受保护的健康信息

根据美国法律,受保护健康信息(英語:Protected health information, PHI)是能够与特定个人关联,由受保护实体(或受保护实体的业务关联企业)创建或收集的有关健康状况、医疗保健提供或医疗保健支付的任何信息。PHI涵盖的内容极为广泛,包括病人的医疗记录或支付历史的任何部分。[1]

在公开数据前,数据使用者(通常是研究人员)应当对PHI进行数据脱敏,删除其中可供个人识别的PHI来保护研究参与者的个人隐私。

美国

根据健康保险便利和责任法案(HIPAA),基于以下18个标识的PHI必须特别小心处理:[2]

  1. 姓名
  2. 邮政编码的前三位外,任何小于州的地理位置信息(若该邮政编码对应地区人口小于20,000人,邮政编码也需要改为000)
  3. 除年份外,能与个人产生联系的日期
  4. 电话号码
  5. 传真号码
  6. 电子邮箱地址
  7. 社保号码
  8. 病例号码
  9. 健康保险受益人号码
  10. 账号
  11. 执照号码
  12. 包括车牌号在内的车辆识别号码
  13. 设备识别码、序列号
  14. 网络统一资源定位符(URLs)
  15. IP地址
  16. 生物识别信息,包括指纹、虹膜纹等
  17. 面部特征图像
  18. 除调查员为编码资料而指定的唯一代码外,任何其他唯一的识别码、特征或代码

数据脱敏和匿名化

匿名化指的是去除、修改PHI元素以防止恶意者通过手段获取原始数据集。[3]这需要移除所有可供身份识别的数据。[4] 数据脱敏指的是根据HIPAA隐私规则,数据通过下列步骤完成身份识别内容的清洗:

1.移除上述18个身份标识符
2.统计专家证实该数据集被重新识别的可能性极低。[5][6]

经过数据脱敏的数据被编码,并链接到受信组织或个人保存的原始数据集。经过编码的去识别数据不受HIPAA隐私规则的保护,但受通用规则英语Common Rule的保护。去身份识别和匿名化使得大学、政府机构和私有卫生保健组织能够合法安全的使用个人健康数据进行研究。[4]

涉及实体

美国有关PHI的法律适用于医疗保健提供和支付过程中收集的数据。隐私和安全法规管理医疗保健专业人员、医院、保险公司和其他受保护实体如何使用和保护他们收集的数据。在根据美国法律确定信息是否属于PHI时,理解数据的来源与数据本身的相关性是很重要的。例如,美国法律并不限制人们描述客观事实,比如在街上一位推着残障人士的人说这位残障人士进行过截肢手术。然而,从受保护的来源(如电子病历)获取关于截肢的信息将违反HIPAA规定。

商业有关组织

受覆盖实体通常使用第三方提供某些保健和业务服务。如果他们需要与第三方共享PHI,受覆盖实体有责任制定业务合作协议,使第三方遵守与受覆盖实体相同的隐私和机密性标准。[7]

受保护的健康信息存储

受保护的健康信息可以以多种不同的形式存储。美国健康保险便利和责任法案对此类信息的存储有诸多要求和限制。

移动应用

移动应用程序已被证明是必不可少的,特别是对老年人或残疾人而言。由于患者的行为主张、追求新鲜感等因素,移动医疗非常具有吸引力。用户对应用程序的评论,可被用为确认这些存储受保护健康信息的程序的合法性。[8]

另请参阅

参考文献

  1. ^ What is the Definition of a HIPAA Covered Entity?. October 9, 2017 [2020-11-13]. (原始内容存档于2018-05-06). 
  2. ^ De-identification of Protected Heath Information. HIPAA Journal. 2018 [2020-11-13]. (原始内容存档于2021-02-13). 
  3. ^ Ohm, Paul. Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization. UCLA Law Review. August 2010, 57 (6): 1701–1777. 
  4. ^ 4.0 4.1 存档副本. [2020-11-13]. (原始内容存档于2014-01-14). 
  5. ^ Encouraging the Use of, and Rethinking Protections for De-Identified (and "Anonymized") Health Data (PDF). Center for Democracy and Technology. June 2009 [June 12, 2014]. (原始内容存档 (PDF)于2017-08-30). 
  6. ^ HIPAA: What? De-identification of Protected Health Information (PHI). HIPAA Research Guide. University of Wisconsin-Madison. August 26, 2003 [June 12, 2014]. (原始内容存档于2015-02-21). 
  7. ^ Rights (OCR), Office for Civil. Business Associate Contracts. HHS.gov. 21 May 2008 [2020-04-03]. (原始内容存档于2021-02-13). 
  8. ^ Al-Muhtadi, Jalal; Shahzad, Basit; Saleem, Kashif; Jameel, Wasif; Orgun, Mehmet A. Cybersecurity and privacy issues for socially integrated mobile healthcare applications operating in a multi-cloud environment. Health Informatics Journal. 2019-06, 25 (2) [2022-09-18]. ISSN 1460-4582. doi:10.1177/1460458217706184. (原始内容存档于2022-09-22) (英语).