根據一份姍姍來遲的政府報告,聯邦患者隱私法 HIPAA 並未跟上可穿戴健身追蹤器、移動健康應用程式和線上患者社群的步伐,從而在法規中留下了一個巨大的漏洞,需要填補。
該報告本應在 2010 年完成,但即使國會要求美國衛生與公眾服務部提供具體建議,該報告也沒有包括具體的解決方案建議。
衛生與公眾服務部的調查結果與去年 11 月ProPublica 的報道中的發現基本一致。《健康保險流通與責任法案》這項具有里程碑意義的 1996 年患者隱私法,僅涵蓋醫療服務提供者、保險公司和資料交換中心及其商業合作伙伴儲存的患者資訊。不在法律管轄範圍內的包括:像 Fitbit 這樣測量步數和睡眠的可穿戴裝置、家庭親子鑑定測試、社交媒體網站以及個人可以儲存其健康記錄的線上儲存庫。
關於支援科學新聞
如果您喜歡這篇文章,請考慮透過 訂閱來支援我們屢獲殊榮的新聞報道。透過購買訂閱,您將有助於確保關於塑造我們當今世界的發現和想法的具有影響力的故事的未來。
衛生與公眾服務部國家衛生資訊科技協調員辦公室與其他機構聯合撰寫的報告指出:“健康隱私和安全法律專家對 HIPAA 保護的終止點有一個相當清晰的概念,但外行人可能沒有。”“此外,即使是企業家,特別是醫療保健行業以外的企業家……也可能不清楚 HIPAA 的監督從哪裡開始到哪裡結束。”
根據一項2009 年的法律,要求衛生與公眾服務部與聯邦貿易委員會(該委員會負責打擊不正當商業行為和身份盜竊)合作,並在一年內向國會提交關於如何處理不屬於 HIPAA 管轄範圍的、處理健康資訊的實體的建議。當被問及為何報告不包含任何建議時,一位官員表示,讀者可以從調查結果中得出自己的結論。
領導該報告的衛生資訊科技國家協調員辦公室首席隱私官露西婭·薩維奇表示:“最終,我們發現自己所處的環境非常複雜。”“我們相信我們正在履行我們的職責。如果國會對這個問題有顧慮,我相信我們會聽到他們的意見。”
2013 年,隱私權資訊中心研究了 43 個免費和付費的健康和健身應用程式。該小組發現,一些應用程式沒有提供指向隱私政策的連結,並且許多制定了隱私政策的應用程式沒有準確描述應用程式如何傳輸資訊。例如,許多應用程式在使用者不知情的情況下連線到第三方網站,並以未加密的方式傳送資料,這可能會洩露個人資訊。
該組織的政策和宣傳主管保羅·斯蒂芬斯表示,近年來,隨著僱主為鼓勵員工在移動應用程式上記錄活動作為健康計劃的一部分,這個問題變得更加緊迫。斯蒂芬斯說:“這不僅僅是有人自願表示我想要這個應用程式。” “基本上,使用該應用程式將會有經濟激勵。”
斯蒂芬斯還表示,很多人不會閱讀應用程式的隱私政策,這讓他們容易以各種方式使用他們的資訊。
新報告指出了 HIPAA 涵蓋的資訊(例如您的醫療記錄)和未涵蓋的資料之間的許多主要差異。其中包括
根據 HIPAA,患者有權獲得其健康記錄的副本。製造追蹤器和應用程式的公司“沒有義務透過法規或規章向個人提供關於他們自己的資料”。
HIPAA 規定了醫療服務提供者可以向誰分享患者的健康資訊以及出於何種目的,並限制將個人健康資訊用於營銷。向不屬於法律管轄範圍的公司提供資訊的人,“可能不會享有同樣的免受不必要營銷的保護,除非資料收集者在其使用條款中承諾不將資料用於營銷,並且不更改其使用條款。”
HIPAA 規則要求對個人健康資訊進行嚴格的安全保護。應用程式和可穿戴裝置可能沒有相同的保護措施。
HIPAA 要求制定可理解的隱私政策和通知。在該法律之外,這些可能不存在。
此外,一些聯邦機構在監管隱私、新技術和消費者保護方面發揮著作用。衛生與公眾服務部民權辦公室負責執行 HIPAA;聯邦貿易委員會負責打擊欺騙性或不公平的貿易行為;國家協調員辦公室鼓勵採用健康資訊科技。
2014 年的一項研究調查了 600 個最常用的健康應用程式,發現只有不到三分之一的應用程式制定了隱私政策。衛生與公眾服務部的報告稱,對於那些制定了隱私政策的應用程式,您必須具有大學高年級的閱讀水平才能理解它們。蘋果和谷歌行動電話平臺上的政策“可能不一致、沒有向個人明確說明,或者只是被網路開發人員無視,他們繞過了作業系統開發人員試圖對其施加的規則。”
透過自願努力來解決問題的嘗試似乎沒有奏效。2015 年,消費電子協會發布了一套“個人健康資料隱私和安全指導原則”。
報告稱:“這些指南可以被公司採用,但不是消費電子協會成員的強制要求。”“截至 2016 年 7 月,我們未能找到任何採用這些指南的公司。”
該報告也沒有提出任何改變現狀的建議。
來自 ProPublica.org(在此處查詢原始報道);經許可轉載。