1

楊智傑（2014），美國醫療資訊保護法規之初探：以 HIPAA/HITECH 之隱私規則

與資安規則為中心，軍法專刊，第 60 卷第 5 期，頁 79-116，2014 年 10 月。

美國醫療資訊保護法規之初探

以 HIPAA/HITECH 之隱私規則與資安規則為中心

楊智傑

摘要

我國個人資料保護法乃參考歐盟個人資料保護指令而制定或修改，但國內對

於美國的個人資料保護方式並不熟悉。本文之目的，在於研究美國聯邦對個人資

料保護方面立法之方式。美國目前並無統一的個人資料保護法，而是針對個別領

域制定個別的個資法。其中，在醫療資訊方面，1996 年的健康保險可攜式及責

任法（Health Insurance Portability and Accountability Act of 1996）授權美國健康人

類服務部，制定相關的行政命令。2003 年，其制定了隱私規則與資安規則。本

文介紹該二規則之重要內容。此外，2009 年時，美國又通過 HITECH 法，修正

了隱私規則，加強其執法力道。本文也將透過案例，說明美國醫療資訊保護立法

的缺陷，簡單比較與歐盟模式之不同。

關鍵字：醫療資訊隱私、1996 年健康保險可攜式與責任法、隱私規則、資

安規則、2009 年 HITECH 法

Abstract

The purpose of this article is to understand the contours of the most important of

the U.S. federal healthcare privacy statutes; the Health Insurance Portability and

Accountability Act of 1996, as amended; and regulations issued under it (collectively,

HIPAA).

To implement HIPAA, the U.S. Department of Health and Human Services

("HHS") published the "Standards for Privacy of Individually Identifiable Health

Information" (the "Privacy Rule") and the "Security Standards for the Protection of

Electronic Protected Health Information" (the "Security Rule"). Both the Privacy Rule

and the Security Rule include important compliance deadlines for entities subject to

HIPAA.

Finally, this article will use some representative cases to introduce the real

雲林科技大學科技法律所副教授。

本研究之完成，感謝中央健保署委託計畫（「我國及外國個資保護立法例中有關健康資料規範之

比較研究」）及科技部專題研究計畫（「巨量資料利用與隱私保障之權衡：以全民健保資料庫為中

心」（103-2420-H-224 -004 -））之資助。

2

enforcement of the privacy rule.

Keywords: HIPAA, privacy rule, security rule, health privacy, HITECH Act

內容

壹、前言........................................................................................................................ 3

貳、HIPAA 隱私規則 ................................................................................................... 4

一、該規則適用的範圍........................................................................................ 4

二、個人資訊權.................................................................................................... 7

（一）限制資訊使用.................................................................................... 7

（二）申請取得個人資料............................................................................ 7

（三）更正權................................................................................................ 9

（四）揭露資訊報表.................................................................................. 10

三、第一次提供服務前之告知.......................................................................... 10

四、利用前需得到同意...................................................................................... 11

（一）需要得到特別授權才可利用和揭露之情形.................................. 11

（二）利用前需告知並且給予同意與否之機會的情形.......................... 12

五、利用前不須得到同意.................................................................................. 12

（一）治療、支付、健康照顧運作前不須再為告知.............................. 12

（二）不須經過告知及同意即可利用和揭露的情形.............................. 13

（三）研究使用.......................................................................................... 15

六、資訊之特殊規定.......................................................................................... 17

（一）最小必要原則.................................................................................. 17

（二）去識別資訊（De-Identified Information） .................................... 18

（三）有限資料組...................................................................................... 20

七、機構內部要求.............................................................................................. 21

參、HIPAA 資安規則 ................................................................................................. 21

一、主要義務與彈性方法.................................................................................. 22

（一）主要義務.......................................................................................... 22

（二）彈性方法（flexibility of approach） .............................................. 23

二、行政保障（Administrative Safeguards） ................................................... 23

（一）資訊管理程序（Security Management Process） ......................... 23

（二）指定一資安官（必要性）.............................................................. 24

（三）內部單位資安原則.......................................................................... 24

（四）資訊接觸管理原則.......................................................................... 25

3

（五）資安警覺和訓練.............................................................................. 25

（六）資安事件程序（必要性）.............................................................. 25

（七）應變計畫.......................................................................................... 26

（八）評估.................................................................................................. 26

（九）商業伙伴協議.................................................................................. 26

三、物理空間保障（Physical Safeguards） ..................................................... 27

（一）設施接觸管制.................................................................................. 27

（二）工作站使用...................................................................................... 28

（三）工作站資安...................................................................................... 28

（四）設備和媒體管控.............................................................................. 28

四、科技保障（Technical Safeguards） ........................................................... 29

（一）接觸管制.......................................................................................... 29

（二）監視控制.......................................................................................... 29

（三）完整性.............................................................................................. 29

（四）個人和機構認證.............................................................................. 29

（五）傳輸資安.......................................................................................... 30

五、文件保存要求.............................................................................................. 30

肆、HIPAA 之執法 ..................................................................................................... 30

一、違反本法之處罰.......................................................................................... 30

二、聯邦與州法之衝突...................................................................................... 31

三、2009 年 HITECH 修正 ................................................................................ 31

（一）增加執法力道.................................................................................. 32

（二）違反規定之通知（Breach notification） ....................................... 32

（三）對商業伙伴加重要求...................................................................... 33

（四）增加行為義務.................................................................................. 34

四、HIPPA 執法實例：販售藥房處方簽 ......................................................... 35

（一）銷售去病患連結之處方簽資料...................................................... 35

（二）HIPAA 的限制 ................................................................................. 35

伍、美國個資保護之基本模式－－代結論.............................................................. 37

