《1996年美国健康保险便利与责任法案》：推动医疗服务可持续发展

(104次美国国会会议,104-191号公法)

旨在修订1986年的《国内税收法规》,以提高健康保险在集体与个人市场中的便利性与持续性,打击健康保险与医疗服务体系中的浪费、欺诈与滥用,促进医疗储蓄账户的利用,改善长期护理服务与覆盖范围的可用性以及精简健康保险的行政管理等。

由美国参议院与众议院在国会上通过实施。

副标题F——简化管理

第261节　目的

本副标题段落的目的是,通过为特定卫生信息的电子传输建立标准与要求来促进卫生信息体系的开发,从而提升《社会保障法》第XVIII篇下的医疗服务项目、第XIX篇下的医疗补助项目及医疗服务体系的效率与有效性。

第262节　简化管理

(a)概述——在XI篇(42 U.S.C.1301等)末尾增加补充内容。

第C部分—简化管理

定　义

第1171节　为了本章节起见：

(1)代码集——“代码集”是指任何用于数据元素编码的代码集合,比如术语表、医学概念、医学诊断代码或医学程序代码。

(2)医疗服务交换中心——“医疗服务交换中心”是指负责或帮助将有关卫生信息的非标准数据元素处理成为标准数据元素的公立或私立机构。

(3)医疗服务提供人——“医疗服务提供人”包括服务提供人(定义参见第1861(u)节)、医疗或其他健康服务提供人(定义参见第1861(s)节)及其他任何提供医疗服务或物资的人员。

(4)卫生信息——“卫生信息”是指下列信息,不管是口头的或以任何形式或介质记载的：

(A)医疗服务提供人、医疗计划、公共卫生主管部门、雇主、人寿公司、学校、高等院校或者医疗服务交换中心产生或接受的;

及

(B)内容是涉及个人曾经、现在或将来的身体或心理健康或状况、个人接受的医疗服务或者为个人获得医疗服务而曾经、现在或将来缴纳的费用。

(5)医疗计划——“医疗计划”是指提供或者支付医疗服务(该术语定义参见《公共卫生服务法》第2791节)成本的个人或集体计划。该术语包括下列内容：

(A)集体医疗计划(定义参见《公共卫生服务法》第2791(a)节),但仅限于该计划：

(i)拥有50名或以上参与者(定义参见1974年的《雇员退休收入保障法》第3(7)节);或

(ii)是由建立并维持该计划的雇主以外的机构管理的。

(B)健康保险发行人(定义参见《公共卫生服务法》第2791(b)节)。

(C)健康维护组织(定义参见《公共卫生服务法》第2791(b)节)。

(D)第XVIII篇下的医疗服务项目第A或B部分。

(E)第XIX篇下的医疗补助项目。

(F)医疗保险补助政策(定义参见第1882(g)(1)节)。

(G)长期护理政策,包括疗养院固定补偿政策(除非国务卿确定该政策不足以提供全面的福利覆盖,使得该政策应当视为一项医疗计划)。

(H)员工福利计划或旨在向2家或以上雇主的员工提供健康福利而建立或维持的任何其他安排。

(I)针对美国法典第10篇中的现役军事人员提供的医疗服务项目。

(J)美国法典第38篇第17章中的退伍军人医疗服务项目。

(K)美国法典第10篇第1072(4)节所定义中的军属健康与医疗项目(CHAMPUS)。

(L)《印第安人医疗服务促进法案》(25 U.S.C.1601等)中的印第安人医疗服务项目。

(M)美国法典第5篇第89节中的联邦雇员健康福利计划。

(6)个人相关卫生信息——“个人相关卫生信息”是指下列性质的任何信息,包括搜集自个人的人口统计信息：

(A)医疗服务提供人、医疗计划、雇主、医疗服务交换中心产生或接受的;及

(B)内容是涉及个人曾经、现在或将来的身体或心理健康或状况、个人接受的医疗服务或者为个人获得医疗服务而曾经、现在或将来缴纳的费用,并且：

(i)是与个人身份相关联的;或

(ii)存在合理依据可以断定这些信息可以用于获知个人的身份。

(7)标准——“标准”一词,在提及卫生信息的数据元素或第1173(a)(1)节中提及的事务处理时,是指满足国务卿就第1172节至第1174节中的数据元素或事务处理而采纳或建立的某一标准与执行规范要求的任何该类数据元素或事务处理。

