五一充电 特别专题 个人健康信息保护与利用 | 数据时代健康信息交换中的隐私保护——以美国《HIPAA法案》为例

信息化时代，现代医疗无论是科研还是临床实践，都需要大量数据为支撑。因此，在健康信息相关数据的收集、存储、交换、披露、使用过程中，数据的安全问题与患者或者受试者的隐私保护问题的重要性就凸显出来。如何保护健康信息的安全与当事人的隐私，美国《HIPAA法案》以及相关法律法规从立法目的、原则、适用主体、受保护健康信息范围、披露方式、保障措施、罚则等方面进行了规范。

1996年美国国会通过了《健康保险携带和责任法案》（Health Insurance Portability and Accountability Act，HIPAA）（以下简称《HIPAA法案》），于1996年年底生效；2003年4月《HIPAA 法案》隐私规则生效；2005年4月《HIPAA法案》安全规则生效；2006年3月《HIPAA法案》执行规则生效；2009年9月《经济和临床 健康信息技术法案》和违规通知规则生效；2013年3月《HIPAA法 案》最终综合规则生效。其中的隐私规则明确保护健康信息的安全与隐私，从立法目的、原则、适用主体、受保护健康信息范围、披露方式、保障措施、罚则等方面对健康信息的安全与当事人的隐私进行了规范。与之配套的有美国卫生与人类服务部（Department of Health and Human Services，DHHS）颁布的《个人健康信息隐私国家标准》（2000年）、《个人可识别健康信息的隐私标准》（2000年）、参议院的《卫生信息技术促进法》（2006年）、《病人保护与评价医疗法案》（2010年）等，一起构建了个人健康信息安全与隐私的法律保护体系。