跨境数据合规系列文章(三)——美国HIPAA法案项下中国云服务企业作为商业伙伴的规则解析与合规指引

来源:金诚同达

文章摘要
目 录 一、什么是HIPAA法案中的商业伙伴 二、中国云服务企业作为HIPAA法案项下的商业伙伴 三、商业伙伴的直接责任 四、商业伙伴协议的要求 五、未签署商业伙伴协议仍有直接法律风险吗?

目 录
一、什么是HIPAA法案中的商业伙伴
二、中国云服务企业作为HIPAA法案项下的商业伙伴
三、商业伙伴的直接责任
四、商业伙伴协议的要求
五、未签署商业伙伴协议仍有直接法律风险吗?
六、中国云服务企业作为商业伙伴的常见问题和改进建议
一、什么是HIPAA法案中的商业伙伴
根据美国《健康保险携带和责任法案》(Health Insurance Portability and Accountability Act,简称HIPAA法案)规定,HIPAA隐私规则只适用于涵盖实体(Covered Entities)——健康计划、健康保健信息中心和某些医疗保健提供者。然而,大多数医疗服务提供者和医疗计划并不是自己进行所有的医疗活动和功能,与此相反,他们经常使用其他各种主体的服务。HIPAA隐私规则允许涵盖实体向这些商业伙伴(Business Associates)披露受保护的健康信息(Protected Health Information,简称PHI),前提是涵盖实体能确保商业伙伴仅将信息用于涵盖实体预期的合法目的,保护信息不被滥用,并帮助涵盖实体履行隐私规则规定的某些责任。涵盖实体可以向作为商业伙伴的实体披露PHI,但仅限于帮助涵盖实体履行其医疗保健职能,而不是为了商业伙伴的独立使用或目的,除非是为了适当的行政和管理商业伙伴的需要。
简单来说,商业伙伴是代表涵盖实体履行职能或活动,或向涵盖实体提供某些服务的主体,而这些活动和服务涉及商业伙伴对PHI的创建、接收、维护或传输。商业伙伴也可以是代表另一个商业伙伴创建、接收、维护或传输PHI的分包商。
商业伙伴的职能和活动包括:索赔处理或管理;数据分析、处理或管理、医疗效用审查、质量保证、计费、效益管理、业务管理、重新定价。商业伙伴提供的特定服务包括:法律、精算、会计、咨询、数据汇总、管理、行政、认证和财务。
二、中国云服务企业作为HIPAA法案项下的商业伙伴
基于以上有关商业伙伴的标准,中国云服务企业即使不直接向数据主体收集PHI,但如果向涵盖实体提供比如数据储存及处理、医疗信息交换、数据分析、数据集成、云计算、动态服务器等服务,那么很有可能成为HIPAA法案所定义的商业伙伴。
随着云服务解决方案的激增和广泛采用,涵盖实体和商业伙伴对于他们应如何利用云服务,同时遵守保护ePHI的隐私和安全的法规产生了不少疑问。云服务提供商通常根据客户的要求提供对具有不同功能级别的共享计算资源的在线访问,范围从单纯的数据存储到完整的软件解决方案(例如,电子病历系统),以及供软件程序员部署和测试程序的整个计算基础设施。
云服务企业可以在其数据中心为许多客户存储和处理PHI,因此云服务企业的HIPAA合规工作变得十分重要。云服务企业如果代表涵盖实体处理和存储PHI,那么必须遵守所有适用的HIPAA法案和HITECH法案的要求,包括HIPAA安全规则、违规通知规则和综合规则。美国卫生与公众服务部已经公开建议使用云服务的涵盖实体与云服务供应商签订商业伙伴协议,如果云服务供应商拒绝签署协议,建议涵盖实体应寻找其他云服务供应商。
应注意的是,中国云服务提供商即使没有解密密钥,只存储加密的PHI,虽然其在这种情况下不能实际访问查看ePHI,但其为涵盖实体或其他商业伙伴接收、维护、处理或存储ePHI,因此并不能免除其商业伙伴的地位和HIPAA法案规定的相关义务,其仍会被认为是HIPAA法案项下的商业伙伴。
在实际业务开展中,中国云服务企业作为HIPAA法案项下的商业伙伴可能会听到来自客户的各种疑问和担忧,常见的包括:
(1)贵司是否知道自身在HIPAA法案中的义务?
(2)贵司是否完全遵守了HIPAA法案和HITECH法案?
(3)贵司内部是否有指定的人员和团队负责HIPAA法案的合规工作?
(4)贵司是否有完整的信息安全和保密政策和程序?
(5)贵司是否能证明正在遵守自身关于HIPAA法案的政策和程序?
(6)贵司是否提供额外的预防措施以确保PHI受到HIPAA法案规定的保护?
(7)贵司是否对有机会接触PHI的员工进行了背景调查?
(8)贵司是否有一个培训计划来培训员工了解HIPAA法案的要求?如果有,多久进行一次?是否可以提供培训材料?
目前,美国卫生与公众服务部没有提供关于HIPAA法案合规性的任何认证或证明。为了维护和开拓作为涵盖实体的客户,云服务提供商应合理预期到客户会问以上这些问题,并做好准备如何去回答这些问题,我们建议作为商业伙伴的中国云服务企业重视HIPAA法案的合规工作,制定和实施符合HIPAA法案要求的数据隐私政策和程序。
三、商业伙伴的直接责任
HIPAA隐私规则要求涵盖实体与商业伙伴签订书面协议,但实际上涵盖实体无需监测或监督其商业伙伴执行隐私保护措施的方式或商业伙伴遵守协议中隐私要求的程度。涵盖实体也不对其商业伙伴的行为负责或承担法律责任。然而,如果涵盖实体发现商业伙伴严重违反协议,它必须采取合理的步骤来纠正违约行为或结束违规行为,如果不成功,则终止与该商业伙伴的协议。根据45 CFR 164.504(e)(1),如果终止协议不可行(例如,对于涵盖实体来说,没有其他可行的业务替代方案),涵盖实体必须向美国卫生与公众服务部(HHS)民权办公室(OCR)报告该问题。
2009年的《经济和临床健康信息技术法案》(HITECH法案)将HIPAA法案的适用范围扩展到了涵盖实体的商业伙伴。根据HITECH法案,美国卫生与公众服务部民权办公室在2013年发布了HIPAA综合规则,综合规则确定了涵盖实体的商业伙伴对以下违反HIPAA法案的行为负有直接责任:

