OFAC咨询警告对勒索软件付款的民事处罚

2020年10月1日,美国财政部外国资产控制办公室(OFAC)发布了一个预警警报,向已经或将成为勒索软件攻击受害者的实体发出警告。因此,是否支付赎金的关键决定现在伴随着强大的联邦机构进行法律审查的额外风险以及可能收取高额罚款的可能性。

访问文章。



CCPA修正案更新:加利福尼亚州州长批准CCPA修正案,但HIPAA去识别信息和其他健康数据除外

2020年9月25日,州长加文·纽瑟姆(Gavin Newsom)签署法律 加州AB 713,它修改了《加州消费者隐私法》(CCPA),为以下方面创建了扩展的例外:HIPAA商业伙伴;根据1996年《健康保险携带与责任法案》(HIPAA)取消标识的信息;以及在某些人体研究中收集,使用或披露的信息。 AB 713反映了医疗技术,制药以及其他健康与生命科学行业利益相关者的大力游说努力。 AB 713法案在州长Newsom签署后立即生效,因为该法案包括一项紧急条款,要求立即采取行动以减轻CCPA对健康相关研究的潜在负面影响。

AB 713通过使CCPA与HIPAA和其他规范人类受试者研究的法律更加紧密地结合,缓解了医疗保健和生命科学行业在CCPA合规性方面遇到的挑战。但是,AB 713还通过要求遵守CCPA规定的“业务”要求的实体以及在加利福尼亚居住或经商的其他实体,在许可协议或其他销售或许可合同中包含某些规定,从而创建了新的合规义务。身份不明的患者信息。如下所述,虽然AB 713立即生效,但它要求从2021年1月1日开始遵守新的合同要求。

我们在下面总结AB 713的主要规定。

身份不明的患者信息例外

AB 713可为一直努力解决如何遵守HIPAA和CCPA之前不一致的身份验证标准的医疗保健,生命科学和其他组织提供救济。如果没有AB713的CCPA修正案,则根据CCIP和HIPAA隐私规则针对其各自的身份验证标准使用不同的语言,则根据HIPAA身份验证标准被取消标识的数据有可能构成CCPA下的“个人信息”。这使CCPA监管的企业许可或以其他方式使HIPAA去身份化数据商业化的策略变得复杂。例如,在HIPAA下已被取消标识的受HIPAA保护的健康信息可能仍包含加利福尼亚医师或为患者服务的其他个人的标识符。当由CCPA监管的企业持有这些标识符时,这些标识符可能已构成CCPA下的“个人信息”,从而根据CCPA规定了个人选择退出销售个人信息的权利。有关不一致的HIPAA和CCPA取消标识标准的更多信息,请参见我们的 就此主题而言.

AB 713通过明确规定CCPA不适用于满足以下条件的信息,解决了CCPA和HIPAA的去标识标准之间的潜在脱节:

  • 信息已根据HIPAA取消识别方法(,安全港或专家确定方法)。
  • 该信息来自患者信息,该信息最初是由受HIPAA,《加利福尼亚医学信息保密法》(CMIA)或《联邦保护人类受试者政策》(通用规则)约束的实体收集,创建,传输或维护的。 “患者信息”是指HIPAA下受保护的健康信息或个人可识别的健康信息,《通用规则》下的可识别的私人信息或CMIA下的医学信息。
  • 该信息尚未重新识别。

此例外适用于由本身不受HIPAA,《通用规则》或CMIA直接监管的实体(例如某些制药,医疗设备或生命科学公司)持有的HIPAA识别数据,但前提是该识别数据来自由HIPAA,CMIA或《通用规则》规定的实体最初收集,创建,传输或维护的患者信息。

禁止重新识别身份不明的患者信息

AB 713还禁止CCPA监管的企业或其他人重新识别或尝试重新识别任何已取消识别的患者信息,除非重新识别活动是出于以下目的之一:

  • 受HIPAA监管的实体的治疗,支付或医疗保健运营目的
  • HIPAA中规定的公共卫生活动或目的
  • 由HIPAA定义并按照通用规则进行的研究
  • 履行与实体签订的合同以重新标识已取消标识的患者信息以测试,分析或确认该已取消标识的合同
  • 符合法律要求。

因此,CCPA监管的企业和其他试图重新标识任何未标识的患者信息的人员需要评估CCPA是否适用于该信息并允许重新标识。

新合同要求

从2021年1月1日开始,AB 713要求其中一方当事人在加利福尼亚居住或经商的销售或许可身份不明的患者信息的许可合同包括以下条款:

  • 声明出售或获得许可的去识别信息包括去识别的患者信息
  • CCPA禁止购买者或被许可人重新识别或试图重新识别已取消识别的患者信息的声明
  • 禁止购买者或被许可人进一步将取消标识的信息透露给任何第三方的声明,除非该第三方受到相同或更严格的限制和条件的合同约束。

尽管CCPA通常仅适用于处理加利福尼亚消费者的个人信息并且年收入至少为2500万美元(或达到另一个阈值)的“企业”,但AB 713中的新合同要求也适用于“是指在加利福尼亚州居住或经商的人,即使该公司不在加利福尼亚州也是如此。要了解有关公司是否为受CCPA监管的公司的更多信息,请参阅“您的CCPA合规性指南。”

因此,从2021年1月1日开始,参与在加利福尼亚州居住或经商的涉及身份不明的患者信息的销售或许可的合同的一方应评估该合同是否必须包括AB 713要求的条款。来自在加利福尼亚居住或开展业务的实体的身份不明的患者信息应评估他们是否可以遵守合同规定,并将重新身份识别的限制下放给与第三方进一步共享身份不明的患者信息的第三方。一个悬而未决的问题是,AB 713是否要求对2021年1月1日之前签订的合同进行修订,以在该日期之前或该日期之后的任何续签或修改日期包括合同条款。