(8)标准制定组织——“标准制定组织”是指经美国国家标准协会认证的标准制定组织,包括国

家药物处方委员会,这些组织开发了信息处理、数据元素所需的标准或者推进本部分实施所需的任何其他标准。

标准采用基本要求

第1172节(a)适用性——本部分中采用的任何标准应当整体或部分上适用于下列对象：

(1)健康计划。

(2)医疗服务交换中心。

(3)以电子形式传送同第1173(a)(1)节中所提及事务处理相关的卫生信息的医疗服务提供人。

(b)缩减成本——本部分采用的任何标准应当符合缩减提供与支付医疗服务所需管理成本的目标。

(c)标准制定组织的角色：

(1)概述——除非第(2)段中有规定,否则本部分采用的任何标准应当属于由标准制定组织编制、采用或修订的标准。

(2)特别条例：

(A)例外标准——国务卿可以采用标准制定组织所编制、采用或修订的标准以外的标准,前提是：

(i)与其所替代的标准相比,例外标准可以充分缩减医疗服务提供人与健康计划的管理成本;及

(ii)该标准是按照美国法典第5篇第5章第III小章的规则制定程序颁布的。

(B)标准制定组织无标准——倘若标准制定组织未曾编制、采用或修订同国务卿在本部分中有权或需要采用的标准相关的任何标准,那么：

(i)第(1)段不再适用;及

(ii)第(f)小节将适用。

(3)咨询要求：

(A)概述——本部分不会采用某一标准,除非：

(i)对于是由标准制定组织所编制、采用或修订的某一标准,标准制定组织在上述编制、采用或修订过程中咨询了第(B)段中的提及的各个组织;及

(ii)对于任何其他标准,国务卿,根据第(f)段的要求,在采用该标准前咨询了第(B)段中的提及的各个组织。

(B)提及组织——在上述(A)段中提及的组织包括：

(i)国家统一账单委员会。

(ii)国家统一诉求委员会。

(iii)电子数据交换工作组。

(iv)美国牙科协会。

(d)执行规范——国务卿应当建立本部分中所采用的各标准执行所需的规范。

(e)保护商业秘密——除非法律另有要求,本部分中采用的标准不得要求需要遵行本部分规定的人员披露商业秘密或商业机密资料。

(f)协助国务卿——在遵行本部分要求时,国务卿应当遵照根据《公共卫生服务法》(42 U.S.C.242k(k))第306(k)节所制定的国家人口与卫生统计委员会建议,并应当咨询相关的联邦与州立部门及私人组织。国务卿应当在《联邦公报》中发布国家人口与卫生统计委员会关于在本部分中采用某一标准的建议。

(g)适用于标准修订——本节应当适用于在第1174(b)节中所采用的标准的修订(包括标准内容增补),同样也适用于在第1174(a)节中所采用的初步标准。

信息处理与数据元素所用标准

第1173节(a)促成电子交换的标准：

(1)概述——国务卿应当采用事务处理及这些处理所需的数据元素的相关标准,以促成卫生信息通过电子媒介交流,这些标准适用于：

(A)第(2)段中所提及的财务与管理事务处理;及

(B)国务卿合理确定的同促进医疗服务体系运作及缩减管理成本的目标相一致的其他财务与管理事务处理。

(2)事务处理——第(1)(A)中所提及的事务处理是关于下列方面的：

(A)健康诉求或同等对应信息。

(B)健康诉求附件。

(C)在健康计划中登记或除名。(https://www.xing528.com)

(D)符合健康计划资格。

(E)医疗服务缴费与汇款意见。

(F)健康计划保险费缴纳。

(G)初步受伤报告。

(H)健康诉求状态。

(I)介绍证明与收取。

(3)适应特定提供人——国务卿在第(1)段中所采用的标准应当适应各类不同医疗服务提供人的需求。

(b)唯一健康标识符：

(1)概述——国务卿应当采用为个人、雇主、健康计划及医疗服务提供人使用医疗服务系统各自提供了唯一健康标识符的标准。在为各个健康计划与医疗服务提供人执行前述句子时,国务卿应当考虑到标识符的多次使用与多个地点以及医疗服务提供人的专业分类。

