注册会计师修正案更新:加利福尼亚州州长批准CCPA修正案,但HIPAA去识别信息和其他健康数据除外

发表于 资料私隐

2020年9月25日,州长加文·纽瑟姆(Gavin Newsom)签署法律 加州AB 713,它修改了《加州消费者隐私法》(CCPA),为以下方面创建了扩展的例外:HIPAA商业伙伴;根据1996年《健康保险携带与责任法案》(HIPAA)取消标识的信息;以及在某些人体研究中收集,使用或披露的信息。 AB 713反映了医疗技术,制药以及其他健康与生命科学行业利益相关者的大力游说努力。 AB 713法案在州长Newsom签署后立即生效,因为该法案包括一项紧急条款,要求立即采取行动以减轻CCPA对健康相关研究的潜在负面影响。

AB 713通过使CCPA与HIPAA和其他规范人类受试者研究的法律更加紧密地结合,缓解了医疗保健和生命科学行业在CCPA合规性方面遇到的挑战。但是,AB 713还通过要求遵守CCPA规定的“业务”要求的实体以及在加利福尼亚居住或经商的其他实体,在许可协议或其他销售或许可合同中包含某些规定,从而创建了新的合规义务。身份不明的患者信息。如下所述,虽然AB 713立即生效,但它要求从2021年1月1日开始遵守新的合同要求。

我们在下面总结AB 713的主要规定。

身份不明的患者信息例外

AB 713可为一直努力解决如何遵守HIPAA和CCPA之前不一致的身份验证标准的医疗保健,生命科学和其他组织提供救济。如果没有AB713的CCPA修正案,则根据CCIP和HIPAA隐私规则针对其各自的身份验证标准使用不同的语言,则根据HIPAA身份验证标准被取消标识的数据有可能构成CCPA下的“个人信息”。这使CCPA监管的企业许可或以其他方式使HIPAA去身份化数据商业化的策略变得复杂。例如,在HIPAA下已被取消标识的受HIPAA保护的健康信息可能仍包含加利福尼亚医师或为患者服务的其他个人的标识符。当由CCPA监管的企业持有这些标识符时,这些标识符可能已构成CCPA下的“个人信息”,从而根据CCPA规定了个人选择退出销售个人信息的权利。有关不一致的HIPAA和CCPA取消标识标准的更多信息,请参见我们的 就此主题而言.

AB 713通过明确规定CCPA不适用于满足以下条件的信息,解决了CCPA和HIPAA的去标识标准之间的潜在脱节:

  • 信息已根据HIPAA取消识别方法(,安全港或专家确定方法)。
  • 该信息来自患者信息,该信息最初是由受HIPAA,《加利福尼亚医学信息保密法》(CMIA)或《联邦保护人类受试者政策》(通用规则)约束的实体收集,创建,传输或维护的。 “患者信息”是指HIPAA下受保护的健康信息或个人可识别的健康信息,《通用规则》下的可识别的私人信息或CMIA下的医学信息。
  • 该信息尚未重新识别。

此例外适用于由本身不受HIPAA,《通用规则》或CMIA直接监管的实体(例如某些制药,医疗设备或生命科学公司)持有的HIPAA识别数据,但前提是该识别数据来自由HIPAA,CMIA或《通用规则》规定的实体最初收集,创建,传输或维护的患者信息。

禁止重新识别身份不明的患者信息

AB 713还禁止CCPA监管的企业或其他人重新识别或尝试重新识别任何已取消识别的患者信息,除非重新识别活动是出于以下目的之一:

  • 受HIPAA监管的实体的治疗,支付或医疗保健运营目的
  • HIPAA中规定的公共卫生活动或目的
  • 由HIPAA定义并按照通用规则进行的研究
  • 履行与实体签订的合同以重新标识已取消标识的患者信息以测试,分析或确认该已取消标识的合同
  • 符合法律要求。

因此,CCPA监管的企业和其他试图重新标识任何未标识的患者信息的人员需要评估CCPA是否适用于该信息并允许重新标识。

新合同要求

从2021年1月1日开始,AB 713要求其中一方当事人在加利福尼亚居住或经商的销售或许可身份不明的患者信息的许可合同包括以下条款:

  • 声明出售或获得许可的去识别信息包括去识别的患者信息
  • 注册会计师禁止购买者或被许可人重新识别或试图重新识别已取消识别的患者信息的声明
  • 禁止购买者或被许可人进一步将取消标识的信息透露给任何第三方的声明,除非该第三方受到相同或更严格的限制和条件的合同约束。