扩大的消费者隐私声明要求

尽管AB 713会从CCPA的适用性中排除已识别的患者信息,但它需要受CCPA监管的业务 出售或披露 在CCPA消费者隐私通知中包含的身份不明的患者信息,其中包含描述销售或披露的声明以及用于身份不明信息的HIPAA身份不明方法(,安全港或专家的判断)。出售,许可或转让HIPAA识别数据给第三方的公司应考虑是否需要更新其CCPA消费者隐私声明以符合此要求。

HIPAA业务伙伴的例外

在AB 713生效之前,CCPA从其适用性中排除了由HIPAA涵盖的实体或业务伙伴收集的任何受保护的健康信息。 CCPA还包含所有HIPAA涵盖实体的例外,只要它们以受HIPAA约束的受保护健康信息相同的方式来维护,使用或披露患者信息。但是,CCPA没有为HIPAA商业伙伴提供类似的基于实体的例外,并且他们以与受保护的健康信息相同的方式保护患者信息。

AB 713将CCPA修改为除所有业务伙伴以与受保护的健康信息相同的方式维护,使用或披露患者信息的范围。因此,由CCPA监管的业务伙伴通过不受HIPAA约束的服务线收集患者信息(例如直接面向消费者的产品),如果业务伙伴无需遵守CCPA的此类信息将HIPAA保护应用于信息。

研究例外

CCPA以前包含了作为临床试验一部分收集的个人信息的例外,这些例外情况要遵守通用规则,国际良好临床实践准则或美国食品药品监督管理局(FDA)的人类受试者保护法规。 AB 713将例外扩展到除以下情况之外收集,使用或披露的任何个人信息: 任何 根据45 CFR第164部分的适用道德,机密性,隐私和安全规则进行的研究(由HIPAA定义)(例如,HIPAA隐私和安全规则),通用规则,国际协调委员会发布的良好临床实践准则或FDA人体受试者保护要求。因此,现在,CCPA的研究例外不再局限于临床试验。

下一步

根据AB 713的颁布,许可或以其他方式披露已识别身份的患者信息的实体,以及信息的被许可人和购买人应

  • 评估其涵盖该信息的合同是否必须包括新要求的合同条款,如果是,则对合同进行修订,
  • 根据需要修订其消费者隐私声明,以符合新的取消标识披露要求,并
  • 考虑更新其取消标识策略和过程,以反映AB 713所创建的新灵活性。

有关这些步骤的帮助,请联系您的常规McDermott律师或两位作者。



英国脱欧后和施雷姆斯后II的数据传输有双重麻烦吗?

2020年7月16日,欧洲最高法院欧洲法院裁定 数据保护专员诉Facebook Ireland Limited,马克西米利安·施雷姆斯(Maximillian Schrems)指出,根据美国商务部的“隐私保护”机制,欧洲的个人在将其个人数据转移到美国时,对美国的批量拦截规则的补救措施不足。这项裁决是在维权人士马克斯·施雷姆斯(Max Schrems)长期进行的竞选活动之后发起的,他在欧洲法院(CJEU)之前的案子使隐私保护盾(Safe Harbor)的前身无效。

欧洲数据保护法的一般原则是,从欧盟出口个人数据时,任何进一步处理都必须符合欧洲标准,除非欧洲委员会认为本地数据保护法“足够”。在具有欧洲客户并且经常需要将个人数据从欧洲传输到美国的美国服务提供商中,美国隐私保护机制下的自认证是一种提供足够数据保护的流行方法。

Schrems II不仅影响了获得Privacy Shield自认证的5300多家美国公司,而且还影响了数以千计的依赖美国供应链中美国公司进行数据处理的欧盟和美国公司。该供应链可以包括外包,云服务,数据处理,数据存储,电信等。

单击此处以阅读全文,以及我们最新的《国际新闻》中的更多内容:关注全球隐私和网络安全。



曲线播客之后:关注数字健康

COVID-19要求在远程医疗和数字医疗领域迅速转变,从而导致全球范围内尚未完全开发的远程医疗和数字医疗系统受到欢迎。在McDermott Health播客的这一集中,我们的数字健康合作伙伴共同讨论了远程医疗的未来以及使用数字工具来加快医疗服务交付速度并改善COVID-19之后的结果,以及重塑医疗保健系统的数据准备。麦克德莫特(McDermott)的首席市场官莱斯利(Leslie Tullio)和合作伙伴一起加入 斯蒂芬·伯恩斯坦丽莎·玛祖(Lisa Mazur) 研究远程医疗以及更广泛的数字医疗领域的当前趋势和潜在变化,包括:

  • COVID-19产生的最有影响力的远程医疗监管变更
  • 从远程医疗到更广泛的数字医疗格局的转变
  • 在下一轮COVID-19或未来的大流行中,更完善的数据交换途径可能对治疗产生影响
  • 数字医疗领域中正在发生的有意义的合作
  • 看一下COVID-19后医疗保健需求中出现的创新
  • 仍需要采取法律和法规遵从步骤以使这些远程医疗计划在将来继续

现在听



大流行期间和之后的数据保护:整合,更新和创新

在针对冠状病毒(COVID-19)做出调整后,对产品,流程,服务,设施和IT系统进行了调整之后,企业现在应该在重返办公室的同时重新关注法律和业务基础。应更新合规政策,重新启动英国退欧应急计划,并预期即将发生的法律和法规变更。

在采取这些步骤时,企业应牢记许多关键的数据保护和IT /网络安全基础知识,并利用重返工作时间所提供的机会来启动新计划。

点击这里 阅读全文,以及我们最新的《国际新闻:关注全球隐私和网络安全》中的更多内容。

 



保持联系

主题

档案