壹、前言

2001 年 4 月 14 日，布希總統簽署了「個人可辨識健康資訊隱私標準」

（Standards for Privacy of Individually Identifiable Health Information）。這個行政

命令是由國會通過的「一九九六年健康保險可攜性和責任法」（Health Insurance

Portability and Accountability Act of 1996 (簡稱 HIPAA)）的授權而制定的，而該

4

法的主管機關則是「健康人類服務部」（U.S. Department of Health and Human

Services ，簡稱 HHS）。所謂的個人可辨識健康資訊，就是可以辨識出個人身分

的健康資訊，也稱為「受保護的健康資訊」（protected health information）。

在 1996 年通過的 HIPAA 中，國會自己立下時限，其必須在 1999 年 8 月 21

日以前通過資訊保護立法，結果卻未能通過，只好由「健康人類服務部」的部長

自行發布行政命令，健康人類服務部因而制定了「個人可辨識健康資訊隱私標準」

(Standards for Privacy of Individually Identifiable Health Information)，簡稱隱私規

則（Privacy Rule），以及保護電子受保護健康資訊之資安標準（Security Standards

for the Protection of Electronic Protected Health Information），簡稱資安規則

（Security Rule）。此二規則後來編入美國聯邦行政法典第 45 本之 160 和 164 章

（part），其中 164 章的 A、E 二節（subpart）是隱私規則，尤其第 E 節（164.501-530

條）是隱私規則行為規範的主要部分，而第 C 節（164.302-318 條）則是資安規

則。隱私規則主要於 2003 年的 4 月 12 日開始生效；資安規則主要於 2005 年 4

月 20 日生效。

2009 年，美國國會又通過「美國恢復與再投資法」（American Recovery and

Reinvestment Act of 2009 ），其中包含了一部份，稱為「經濟和臨床健康之健康

資訊科技法」（Health Information Technology for Economic and Clinical Health Act），

簡稱為 HITECH 法。HITECH 部分修改了 1996 年的 HIPAA 法，尤其是加重違法

的處罰，並新增了出現違反行為的通知程序。

事實上，美國的個資保護法令，並非只有聯邦的 HIPAA 相關法令，還有各

州法令，或者其他部門的隱私保護法令。但本文由於能力與篇幅所限，僅能先研

究 HIPAA 相關法令，作為美國醫療資訊保護法規之代表，進行研究。

以下第貳部分，介紹 HIPAA 下之隱私規則，第參部分，介紹 HIPAA 下之資

安規則，第肆部分，則討論 HIPAA 執法的各個面向問題，包括一、處罰的規定，

二、聯邦與州法的關係，三、2009 年 HITECH 增訂之條文，四、以一個案說明

HIPAA 執法之侷限。第伍部分則為結論。

貳、HIPAA 隱私規則

以下簡介 HIPAA 下隱私規則之重點內容：

一、該規則適用的範圍

1.受保護的健康資訊（protected health information，簡稱 PHI）

該規則先定義了何謂「健康資訊」（health information），乃指：「任何資訊、

包含遺傳資訊（genetic information），不論是口頭或記錄在任何形式或媒介的資

訊，其：(1) 是由健康照顧提供者、健康計畫、公共健康主管機關、雇主、壽險

業者、學校或大學、或健康照顧中心所創造或收到的（created or received）資訊；

且該資訊(2) 與個人過去、現在、未來的身理或心理健康或情況有關；對個人所

5

提供的健康照顧有關；或與提供給個人之過去、現在、未來之健康照顧的帳單

（payment）有關1。」

至於所謂的受保護的健康資訊（protected health information），則定義為「個

人可識別健康資訊」（identifiable health information）。例如，任何可以辨識出該

人身分特徵資訊，包括姓名、社會安全號碼、駕照號碼、指紋和「基因連結」（genetic

link）等，都算是受保護之健康資訊。原則上包括 (i) 以電子媒介傳輸的

（Transmitted）；(ii) 保存（Maintained）在電子媒介中；或(iii)以任何形式或媒介

傳輸或保存的2。不過學者認為，此一部分稍有爭議，因為 HIPAA 並未明確授權

給「健康和人類服務部」保護電子形式以外的資料3。

2.被涵蓋的機構

該規則規範的對象，就是所謂的「被涵蓋的機構」（covered entity），包括健

康計畫（a health plan）、健康照顧清算中心（a health care clearinghouse）和以電

子形式傳輸任何與該規則所涵蓋交易有關之健康資訊的健康照提供者（a health

care provider who transmits any health information in electronic form in connection

with a transaction covered by this subchapter）4。

所謂的健康計畫，乃指提供醫療照顧或支付其成本的個別或群體的計畫，包

括民營的（例如健康保險公司）和公營的保險計畫（例如 Madicaid、Medicare）。

不過，在健康計畫的定義中，則明文排除人壽保險公司、勞工賠償保險公司等常

常會接觸「受保護健康資訊」的人5。

而健康照顧提供者，則是指有連結到電子醫療資訊的醫師和醫院。上述的「健

康照顧提供者」，限縮在以電子形式傳輸健康資訊的健康照顧提供者，例如，對

於以電子形式開出帳單給 Medicare 和 Medicaid 索取保費者的健康照顧提供者，

方被此隱私規則所涵蓋。但只要該健康照顧提供者有從事此種行為，則所有的受

1 45 C.F.R. § 160.103. (“Health information means any information, including genetic information,

whether oral or recorded in any form or medium, that:

(1) Is created or received by a health care provider, health plan, public health authority, employer, life

insurer, school or university, or health care clearinghouse; and

(2) Relates to the past, present, or future physical or mental health or condition of an individual; the

provision of health care to an individual; or the past, present, or future payment for the provision of

health care to an individual.”) 2 45 C.F.R. § 160.103. (“Protected health information means individually identifiable health

information:

(1) Except as provided in paragraph (2) of this definition, that is:

(i) Transmitted by electronic media;

(ii) Maintained in electronic media; or

(iii) Transmitted or maintained in any other form or medium.”) 3 HIPPA 第 264 條。

4 45 C.F.R. § 160.102(a). (“(a) Except as otherwise provided, the standards, requirements, and

implementation specifications adopted under this subchapter apply to the following entities:

(1) A health plan.

(2) A health care clearinghouse.

(3) A health care provider who transmits any health information in electronic form in connection with

a transac-tion covered by this subchapter.”) 5 45 C.F.R. § 160.103.

6

保護健康資訊，不論口頭或紙本的通訊或記錄，都適用該規則6。

而所謂的健康照顧清算中心，則是指任何下述機構：「(1) 將從另一機構那

收來的非標準化形式的健康資訊，或包含非標準化資料內容的健康資訊，處理或

協助處理成標準化的資料元素或標準交易；或是(2)從另一機構那收到標準交易，

並且將該健康資訊處理成或協助處理成非標準化的形式，或非標準化的資料內容，

提供給收取的機構。7」例如，帳單服務業者就是此處所謂的健康照顧清算中心。

3.商業伙伴（Business Associates）

在醫療照顧環境中，被涵蓋機構不可能由自己執行所有的活動和功能，有時

候也會交由外部的機構，提供服務給被涵蓋機構，或者代表被涵蓋機構。這種被

涵蓋機構所委託的第三者，在隱私規則中稱為「商業伙伴」（business associates）。

所謂的商業伙伴，其可分為二種：(i) 代表一被涵蓋機構，或代表一個被涵蓋機

構參與的醫療照顧組織，但其並非被涵蓋機構或此組織的內部單位，而創造、接

受、保管或傳輸該規則中的受保護健康資訊，包括帳單的處理、管理、資料分析、

處理或管理、利用審查、品質保證…等。(ii) 在並非被涵蓋機構的內部單位，而

像被涵蓋機構或被涵蓋機構參與的醫療照顧組織提供法律、會計、顧問、資料整

理、管理、行政、認證或金融服務的人，且其所提供的服務會涉及從被涵蓋機構

或被涵蓋機構的商業伙伴那取得的受保護健康資訊之揭露8。

為了確保被涵蓋機構不會將治療、支付、健康照顧的功能委託外部第三人處

理而逃脫隱私規則的適用，該規則規定，在委託商業伙伴時，必須得到「滿意保

證」（satisfactory assurance），亦即商業伙伴會適當地保護其代表受涵蓋機構所取

6 Diane Kutzko, Gilda L. Boyer, Deborah J. Thoman & Nicholas L. Scott, HIPPA in Real Time:

Practical Implications of the Federal Privacy Rule, 51 Drake L. Rev. 403, 412(2003). 7 45 C.F.R. § 160.103. (“Health care clearinghouse means a public or private entity, including a billing

service, repricing company, community health management information system or community health

information system, and "value-added" networks and switches, that does either of the following

functions:

(1) Processes or facilitates the processing of health information received from another entity in a

nonstandard format or containing nonstandard data content into standard data elements or a standard

transaction.

