYHIPA将禁止在账户创建或首次使用产品/服务后的24小时内获取个人授权。 选择加入式同意将不再足够,因为个人必须为每项不被视为严格必要的服务活动获取明确授权。
授权必须
- 不得与交易的任何部分分开处理;
- (ii) 须在个人创建账户或首次使用所请求的产品或服务至少24小时后作出;
- 除其他要求外,允许个人针对每类处理活动单独提供或拒绝授权。
对于在该实体拥有在线账户的个人(大多数数字健康公司均属此类情况),受监管实体必须在"账户设置中显眼且易于访问的位置"提供个人已授权的所有处理活动清单,并允许个人在同一位置通过"单次操作"撤销每项处理活动的授权。 实体不得将产品或服务提供与授权挂钩,亦不得因用户拒绝授权而实施歧视性措施,例如通过折扣或其他优惠手段对产品或服务收取不同价格。
是否需要隐私声明?
纽约州健康信息隐私保护局(NYHIPA)规定,受监管实体在未经授权的情况下为合法目的处理健康信息时,必须提供隐私通知。该通知须包含以下内容:所处理的信息类型、处理活动的性质、处理的"具体目的"、接收信息的第三方服务提供商名称或类别及披露目的,以及个人请求访问和删除其健康信息的具体途径。需特别注意的是,若受监管实体对处理活动进行实质性变更,必须提供清晰醒目的通知——该通知须独立于隐私政策、服务条款或类似文件之外。 该通知须独立于隐私政策、服务条款或类似文件,说明处理活动的重大变更,并给予个人请求删除其健康信息的权利。需注意的是,与其他消费者数据隐私法不同,根据《纽约州健康信息隐私法案》提案,删除要求的唯一例外是允许"在遵守受监管实体法律义务所必需的范围内"保留信息。
数字健康公司还应了解哪些关键要求??
《纽约州健康信息隐私法案》将要求服务提供商按受监管实体对健康信息进行分隔管理。 受监管实体需与服务提供商签订书面协议。此类协议的必要条款通常与其他消费者数据隐私法规类似。但《纽约州健康信息隐私法案》还要求服务提供商:
- 不得将服务提供商从受监管实体处或代表受监管实体收到的健康信息,与服务提供商从其他方处或代表其他方收到的任何其他个人信息,或从其与个人的关系中收集的任何其他个人信息进行合并;
- (ii) 在与任何其他服务提供者共享健康信息前,须提前“合理时间”通知受监管实体。
所有网站和通讯内容均需确保残疾人士能够合理访问,并以受监管实体通过其网站及服务提供信息的语言提供。
该法律何时生效?可能面临哪些处罚?
《纽约州健康保险计划法案》将在该法案签署生效一年后正式实施。
纽约州总检察长将有权执行该法律,包括处以每项违规行为50,000美元或过去财政年度从纽约消费者处获得收入的20%(以较高者为准)的民事罚款,以及其他补救措施。总检察长还拥有颁布实施细则和法规的权力。
《纽约州历史保护法》的实际影响是什么?
NYHIPA将为数字健康企业带来重大的财务和运营障碍。 受监管实体需针对每项需征得个人授权的处理活动升级网站及用户流程,同时还需进行必要升级以满足新的无障碍要求。24小时授权申请暂停期将实质性阻碍改善患者体验、参与度及教育水平的活动。服务提供商因执行各受监管实体健康信息隔离要求而面临财务压力。 最后,该法案将要求数字健康企业遵守另一项与其他州隐私法存在实质差异的州消费者隐私法规。
数字健康企业下一步该做什么?
《纽约州健康信息隐私法案》(NYHIPA)已通过州参众两院审议,仅待州长签署即可生效。如前所述,该法案将在州长签署后一年起施行。对于数字健康企业而言,这一年期限远不足以完成合规所需的系统改造。因此,凡在纽约州拥有患者或客户的数字健康企业,若该法案最终颁布,应立即着手制定合规计划。
医疗保健数据隐私领域持续快速演变。因此,数字健康企业应密切关注任何新动向,并持续采取必要措施以确保合规。若您对消费者健康数据隐私法规的合规要求或近期医疗保健数据隐私法规的变更存在任何疑问,请联系本文作者或福里律师事务所网络安全与数据隐私业务组、医疗保健业务组的任何合伙人或高级顾问。