参考法条

商业伙伴的违规行为

45 CFR 160.310, 164.502(a)(4)(i)

未向OCR秘书提供记录和合规报告;未配合投诉调查和合规审查;不允许OCR秘书访问与确定合规性相关的信息,包括PHI。

45 CFR 160.316

对提出HIPAA投诉、参与调查或其他执法程序、或反对非法行为或做法的任何个人或其他人士采取任何报复性行动。

HITECH Act 13401, 42 U.S.C. 17931; 45 CFR 164.306, 164.308, 164.310, 164.312, 164.314, 164.316

未能遵守HIPAA安全规则的要求。

45 CFR 164.410, 164.412

未能向涵盖实体或其他商业伙伴提供违规通知。

45 CFR 164.502(a)(3)

未经允许的使用和披露PHI。

45 CFR 164.502(a)(4)(ii)

未能向涵盖实体或个人或个人指定的代表披露电子PHI(ePHI)的副本,以满足涵盖实体在45 CFR 164.524(c)(2)(ii)和3(ii)中关于个人要求获得PHI电子副本的义务。

45 CFR 164.502(b)

未能作出合理努力,将PHI限制在完成使用、披露或请求的预期目的所需的最低限度。

HITECH Act 13405(c)(3), 42 U.S.C. 17935(c)(3)