(2) Receives a standard transaction from another entity and processes or facilitates the processing of

health information into nonstandard format or nonstandard data content for the receiving entity.) 8 45 C.F.R. §§ 160.103. (“Business associate: (1) Except as provided in paragraph (4) of this definition,

business associate means, with respect to a covered entity, a person who:

(i) On behalf of such covered entity or of an organized health care arrangement (as defined in this

section) in which the covered entity participates, but other than in the capacity of a member of the

workforce of such covered entity or arrangement, creates, receives, maintains, or transmits protected

health information for a function or activity regulated by this subchapter, including claims processing

or administration, data analysis, processing or administration, utilization review, quality assurance,

patient safety activities listed at 42 CFR 3.20, billing, benefit management, practice management, and

repricing; or

(ii) Provides, other than in the capacity of a member of the workforce of such covered entity, legal,

actuarial, ac-counting, consulting, data aggregation (as defined in § 164.501 of this subchapter),

management, administrative, ac-creditation, or financial services to or for such covered entity, or to or

for an organized health care arrangement in which the covered entity participates, where the provision

of the service involves the disclosure of protected health information from such covered entity or

arrangement, or from another business associate of such covered entity or arrangement, to the person.”)

7

得或創造的受保護健康資訊。而商業伙伴或要再將其任務再委任給第四人，亦需

從第四人處取得此滿意保證9。此一滿意保證必須以書面方式在「商業伙伴協議」

中明訂10。雖然此一規定只是在契約中要求商業伙伴對受保護健康資訊做適當地

保護，但實質上該規則對於該商業伙伴協議的內容，卻詳細列出了具體的要求11，

亦即要求商業伙伴必須滿足該規則的要求12。

被涵蓋機構對於商業伙伴的監督責任，在於，如果被涵蓋機構知道商業伙伴

有實質違反（material breach or violation）其在契約下的義務時，被涵蓋機構應採

取合理步驟去解決或阻止該違約情形，如果無法阻止或解決，則在可行情況下應

終止該契約13。因此，雖然「健康和人類服務部」在管轄範圍上管不到律師和會

計師14，但是他們透過此方式，可以管被涵蓋機構，如果他們知道自己的商業代

理人有洩漏「受保護健康資訊」，而不加以制止，可以處罰被涵蓋機構。

二、個人資訊權

該規則賦予個人資訊權。

（一）限制資訊使用

個人可以要求被涵蓋機構對受保護健康資訊提供隱私保護，要求被涵蓋機構，

對於在治療、支付或健康照顧運作用途上，限制對其健康資訊的使用或揭露15。

對於此一要求，被涵蓋機關原則上並沒有接受的義務16。但若接受該要求，被涵

蓋機構的後續使用則需受到自我限制。

（二）申請取得個人資料

個人可以要求取得（access）被涵蓋機構所掌有的個人的受保護健康資訊17。

所謂的取得，包括在現場閱覽（inspection）和複製（obtain a copy）18。當個人

提出申請時，被涵蓋機構必須在 30 日內回覆19，但若來不及提供，則必須說明

理由，最慢在 60 日內提供20。如果個人事先同意，被涵蓋機構可以只提供受保

9 45 C.F.R. § 164.502(e)(1).

10 45 C.F.R. § 164.502(e)(2).

11 45 C.F.R. § 164.504(e)(2).

12 Diane Kutzko, Gilda L. Boyer, Deborah J. Thoman & Nicholas L. Scott, HIPPA in Real Time:

Practical Implications of the Federal Privacy Rule, 51 Drake L. Rev. 403, 416(2003). 13

45 C.F.R. § 164.504(e)(1)(ii). 14

Diane Kutzko, Gilda L. Boyer, Deborah J. Thoman & Nicholas L. Scott, HIPPA in Real Time:

Practical Implications of the Federal Privacy Rule, 51 Drake L. Rev. 403, 417(2003). 15

45 C.F.R. § 164.522(a)(1)(i). 16

45 C.F.R. § 164.522(a)(1)(ii). 17

45 C.F.R. § 164.524. 18

45 C.F.R. §164.524(c)(1). 19

45 C.F.R. § 164.524(b)(2)(i). 20

45 C.F.R. § 164.524(b)(2)(ii).

8

護健康資訊的摘要，而不提供所有原始文件21。

雖然個人有權閱覽複製個人健康資訊，但該規則仍規定了例外情況，被涵蓋

機構可以拒絕個人所提出之申請。其進一步將拒絕閱覽的情況，區分為不可申覆

（unreviewable grounds for denial）22和可以申覆（reviewable grounds for denial）

二者23。

在不可申覆這類，規定了矯正機構可以因為怕犯人取得自己的健康資訊後，

會危害自己或其他犯人的健康、安全、保安、監管或復原，而拒絕其申請24。或

者，如果一受試者同意加入某一醫學研究，在研究中接受治療，且在加入研究前

已經同意，在研究尚未結束前不可申請取得其個人資訊，則健康照顧提供者可以

在研究尚未結束前，暫時拒絕提供其個人資訊25。另外，若所申請之資訊，是從

健康照顧提供者以外之第三人處取得，且基於保密要求，若揭露該資訊會透過來

源身分，亦可拒絕26。

在可申覆這類，健康照顧提供者可出於其專業判斷，若病患接觸其資訊可能

會傷害自己或他人的生命或身體，而拒絕其申請27。或者，若所申請資訊中包含

其他人之資訊，而健康照顧提供者在專業判斷後，認為本人取得資訊有合理可能

會對該第三人造成實質傷害，而可拒絕其申請28。

最後，若被涵蓋機構拒絕個人所提出之申請，其也規定了拒絕通知的程序。

該拒絕通知必須以書面，且以通俗語言為之。其需解釋拒絕之理由、對此決定之

救濟管道，以及向被涵蓋機構申訴之方法29。縱使所申請資訊的一部份因為有上

述理由可以拒絕，但被涵蓋機構應該將該無法提供之資訊切除後，盡可能地提供

其他可提供之資訊30。如果個人向被涵蓋機構提出申訴，被涵蓋機構應該指定一

被認證之健康照顧專家，且其並未參與最初之決定者，作出申訴決定31。

不過，此處需說明，在受保護健康資訊外，另外有一個「指定記錄組」

（designated record set）的概念，其定義為：由被涵蓋機構管理或提供給被涵蓋

機構的一組醫療記錄：(i) 被涵蓋健康照顧提供者所保管、或提供給健康照顧提

供者的有關個人的醫療紀錄或帳單紀錄；(ii) 健康計畫所保管或提供給健康計畫

的登記、支付、請款決定、案件和醫療管理記錄系統；或 (iii)被涵蓋機構在作出

與個人有關決策時所使用的全部或一部之紀錄32。而特別要強調的是，指定記錄

21

45 C.F.R. §164.524(c)(2)(iii). 22

45 C.F.R. § 164.524(a)(2). 23

45 C.F.R. § 164.524(a)(3). 24

45 C.F.R. § 164.524(a)(2)(ii). 25

45 C.F.R. §164.524(a)(2)(iii). 26

45 C.F.R. § 164.524(a)(2)(v). 27

45 C.F.R. § 164.524(a)(3)(i). 28

45 C.F.R. § 164.524(a)(3)(ii). 29

45 C.F.R. §164.524(d)(2). 30

45 C.F.R. §164.524(d)(1). 31

45 C.F.R. §164.524(d)(4). 32

45 C.F.R. § 164.501. (“Designated record set means:

(1) A group of records maintained by or for a covered entity that is:

(i) The medical records and billing records about individuals maintained by or for a covered health

care provider;

9

組並不等同於全部的醫療記錄。例如，其可能包含放射學報告，但並不包含真正

的診斷檔案33。上述個人雖然有權可以要求閱覽複製和修改個人受保護健康資訊，

但是其可要求的範圍，並不包含全部的受保護健康資訊，而只及於被涵蓋機構認

為屬於「指定記錄組」中的資訊。此外，隱私規則也明文規定某些記錄不必放入

指定記錄組，包括心理診斷筆記、為法律訴訟所準備的資訊等34。

（三）更正權

個人可以要求被保護機構修改其錯誤的受保護健康資訊35。其規定：「個人

有權要求修正指定紀錄組中與個人有關的受保護健康資訊，只要該受保護健康資

訊保存在該指定紀錄組中。36」被涵蓋機構必須設計相關政策和程序，接受個人

之要求，並且在個人提出要求後的 60 日內回覆37，若無法在 60 日內回覆，可再

延長 30 日38。

如果被涵蓋機構同意該更正，其必須以下述方式修正：(a)在指定記錄組中

標示（identify）出被修正的紀錄，且(b)以附件或連結方式附上該修正39。並且應

該即時通知該個人40。一被涵蓋機構修正其資訊後，通知另一掌有或取得該資訊

的被涵蓋機構，則另一被涵蓋機構也應以相同方式更正其保存之資訊41。

但此一權利並非絕對，被涵蓋機構在下述情況下，可拒絕個人所要求的修正，

包括：(1)該記錄並非指定記錄組中的一部份；(2)該資訊是正確且完整的；或 (3)

該資訊並非由被涵蓋機構所生產，除非有理由相信無法找到生產該資訊的原始者

來更正該資訊42。如果被涵蓋機構拒絕其更正請求，須以書面方式告知個人其理

由43，並告知可提出異議及其程序44。被涵蓋機構可提出答辯書（rebuttal statement）45。被涵蓋機構必須以適當方式，將指定記錄組中的系爭的修改資訊加以標記，

並將當事人之請求、被涵蓋機構之拒絕、當事人之異議、被涵蓋機構之答辯等，

列為附件或以適當方式「連結」46。

(ii) The enrollment, payment, claims adjudication, and case or medical management record systems

maintained by or for a health plan; or

(iii) Used, in whole or in part, by or for the covered entity to make decisions about individuals.”) 33

Diane Kutzko, Gilda L. Boyer, Deborah J. Thoman & Nicholas L. Scott, HIPPA in Real Time:

Practical Implications of the Federal Privacy Rule, 51 Drake L. Rev. 403, 419(2003). 34

