试行新的HHS生殖健康护理隐私规则：HIPAA和提供者更新

2024年6月25日，美国健康与人类服务部（HHS）民权办公室（OCR）公布了一项广泛的最终规则，修改了HIPAA隐私规则，为生殖健康信息（RHI）的隐私提供了新保护。此最终规则试图在国家自主权与HIPAA保持健康信息隐私的目标之间取得平衡。遵守规定须在2024年12月23日之前完成，但隐私惯例通知（NPP）条款则需要在2026年2月16日前完成。

最终规则起因于担忧最近的法律发展可能会削弱病患对医疗系统的信任。最高法院在Dobbs案中推翻了Roe v. Wade和Planned Parenthood of Southeastern Pennsylvania v. Casey，使得各州能够限制堕胎的获取。担忧在于这一法律转向可能干扰个人对生殖健康信息隐私的长期期望，而这些期望是由HIPAA和隐私规则建立的。

法律环境的变化具有全国性影响，不仅因为其对医疗提供者和个人关系的影响，也因为其可能影响跨州健康信息的流动。例如，某人出州寻求在提供条件下合法的生殖健康护理，现在可能因为担心被披露给其本州的医疗提供者而不愿披露该信息，怕此信息可能被用来对其不利。

此外，由于担心其中一个州可能会寻求受保护的健康信息（PHI）来调查或对个人或医疗提供者施加责任，即便没有与该州有联系，除了健康计划的存在外，个人和医疗提供者可能会犹豫是否将受保护的健康信息披露给跨州健康计划。最终规则旨在通过明确限制隐私规则的法律执法例外范围来平衡这些法律变化。明确指出，先前对法律执法披露的许可并未要求必须向执法机构披露，而是为HIPAA覆盖实体及其业务伙伴（统称“受管实体”

）提供在选择披露受保护健康信息时可遵循的条件。最终规则划定了受管实体可披露生殖健康信息的具体情形，禁止生殖健康信息的使用或披露用于对个人人身或身份进行刑事、民事或行政调查，或为寻求、获取、提供或便利在提供条件下合法的生殖健康护理这一单纯行为，施加民事、刑事或行政责任。参见OCR新闻发布会。即使受管实体没有确知生殖健康护理是非法的，且请求者未提供任何事实信息表明该护理非法，依然禁止披露。

这一禁令实际上优先于州法律要求根据法院命令或其他法律程序为被禁止目的使用或披露受保护的健康信息。如果受管实体知道生殖健康护理是非法进行的，则最终规则不适用。在这种情况下，如果符合隐私规则，受管实体可选择但不是要求向执法机构披露受保护健康信息。最终规则还要求受管实体从请求可能涉及生殖健康信息的受保护健康信息用于医疗监督活动、司法和行政程序、法律执法目的，以及向验尸官和法医的披露中获得证明，证明必须：

(1) 声明请求使用或披露受保护健康信息不是为了被禁止的目的，并(2) 向违反HIPAA的个人提供刑事处罚通知。可在HHS获取证明模板。此外，最终规则要求受管实体以多种方式修订其NPP以加强生殖健康护理隐私，包括告知个人他们的受保护健康信息可能或不可能被使用或披露，并附示例。OCR指出最终规则的潜在益处包括：

通过确保个人与临床医生自由交流并获得高质量合法健康护理的完整信息，包括护理协调，来维护或降低孕产妇死亡率和发病率。通过保护受保护健康信息免受不当审查，防止或减轻强奸或乱伦幸存者孕妇的再次伤害。通过不暴露受管实体或其员工于昂贵的调查或活动中以施加责任于因从事合法活动的他们，维持受管实体的经济福祉。

无论这些潜在利益如何，最终规则现已将受管实体置于遵从透露生殖健康信息的州法律要求或联邦HIPAA隐私禁令之间的困境。初步问题与解答
受管实体何时能假定提供的生殖健康护理是在合法情况下？除非受管实体确实知道生殖护理不合法，或请求者提供了表明生殖健康护理在提供情况下不合法的实质性依据，护理被假设为合法。在州法律要求与最终规则禁令冲突时，受管实体应如何进行？鉴于联邦和州级生殖健康信息保护的某些“灰色”

状态，提供者应考虑其本地执法环境及OCR监督的潜在挑战。收到来自不允许堕胎州的执法传票的受管实体可能会感到压力尽管有最终规则来遵从。此外，OCR仍需确定如何支持受压迫透露RHI的受管实体。受管实体的法律和合规部门应考虑设立合规热线以解答与执法请求相关的问题。受管实体的其他注意事项
在遵从最终规则时，受管实体和其他利益相关者应：更新HIPAA政策与程序、NPP及业务伙伴协议。

受管实体还必须在其网站上发布更新的NPP。起草证明。考虑是否应该在所有PHI请求中完成证明，而不仅限于那些可能涉及RHI的请求。生殖健康护理往往与患者的一般医疗记录密不可分。理解受保护数据的范围。最终规则并未全面禁止所有RHI披露，也未限制允许的PHI使用和披露。最终规则也未为个人设备上维护和存储的健康信息，如位置信息或患者自愿上传至应用的信息，提供隐私保护。

此外，最终规则不适用于不受HIPAA约束的实体。受管实体还应考虑各州特有的堕胎保护法律。例如，加利福尼亚禁止位于加利福尼亚的公司为堕胎调查相关的州外搜查令合作。重新培训员工。培训员工理解何时可向执法实体和其他官员提供有关RHI的信息。本文由位于德克萨斯州普莱诺的Spencer Fane律师事务所的律师Christine Chasse撰写。