弥补HIPAA空白！美国参议院提出《健康信息隐私改革法案》

2025年11月5日，美国参议院正式推出了《健康信息隐私改革法案》（Health Information Privacy Reform Act, HIPRA）。该法案被视为自1996年《健康保险可携性与责任法案》（HIPAA）制定以来，美国在健康隐私领域最值得关注的现代化努力。HIPAA主要覆盖传统的医疗服务提供者和保险公司，但随着可穿戴设备、健康App和非传统科技公司的兴起，大量健康相关数据游离于HIPAA的保护之外，形成了巨大的监管空白。HIPRA正是为了弥补这一“健康数据隐私鸿沟”而生。

一、法案的核心目标与覆盖范围拓展

HIPRA的主要目标是将类似于HIPAA的隐私保护、安全要求和违规通知标准，扩展到目前不受HIPAA监管的实体和其处理的健康信息，从而建立统一的国家标准。

1.覆盖“非HIPAA实体”： 法案将适用于新的“受监管实体”及其服务提供商。这些实体包括健康应用程序、智能手表等可穿戴设备公司以及许多处理健康信息的非传统科技公司。此外，一些仅接受自付（out-of-pocket）现金支付、从而不受HIPAA约束的医疗服务提供者也将被纳入监管。

2.强制性标准制定： 法案授权美国卫生与公众服务部（HHS）与联邦贸易委员会（FTC）协商，制定新的法规，确立隐私、安全和违规通知三大核心标准，以覆盖所有“适用的健康信息”（Applicable Health Information）。

3.赋予消费者权利： 法案赋予个人对其健康信息的多项权利，包括接收隐私通知权、访问其健康数据权、请求修改/删除数据权，并要求被覆盖的健康信息具有可移植性（Portability）。

二、关键的技术与监管要求

HIPRA不仅扩大了保护范围，也对具体的实践操作提出了更高的要求，尤其是在数据利用和新技术应用方面。

1.去识别化标准的统一： 法案要求HHS颁布法规，建立统一的国家标准，以对适用的健康信息进行去识别化处理。这可能会改变HIPAA现有的去识别化标准，为研究和分析用途提供更一致的规则。

2.AI与机器学习指导： 法案要求HHS发布指导意见，说明如何将HIPAA的“最小必要标准”（Minimum Necessary Standard）应用于人工智能（AI）和机器学习应用所使用的数据。这旨在确保在开发高科技工具时，数据的使用量被限制在完成特定目的所需的最低限度，并要求关注数据互操作性。

3.患者数据共享的透明度： 法案要求通过HIPAA的患者访问权获得健康信息的实体，必须告知个体其数据将不再受HIPAA保护，解释数据可能如何被再披露，并要求在将这些数据出售给第三方之前获得消费者同意。

4.“定向披露”的修改： 法案对HIPAA中关于个体指示医疗实体将受保护健康信息（PHI）直接披露给第三方（即“定向披露”）的权利进行了修正，要求个体在行使该权利时需提交授权书，解释披露目的。

三、行业评价与潜在影响

HIPRA作为一项雄心勃勃的改革，引起了各方的广泛关注和评价：

对科技公司的影响： 隐私倡导者认为，该法案将重塑科技公司处理敏感的行为和生物识别信息的方式，并强制要求这些公司告知用户其数据的使用方式，并提供明确的选择退出（Opt-out）机制。对于可穿戴设备背后的公司而言，这意味着他们收集的用户数据将首次受到严格的国家级健康隐私标准的约束。

对传统医疗机构的影响： 虽然法案主要针对非HIPAA实体，但对HIPAA的修改，例如关于“定向披露”的更新，将直接影响传统医疗服务提供者在响应患者数据共享请求时的操作流程。

对数据研究的潜在激励： 法案要求国家科学院、工程院和医学院（NASEM）进行一项研究，审查支付报酬给患者以换取其共享可识别个人健康数据用于研究目的的潜在风险和利益。这可能为未来健康数据的商业模式和研究数据获取开辟新的道路。

州法与联邦法的关系： 与HIPAA类似，HIPRA也具有联邦优先权（Preemption），但允许各州制定更严格的隐私要求。这可能导致一个复杂的、由各州不同标准组成的“隐私保护拼凑图景”。

总而言之，HIPRA的引入标志着美国国会认识到，在数字时代，健康隐私的保护范围必须超越传统的诊所和保险公司。该法案一旦通过，将对美国健康科技行业的数据处理、安全保障和透明度产生深远而结构性的影响。

声明：本文来自清华大学智能法治研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。