45 C.F.R. § 164.524(a)(1). 35

45 C.F.R. § 164.526. 36

45 C.F.R. § 164.526(a)(1). 37

45 C.F.R. § 164.526(b)(2) (i). 38

45 C.F.R. §164.526(b)(2)(ii) 39

45 C.F.R. §164.526(c)(1). 40

45 C.F.R. §164.526(c)(2). 41

45 C.F.R. §164.526(e). 42

45 C.F.R. § 164.526(a)(2). 43

45 C.F.R. § 164.526(d)(1)(i) 44

45 C.F.R. § 164.526(d)(1)(ii). 45

45 C.F.R. § 164.526(d)(3). 46

45 C.F.R. § 164.526(d)(4).

10

（四）揭露資訊報表

個人可以要求被涵蓋機構將六年內個人受保護健康資訊揭露的情況製作報

表（accounting）47。該規則並沒有限制病患提出此要求的次數，但只有第一次提

出申請是免費的，之後提出申請則可對之收費48。但為了避免報表的內容過多，

造成被涵蓋機關的行政負擔，對於為了治療、支付、健康照顧運作而為的揭露，

並不需要列於報表中49。另外，需得到個人特別授權的揭露50，或者根據 164.510

條事前告知過個人的利用或揭露（包括製作機構內的索引、告知家人、為了通知

家人等）51，也不須列入報表。此報表中，須包括取得該資訊之人或機構的姓名、

地址（若有）、取得日期、該揭露資訊的摘要，以及揭露目的之摘要（需可看出

其揭露之理由）52。

三、第一次提供服務前之告知

該規則規定，在使用和揭露「受保護健康資訊」前，必須曾經告知（notice）

本人。其在一般性規定中規定，病患有權得到書面告知，告知內容包括 1.被涵蓋

機構未來會對受保護健康資訊所做的使用和揭露方式，2.個人的權利，3.被涵蓋

機構對受保護健康資訊所負的法律責任53。該告知必須以簡明的文字書寫、告知

「受保護健康資訊」會被用在哪些地方、告知個人可以要求被涵蓋機構限制其使

用範圍（不過被涵蓋機構沒有義務接受）。該告知必須以通俗用語為之，避免使

用過度深奧的法律用語而讓個人無法理解54。其告知中，應包含若發生違法情形，

個人可向被涵蓋機構或健康人類部長提起申訴之說明55。另外，該規則也規定，

若以電子形式告知，必須符合的程序。例如，若被涵蓋機構想透過 e-mail 告知，

必須先得到個人同意。且若被涵蓋機構知道該 e-mail 傳輸失敗，必須再提供紙本56。如果所提供的健康服務，第一次提供時是以電子形式為之，那麼電子的告知

必須自動且同時為之57。如果被涵蓋機構有架設網站，介紹關於其福利和服務之

資訊，則必須將該告知張貼於網站並公告58。，

該規則更具體地對於告知內容為明確規定，且對健康計畫和健康照顧提供者

二種類型規定不同的具體告知內容59。健康照顧提供者，對病患提供任何照顧或

47

45 C.F.R. § 164.528. 48

45 C.F.R. § 164.528(c)(2). 49

45 C.F.R. § 164.528(a)(1)(i). 50

45 C.F.R. § 164.528(a)(1)(iv). 51

45 C.F.R. § 164.528(a)(1)(v). 52

45 C.F.R. §164.528(b)(2)(i)-(iv). 53

45 C.F.R. § 164.520(a)(1). 54

45 C.F.R. § 164.520(b)(1). 55

45 C.F.R. § 164.520(b)(1)(vi). 56

45 C.F.R. §164.520(c)(3)(ii). 57

45 C.F.R. §164.520(c)(3)(iii). 58

45 C.F.R. §164.520(c)(3)(i). 59

45 C.F.R. § 164.520(c)(1)是針對健康計畫，520(c)(2)是針對健康照顧提供者。

11

治療前，或以任何方式處理帳單前，都應該先告知病患，並且將書面告知的回條

收回，或確認病患確實得到告知（acknowledge receipt）60。

不過，此一書面告知並不需要得到病患同意（consent）。原本該規則草案希

望設計為告知後需要得到同意，但後來在批評下，改採只要告知的要求，但同意

則是選擇性的61。

就算醫療機構選擇取得書面同意，但論者批評，一方面病人在接受治療前根

本不知道記錄裡會有什麼資訊就簽署同意書，他也不知道到底未來這些資訊會被

使用在哪些地方62。另外，健康服務提供者可以以病人的同意作為治療的條件，

造成實際上病人是被迫同意的63。

四、利用前需得到同意

（一）需要得到特別授權才可利用和揭露之情形

受保護健康資訊在上述所介紹之情況下的利用與揭露，均可免於得到事前同

意，但是該規則於 164.508 條中，則明確要求，在三種情形中，在任何的利用或

揭露前，一定要得到個別的事前同意，而其所使用之字眼為特別授權

（authorization）。其規定在下述三種情況，一定要得到特別授權：

1.心理診斷筆記之使用（Psychotherapy notes）64

2.行銷用途（marketing）

被涵蓋機構若為了行銷目的而利用或揭露受保護健康資訊時，一定要得到個

人的特別授權。但是下述二種情形不在此限：(1) 被涵蓋機構對個人做面對面的

行銷；或(2)被涵蓋機構提供價值不高的促銷禮物65。

3.販售受保護健康資訊

被涵蓋機構若要販售受保護健康資訊，一定要得到個人事前授權66。

而此一特別授權若想有效成立，必須符合該規定之要求。該特別授權必須以

書面方式為之，且內容應以通俗語言為之67。其必須在過程中，滿足下列條件：

1.其必須明確描述欲利用和揭露的資訊，以明確且有意義的方式來界定該資訊68。

2.其必須說明可能會利用或揭露該資訊的具體人名或具體機構名稱69。3. 解釋該

60

45 C.F.R. § 164.520(c)(2)(i)-(ii). 61

Diane Kutzko, Gilda L. Boyer, Deborah J. Thoman & Nicholas L. Scott, HIPPA in Real Time:

Practical Implications of the Federal Privacy Rule, 51 Drake L. Rev. 403, 420-21(2003). 62

See Lawrence O. Gostin, James G. Hodge, Jr. & Mira S. Burghardt, Balancing Communal Goods

and Personal Privacy Under a National Health Informational Privacy Rule, 46 St. Louis L.J. 5, 22

(2002). 63

Id. 64

45 C.F.R. § 164.508(a)(2). 65

45 C.F.R. § 164.508(a)(3)(i). 66

45 C.F.R. § 164.508(a)(4). 67

45 C.F.R. § 164.508(c)(3). 68

45 C.F.R. § 164.508(c)(1)(i). 69

45 C.F.R. § 164.508(c)(1)(iii).

12

請求提供之目的70。4.明確告知，其不簽署特別授權，在治療、健康計畫資格上

並不會受到不利對待，但若在某些法律允許情況下，因不簽署授權將會無法得到

特殊治療，其也必須告知71。5.告知授權結束之具體日期或特定事件72。6.告知個

人有權以書面撤回其特別授權，並告知其例外無法撤回之事由73。

（二）利用前需告知並且給予同意與否之機會的情形

另一種類型，則是根據 164.510 條，在利用和揭露前，需要先告知個人，並

且給予其同意（agree）與不同意（objection）之機會。此一告知，以及同意或不

同意，均可以口頭方式為之74。且其只需要給予事前同意或不同意之機會，但不

必須要得到正式取得個人同意（consent）75。此種類型，主要有二種情況，一種

是被涵蓋機構為了製作機構內的索引而利用；另一種則是為了告知親密家人該病

人的情況。

對於告知家人的部分，其規定：(1) 被涵蓋機構，可以對病患之家人、其他

親戚、或親密友人、或任何個人指定之人，告知其直接與該個人之健康照顧或健

康照顧之支付有關的資訊76。(2)被涵蓋機構可為了通知、協助通知病患家人、該

人之代理人、或任何負責照顧該病患之人，告知病患所在地、一般情況或死亡與

否，而利用或揭露受保護健康資訊77。另外，若病人不在，或因為病人失能或緊

急情況而無法給予該病人同意或不同意的機會，被涵蓋機構可基於其專業判斷，

基於該病人之最佳利益，決定是否揭露該病人之照顧、或與健康照顧有關之支付、

或通知過程需要的各種受保護健康資訊78。

五、利用前不須得到同意

（一）治療、支付、健康照顧運作前不須再為告知

該規則規定，對受保護健康資訊的使用或揭露，只要是用於該規則所定義的

治療（treatment）、支付（payment）、健康照顧運作（health care operations），可

以（may）先取得病患同意79。但該同意並非強制性地，而是任意性地，亦即，

70

45 C.F.R. § 164.508(c)(1)(iv). 71

45 C.F.R. § 164.508(c)(2)(ii). 72

45 C.F.R. § 164.508(c)(1)( v). 73

45 C.F.R. § 164.508(c)(2)(i). 74

45 C.F.R. § 164.510. 75

Lawrence O. Gostin, James G. Hodge, Jr. & Mira S. Burghardt, Balancing Communal Goods and

Personal Privacy Under a National Health Informational Privacy Rule, 46 St. Louis L.J. 5, 26 (2002). 76

45 C.F.R. § 164.510(b)(1) (i). 77

45 C.F.R. § 164.510(b)(1) (ii). 78

45 C.F.R. § 164.510(b)(3). 79

45 C.F.R. § 164.506(b). (“(b) Standard: Consent for uses and disclosures permitted. (1) A covered

entity may obtain consent of the individual to use or disclose protected health information to carry out

treatment, payment, or health care operations.”)

13

只要出於此三項目的之使用，其實可免於得到同意而直接使用或揭露80。之所以

不需要在每一次治療前的資訊使用都需要在得到同意，是因為在現實情況中，很

多治療、健康照顧運作等，都需要及時處理，而無法一一取得個人同意。例如，

如果在使用資訊前要取得病患同意，那麼藥房都不能在電話中接到病人電話後，

在病人前往藥房的路程中，先填寫處方簽、判斷其是否適用、或確認保險給付範

圍等。又例如，在急診室中，如果都要先取得病患同意，則急診室的相關人員就

無法在短時間內使用病患過去的相關資訊81。

而具體的情境則是，過去美國的病人在診所看病後，若要轉診進入醫院，採

取「告知後同意」（informed consent）原則，必須得到病人同意，診所才能將病

例提供給醫院，保險公司也才能將保險支付範圍的資訊，提供給醫院。但在HIPAA

隱私規則適用後，在診所看完病的病人，並醫生安排進入醫院，一到醫院，就會

發現醫院已經取得所有與此病人有關的相關資訊，且均不須要得到病人事前同意。

因為，醫院向診所、保險公司索取這些資訊，均屬於為了治療之目的而要求的揭

露及使用82。

（二）不須經過告知及同意即可利用和揭露的情形

此外，該規則的 164.512 條中，亦明訂了許多例外，在其明訂的例外中，其

資訊之使用與揭露也不需要取得個人同意。其包括：

1.基於法律之要求之使用和揭露（Uses and disclosures required by law）83

2.為了公共健康活動之使用和揭露（Uses and disclosures for public health activity）

例如，公共健康主管機關為了避免或控制疾病、傷害或失能，而從事之疾病、

傷害和重大事件的報告、從事公共健康之監督、公共健康調查、公共健康介入、

或者在公共健康主管指示下，基於合作而對國外政府公共健康主管提供資訊84。

3.濫用、遺棄、家庭暴力受害者之通報（Disclosures for victims of abuse, neglect or

domestic violence）85

4.健康監督活動所需（Uses and disclosures for health oversight activities）

被涵蓋機構可以對健康監督機構揭露受保護健康資訊，該監督活動須有法律

授權，包括審計、民事調查、行政調查、刑事調查、檢查、核照或懲戒行動、民

80

45 C.F.R. § 164.506(a). 81

Diane Kutzko, Gilda L. Boyer, Deborah J. Thoman & Nicholas L. Scott, supra note, at 420-21. 82

Diane Kutzko, Gilda L. Boyer, Deborah J. Thoman & Nicholas L. Scott, supra note, at 454. 83

45 C.F.R. § 164.512(a). 84

45 C.F.R. § 164.512(b). (“(b) Standard: Uses and disclosures for public health activities. (1)

Permitted uses and disclosures. A covered entity may use or disclose protected health information for

the public health activities and purposes described in this para-graph to:

(i) A public health authority that is authorized by law to collect or receive such information for the

purpose of preventing or controlling disease, injury, or disability, including, but not limited to, the

reporting of disease, injury, vital events such as birth or death, and the conduct of public health

surveillance, public health investigations, and public health interventions; or, at the direction of a

public health authority, to an official of a foreign government agency that is acting in collaboration

with a public health authority;”) 85

45 C.F.R. § 164.512(c).

14

事程序、行政成刑事程序，或其他適當監督所必要的活動86。

5.司法和行政程序之揭露（Disclosures for judicial and administrative proceedings）

被涵蓋機構可以在司法和行政訴訟程序中揭露受保護健康資訊87。該條並未

清楚說明是何種情況可以在司法程序中揭露個人醫療隱私，但參考美國各州州法

和學者解讀，應該限於資訊個人並非訴訟當事人時，才能不經其同意在訴訟程序

上揭露其資訊，若資訊當事人為訴訟當事人一方，由於該資訊的揭露會影響其訴

訟之輸贏，其揭露當然要得到資訊當事人的明確同意88。

6.基於法律執行而揭露（Disclosures for law enforcement purposes）

政府執行法律有需要時，不需要得到個人的同意。甚至，為了發現犯罪真實，

可以不經法院的同意，就揭露相關人的資訊89。

7.對死亡者的資訊之使用與揭露（Uses and disclosures about decedents）

雖然隱私規則規定，人死後之資訊仍受保護，但基於驗屍、醫療檢查等目的，

亦可使用或揭露該資訊90。

8.為了死後器官捐贈之使用和揭露（Uses and disclosures for cadaveric organ, eye or

tissue donation purposes）91

9.基於研究目的而使用和揭露（Uses and disclosures for research purposes）92

10.避免嚴重健康安全危害之使用和揭露（Uses and disclosures to avert a serious

threat to health or safety）93

為了避免嚴重和急迫的健康安全危害，被涵蓋機構可以使用或揭露受保護健

康資訊。例如，通知配偶其先生有傳染病，或者因為商品有害而追蹤之。

11.為了特殊政府功能而使用和揭露（Uses and disclosures for specialized

government functions）

所謂特殊政府功能，包括為了軍隊、退伍軍人之活動，或為了國家安全或間

接活動，或為了保護總統等等特殊目的94。

12.為了勞工保險而揭露（Disclosures for workers' compensation.）95

對於 HIPAA 隱私規則下存在如此多的例外規定，顯見美國在衡量個人隱私

以及公共利益上，基本上還是很重視公共利益，很重視資訊的有用用途96。當然，

在美國亦有學者提出大力批評，認為 HIPAA 下之隱私規則，對個人隱私之保護

嚴重不足97。

86

45 C.F.R. § 164.512(d). 87

45 C.F.R. § 164.512(e). 88

Diane Kutzko, Gilda L. Boyer, Deborah J. Thoman & Nicholas L. Scott, HIPAA in Real Time:

Practical Implications of the Federal Privacy Rule, 51 Drake L. Rev. 403, 423(2003). 89

45 C.F.R. § 164.512(f). 90

45 C.F.R. § 164.512(g). 91

45 C.F.R. § 164.512(h). 92

45 C.F.R. § 164.512(i). 93

45 C.F.R. § 164.512(j). 94

45 C.F.R. § 164.512(k). 95

45 C.F.R. § 164.512(l). 96

Lawrence O. Gostin, James G. Hodge, Jr. & Mira S. Burghardt, supra note, at 28-29. 97

Mike Hatch, HIPAA: Commercial Interests Win Round Two, 86 Minn. L. Rev. 1481, 1492-93

(2002).

15

（三）研究使用

由於本研究之目的，主要集中於對健康資訊是否可為研究之利用。在

164.512(j)中，特別明文規定研究之例外。而其對於研究利用規範了許多細節，

故以下將具體的規定，逐段呈現，以更讀者更了解美國研究例外之情形。

其規定，被涵蓋機構基於研究之目的，若得到聯邦法規所設之機構審查委員

會（Institutional Review Board）之審查同意98，或者其他符合該規則所組成的隱

私委員會（privacy board）經其同意99，省略（waiver）特別授權之要求，則可使

用和揭露受保護健康資訊。

大部分聯邦贊助的人類研究計畫，都受到人體研究之聯邦法規，簡稱為共通

規則（Common Rule）100的規定管理，其設有一機構審查委員會（以下為與國內

用語相同，稱為倫理審查委員會），審查一計畫是否有「妥當地保護研究對象的

隱私」。不過，Common Rule 卻管不到私人贊助的研究計畫。但 HIPAA 下之隱私

規則，則將管理對象擴大至私人贊助的研究計畫。

164.512(j) (1)規定：「

(1)被涵蓋機構可以為了研究之目的而利用或揭露受保護健康資訊，不論研究

資金的來源為何，並符合下述情形之一：

(i)委員會批准省略特別授權。根據§ 164.508，在利用或揭露受保護健康

資訊時需要經過個人特別授權，而被涵蓋機構在得到下述委員會批准下，得到全

部或部分變更或省略特別授權的文件：

(A) 根據共同規則所建立的機構審查委員會建立（IRB）; 或

(B)一個隱私委員會，其：

(1) 由不同背景的委員所組成，其具有審查該研究計畫對個人隱私和

相關利益之影響所必要的適當專業能力。

(2)其中至少一個委員不隸屬於被被涵蓋機構，且不隸屬於與任何執行

或贊助該研究的機構，且與隸屬於這些機構的人員無利害關係；且

(3)參與該研究計畫審查之委員，若有利益衝突時應迴避。

(ii)研究準備之檢閱。被涵蓋機構取得研究者的下述聲明：

(A)所欲進行之利用或揭露，僅是為了準備研究計畫或類似準備研究之目

的，在必要範圍內檢閱受保護健康資訊；

(B)在檢閱的過程中，研究者不會從被涵蓋機構中，刪除任何受保護健康

資訊；且

(C)所申請利用和接觸的受保護健康資訊，是執行該研究目的所必要。

(iii) 研究死者的資訊。被涵蓋機構從研究者那取得下述文件：

98

45 C.F.R. § 164.512(i)(1)(i)(a). 99

45 C.F.R. § 164.512(i)(1)(i)(b). 100

See Federal Policy for the Protection of Human Subjects ('Common Rule'), U.S. Dep't Health &

Hum. Servs., http://www.hhs.gov/ohrp/humansubjects/commonrule/index.html (last visited 2012/12/7).

