“互聯網+”呼喚中國的“HIPAA”

徐瑋杭州市醫療保險管理服務局副局長

“互聯網+”呼喚中國的“HIPAA”

徐瑋
杭州市醫療保險管理服務局副局長

當今世界，信息化和網絡化的高速發展導致了信息數據的爆炸式增長。大數據給人類帶來了無限的想象空間，商家也在其中嗅到了商機，數據的安全與隱私問題便不得不正視。譬如，我們在互聯網上瀏覽新聞、查閱資料、購物、觀看視頻以后，電腦上就會出現大量的廣告推薦，這說明，我們在互聯網上留下了痕跡并已經被收集、分析了，或許已經暴露了個人隱私。

事實上，美國也面臨著同樣的問題。

但在美國，對隱私的關注已經促使立法機關為消費者信息的使用制定了新的安全標準，特別是在醫療、金融服務和電子商務領域，政府已經專門制定了個人信息在專用和公共網絡上傳輸的安全規定，以保障這些信息的可用性、保密性和完整性。

我們可以從美國健康保險攜帶和責任法案（Health Insurance Portability and Accountability Act，HIPAA）中略見一斑。HIPAA法案主要解決兩個問題，一個是醫療保險的可攜帶性，一個是實現電子醫療信息的交換，目的是簡化管理，提高醫療服務效率，同時保護病人的隱私。

HIPAA在1996年8月被簽署為法律，在美國隱私法律中最受矚目。HIPAA要求聯邦醫療服務部為特定醫療信息的電子傳輸制定全國統一的標準，要求它所涵蓋的組織在醫療事務中采用標準的數據格式和傳輸，并保障病人信息與紙質記錄一樣安全，或者比紙質記錄更加安全。

HIPAA是美國醫療行業一個轉折點。

HIPAA適用于醫療保險中的計劃信息、醫療信息轉換機構、任何涉及健康信息以電子方式進行記錄及傳輸的醫療保健提供者，以及與上述三個種類所覆蓋的醫療保健相關者發生某種類型的服務，而這項服務又涉及到個人的健康信息的服務提供者（關聯商業參與者），如索賠處理、數據分析、價值評價和收費等。

HIPAA要求必須保護“敏感個人健康信息（protected health information）”。包括個人的基本數據，如：過去、現在和未來的身體或精神健康狀況，針對個體提供的醫療措施，過去、現在和未來的醫療支付，以及可識別個人的或者通過合理的推斷辨識出個體身份的信息等。對于不可識別身份的個人健康信息，如只給出統計信息的群體健康信息，以及移除個人身份信息和相關的親戚、家庭成員或者雇主的信息，確保不能通過任何剩余的信息來推斷個人身份信息，HIPAA是許可被應用或者披露的。

HIPAA對我國醫療（醫保）數據管理的啟示如下——

一是健康電子信息交換標準。當美國的醫療市場全面電子化之后，HIPAA

就建立了美國全國性的信息轉換標準（Health Level 7，HL7），美國全境的醫療服務提供方均需依據全國性信息標準采集、上傳和儲存。電子信息標準化可以避免“信息孤島”，當前我國醫院間檢查化驗不能互認，其中一個原因就是因為標準不一致。如果能建立區域乃至于全國的醫療（醫保）數據管理標準，這將大大提高醫療（醫保）數據質量和交換效率。

二是在建設個人健康信息數據系統，提高數據傳輸、分析、利用的同時，要防范個人健康信息遭受侵害。這其中，哪些是“敏感個人健康信息”，哪些是隱私保護適用范圍等等，都必須明確，從而為健康信息數據的發掘和利用厘清法律界限。

三是醫療保險的可攜帶性和醫療數據的交互應該基于國家戰略高度。首先，當前遷徙已變成常態，如何確保醫保關系和待遇的可接續已成為人們十分關注的問題。其次，生命的連續性要求醫療服務必須是連續的，而醫療信息的連續、完整是醫療服務安全、有效的保證。最后，醫保（醫療）的大數據已與區域的人口和社會政策、疾病和健康情況、醫藥研發和醫療技術創新密切相關，最終必將對經濟和社會發展帶來巨大影響，因此當盡快進行國家頂層設計?！?/p>

HIPAA法案主要解決兩個問題，一個是醫療保險的可攜帶性，一個是實現電子醫療信息的交換，目的是簡化管理，提高醫療服務效率，同時保護病人的隱私。