根据一份姗姗来迟的政府报告,联邦患者隐私法 HIPAA 并未跟上可穿戴健身追踪器、移动健康应用程序和在线患者社区的步伐,从而在法规中留下了一个巨大的漏洞,需要填补。
该报告本应在 2010 年完成,但即使国会要求美国卫生与公众服务部提供具体建议,该报告也没有包括具体的解决方案建议。
卫生与公众服务部的调查结果与去年 11 月ProPublica 的报道中的发现基本一致。《健康保险流通与责任法案》这项具有里程碑意义的 1996 年患者隐私法,仅涵盖医疗服务提供者、保险公司和数据交换中心及其商业合作伙伴保存的患者信息。不在法律管辖范围内的包括:像 Fitbit 这样测量步数和睡眠的可穿戴设备、家庭亲子鉴定测试、社交媒体网站以及个人可以存储其健康记录的在线存储库。
关于支持科学新闻
如果您喜欢这篇文章,请考虑通过 订阅来支持我们屡获殊荣的新闻报道。通过购买订阅,您将有助于确保关于塑造我们当今世界的发现和想法的具有影响力的故事的未来。
卫生与公众服务部国家卫生信息技术协调员办公室与其他机构联合撰写的报告指出:“健康隐私和安全法律专家对 HIPAA 保护的终止点有一个相当清晰的概念,但外行人可能没有。”“此外,即使是企业家,特别是医疗保健行业以外的企业家……也可能不清楚 HIPAA 的监督从哪里开始到哪里结束。”
根据一项2009 年的法律,要求卫生与公众服务部与联邦贸易委员会(该委员会负责打击不正当商业行为和身份盗窃)合作,并在一年内向国会提交关于如何处理不属于 HIPAA 管辖范围的、处理健康信息的实体的建议。当被问及为何报告不包含任何建议时,一位官员表示,读者可以从调查结果中得出自己的结论。
领导该报告的卫生信息技术国家协调员办公室首席隐私官露西娅·萨维奇表示:“最终,我们发现自己所处的环境非常复杂。”“我们相信我们正在履行我们的职责。如果国会对这个问题有顾虑,我相信我们会听到他们的意见。”
2013 年,隐私权信息中心研究了 43 个免费和付费的健康和健身应用程序。该小组发现,一些应用程序没有提供指向隐私政策的链接,并且许多制定了隐私政策的应用程序没有准确描述应用程序如何传输信息。例如,许多应用程序在用户不知情的情况下连接到第三方网站,并以未加密的方式发送数据,这可能会泄露个人信息。
该组织的政策和宣传主管保罗·斯蒂芬斯表示,近年来,随着雇主为鼓励员工在移动应用程序上记录活动作为健康计划的一部分,这个问题变得更加紧迫。斯蒂芬斯说:“这不仅仅是有人自愿表示我想要这个应用程序。” “基本上,使用该应用程序将会有经济激励。”
斯蒂芬斯还表示,很多人不会阅读应用程序的隐私政策,这让他们容易以各种方式使用他们的信息。
新报告指出了 HIPAA 涵盖的信息(例如您的医疗记录)和未涵盖的数据之间的许多主要差异。其中包括
根据 HIPAA,患者有权获得其健康记录的副本。制造追踪器和应用程序的公司“没有义务通过法规或规章向个人提供关于他们自己的数据”。
HIPAA 规定了医疗服务提供者可以向谁分享患者的健康信息以及出于何种目的,并限制将个人健康信息用于营销。向不属于法律管辖范围的公司提供信息的人,“可能不会享有同样的免受不必要营销的保护,除非数据收集者在其使用条款中承诺不将数据用于营销,并且不更改其使用条款。”
HIPAA 规则要求对个人健康信息进行严格的安全保护。应用程序和可穿戴设备可能没有相同的保护措施。
HIPAA 要求制定可理解的隐私政策和通知。在该法律之外,这些可能不存在。
此外,一些联邦机构在监管隐私、新技术和消费者保护方面发挥着作用。卫生与公众服务部民权办公室负责执行 HIPAA;联邦贸易委员会负责打击欺骗性或不公平的贸易行为;国家协调员办公室鼓励采用健康信息技术。
2014 年的一项研究调查了 600 个最常用的健康应用程序,发现只有不到三分之一的应用程序制定了隐私政策。卫生与公众服务部的报告称,对于那些制定了隐私政策的应用程序,您必须具有大学高年级的阅读水平才能理解它们。苹果和谷歌移动电话平台上的政策“可能不一致、没有向个人明确说明,或者只是被网络开发人员无视,他们绕过了操作系统开发人员试图对其施加的规则。”
通过自愿努力来解决问题的尝试似乎没有奏效。2015 年,消费电子协会发布了一套“个人健康数据隐私和安全指导原则”。
报告称:“这些指南可以被公司采用,但不是消费电子协会成员的强制要求。”“截至 2016 年 7 月,我们未能找到任何采用这些指南的公司。”
该报告也没有提出任何改变现状的建议。
来自 ProPublica.org(在此处查找原始报道);经许可转载。