16

(A)一項聲明，其內容為，所尋求的利用或揭露僅是為了對死者的受保護

健康資訊進行研究；

(B)在被涵蓋機構要求下，出具此人死亡之證明文件；和

(C)一項聲明，其內容為，對受保護健康資訊所尋求之利用或揭露，對研

究目的來說是必要的。」

至於委員會在審查通過後，需要批准省略特別授權，164.512(j) (2)規範了此

一批准文件中應記載事件。但在應記載事項的內容中，也提到了批准此研究時應

該審查的項目。164.512(j) (2)規定：「

(2) 批准省略特別授權的文件。為了得到利用或揭露之許可，依本條第(i)項(1)(i)

而欲取得變更或省略之批准文件，該文件必須包含以下所有事項：

(i)批准主體以及批准日期。說明是哪一個 IRB 或隱私委員會批准變更或省

略特別授權，以及批准的日期；

(ii)省略之標準。說明 IRB 或隱私委員會判定，因滿足下述準則，而全部或

一部變更或省略特別授權：

(A)受保護健康資訊的利用或揭露，基於存在下列要素，對個人隱私危害

不超過最小風險：

(1) 一個適當計畫，保護識別資料不會被不當利用和揭露；

(2)一個適當的計畫，在研究過程中，盡早地刪除識別資料，除非因法

律要求，或因有保留該識別資料的健康上或研究上理由，才可保留該識別資料；

和

(3) 一適當的書面保證，保證不會再利用受保護健康資訊，亦不會向任

何人揭露；但若法律要求，或被授權對本研究進行檢查，或為了其他研究且本節

允許進行之利用揭露，不在此限。

(B) 若不撤銷或變更該特別授權要求則無法進行該研究；且

(C) 若不接觸並利用該受保護健康資訊，無法進行該研究。

(iii)所需要的受保護健康資訊。依據本條第(i)項(2)(ii)(C)，制度審查委員會

或隱私委員會認定必須利用或接觸的受保護健康資訊，進行簡述。

(iv) 審查和批准程序。說明，所為的特別授權的變更或省略，乃經由下述正

式或簡化的審查程序進行審查並批准：

(A) IRB 必須要求遵循共同規則中的規定，包括下述條文的正式審查程序

（略）;

(B)隱私委員會必須召開會議審查研究計畫，其中過半隱私委員會委員出

席，包括至少一名委員符合本條第(i)項(1)(i)(B)(2)的標準，而且變更或省略特別

授權必須要經出席委員過半數同意，除非隱私委員會依本條第(i)項(2)(iv)(C)選擇

利用簡化審查程序。

(C)如果研究對受保護健康資訊的主體而言的隱私危害，不超過最小風險

時，隱私委員會可以利用簡化審查程序。如果隱私委員會選擇使用簡化審查程序，

可由隱私委員會主席，或主席所指定之一位以上的委員，進行特別授權之變更或

17

省略的審查和批准；和

(v)所需之簽名。變更或省略特別授權的文件，必須經 IRB 或隱私委員會的

主席或其指定之委員所簽名。」

六、資訊之特殊規定

（一）最小必要原則

另外，該規則採取所謂「最小必要資訊」（Minimum Necessary Information），

亦即在揭露或使用時，只能為了達到使用目的而揭露最低的資訊量。其規定：「當

使用或揭露受保護健康資訊時，或向他人要求提供受保護健康資訊，或向另一受

涵蓋機構索取受保護健康資訊，一受涵蓋機構必須作出合理努力，限制該受保護

健康資訊是達到該使用、揭露、索取之目的的最小必要範圍。101」

此一最小必要標準，有例外規定，例外包括：(1)健康照顧提供者為了治療目

的所為之揭露或索取；(2)向個人揭露屬於他自己的資訊時；(3)根據個人的授權

而為之使用或揭露102。

一受涵蓋機構在內部使用受保護健康資訊時，其必須界定內部的工作人員，

哪些人在工作職務上需要接觸（access）該受保護健康資訊，且必須界定那些人

員所需要接觸的資訊類別，或者在何種情況下需要接觸那些資訊103。

若是外人日常性地索取資訊且需要對之揭露時，一受涵蓋機構必須執行政策和程

序，以確保所揭露的受保護健康資訊，是在合理必要的範圍104。若是其他非日常

性的索取與揭露，則受涵蓋實體必須發展出一協定，以「個案的方式」判斷所揭

101

45 C.F.R. § 164.502 (b). (“ Standard: Minimum necessary. (1) Minimum necessary applies. When

using or disclosing protected health in-formation or when requesting protected health information from

another covered entity or business associate, a covered entity or business associate must make

reasonable efforts to limit protected health information to the minimum necessary to accomplish the

intended purpose of the use, disclosure, or request.”) 102

45 C.F.R. § 164.502 (b)(2). (“(2) Minimum necessary does not apply. This requirement does not

apply to:

(i) Disclosures to or requests by a health care provider for treatment;

(ii) Uses or disclosures made to the individual, as permitted under paragraph (a)(1)(i) of this section or

as required by paragraph (a)(2)(i) of this section;

(iii) Uses or disclosures made pursuant to an authorization under § 164.508;…”) 103

45 C.F.R. § 164.514 (d)(2). (“(2) Implementation specifications: minimum necessary uses of

protected health information. (i) A covered entity must identify:

(A) Those persons or classes of persons, as appropriate, in its workforce who need access to protected

health in-formation to carry out their duties; and

(B) For each such person or class of persons, the category or categories of protected health

information to which access is needed and any conditions appropriate to such access.”) 104

45 C.F.R. § 164.514 (d)(3)( i). (“(3) Implementation specification: Minimum necessary disclosures

of protected health information. (i) For any type of disclosure that it makes on a routine and recurring

basis, a covered entity must implement policies and procedures (which may be standard protocols) that

limit the protected health information disclosed to the amount reasonably nec-essary to achieve the

purpose of the disclosure.”)

18

露的受保護健康資訊符合最小必要範圍105。

（二）去識別資訊（De-Identified Information）

HIPAA 隱私規則與人體研究之共通規則一樣，只規範「可識別個人之健康

資訊」（individually identifiable health information）106。因此，該規則並沒有禁止

受規範之機構（covered entities）107揭露去識別之資料給第三人，包括揭露給研

究者。

所謂的去識別資訊，包括無法識別出個別的健康資訊，且沒有合理理由相信

該資料可以被用來識別出個人，就屬於去連結的受保護健康資訊108。而具體的判

斷標準如下：(1) 一具有統計學與科學背景、且知道如何將資料去連結的專家認

定，該資訊被取得者得到後，將其單獨或與其他合理方法可取得的資訊結合，只

有非常小的風險，可以識別出該資訊所屬之個人，且(2)該專家提供他的書面分

析109。這個判准，被稱為 HIPAA 的資料分析標準（statistical standard）110。HIPAA

隱私規則中，也有另一種判斷資料是否去識別的安全港條款111，其規定若下述

18 種識別資料（identifiers）被移除，就可算是去識別資料：

105

45 C.F.R. § 164.514 (d)(3)( ii). (“(ii) For all other disclosures, a covered entity must:

(A) Develop criteria designed to limit the protected health information disclosed to the information

reasonably necessary to accomplish the purpose for which disclosure is sought; and

(B) Review requests for disclosure on an individual basis in accordance with such criteria.”) 106

45 C.F.R. § 160.103. (“Protected health information means individually identifiable health

information:

(1) Except as provided in paragraph (2) of this definition, that is:

(i) Transmitted by electronic media;

(ii) Maintained in electronic media; or

(iii) Transmitted or maintained in any other form or medium.