在某些情況下,未能提供披露清单。

45 CFR 164.502(e)(1)(ii), 164.504(e)(5)

未能与代表创建或接收PHI的分包商签订商业伙伴协议,以及未能遵守此类协议的执行规范。

45 CFR 164.504(e)(1)(iii)

未能采取合理措施解决严重违反或违背分包商的商业伙伴协议的情况。


《美国行政法典》简称CFR,分为50个专题(title),每个专题下又设立不同的章节(subtitle)代表联邦法规的各个领域。HIPAA法案规定于《美国行政法典》第45个专题公共福利(Public Welfare)的美国卫生于公共服务部一章中。
以45 CFR 164.502(a)(4)(ii)中规定的商业伙伴的责任为例,如果商业伙伴与涵盖实体签订的商业伙伴协议要求其在个人提出要求时向个人提供其ePHI的电子副本,而商业伙伴没有这样做,OCR有权直接对商业伙伴的该违规行为进行执法。
四、商业伙伴协议的要求
商业伙伴与涵盖实体的关系通常是长期的,因此需要谨慎建立和管理合作关系。在进行任何业务交易之前,双方必须签订协议,以厘清双方的某些责任,并确保PHI的保密性和隐私。商业伙伴协议应是合理的,对双方都有利的,而不是片面的。
根据45 CFR 164.502(e),为了确保商业伙伴将恰当地保护PHI,涵盖实体必须从商业伙伴处获得“令人满意的保证”,而实现的方式就是通过签订商业伙伴协议的方式来约定和澄清双方的义务。
商业伙伴协议还可以根据双方的关系和商业伙伴正在进行的活动或服务,酌情澄清和限制商业伙伴对PHI的使用和披露,商业伙伴只能在商业伙伴协议允许、要求或法律要求的情况下使用或披露PHI。
根据HIPAA法案,商业伙伴对未经商业伙伴协议授权或法律要求而使用和披露PHI的行为负有直接责任,并将受到民事处罚,在某些情况下还将受到刑事处罚。如果商业伙伴未能按照HIPAA安全规则保护电子化受保护的健康信息(ePHI),也要承担直接责任并受到民事处罚。
涵盖实体与其商业伙伴的协议中必须包含45 CFR 164.504(e)中规定的内容。具体而言,商业伙伴协议中必须:
(1)确定商业伙伴对于PHI有哪些受允许和要求的使用和披露;
(2)规定商业伙伴不会在协议允许或要求或法律要求之外使用或进一步披露信息;
(3)要求商业伙伴实施适当的保障措施,防止未经授权使用或披露信息,包括实施HIPAA安全规则中有关ePHI的要求;
(4)要求商业伙伴向涵盖实体报告任何未按其协议规定使用或披露信息的情况,包括构成无安全保障的PHI的事件;
(5)要求商业伙伴按照其协议规定披露PHI,以满足涵盖实体对个人要求复制其PHI的义务,以及提供PHI用于修订(并纳入任何修订,如果需要)和清单。
(6)在商业伙伴履行HIPAA隐私规则规定的涵盖实体的义务时,要求商业伙伴遵守适用于该义务的要求;
(7)要求商业伙伴向HHS提供其内部做法、账簿和记录,这些信息与商业伙伴使用和披露从涵盖实体收到的、或由商业伙伴代表涵盖实体创建或收到的PHI有关,以便HHS确定涵盖实体遵守HIPAA隐私规则的情况;
(8)在协议终止时,在可行的情况下,要求商业伙伴归还或销毁从涵盖实体收到的或由商业伙伴代表涵盖实体创建或收到的所有PHI;
(9)要求商业伙伴确保其可能代表其聘用的任何分包商同意适用于商业伙伴的有关此类信息的相同限制和条件;以及
(10)如果商业伙伴违反协议的重要条款,授权涵盖实体终止该合同。
五、未签署商业伙伴协议仍有直接法律风险吗
我们在前面提到,任何业务交易之前,商业伙伴和涵盖实体双方必须签订协议,以厘清双方的某些责任。那么,中国云服务企业是否有可能通过避免签署商业伙伴协议来规避责任呢?答案是否定。
首先,如果涵盖实体或商业伙伴使用第三方云服务维护、处理或存储ePHI而不与云服务提供商签订商业伙伴协议,则涵盖实体或商业伙伴违反了45 CFR 164.308(b)(1)和164.502(e)的规定。
其次,美国卫生与公众服务部民权办公室明确表示,符合商业伙伴定义的云服务提供商,即代表涵盖实体或其他商业伙伴创建、接收、维护或传输PHI的云服务提供商,无论其是否与使用其服务的实体签署商业伙伴协议,必须遵守HIPAA法案的所有适用条款。如前文所述,商业伙伴对未经商业伙伴协议授权或法律要求而使用和披露PHI的行为负有直接责任,并将受到民事处罚,在某些情况下还将受到刑事处罚。
