美国卫生及公共服务部(HHS)民权办公室(OCR)正在全国范围审查医疗机构网站与在线追踪工具相关的潜在 HIPAA 违规,重点是未经许可向第三方传输受保护健康信息(PHI)。OCR 的 Susan Rhodes 表示追踪技术是隐私违规高发地;2022 年 12 月 OCR 已就在线追踪器发布警告,2023 年 7 月 OCR 与 FTC 又联合向 130 家医院和在线医疗服务商投递警告函。对使用 Cookie、追踪像素的受监管实体而言,关键问题是:这些技术何时触及 PHI,以及是否须与追踪技术提供商签订业务合作协议(BAA)。
TL;DR
HIPAA 于 1996 年通过,为医疗信息提供隐私与安全框架。OCR 负责管理与执行 HIPAA 隐私、安全与数据泄露通知规则,包括调查受监管实体(HIPAA 覆盖实体及其业务合作伙伴)的违规报告与投诉,违规可导致民事罚款。
追踪技术用于收集分析用户与网站或 App 的交互。当受监管实体通过追踪技术收集、或向追踪技术提供商披露包含 PHI 的信息时,须遵守 HIPAA。例如,未经个人授权、以营销为目的向提供商披露 PHI,即构成不合规披露。PHI 的不合规披露不仅违反隐私规则,还可能造成身份顶替、财务损失、歧视、污名化或精神痛苦,因为这些数据可能揭示诊断结果、就诊频率与就医地点等极敏感信息。这类由追踪像素引发的风险并非医疗行业独有,可对照 潜藏在表面下的像素追踪 与 领英被指暗中抓取用户站外医疗数据在加州连遭诉讼。
追踪技术是网站或 App 上的脚本或代码,用于在用户交互时收集信息,再由所有者或第三方分析。网站常用 Cookie、Web Beacon 或追踪像素、会话重放脚本与指纹脚本;App 则嵌入追踪代码,直接收集用户提供的信息并捕获设备信息,如设备 ID 或广告 ID——这些标识符配合其它信息可构建每个用户的画像。追踪技术往往直接向开发它的第三方发送用户信息,即便用户导航到其它网站也可能继续追踪。
受监管实体通过追踪技术向提供商披露的信息可能包括可识别个人的健康信息(IIHI):医疗记录编号、家庭或邮箱地址、就诊日期,以及 IP 地址、地理位置、设备 ID 等。值得注意的是,即使个人与受监管实体没有直接关系、IIHI 也不含具体医疗服务信息,在受监管实体网站或 App 上收集的这类 IIHI 通常也属于 PHI——因为它把个人与受监管实体联系起来(即个人已经或即将获得医疗服务),从而与其过去、现在或未来的健康或医疗付费相关。
认证页面:需登录才能访问的门户(如患者门户或远程医疗平台)上的追踪器通常可访问 PHI,包括 IP、医疗记录编号、预约日期,乃至诊断、处方、账单信息。受监管实体须确保这类页面在遵守隐私规则的前提下使用披露 PHI,并依安全规则保护电子健康信息(ePHI)。若提供商代表受监管实体执行涉及披露 PHI 的工作,则属业务合作伙伴,须签订 BAA。
非认证页面:受监管实体的一般信息页通常不触及 PHI,不在 HIPAA 管辖范围内。但有例外:患者门户的登录页或注册页虽未认证,一旦用户输入凭据或注册信息(姓名、邮箱),这些即为 PHI;用户在非认证页搜索特定症状、健康情况或预约医生时,追踪器收集的邮箱或 IP 也可能构成 PHI 披露。此时 HIPAA 适用。
App 内追踪:受监管实体提供的 App 收集的用户输入信息与设备信息(设备指纹、网络位置、地理位置、设备 ID 或广告 ID)通常属 PHI,受 HIPAA 管辖。例如诊所 App 追踪月经周期、体温、避孕处方等健康数据即受管辖。但用户自愿下载、非受监管实体开发或提供的 App 中的信息不受 HIPAA 保护,此时可能适用 FTC 法案与 FTC 健康违规通知规则(HBNR)等。
使用可访问 PHI 的追踪技术时,受监管实体须满足以下要求:
对出海的数字医疗与健康类产品而言,追踪技术不是可以”先上线再合规”的细节。类似的地理位置与追踪违规在美国已带来高额追责,可参考 违规追踪用户地理位置的近 4 亿美元和解,把追踪器盘点与 BAA 签署纳入上线前清单。