【國際政經瞭望】美國個資保護機制:以醫療產業為例
張心衡 (2024/04/10) 《台經月刊第47卷第4期》
美國隱私權法與個人資料保護法散見於不同產業規範,大致可歸納為金融、消費、健康等資料類型,亦有針對兒童和學生隱私保護規範。本文聚焦美國智慧醫療相關的個資保護機制、既有規範和立法趨勢為研析標的,包含《健康保險可攜性與責任法》(HIPAA)和《經濟與臨床健康資訊科技法》(HITECH)等現行健康醫療隱私法,以及在國會審議中的「美國數據隱私和保護法案」(ADPPA)和「安全資料法」(SAFE DATA Act)。
數位醫療時代之風險―資安與健康隱私
美國食品藥物管理局於2020年公布「數位醫療創新行動計畫」,除了提升醫療品質,亦關注數位醫療產品伴隨的網路安全疑慮。2022年美國個人健康保險市場規模約1.6兆美元,2023~2030年預計以6.08%複合年成長率(CAGR)持續擴大。全美國約三億名被保險人(約占總人口92.1%)支撐市場需求,而更多醫療保險從業人員和新保險公司加入市場以及更多元的保險商品問世,加速健康醫療保險市場擴張。
2022年全球健康照護資訊遭受網路攻擊次數較2021年增加74%,美國遭受攻擊的次數年增57%。美國三億餘人的醫療健康資訊每年頻繁傳輸、儲存、分享及使用,可預見美國醫療產業對於資訊安全與個人健康隱私保護之規範力道將有過之而無不及。
美國無論立法、洽簽國際協定或商業實踐在國際皆具指標意義,本文就美國智慧醫療相關的個資保護機制、既有規範和立法趨勢為研析標的。
1996年生效的《HIPAA》旨在保護敏感健康資料,規範醫療保健機構和企業。2009年通過《HITECH》,加強《HIPAA》執法力度並擴充適用範圍。《藥物濫用保密規範》則保護藥物濫用治療患者的隱私,限制其醫療紀錄的使用和揭露。
健康隱私與個資法輪廓
美國隱私權法與個人資料保護法散見於不同產業規範,大致可歸納為金融、消費、健康等資料類型,亦有針對兒童和學生隱私保護規範。其中金融消費行為涵蓋面廣,衍生之個資保護法規相對全面,例如《公平信用報告法》、《公平正確信用交易法》、《金融服務業現代化法》、《兒童線上隱私保護法》、《駕駛人隱私保護法》、《家庭教育權利與隱私權法案》、《電子通訊隱私法》、《視訊隱私保護法》等。本文聚焦美國健康醫療領域之個資隱私保護聯邦法規範。
《健康保險可攜性與責任法》(Health Insurance Portability and Accountability Act, HIPAA)於1996年生效,旨在避免未經患者同意或不知情下揭露患者的敏感健康資料,包括就診紀錄、疫苗接種紀錄、處方箋、實驗室結果等患者資訊。該法之規範主體或適用機構(Covered Entity)為醫療保健提供者和醫療保健企業;另因雲端服務廣泛應用於美國醫療產業,雲端服務業者若替委託者或適用機構生成、接收、維護與傳輸「受保護電子健康資訊」(ePHI),則被該法視為商業夥伴(Business Associate),亦須盡到個資保護義務。
個資保護、智慧醫療、隱私權法、健康隱私、資安風險、資料外洩通報、HIPAA、HITECH、數位醫療、法規執行
分享:
