同样,任何受联邦法律其他条款或州或部落法律条款约束的信
Posted: Sat Jan 04, 2025 4:46 am
通知规则 (HIPAA 规则) 如何相互作用。为了帮助澄清,ONC 刚刚发布了一些新的信息屏蔽常见问题 (FAQ),以说明联邦法规如何相互作用。这篇文章还回顾了信息屏蔽法规如何与 HIPAA 隐私规则和其他对信息共享施加特定限制以保护个人健康信息隐私的法律相互作用。
ONC 的信息阻止法规通常促进信息阻止法规中定义的电子健康信息(EHI)的访问、交换和使用。认识到许多信息阻止参与者(如信息阻止法规中所定义)也受 HIPAA 规则的约束 - 作为 HIPAA 涵盖实体、HIPAA 涵盖实体的业务伙伴或两者兼而有之 - ONC 在设计信息阻止法规时考虑到许多参与者需要继续遵守 HIPAA 规则。虽然可能很容易看出 HIPAA 隐私规则和 ONC 的信息阻止法规如何在个人访问权等领域相互加强,但我们知道在其他领域可能不那么明显。
今天,ONC 发布了三条信息阻止常见问题解答,重点介绍了信息阻止法规如何与 HIPAA 隐私规则以及现行的其他隐私保护法协同工作:
行为人没有根据个人不披露其 EHI 的请求披露该个人的 EHI (IB.FAQ47.1.2023APR);
行为人未满足访问、交换或使用 EHI 的请求,以遵守联邦隐私法,该法要求在披露之前必须满足某些条件(IB.FAQ48.1.2023APR);或
在多个州开展业务的行为者(例如医疗保健提供者)实施的做法是统一遵守在其开展业务的所有其他州中对隐私保护最严格的州法律(IB.FAQ49.1.2023APR)。
2023 年 4 月 12 日,OCR 的同事发布了一项拟议规则,详细说明了对 HIPAA 隐私规则的潜在更改。详细了解OCR 的拟议规则,包括其全部细节以及如何分享您对 OCR 提案的任何意见。
以下是信息阻止法规的三个方面的简要介绍,在您审查 HIPAA 隐私规则的拟议更新以及最近颁布或当前提议的其他保护个人健康信息隐私的联邦、州或部落法律的变更时,需要记住这些方面。
1. 如果适用于行为人的另一项法律禁止在特定情况下共享 EHI(例如出于特定目的),则在特定情况下不共享 EHI并不构成信息阻塞。
信息阻断定义( 45 CFR 171.103(a)(1) ) 不包括可能干扰 EHI 访问、交换或使用的行为,但前提是这些行为是法律要求的。我们在此处提到的“法律要求”包括联邦法规、法规、法院命令和具有约束力的行政决定或和解。在适用的情况下,还包括州和部落法律。( 85 FR 25794 )
法律要求对 EHI 访问、交换或使用的干扰不仅限于但包括禁止为特定目的使用或披露 EHI。例如,HIPAA 隐私规则禁止某些健康计划为承保目的使用或披露基因信息(45 CFR 164.502(a)(5)(i))。由于法律要求受此禁令约束的行为者遵守此禁令,因此此类行为者拒绝任何违反禁令的 EHI 访问、交换或使用请求的做法将被排除在信息阻止定义之外(45 CFR 171.103),而无需受信息阻止法规后面章节中规定的任何例外情况的约束。
息屏 餐厅电子邮件列表 行为者,如果明确禁止某些 EHI 的访问、交换或使用,则必须遵守该其他法律。行为者拒绝访问、交换或使用 EHI 的行为,如果该行为者必须遵守其他法律,则该行为将被排除在信息屏蔽定义之外( 45 CFR 171.103 ),无需受到信息屏蔽法规后续章节中规定的任何例外情况的约束。
2. 如果适用于行为者的另一项法律允许行为者仅在首先满足特定要求的情况下共享 EHI,则信息阻止法规允许行为者采取合理和必要的步骤,确保行为者仅在满足这些要求时共享 EHI。
如上所述,某些法律包含专门禁止某些 EHI 访问、交换或使用的规定。但是,一般而言,健康信息隐私法通常以仅在满足特定先决条件的情况下才允许访问、交换或使用健康信息的方式制定,并且不会明确禁止出于大多数目的访问、交换或使用 EHI。(有关 ONC 如何区分法律要求的可能干扰 EHI 访问、交换或使用的做法与行为人根据保护健康信息隐私的法律所从事的做法的讨论,请参阅85 FR 25794和85 FR 25846)。
信息阻止隐私例外的先决条件未满足 (45 CFR 171.202(b))子例外概述了参与者可以遵循的框架,以便当适用法律的先决条件未得到满足时,参与者不满足访问、交换或使用 EHI 请求的做法不会被视为信息阻止。最近发布的 ONC 信息阻止常见问题解答 (IB.FAQ48.1.2023[APR]) 讨论了信息阻止法规与两个不同的 HIPAA 隐私规则先决条件之间相互作用的示例,当满足这些先决条件时,可根据 HIPAA 隐私规则允许使用或披露 PHI。其中一个示例引用了获得个人授权的先决条件,另一个示例引用了OCR 在 2022 年夏季发布的“ HIPAA 隐私规则和与生殖保健相关的信息披露”指南。
3. 如果限制或禁止共享 EHI 的联邦或州法律发生变化,则信息阻止法规将在变化生效后自动适应参与者遵守其他法律的需要。
法律要求的实践从 (45 CFR 171.103) 信息阻断定义中排除以及 (45 CFR 171.202(b))前提条件未满足的子例外与特定法律或前提条件无关。信息阻断法规适应行为者当前对 HIPAA 隐私规则的遵守,或者随着时间推移而更新以添加、删除或修改使用或披露 PHI 的限制、禁令或要求。信息阻断法规同样适应行为者对其他法律的遵守,因为这些法律对共享个人健康信息的限制、禁令或前提条件会随着政策和技术环境的变化而不断发展。
我们希望本指南有助于说明信息屏蔽法规与 HIPAA 规则之间的关系,以及其他法律(联邦、州
ONC 的信息阻止法规通常促进信息阻止法规中定义的电子健康信息(EHI)的访问、交换和使用。认识到许多信息阻止参与者(如信息阻止法规中所定义)也受 HIPAA 规则的约束 - 作为 HIPAA 涵盖实体、HIPAA 涵盖实体的业务伙伴或两者兼而有之 - ONC 在设计信息阻止法规时考虑到许多参与者需要继续遵守 HIPAA 规则。虽然可能很容易看出 HIPAA 隐私规则和 ONC 的信息阻止法规如何在个人访问权等领域相互加强,但我们知道在其他领域可能不那么明显。
今天,ONC 发布了三条信息阻止常见问题解答,重点介绍了信息阻止法规如何与 HIPAA 隐私规则以及现行的其他隐私保护法协同工作:
行为人没有根据个人不披露其 EHI 的请求披露该个人的 EHI (IB.FAQ47.1.2023APR);
行为人未满足访问、交换或使用 EHI 的请求,以遵守联邦隐私法,该法要求在披露之前必须满足某些条件(IB.FAQ48.1.2023APR);或
在多个州开展业务的行为者(例如医疗保健提供者)实施的做法是统一遵守在其开展业务的所有其他州中对隐私保护最严格的州法律(IB.FAQ49.1.2023APR)。
2023 年 4 月 12 日,OCR 的同事发布了一项拟议规则,详细说明了对 HIPAA 隐私规则的潜在更改。详细了解OCR 的拟议规则,包括其全部细节以及如何分享您对 OCR 提案的任何意见。
以下是信息阻止法规的三个方面的简要介绍,在您审查 HIPAA 隐私规则的拟议更新以及最近颁布或当前提议的其他保护个人健康信息隐私的联邦、州或部落法律的变更时,需要记住这些方面。