然而,在某些情况下,中国的云服务企业可能实际上并不知道涵盖实体或其他业务伙伴正在使用其服务创建、接收、维护或传输ePHI。根据45 CFR 160.410规定,如果云服务提供商在知道或应该知道违规行为的30天内(或HHS OCR根据违规行为的性质和程度确定的额外期限)采取行动纠正任何违规行为(例如,在云服务提供商知道或应该知道涵盖实体或商业伙伴客户在其云服务中维护ePHI时),则可进行积极抗辩。然而,这种积极抗辩不适用于云服务提供商由于自己的故意忽视而不知道违规的情况。
六、中国云服务企业作为商业伙伴的常见问题和改进建议
1. 缺乏安全事件响应机制和违规通知
特别是对于中小型的中国云服务企业来说,很少有企业会有专门记录个人数据安全事件的响应机制和违规通知的标准化流程及程序,即使有,也很少会对这样的机制和程序进行了实际的、定期的测试。尽管HHS OCR在2013年发布了HIPAA综合规则,明确指出商业伙伴需要遵守安全事件和隐私泄露的相关要求,但仍有大量企业没有对此给予足够的重视。
改进建议:
制定书面的安全事件响应机制和违规通知程序,定期审核和更新。
指定专门的人员或团队对数据泄露和其他安全事件进行及时响应。
每年至少对安全机制和程序进行一次测试,确保在风险和安全事件发生时能发挥应有的作用。
向团队提供良好、有效的HIPAA法案培训计划。
2. 未正确销毁PHI
商业伙伴应有书面的政策或程序来规范如何销毁PHI,但很多云服务企业并没有这样的成文政策或程序来将过期或不可用的PHI从计算和存储设备中完全删除,这可能会引发法律风险。
改进建议:
安排人员或团队负责确保安全销毁各种形式的PHI。
制定并实施书面的政策和程序,有效地和不可逆转地处理所有形式的PHI、PHI存在的硬件或媒体。
确保程序可以无法逆转的形式删除数据。
为所有人员提供政策和程序方面的培训。
3. 缺乏风险评估
根据45 CFR 164.308(a)(1),商业伙伴必须实施政策和程序来预防、检测、遏制和纠正违规行为,进行风险评估是商业伙伴进行HIPAA法案合规工作的关键步骤之一。然而,许多企业在实际执行风险评估方面存在很大不足,甚至有些云服务企业也根本不知道自己有义务遵守HIPAA法案和HITECH法案。风险评估一般包括评估PHI的内容和范围、评估确定PHI的来源、PHI接收和传输方式、PHI可能面临哪些人和环境的威胁等。
改进建议:
安排人员或团队负责HIPAA法案要求的风险评估工作。
定期进行风险评估工作,特别是在公司架构或软件系统发生重大变化时要重视此项工作。
4. 缺乏与涵盖实体、分包商的沟通和风险控制
2013公布的HIPAA综合规则扩大了对商业伙伴的定义,包括了商业伙伴的分包商,分包商也必须遵守所有适用的HIPAA法案和HITECH法案的要求。然而,一些分包商可能是小公司,以前没有信息安全或数据隐私方面的经验,要满足所有HIPAA法案的要求对他们来说特别具有挑战性。我们在上文提到,商业伙伴对于未能与代表创建或接收PHI的分包商签订商业伙伴协议,未能遵守此类协议的执行规范,以及未能采取合理措施解决严重违反或违背分包商的商业伙伴协议的情况,负有直接责任。
同时,一般来说,涵盖实体对于商业伙伴的监督和保证要求越多,他们的责任就越小,所以商业伙伴可能会被施加更多的义务。HIPAA安全规则是灵活的,没有规定安全事件报告的详细程度、频率或格式,这些将由商业伙伴协议的各方制定。例如,商业伙伴可能会根据安全事件的性质(例如,根据威胁或利用漏洞的程度,以及它们对 ePHI 造成的风险)规定不同的详细程度、频率和报告格式。
这意味着,商业伙伴在与涵盖实体签订商业伙伴协议时,要重视协议中关于各项权利义务的约定,如何签订一份合法合规、又对我方有利的商业伙伴协议,建议由专业的律师把关。
改进建议:
建立适用分包商服务的信息安全、隐私和违约响应政策和程序。
聘请律师介入把关与涵盖实体、分包商的合作,由专业律师起草和审核相关协议。
通过书面协议明确各方责任和义务。
5. 服务水平协议与商业伙伴协议存在不一致和冲突
聘用云服务提供商的涵盖实体或商业伙伴一般会了解特定云服务提供商提供的云计算环境或解决方案,以便涵盖实体和商业伙伴能够适当地进行自己的风险分析和建立风险管理政策,并签订适当的商业伙伴协议。涵盖实体和商业伙伴都必须进行风险分析,以确定和评估创建、接收、维护或传输的所有ePHI的保密性、完整性和可用性的潜在威胁。
在实际业务开展中,云服务提供商与客户一般还会签订服务水平协议(SLA),服务水平协议通常用于解决云服务提供商与其客户之间更具体的业务期望,这也可能与 HIPAA合规性有关。服务水平协议一般会约定访问和使用云服务的条款和条件,比如服务期限、终止条件、服务终止时数据的处置(如数据的保存期)等,也可能会包括解决HIPAA法案问题的条款,比如系统可用性和可靠性、备份和数据恢复、服务终止后将数据归还客户的方式、安全责任、使用和披露限制等。