(2)标识符的使用——在第(1)段中的采用的标准应当规定唯一健康标识符的使用用途。

(c)代码集：

(1)概述——国务卿应当采用下列形式的标准：

(A)从私人与公共机构开发的代码集中选取适用于数据元素的代码集,以便实施第(a)(1)段中提及的事务处理;或

(B)如果不存在已开发的适合数据元素的代码集,则为这些数据元素编制代码集。

(2)传达——国务卿应当建立高效率、低成本的程序,来传达(包括电子传输)代码集及根据第1174(b)节对这些代码集所实施的修订。

(d)卫生信息安全标准：

(1)安全标准——国务卿应当采用下列性质的安全标准：

(A)标准考虑了：

(i)用于维护卫生信息的档案系统的技术能力;

(ii)安全措施的成本;

(iii)对接触卫生信息的人员执行培训的需求;

(iv)计算机化档案系统中查账索引的价值;及

(v)小型医疗服务提供人与农村医疗服务提供人(这些提供人由国务卿界定)的需求与能力;及

(B)标准可以确保,对于医疗服务交换中心,如果属于大型组织的一部分,应当拥有相应的方针与安全程序将医疗服务交换中心处理信息相关的活动单独隔离,防止该大型组织擅自接触这些信息。

(2)防护——第1172(a)节提到的维护或传达卫生信息的各个对象应当维持合理、妥善的行政、技术与物理防护措施：

(A)以确保信息的完整性与机密性;

(B)以预防可合理预测的：

(i)信息安全性或完整性方面的威胁或隐患;及

(ii)擅自使用或披露信息;及

(C)以确保这些对象的负责人与雇员遵守本部分的规定。

(e)电子签名：

(1)标准——国务卿,协同商务部长,应当采用相应标准,就第(a)(1)段提及的事务处理说明电子传达与签名认证的程序。

(2)合规效力——遵守第(1)段中采用的标准应当视为符合了联邦与州立法律关于第(a)(1)段提及的事务处理规定的书面签名的要求。

(f)健康计划之间转移信息——对于为了利益协调、按顺序处理诉求以及拥有多个健康计划的个人的其他数据元素所需在健康计划之间转移相关的标准数据元素,国务卿应当采用相应的标准。

标准实施时间表

第1174节(a)初步标准——国务卿应当在《1996年健康保险便利与责任法案》颁布日期后最迟18个月内执行第1173节的规定,但是同诉求附件相关的标准可以在该日期后最迟30个月内执行。

(b)标准增补与修订：

(1)概述——除非第(2)段中另有规定,否则国务卿应当评审第1173节中采用的标准,然后根据确定的合理内容,对标准实施修订(包括标准的增补内容),但频率不得超过12个月一次。对标准实施的任何增补或修订应当尽量减少合规性的中断与成本。

(2)特别条例：

(A)首个12个月期限——若不是涉及(B)段中规定的对代码集的增补与修订,国务卿不得在标准初次采用后的12个月内对标准实施本部分中规定的任何修订,除非国务卿确定执行修订是为了确保遵守标准所必需的。

(B)代码集的增补与修订：

(i)概述——国务卿应当确保具备关于代码集日常维护、测试、强化与扩展的相关程序。

(ii)补充规则——倘若根据本段规定修订代码集,修订后的代码集应当包括相应的指令,说明在修订之前就已编成代码的卫生信息数据元素可以如何转换或转译,以保留修订之前数据元素中就已存在的信息价值。本段中对代码集的修订在执行时应当尽量减少该修订合规性的中断与成本。

要求

第1175节(a)由计划执行的事务处理：

(1)概述——倘若某个人员希望同健康计划将第1173(a)(1)节提及的事务处理作为一项标准事务处理执行：

(A)健康计划不得拒绝将该事务处理作为一项标准事务处理执行;

(B)如果某些事务处理属于标准事务处理,保险计划不得推迟该项事务处理或者妨碍或企图妨碍上述人员或事务处理;及

(C)因事务处理传达与接收的信息应当是卫生信息标准数据元素的格式。

【注释】

[1]这些情形具体包括：(1)接收数据的第三方国家满足一定的数据保护水平;(2)告知数据主体相关信息并获得同意;(3)签订符合标准的数据转移合同,告知数据保护机构;(4)跨国公司制定符合标准的规则可以在公司内部转移;(5)欧美之间跨境数据转移应当符合安全港协议(目前已失效)。