1. 如果适用于行为人的另一项法律禁止在特定情况下共享 EHI(例如出于特定目的),则在特定情况下不共享 EHI并不构成信息阻塞。
信息阻断定义( 45 CFR 171.103(a)(1) ) 不包括可能干扰 EHI 访问、交换或使用的行为,但前提是这些行为是法律要求的。我们在此处提到的“法律要求”包括联邦法规、法规、法院命令和具有约束力的行政决定或和解。在适用的情况下,还包括州和部落法律。( 85 FR 25794 )
法律要求对 EHI 访问、交换或使用的干扰不仅限于但包括禁止为特定目的使用或披露 EHI。例如,HIPAA 隐私规则禁止某些健康计划为承保目的使用或披露基因信息(45 CFR 164.502(a)(5)(i))。由于法律要求受此禁令约束的行为者遵守此禁令,因此此类行为者拒绝任何违反禁令的 EHI 访问、交换或使用请求的做法将被排除在信息阻止定义之外(45 CFR 171.103),而无需受信息阻止法规后面章节中规定的任何例外情况的约束。
息屏 餐厅电子邮件列表 行为者,如果明确禁止某些 EHI 的访问、交换或使用,则必须遵守该其他法律。行为者拒绝访问、交换或使用 EHI 的行为,如果该行为者必须遵守其他法律,则该行为将被排除在信息屏蔽定义之外( 45 CFR 171.103 ),无需受到信息屏蔽法规后续章节中规定的任何例外情况的约束。
2. 如果适用于行为者的另一项法律允许行为者仅在首先满足特定要求的情况下共享 EHI,则信息阻止法规允许行为者采取合理和必要的步骤,确保行为者仅在满足这些要求时共享 EHI。
如上所述,某些法律包含专门禁止某些 EHI 访问、交换或使用的规定。但是,一般而言,健康信息隐私法通常以仅在满足特定先决条件的情况下才允许访问、交换或使用健康信息的方式制定,并且不会明确禁止出于大多数目的访问、交换或使用 EHI。(有关 ONC 如何区分法律要求的可能干扰 EHI 访问、交换或使用的做法与行为人根据保护健康信息隐私的法律所从事的做法的讨论,请参阅85 FR 25794和85 FR 25846)。
信息阻止隐私例外的先决条件未满足 (45 CFR 171.202(b))子例外概述了参与者可以遵循的框架,以便当适用法律的先决条件未得到满足时,参与者不满足访问、交换或使用 EHI 请求的做法不会被视为信息阻止。最近发布的 ONC 信息阻止常见问题解答 (IB.FAQ48.1.2023[APR]) 讨论了信息阻止法规与两个不同的 HIPAA 隐私规则先决条件之间相互作用的示例,当满足这些先决条件时,可根据 HIPAA 隐私规则允许使用或披露 PHI。其中一个示例引用了获得个人授权的先决条件,另一个示例引用了OCR 在 2022 年夏季发布的“ HIPAA 隐私规则和与生殖保健相关的信息披露”指南。
3. 如果限制或禁止共享 EHI 的联邦或州法律发生变化,则信息阻止法规将在变化生效后自动适应参与者遵守其他法律的需要。
法律要求的实践从 (45 CFR 171.103) 信息阻断定义中排除以及 (45 CFR 171.202(b))前提条件未满足的子例外与特定法律或前提条件无关。信息阻断法规适应行为者当前对 HIPAA 隐私规则的遵守,或者随着时间推移而更新以添加、删除或修改使用或披露 PHI 的限制、禁令或要求。信息阻断法规同样适应行为者对其他法律的遵守,因为这些法律对共享个人健康信息的限制、禁令或前提条件会随着政策和技术环境的变化而不断发展。
我们希望本指南有助于说明信息屏蔽法规与 HIPAA 规则之间的关系,以及其他法律(联邦、州