但是,服务水平协议在起草过程中往往容易忽略有关HIPAA法案的合规问题,导致服务水平协议可能会与商业伙伴协议存在不一致和冲突,进而引发一定的法律风险。
改进建议:
在起草和审核服务水平协议时就应将HIPAA法案纳入考虑。
定期审核服务水平协议和商业伙伴协议,确认两份协议中的责任和义务不存在冲突或矛盾。
参考文献:
1. Office for Civil Rights (2021, July 19). Direct liability of Business Associates. HHS.gov. https://www.hhs.gov/hipaa/for-professionals/privacy/guidance/business-associates/factsheet/index.html
2. Office for Civil Rights (2021, June 28). 2075-May a HIPAA covered entity or business associate use a cloud service to store or process ephi? HHS.gov. https://www.hhs.gov/hipaa/for-professionals/faq/2075/may-a-hipaa-covered-entity-or-business-associate-use-cloud-service-to-store-or-process-ephi/index.html
3. Herold, R., & Beaver, K. (2014). The Practical Guide to HIPAA Privacy and Security Compliance, Second Edition.
4. Office for Civil Rights (2021, June 28). Business associate contracts. HHS.gov. https://www.hhs.gov/hipaa/for-professionals/covered-entities/sample-business-associate-agreement-provisions/index.html
5. Office for Civil Rights (2021, June 28). Guidance on risk analysis. HHS.gov. https://www.hhs.gov/hipaa/for-professionals/security/guidance/guidance-risk-analysis/index.html
6. 李晓荷. 美国联邦政府保护受试者隐私权立法研究 [ D ]. 山东:青岛大学,2021.5.
7. Office for Civil Rights (2022, April 15). Cloud computing. HHS.gov. https://www.hhs.gov/hipaa/for-professionals/special-topics/health-information-technology/cloud-computing/index.html
8. Karn, J. (2022, July 6). Business associate agreement: Everything explained. Total HIPAA Compliance. https://www.totalhipaa.com/business-associate-agreement-101/
9. Sanna, M. (2015, January 27). What to do if a business associate won't sign a hipaa baa? Breakthrough Coaching. https://mybreakthrough.com/business-associate-wont-sign-hipaa-baa/
10. Staff, E. (2022, February 14). What is a HIPAA Business Associate Agreement (BAA)? HealthITSecurity. https://healthitsecurity.com/features/what-is-a-hipaa-business-associate-agreement-baa

技术驱动法律,专业成就未来