路易斯安那州共和党参议员比尔·卡西迪近日公布一项新的健康数据隐私框架,明确规定可穿戴设备和健康应用处理敏感健康数据的方式。
美国目前缺乏全面的国家数据隐私框架。卡西迪表示,虽然国家需要为美国经济所有领域建立综合性隐私框架,但医疗保健领域需要特殊考量。
包括卡西迪在内的立法者担忧,美国民众在购买可穿戴设备或使用健康追踪应用时,并不了解企业如何使用其个人信息。此外,立法者忧虑可能揭示个人慢性病状况或生殖健康信息的敏感健康数据会被恶意行为者滥用。
卡西迪在新闻稿中表示:"智能手表和健康应用改变了人们管理健康的方式。它们是实用工具,但也带来了诊室里仅患者与医生相处时不存在的新隐私问题。让我们确保美国民众的数据得到保障,仅在获得其同意的情况下被收集和使用。"
卡西迪于11月4日提出了《健康信息隐私改革法案》(HIPRA)。该提案遵循自1996年起监管患者健康数据隐私与安全的《健康保险流通与责任法案》(HIPAA)的多项核心原则。
与仅涵盖医疗保健提供者、支付方、清算机构及其电子传输数据的业务关联方的HIPAA不同,卡西迪的HIPRA将针对日益增多的收集消费者体重、血压读数、性健康信息等敏感健康数据的消费类应用程序、健康平台和可穿戴设备。
HIPRA可能重新定义企业处理健康数据的方式,包括那些已被HIPAA监管数十年的企业。
根据该提案,消费者可访问、修改或删除与消费类应用或可穿戴设备关联的个人健康信息。隐私条款列明了健康信息的允许用途和披露情形,包括何时需要书面授权、授权标准及个人权利。
该法保护的健康数据定义为可识别个人身份且与其过去、现在或未来身体/心理健康状况相关的信息,包括医疗服务提供或支付情况。该法还将纳入"第二部分数据"——标识个人存在药物滥用障碍的信息。
值得注意的是,HIPRA包含健康数据删除权,而HIPAA并未规定此项权利。
卡西迪在去年的健康数据隐私白皮书中写道:"随着技术普及和健康数据互操作性增强,我们拥有更大机会改善医疗服务并提升患者获取健康信息的途径。然而,访问权限增加可能导致不当数据披露风险上升,为恶意行为者提供可 exploited 的更大数据池。"
该提案将包含类似HIPAA的安全条款,例如基于国家标准与技术研究院或卫生与公众服务部框架制定的物理、技术和管理保障措施。
数据泄露通知条款将参照HIPAA健康数据泄露通知规则运作,要求实体在数据遭未授权访问(如网络攻击)时通知个人、政府和媒体。
该立法还针对使用去标识化患者数据训练健康AI算法的情况作出规定。法律明确AI公司必须遵守HIPAA设定的"最小必要"标准,即仅共享必要最低限度的信息。
卡西迪在白皮书中指出:"部分利益相关方担忧,允许健康信息(即使经过去标识化处理)用于未来数据集构建AI工具,可能损害患者对其健康数据使用的所有权和自主权。研究表明AI应用存在重新识别健康信息的潜在风险。"
HIPRA要求卫生与公众服务部(HHS)发布指南,说明HIPAA的"最小必要"标准如何适用于AI领域。
该立法对HIPAA作出若干修改,包括健康信息去标识化方式,影响范围将覆盖整个医疗保健行业而不仅限于消费类应用。法案还要求医疗服务提供者和应用程序在HIPAA不再保护用户数据时告知消费者,并为患者向其他实体进行"定向披露"健康数据制定路径。
该提案要求国家科学院、工程院和医学院研究患者共享已标识数据的补偿机制,同时要求HHS评估数据隐私风险、伦理考量及向消费者支付数据费用的可行性。
【全文结束】
