3月2019

欧洲风格的隐私——GDPR如何影响美国医疗保健组织
萨拉·埃尔金斯
郑重声明
第三十一卷第三页

自2016年5月以来，数据行业的人一直在学习。那时，欧盟(EU)首次实施了《通用数据保护条例》(GDPR)，新规定的执行时间为两年。事实上，2018年5月25日，执法开始，几小时内，科技巨头谷歌和脸书就被处以相当于93亿美元的罚款。

如果你在想，“是的，但GDPR到底是什么?”“你并不孤单。即使是那些自2016年以来一直密切关注这个问题的人，也尚未对这个问题给出完整的答案。

《通用数据保护条例》(GDPR)是一套全面的规则，赋予欧盟公民比任何地方的法律都更大的数据隐私权。在《全球数据保护现状》(State of Data Protection In the World)中，国际消费者组织(Consumers International)甚至将GDPR称为“世界上最强大的数据保护制度”。

无论是否有相关制度，专家们都认为，这是解决隐私保护方面巨大差距的一个良好开端。

GDPR要求在欧盟运营的公司承担责任，为它们(尤其是科技公司)如何处理用户数据制定了严格的规则。简单地说，GDPR规定，如果一家公司持有个人身份数据，它必须获得这些个人的适当许可。此外，接收二手数据的公司必须证明他们为什么需要这些数据。个人身份数据的定义很宽泛，包括可以以任何方式与个人联系在一起的任何信息。更重要的是，GDPR让个人对个人数据的处理有了更大的控制权。

简而言之，了解GDPR对于任何收集或传输个人数据的公司都很重要，特别是如果它的目标或服务于欧盟市场。

行业的认识
虽然医疗卫生专业的大多数人至少听说过GDPR，但理解它对美国医疗保健意味着什么是一个挑战。学习曲线是陡峭的，因为法律是如此密集。

医疗数据保护公司ClearDATA的创始人、首席隐私和安全官克里斯•鲍恩(Chris Bowen)表示:“我们都还在努力学习。”ClearDATA已经准备了很长时间，但是5月的最后期限还是来得很快。因为他的客户的工作量遍布欧洲，Bowen知道他的公司将对GDPR负责。

然而，许多组织不确定GDPR是否适用于他们。在这种不确定性中，他们呼吁亚当·格林(Adam Greene)这样的人，戴维斯·赖特·特里梅因律师事务所(Davis Wright Tremaine, LLP)的合伙人，HIPAA和HITECH法案的全国公认权威。作为卫生与公众服务部(HHS)的前监管人员，格林比大多数人更了解GDPR的执行过程。

“有时候，我不得不说服(客户)离开悬崖。他们担心，每当一个欧洲人走进他们的大门，他们就不得不面对一个全新的合规项目，”格林说。beplay最新备用网站

他对悬崖上的人们的简短回答是?他解释说:“如果你没有专门针对欧盟进行营销，一个比利时游客在滑雪时摔断了腿，出现在你的急诊室里，这一事实并不会让你受到GDPR的保护。”

然而，格林表示，对于那些不知道自己正在从欧盟收集数据的组织来说，情况可能会更复杂一些。

谁最脆弱?
对于那些不确定自己是否属于GDPR管辖范围的组织来说，好消息是，早期的执法集中在大公司身上。亚马逊(Amazon)、谷歌(Google)和微软(Microsoft)等巨头都有易于查找的关于其GDPR合规性的声明，以及帮助客户自我评估的工具，这表明他们知道自己是被审视的对象。beplay最新备用网站

当谈到美国的医疗机构时，合规和事件管理软件公司complancepro Solutions的管理合伙人凯利·麦克伦登(Kelly McLendon)说:“我现在并不十分担心GDPR，但我建议我们需要仔细beplay最新备用网站研究它。当然，每个组织都应该明白它是否适用。”

