s
NY.gov Portal State Agency Listing Search all of NY.gov
专员 Michael F. Hogan, Ph.D.
总督 Andrew M. Cuomo

關於保護健康和心理健康資訊的HIPAA隱私規則

Adobe Acrobat 的最新版本  | 下載最新版本的 Adobe Reader

(注意:以下提供的資訊為摘要,僅作為一般資訊。 心理健康服務提供者及其他相關實體不得依賴本摘要作為法律資訊來源或建議, 而應諮詢自己的律師或HIPAA隱私官員尋求具體指導。)

前言:

本文件為《健康保險可攜與責任法》(HIPAA)的關鍵要求提供指引。 該法是1996年通過的聯邦法律,要求健康保險(包括心理健康醫療) 提供者確保患者記錄和健康資訊的隱私。HIPAA要求聯邦衛生與公共服務部 (HHS)制定實施這些隱私要求的條例,稱為《隱私規則》, 於2003年4月14日生效。對於醫療隱私提供更嚴格保護的州法令即使在HIPAA之後也繼續有效, 因此本文件有幾處提及紐約州心理健康保密法令(《心理衛生法》第33.13款)的要求。

一般規定:

HIPPA《隱私規則》(《聯邦法規》第45章第160和164部分) 首次就健康和心理健康資訊隱私提供全面的聯邦保護。《規則》旨在提供有力的法律保護, 確保個人健康資訊隱私,而不干預患者獲取治療、醫療運作或護理品質。

《隱私規則》適用於「相關實體」,一般包括以電子形式傳送健康資訊的醫療保險計劃和服務提供者。 相關實體幾乎包括所有的門診、居住或住院類的健康和心理健康服務提供者,以及收取醫療服務費用的其他人或組織。

《隱私規則》的基本原則:

  1. 《隱私規則》包括所有「受保護的健康資訊」(PHI), 其中包括相關實體以電子、紙面或口頭陳述形式持有或傳送,可以確定個人身份的健康或心理健康資訊。
  2. 《隱私規則》的主要目的是規定和限制相關實體揭露個人PHI的情況。 一般而言,除以下情形外,相關實體不得使用或向他人揭露PHI
    1. 《隱私規則》允許或要求者;或是
    2. 健康資訊主體(或私人代表)授權者。符合HIPAA 要求的授權書必須包含《隱私規則》要求的具體資訊。
  3. 相關實體必須應個人(或其私人代表)的請求,允許他們查看自己的PHI (有准許的拒絕理由除外),也必須提供向他人揭露PHI的清單。
  4. 《隱私規則》取代州法,但提供更大保護或是賦予個人對自己的PHI 更大查看權的州法繼續有效。

(注意:欲確定特定情況下是否允許揭露醫療資訊,不僅須查閱HIPAA, 亦須查閱其他相關的聯邦法律(如Medicaid及聯邦資助的物質濫用治療計劃相關的條例) 及州隱私法律(包括《心理衛生法》第33.13款、《公共衛生法》、《教育法》特許條款及《民權政策實施法律和規則》)。

無須授權准許使用或揭露PHI的情形:

《隱私規則》有多處規定描述允許相關實體無須取得受保護資訊主體授權使用或揭露 PHI的情形。這些用途包括但不限於以下各項:

  1. 相關實體可向資訊主體揭露PHI
  2. 相關實體可為自己的「治療、付款和醫療運作」使用和揭露受保護的健康資訊。
    1. 治療是指提供、協調或管理個人的醫療及相關服務,包括提供者之間會診及向其他醫療提供者轉介。
    2. 付款包括醫療提供者根據為個人提供的醫療服務獲得付款或得到報銷的活動。
    3. 醫療運作包括以下職能:(a) 品質評估和改進;(b) 能力評估,包括績效評估、 證明和認證;(c) 醫療審查、審計或法律服務;(d) 指明的保險職能; 以及 (e) 業務規劃、管理和一般行政。
  3. 可從資訊主體獲得准許,或在情況清楚表明有行為能力的個人有機會反對揭露但沒有表示反對的情況下獲得准許。 提供者也可依賴個人的非正式准許向個人的家人、親屬、私人密友或個人指明的其他人揭露健康資訊, 但僅限於此人所涉事項直接相關的資訊。
  4. 個人喪失行為能力或處於緊急情況時,醫療提供者根據臨床判斷認為符合個人最大利益的條件下, 有時可以不經授權使用或揭露PHI。可依該規定揭露的 PHI包括患者的姓名、在醫療提供者設施中所處的位置以及關於此人狀況的有限一般資訊。
  5. 如果使用或揭露PHI是包括州法令或法院命令在內的法律要求, 提供者可不經個人授權使用和揭露PHI
  6. 提供者一般可向州和聯邦公共衛生當局揭露PHI以防止或控制疾病、 傷害或殘障,並可向有權受理兒童虐待和疏忽舉報的政府當局揭露。
  7. 提供者可在有限情況下,向適當的政府當局揭露虐待、疏忽或家庭暴力受害人相關的 PHI
  8. 提供者可向醫療監管機構(如向提供者頒發執照的政府機構)揭露PHI 用於法律授權的醫療監管活動,如審計和調查。
  9. 如果根據法院命令、傳票或其他正當程序(注意:「更嚴格的」紐約州《心理衛生法》規定, 在這些情況下,需要揭露心理健康資訊的法院命令)提出請求,可在司法或行政程序中揭露 PHI
  10. 以下情況下,提供者一般可向執法機構揭露PHI
    1. 根據法律規定或者法院命令、傳票或「行政請求」,如傳票或傳喚(注意:「更嚴格的」紐約州 《心理衛生法》第33.13款規定,在這些情況下,需要揭露心理健康資訊的法院命令)。 尋求的資訊必須與詢問相關且僅限於詢問。
    2. 為了確定嫌疑人、在逃者、重要證人或失蹤者的身份或所在地(注意:根據《心理衛生法》 第33.13款,這些資訊僅限於「住院相關的身份資料」)。
    3. 應執法機構對犯罪受害人資訊的請求(注意:根據《心理衛生法》第33.13款, 這些資訊僅限於「住院相關的身份資料」)。
    4. 為了向執法機構通報在HIPAA相關實體設施實施的犯罪行為。
  11. 提供者可以揭露他們認為防止或減輕以下各項必需的PHI
    1. 對個人或公共的嚴重、迫近的身體威脅,他們認為向某人揭露這些資訊能夠防止或減輕該威脅(包括威脅目標)。
  12. 使用或向某些政府計劃揭露PHI,無須取得授權:
    1. 提供公共福利的計劃,或是登記接受政府福利
    2. 如果必須分享資訊或是得到法令或法規明確授權,或是在其他有限情況下揭露。

「最少必要」規則:

相關實體必須採取合理努力,僅使用、請求或向他人揭露實現預定的使用、請求或揭露目的所需的最少量 PHI。適用最少必要標準時,除非相關實體能夠具體顯示需要全部記錄的合理依據, 否則不得使用、揭露或請求一個人的全部醫療記錄。

最少必要的標準不適用於以下情形:

  1. 向醫療提供者揭露用於治療;
  2. 向資訊主體(或私人代表)揭露;
  3. 根據此人(或私人代表)的授權書使用或揭露;
  4. 按法律規定使用或揭露;或是
  5. 向HHS揭露用於調查、合規審查或執法。

HIPAA違規處罰:

  1. 民事罰款: 相關實體每次違反《隱私規則》要求,HHS 可處以100美元民事罰款。一年之內多次違反同一《隱私規則》要求者,不得超過25,000美元。 一般而言,如果違規有合理原因,不存在「惡意疏忽」,而且相關實體在知悉(或應當知悉) 違規後30日內糾正違規情形者,HHS不得處以民事罰款。
  2. 刑事處罰。明知的情況下違反HIPAA獲取或揭露可確定個人身份的健康資訊者, 可能面臨50,000美元以下罰款和一年以下監禁。如果不當行為涉及「詐騙」, 刑罰可提高到100,000美元以下罰款和五年以下監禁。如果不當行為以銷售、 轉讓或使用可確定個人身份的健康資訊獲取「商業優勢、個人好處或惡意傷害」為目的, 可處以250,000美元以下罰款和十年以下監禁。

欲檢閱《隱私規則》全文或獲取關於其適用的其他資訊,請瀏覽 HHS民權辦公室網站: 閱讀更多HIPAALeaving OMH site