尽管CCPA通常仅适用于处理加利福尼亚消费者的个人信息并且年收入至少为2500万美元(或达到另一个阈值)的“企业”,但AB 713中的新合同要求也适用于“是指在加利福尼亚州居住或经商的人,即使该公司不在加利福尼亚州也是如此。要了解有关公司是否为受CCPA监管的公司的更多信息,请参阅“您的CCPA合规性指南。”

因此,从2021年1月1日开始,参与在加利福尼亚州居住或经商的涉及身份不明的患者信息的销售或许可的合同的一方应评估该合同是否必须包括AB 713要求的条款。来自在加利福尼亚居住或开展业务的实体的身份不明的患者信息应评估他们是否可以遵守合同规定,并将重新身份识别的限制下放给与第三方进一步共享身份不明的患者信息的第三方。一个悬而未决的问题是,AB 713是否要求对2021年1月1日之前签订的合同进行修订,以在该日期之前或该日期之后的任何续签或修改日期包括合同条款。

扩大的消费者隐私声明要求

尽管AB 713会从CCPA的适用性中排除已识别的患者信息,但它需要受CCPA监管的业务 出售或披露 在CCPA消费者隐私通知中包含的身份不明的患者信息,其中包含描述销售或披露的声明以及用于身份不明信息的HIPAA身份不明方法(,安全港或专家的判断)。出售,许可或转让HIPAA识别数据给第三方的公司应考虑是否需要更新其CCPA消费者隐私声明以符合此要求。

HIPAA业务伙伴的例外

在AB 713生效之前,CCPA从其适用性中排除了由HIPAA涵盖的实体或业务伙伴收集的任何受保护的健康信息。 注册会计师还包含所有HIPAA涵盖实体的例外,只要它们以受HIPAA约束的受保护健康信息相同的方式来维护,使用或披露患者信息。但是,CCPA没有为HIPAA商业伙伴提供类似的基于实体的例外,并且他们以与受保护的健康信息相同的方式保护患者信息。

AB 713将CCPA修改为除所有业务伙伴以与受保护的健康信息相同的方式维护,使用或披露患者信息的范围。因此,由CCPA监管的业务伙伴通过不受HIPAA约束的服务线收集患者信息(例如直接面向消费者的产品),如果业务伙伴无需遵守CCPA的此类信息将HIPAA保护应用于信息。

研究例外

注册会计师以前包含了作为临床试验一部分收集的个人信息的例外,这些例外情况要遵守通用规则,国际良好临床实践准则或美国食品药品监督管理局(FDA)的人类受试者保护法规。 AB 713将例外扩展到除以下情况之外收集,使用或披露的任何个人信息: 任何 根据45 CFR第164部分的适用道德,机密性,隐私和安全规则进行的研究(由HIPAA定义)(例如,HIPAA隐私和安全规则),通用规则,国际协调委员会发布的良好临床实践准则或FDA人体受试者保护要求。因此,现在,CCPA的研究例外不再局限于临床试验。

下一步

根据AB 713的颁布,许可或以其他方式披露已识别身份的患者信息的实体,以及信息的被许可人和购买人应

  • 评估其涵盖该信息的合同是否必须包括新要求的合同条款,如果是,则对合同进行修订,
  • 根据需要修订其消费者隐私声明,以符合新的取消标识披露要求,并
  • 考虑更新其取消标识策略和过程,以反映AB 713所创建的新灵活性。

有关这些步骤的帮助,请联系您的常规McDermott律师或两位作者。

丹尼尔·戈特利布(Daniel F.Gottlieb)丹尼尔·戈特利布(Daniel F.Gottlieb)
丹尼尔·戈特利布(Daniel F.Gottlieb)为众多医疗保健行业客户提供咨询服务,包括医疗保健提供者,健康计划,健康信息技术(IT)供应商和生命科学公司。他代表这些实体处理医疗保健IT的获取,隐私和数据保护,报销,欺诈和滥用以及其他医疗保健法规和交易事务。丹尼尔(Daniel)是公司全球隐私和网络安全实践的联合负责人。 阅读Daniel Gottlieb的完整传记。


迪帕里(Deepali Doddi)迪帕里(Deepali Doddi)
迪帕里(Deepali Doddi)专注于数据隐私和网络安全事务。她定期为各行各业的客户提供有关国内数据安全和隐私法律和法规(包括COPPA,CAN-SPAM,TCPA,GLBA,FTC法案,CalOPPA,DFARS网络安全要求和违规通知法律)下出现的问题的建议。 单击此处以了解有关Deepali的实践的更多信息。 

保持联系

主题

档案