卫生保健提供者在1996年的健康保险流通和问责法下熟悉有关受保护的健康信息(“PHI”)的义务及其在加州医疗信息法案(“)下的”加利福尼亚州“(” CMIA“)。但是,新的隐私立法,加州消费者隐私法(“CCPA”),为个人信息设定了额外的广泛隐私保护。虽然CCPA于2020年1月1日生效,但直到2020年7月1日,执行情况不会开始。

CCPA从其要求中豁免某些患者信息,但它没有为医疗保健提供者或医疗保健行业提供分类豁免。在医疗保健行业的企业 - 设施,提供商及其商业伙伴和承包商 - 应了解CCPA的医疗保健相关豁免,并将CCPA对某些数据的要求进行了适用性。

一般适用性

CCPA通过某些业务授予加州居民的消费者新的权利,并通过某些业务销售其个人信息。在CCPA下,个人信息(“PI”)被定义为“识别的信息”,涉及,涉及描述,能够与特定的消费者或家庭合理地或间接地联系或间接地联系在一起,或者包括名称,地址,IP地址,电子邮件地址和唯一的个人标识符。[1]

出于CCPA的目的,“业务”被定义为加利福尼亚州的营利性实体,收集PI,(1)(1)次收到总年度总收入超过2500万美元,不仅是加州源的收入; (2)从事涉及至少50,000名消费者,家庭或设备的PI的交易; (3)衍生百分之五十(50%)或更多的年度收入销售PI。[2] CCPA仅适用于营利实体。非营利组织和政府实体免于CCPA的要求,但非营利性实体应该意识到有营利实体的某些合资企业可能会受CCPA的约束。

定义的术语

CCPA参考HIPAA和CMIA在其保健特定的豁免中的条款。 HIPAA和CMIA使用类似,但没有相同的,术语在定义谁以及哪些信息时受到各种法律。

供参考,以下是CCPA中出现的HIPAA和CMIA定义的术语:

HIPAA. CMIA.
定义术语 定义 定义术语 定义
涵盖实体 健康计划,医疗保健清算室或医疗保健提供者以HIPAA标准交易在电子形式中传输任何健康信息。[3] 保健提供者 任何人均按第2款授权或认证的业务和职业守则;根据骨科倡议法或脊椎按摩疗法倡议法案授权的任何人;任何根据健康和安全守则的第2.5段认证的任何人;任何许可的诊所,健康药房或卫生设施。 [4]
商业伙伴 除了由涵盖实体的劳动力成员的人员或实体代表,或者代表或提供某些服务,或提供涉及商业助理与受保护的健康信息访问的涵盖实体的职责实体。[5] 承包商 任何人或实体,都是医疗组织,独立实践协会,制药福利经理或医疗服务组织,也不是医疗服务计划或医疗保健提供者。[6]
受保护的健康信息(“PHI”) 以任何形式或媒介传输或维护的可单独识别的健康信息。[7] 医疗信息 任何可单独识别的信息,以电子或身体形式,拥有或来自医疗保健服务计划,制药公司或承包商有关患者病史,精神或身体状况或治疗的承包商。[8]

 

CCPA做 不是 适用于涵盖实体和医疗保健提供者的患者信息

如果您是保健的涵盖实体或保健提供者,我们的绝大多数数据, IE。,与患者有关的数据不会受CCPA的影响。

HIPAA.涵盖实体和CMIA的医疗保健提供者的“患者信息”不受CCPA的影响。[9] CCPA没有定义患者信息,但该术语将包含所有PHI和医疗信息 - IE。,由保健实体或保健提供者维护或传播的所有可单独识别的信息 - 以及可讨论与患者相关的任何其他数据,并保护具有在CMIA下的HIPAA和医疗信息下保护PHI所需的相同安全性。

但是,您将被要求在收集,使用或共享患者信息以外的数据的范围内遵守CCPA(例如,网站跟踪数据,非患者付款数据或营销或广告数据)。

CCPA做 不是 适用于商业伙伴'和CMIA承包商的发货和医疗信息

此外,如果您是企业助理或非HIPAA所涵盖实体的CMIA承建商,则CCPA的要求不适用于您收集,使用或分享的医疗信息或PHI。[10] 这种豁免比CCPA覆盖范围的广泛排除所有患者信息较窄,所涵盖的实体和医疗保健提供者可以依赖。

但是,您将需要在收集,使用或共享数据,包括患者信息,包括患者信息的范围内,这不得遵守较窄的PHI或医疗信息的数据。

适用于其他与健康有关的业务

没有涵盖实体,医疗保健提供者,医疗伙伴或CMIA承包商的健康有关的业务可能会受到CCPA关于所有PI的要求,而无需异常。这些企业可能包括合资企业,未经许可的健康提供商,移动健康应用,混合实体和其他与临床服务以外的服务的健康或健康或健康相关企业。

HIPAA.的抢占CCPA?

一般来说,如果州法律与HIPAA相反,则相反的要求将被抢先。[11] 对于与HIPAA相反的法律,必须遵守国家和联邦要求必须是不可能的。[12] 但是,如果提供比HIPAA更大的隐私保护或隐私权,州法律将不会被抢占。

没有法院或美国卫生部和人类服务部长确定了CCPA的任何规定是否与HIPAA相反。加州立法机关通过从覆盖范围中排除PHI,试图避免与HIPAA的冲突。

然而,应准备遵守CCPA对企业定义的保健实体,医疗伙伴,卫生保健提供者和CMIA承包商,以遵守HIPAA,遵守PHI和CMIA的医疗信息,并与CCPA分开遵守关于不是患者信息,PHI或医疗信息的PI。此外,即使CCPA被HIPAA抢占,医疗保健和承包商的供应商仍将受CMIA对医疗信息的要求,因为CMIA没有被HIPAA抢占。

结论

CCPA的HIPAA和CMIA相关的豁免在范围内有限。在医疗保健行业中运营的医疗保健提供者和企业应仔细检查他们收集的信息,考虑CCPA是否适用于特定类别的数据,并在执法日期之前实施所需的消费者保护。

联系作者或您的Buchalter律师,讨论CCPA对业务数据的适用性。有关如何遵从CCPA的更多信息,请单击 这里.

CCPA是否适用于收集,使用或共享的信息 HIPAA.涵盖实体和商业伙伴和 CMIA.的医疗保健和承包商提供者?

[1] cal。文明。代码§1798.140(o)。

[2] cal。文明。代码§1798.140(c)。

[3] 45 CFR § 160.103.

[4] cal。文明。代码§56.05(m)。

[5] 45 CFR § 160.103.

[6] cal。文明。代码§56.05(d)。

[7] 45 CFR § 160.103.

[8] cal。文明。代码§56.05(j)。

[9] cal。文明。代码§1798.145(c)(1)(b)。

[10] cal。文明。代码§1798.145(c)(1)(a)。

[11] 45 CFR § 160.203.

[12] 45 CFR § 160.202.