麦克伦登解释说，他的意思是医护人员，特别是相对安全的。然而，其他医疗保健相关公司可能需要特别关注。他指出:“制药行业就是医疗保健行业，它们可能会受到GDPR的打击。”同时，他还将拥有离岸服务器的编码供应商等商业伙伴列入了应该警惕的名单。

格林说:“如果你的目标是欧盟，或者你实际上是在监控欧盟居民的行为，你可能会受到GDPR的约束。”他指出，在线重定向广告活动收集欧盟居民的行为数据，可能足以让一家总部位于美国的公司受到GDPR的约束。

麦克伦登说:“可能有几十个或几百个用例，但我们还没有完全了解它们。”“事实上，我们知道的很少，我们只是试图让我们的手臂环绕-包括律师;他们也在努力。”

从自我评估开始
虽然这看起来很疯狂，但知道你不知道GDPR是否适用于你的组织可能是最健康的起点。那些急于贬低法律在美国的重要性的人可能会发现，毕竟，一旦执法力度加大，世界就会变得很小。

格林说:“就GDPR和其他国际法而言，我的建议是，每个医疗服务提供者都应该进行自我评估，看看他们是否在国际上有联系。”

Bowen指出，评估不仅仅是一种建议——它是GDPR合规的一种规定。beplay最新备用网站“其中一项要求是记录加工活动，”他说。

Bowen问客户:“你在处理什么数据?它敏感吗?它流向哪里?它流经哪些国家?”这个完整的数据生命周期分析，或者ClearDATA所称的数据位置计划，将信息从创建和分发映射到使用、维护、归档和销毁。

与HIPAA不同的是，HIPAA在如何实现合规方面几乎没有指导，GDPR则有更多的规定。beplay最新备用网站

麦克伦登表示:“GDPR的前期工作还有很多要做。”他指出，对于那些只想知道自己是否面临风险以及如何遵守的人来说，这是一件好事。

HIPAA是一个开始，但它不会让你到达那里
GDPR与HIPAA相比如何?事实证明，这两个定律之间的差异是巨大的。这两部法律中对个人的一些保护是相似的，比如被告知违规行为的权利，但GDPR在确立个人隐私权方面走得更远。

“GDPR模式更有效。这话出自曾在HHS工作过的人之手，他非常尊重HIPAA，但现实情况是，HIPAA中的P并不代表隐私，”格林说。“HIPAA首先关注的是保险的可移植性，它包括的条款侧重于医疗服务提供者和健康计划之间的交易。作为事后的考虑，隐私和安全被添加到其中，但只针对那些参与这些交易的实体。”

虽然Greene吹捧GDPR作为隐私法的优越性，但他认为，与大多数美国医疗机构相比，那些已经建立了健全的HIPAA合规体系的受保实体可能处于更好的地位。beplay最新备用网站不过，他承认，新法律仍将对美国企业产生重大影响。

McLendon警告说，对于组织来说，认为满足HIPAA要求就意味着遵守GDPR是很危险的。beplay最新备用网站他指出，过去不受HIPAA保护的数据受到GDPR的保护。因此，虽然医疗保健组织可能比其他企业在满足新法规方面准备得更好，但它们也不能豁免，需要完成自我评估，以了解存在的差距。

执行
如前所述，GDPR的执行立即开始，在第一天就对谷歌和Facebook处以巨额罚款。欧盟大约有27个监管机构负责监管合规，但其中大多数机构资金不足。beplay最新备用网站其结果是，许多成员国首先追随大国。

“这些早期罚款将有助于他们实施执法，”鲍恩说。“我的预测是，执法会继续下去，但他们主要会针对那些行为恶劣或财力雄厚的公司。”

格林试图减轻人们对毫无戒心的组织可能被罚款打个措手不及的过度担忧。他表示:“它只能由欧盟当局通过欧盟体系来执行，因此不可能有人来到美国法院，试图强制执行GDPR。”他同时承认，某些美国公司仍是头号目标。

