美國「2009年經濟復甦暨再投資法」大幅度修正HIPAA隱私權條款

　　2009年02月17日美國總統簽署通過「2009年經濟復甦暨再投資法」（America Recovery and Reinvestment Act, ARRA），將醫療產業列為重點發展項目之ㄧ，擬由政府預算進行醫療資訊科技化計畫，俾使電子病歷的傳輸與交換得兼顧效率及安全。而以規範醫療資訊安全為主的「醫療保險可攜及責任法」之隱私權條款（HIPAA, Privacy Rule），亦因此有重大修正。

　　其中，最主要的變革在於擴充HIPAA的責任主體，由原有的健康照護業者、健康計畫業者及健康照護資訊交換業者，擴充至凡因業務關係而可能接觸個人健康資訊的個人或業者，包含藥劑給付管理公司、代理人及保險業者等，這些機構或個人原本與醫療院所或病患間係依據契約關係進行責任規範，但被納入HIPAA的責任主體範圍後，則需依此負擔民、刑事責任。

　　而於加強資訊自主權部份，亦有數個重要變革如下：（一）責任主體之通知義務：依據新規定，資料未經授權被取得、使用或揭露，或有受侵害之虞時，責任主體應即早以適切管道通知資訊主體有關被害之情事，以防備後續可能發生的損害。（二）資訊主體之紀錄調閱權：以往資料保管單位得拒絕個人調閱健康資料運用紀錄之請求，有鑒於病歷電子化後，保存及揭露相關紀錄已不會造成過重負擔；依據新規定，資訊主體有權調閱近三年內個人健康資料被使用次數及目的等紀錄。（三）資訊主體資料揭露之拒絕權：以往責任主體得逕行提供個人醫療資訊作為治療、計費及照護相關目的之使用，無論資訊主體曾表達拒絕之意與否；依據新規定，資訊主體得禁止其向保險人揭露相關資訊，除非保險人已全額支付醫療費用。

　　以上HIPAA之新增規範，預計於2010年02月17日正式施行。

本文為「經濟部產業技術司科技專案成果」

相關連結

相關附件

America Recovery and Reinvestment Act [ pdf ]

※ 美國「2009年經濟復甦暨再投資法」大幅度修正HIPAA隱私權條款，資訊工業策進會科技法律研究所， https://stli.iii.org.tw/article-detail.aspx?d=3018&no=64&tp=1 （最後瀏覽日：2025/07/03）

引註此篇文章