[2]See KORUS FTA,Chapter Fifteenelectronic Commerce,April 27,2017.https：//ustr.gov/sites/default/files/uploads/agreements/fta/korus/asset_upload_file816_12714.pdf

[3]将在2018年生效的《一般数据保护条例》(GDPR)也继续沿用了这一标准。

[4]《欧盟一般数据保护条例》第47条.

[5]《欧盟一般数据保护条例》第63条.

[6]《欧盟一般数据保护条例》第46条.

[7]该法令即《俄罗斯联邦〈关于信息、信息技术和信息保护法〉修正案及个别互联网信息交流规范的修正案》。

[8]该法令即《就“进一步明确互联网个人数据处理规范”对俄罗斯联邦系列法律的修正案》。

[9]该规定指第八项澳大利亚个人隐私原则。

[10]该实体指澳大利亚隐私原则所规范的机构或个人。

[11]相关主体包括了系统运行者、登录在案的存储运行者、传输运行者或与其签订协议的服务提供者。

[12]微软公司认为,澳大利亚此法案限制了消费者选择澳大利亚之外的更加好的服务提供商,并可能由此损害澳大利亚人健康信息安全,“消费者应有权选择澳大利亚国境以外的供应商来控制他们个人电子健康信息,只要他们认为这些供应商能够提供给他们满足要求的服务”。

[13]Transborder data flow.http：//www．koreanlii.or.kr/w/index.php/Transborder_data_flow?ckattempt=1

[14]《金融公司信息处理与电算设备委托相关规定》韩文案文详见韩国法令信息中心网：http：//www．law.go.kr/。2013年规定韩文简介见www．fsc.go.kr/down Manager?bbsid=BBS0130&no=88022,英文简介见https：//www．fsc.go.kr/down Manager?bbsid=BBS0048&no=84515

[15]见韩国金融监督院官网：http：//www．fss.or.kr/fss/kr/main.html

[16]2015年规定的修订情况韩文见https：//www．fsc.go.kr/down Manager?bbsid=BBS0081&no=98127,英文见https：//www．fsc.go.kr/down Manager?bbsid=BBS0048&no=97045。有报道认为,2015年规定的修订放松了金融机构对云计算服务的使用,见http：//www．asiacloudcomputing.org/research/fsi2015/29-products/298-fsi2015-update

[17]参见《关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔2011〕17号)。

[18]参见《人口健康信息管理办法(试行)》(国卫规划发〔2014〕24号)。

[19]参见《网络出版服务管理规定》第八条。

[20]参见《网络预约出租汽车经营服务管理暂行办法》第二十七条。

[21]国务院.关于大力推进信息化发展和切实保障信息安全的若干意见(国发〔2012〕23号),2016年11月14日.http：//www．gov.cn/zwgk/2012-07/17/content_2184979.htm

[22]何波.如何保障“互联网+”时代网络数据安全.中国信息产业网,人民邮电报社,2016年3月7日.http：//www．cnii.com.cn/informatization/2016-03/07/content_1701228.htm

[23]何波.英国新数据保护法案介绍与分析.CAICT互联网法律研究中心,2017年8月11日.

[24]吴沈括.数据跨境流动与数据主权研究.新疆师范大学学报(哲学社会科学版),2016,37(5).邓志松,戴健民.限制数据跨境传输的国际冲突与协调.个人信息与数据保护实务评论,2017.

[25]程卫东.跨境数据流动的法律监管.政治与法律,1998(3)：71.

[26]程卫东.跨境数据流动的法律监管.政治与法律,1998(3)：71.

[27]《网络安全法》施行前夕国家互联网信息办公室网络安全协调局负责人答记者问,2017年5月31日,见网信办官网：http：//www．cac.gov.cn/2017-05/31/c_1121062481.htm

[28]Ansip promises EU rules on data flows by autumn,2017-05-11,https：//www．euractiv.com/section/digital/news/ansip-promises-eu-rules-on-data-flows-by-autumn/