欧盟监管机构可能会根据《通用数据保护条例》(GDPR)对美国公司采取行动，因为该公司对欧盟居民有一些规模不大但可衡量的目标，“但我认为这不是当务之急，”格林说。

制裁
让许多组织担心的是，如果他们被发现违反了GDPR，他们可能会受到严厉的制裁。一家不合规的公司可能会被处以高达其全球收入4%的罚款，而这还只是因为不合规。beplay最新备用网站并不一定要发生违约才会触发强制执行。

这仅仅是个开始。“然后，当然，成员国可以在GDPR罚款之外发出罚款。所以，你的全球总收入的4%只用于GDPR，并在此基础上继续增加。”

欧盟及其成员国的监管机构并不是唯一将遭受损失的机构。一个不合规的组织也很容易受到民事诉讼，这是希望在执法初期不受关注的小公司应该注意的。

“任何时候，只要出台了你应该关注的监管规定，而你决定不关注，即使执法人员没有找到你，你也可能承担民事责任。你必须小心律师寻找GDPR适用的方式，并在民事基础上追究企业，”麦克伦登说。

他继续说道:“这将会让很多以前从未真正关心过隐私保护的企业和行业感到非常震惊，”这对于医疗机构来说应该是一个小小的安慰，至少，多年来一直在谈论隐私。

GDPR入门
随着欧盟委员会(European Commission)发布更多指导意见，未来几年将出现大量的拆解，但该法律有三个方面值得强调。首先，个人身份信息的定义比美国医疗保健组织可能认为的要广泛得多。HIPAA定义了18个必须保护的标识符，但将其归咎于GDPR将是一个错误。

鲍恩说:“如果你能识别出一个人，那就被认为是PII(个人身份信息)。”例如，IP地址可以与其他数据一起用于识别个人;因此，该地址成为标识符。数据如何相互关联变得很重要。GDPR要求的数据保护影响评估将帮助公司了解所收集的数据是否具有个人身份。

其次，GDPR提倡个人拥有自己数据的概念，这是鲍文全心全意支持的法律的一个组成部分。“多么伟大的概念啊。作为一名隐私官员，我喜欢这样一个事实:克里斯·鲍恩的数据属于克里斯·鲍恩——而不是我甚至不知道的某个实体，”他说。

法律的第三个方面受到了很多关注，那就是抹除权。从个人对其数据的所有权中得出的一个直接结论是，个人有权要求删除数据。这给持有数据的组织带来了一些挑战。

鲍恩说:“无论是数据控制者还是数据处理者，都需要付出巨大的努力才能找到这些信息，然后确保它们被删除。”

更复杂的问题是，当欧盟公民的删除权与其他法规发生冲突时会发生什么，比如要求记录保存特定时间长度的国家保留政策。

格林表示:“首先，它们必须遵守GDPR。在比利时游客腿骨折的案例中，《通用数据保护条例》不太可能适用于科罗拉多州的那家医院，除非这家医院参与了在欧盟进行的研究。在这种情况下，格林建议咨询法律顾问只是为了安全起见，并不是说他认为这是一个大问题。

同样，麦克伦登说:“这是我的观点，我不是律师，但没有人有权比医疗服务提供者想要的更快地删除医疗记录。如果你仔细阅读删除权，你会发现医疗记录是受到保护的。”

关于加州消费者隐私法的说明
美国在制定与GDPR范围类似的隐私法方面最接近的尝试是《加州消费者隐私法》，该法案将于2020年1月1日生效。这是美国通过的最有力的隐私保护法案，这项仓促制定的法案已经在其他州引发了类似的立法。

“在很多方面，这都不是一个理想的法律，”格林说，他希望随着各州开始效仿加州的行动，他们会放慢脚步，解决一些问题。

不可避免的是，美国将制定更合适的隐私法，那些对GDPR不屑一顾的美国公司可能会想听听麦克伦登的警告:“如果他们不让你遵守GDPR，未来几年，州法律将把你扫地出局。”

Bowen, Greene和McLendon都希望看到像GDPR这样的国家立法在美国通过，但他们都不希望很快就能实现。

- Sarah Elkins是西弗吉尼亚州的自由撰稿人。