(2) Protected health information excludes individually identifiable health information in:

(i) Education records covered by the Family Educational Rights and Privacy Act, as amended, 20

U.S.C. 1232g;

(ii) Records described at 20 U.S.C. 1232g(a)(4)(B)(iv); and

(iii) Employment records held by a covered entity in its role as employer.”) 107

The HIPAA Privacy Rule applies to health plans, health care clearinghouses, health care providers

who transmit health information electronically for particular purposes (generally claims or benefits

activities), and their business associates. Id. §§160.102-160.103; 42 U.S.C. § 17931 (2006). 108

45 C.F.R. § 164.514(a) 109

45 C.F.R. § 164.514(b)(1). (“(b) Implementation specifications: requirements for de-identification

of protected health information. A covered entity may determine that health information is not

individually identifiable health information only if:

(1) A person with appropriate knowledge of and experience with generally accepted statistical and

scientific principles and methods for rendering information not individually identifiable:

(i) Applying such principles and methods, determines that the risk is very small that the information

could be used, alone or in combination with other reasonably available information, by an anticipated

recipient to identify an individual who is a subject of the information; and

(ii) Documents the methods and results of the analysis that justify such determination…”) 110

Paul Ohm, Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization,

57 UCLA L. Rev. 1701, 1737 (2010). 111

45 C.F.R. § 164.514(b)(2)(i). In addition, information will not be considered de-identified if an

entity has "actual knowledge that the information could be used alone or in combination with other

information to identify an individual who is a subject of the information." Id. § 164.514(b)(2)(ii).

19

(A) 姓名（Names）；

(B) 所有比州單位還要小的地理位置，包括街名、市、縣、選區、郵遞區號、

以及相對應的地理編號。但是，若根據人口統計局現存公開資料中的計算，符合

下述情況時，可公布其郵遞區號的前三碼（All geographic subdivisions smaller than

a State, including street address, city, county, precinct, zip code, and their equivalent

geocodes, except for the initial three digits of a zip code if, according to the current

publicly available data from the Bureau of the Census）：

(1) 該郵遞區號前三碼涵蓋的人口，超過二萬人（The geographic unit formed by

combining all zip codes with the same three initial digits contains more than 20,000

people）；且

(2) 若該郵遞區號前三碼所涵蓋人口為二萬以下，則需將前三碼改為 000（The

initial three digits of a zip code for all such geographic units containing 20,000 or

fewer people is changed to 000）；

(C) 所有與個人有直接連結的資料元素（除了年份），包括生日、入院日、出

院日、死亡日；及所有 89 歲以上人的年紀，以及所有可推算出此年紀之日期（包

括年），除非將這些年紀和元素，通通僅歸類於 90 歲以上者之單一類別（All

elements of dates (except year) for dates directly related to an individual, including

birth date, admission date, discharge date, date of death; and all ages over 89 and all

elements of dates (including year) indicative of such age, except that such ages and

elements may be aggregated into a single category of age 90 or older）；

(D)電話號碼（ Telephone numbers）；

(E)傳真號碼（Fax numbers）；

(F) 電子郵件信箱（Electronic mail addresses）；

(G) 社會安全號碼（Social security numbers）；

(H)醫療記錄編號（Medical record numbers）；

(I) 健康照顧計畫受益人編號（Health plan beneficiary numbers）；

(J) 帳戶號碼（Account numbers）；

(K) 證書號碼（Certificate/license numbers）；

(L) 車輛識別和序列編號，包括汽車牌照（Vehicle identifiers and serial numbers,

including license plate numbers）；

(M) 設備識別或序列編號（Device identifiers and serial numbers）；

(N) 網頁網址（Web Universal Resource Locators (URLs)）；

(O)通訊協定位置編號（Internet Protocol (IP) address numbers）；

20

(P) 生物識別，包括指紋和生紋（Biometric identifiers, including finger and voice

prints）；

(Q) 全臉照片或其他可比較影像（Full face photographic images and any

comparable images）；及

(R) 任何其他獨特可識別之號碼、特徵或編號（Any other unique identifying

number, characteristic, or code）。

此一去識別之要求，比起人體實驗之聯邦規則中的去識別要求，還要具體。

因此，二法比較之下，也許，某些資料移除後，可以符合人體實驗之共通規則之

要求，但卻不符合 HIPAA 隱私規則之要求112。

（三）有限資料組

HIPAA 隱私規則中，為了研究、公共健康、健康照顧運作之目的，還存在

另一例外。被涵蓋機構，可以揭露有限資料組（limited data sets）113，而不須要

病患同意，只要接受資料者，簽署一資料使用協議114，禁止重新辨識該資料之個

人身分。此一有限資料組要求刪除的 16 項資料115，比起前述安全港條款要求刪

除的 18 項資料，相比之下，要求較為寬鬆一些。其有三處修改。1.其不須要刪

除所有資料的元素，尤其是生日，是允許保留的；2.在地址方面，雖然要求刪除

地址，但可以保留市、州及郵遞區號。3.其也不要求刪除「其他任何獨特之辨識

資料」。

此外，HIPAA 隱私規則中，若為了研究之目的，則不保護死者的紀錄116。

此外，研究者也符合規範指引下，得到研究倫理審查委員會或隱私委員會之同意，

取得其他的例外情形117。

112

Sharona Hoffman and Andy Podgurski, Balancing Privacy, Autonomy, and Scientific Needs in

Electronic Health Records Research, 65 SMU L. Rev. 85, 96(2012). 113

45 C.F.R. § 164.514(e)(1). 114

45 C.F.R. § 164.514(e)(4).(“ (4) Implementation specifications: Data use agreement. -- (i)

Agreement required. A covered entity may use or disclose a limited data set under paragraph (e)(1) of

this section only if the covered entity obtains satisfactory assurance, in the form of a data use

agreement that meets the requirements of this section, that the limited data set recipient will only use or

disclose the protected health information for limited purposes.”) 115

45 C.F.R. § 164.514(e)(2). 116

45 C.F.R. § 164.512(i)(1)(iii). (“(i) Standard: Uses and disclosures for research purposes. (1)

Permitted uses and disclosures. A covered entity may use or disclose protected health information for

research, regardless of the source of funding of the research, provided that: …(iii) Research on

decedent's information. The covered entity obtains from the researcher:

(A) Representation that the use or disclosure sought is solely for research on the protected health

information of decedents;

(B) Documentation, at the request of the covered entity, of the death of such individuals; and

(C) Representation that the protected health information for which use or disclosure is sought is

necessary for the research purposes.”) 117

45 C.F.R. § 164.512(i)(1)(i)-(ii). (“(i) Board approval of a waiver of authorization. The covered

entity obtains documentation that an alteration to or waiver, in whole or in part, of the individual

authorization required by § 164.508 for use or disclosure of protected health information has been

approved by either:

21

七、機構內部要求

HIPAA 隱私規則也要求被涵蓋機構，要自行發展出相關的隱私和資安政策

（privacy and security policies），以避免隱私受到侵害，並讓消費者信賴健康照顧

系統118。被涵蓋機構必須執行其政策，以合理避免任何故意或無意的違反本規則

之原則、執行細則或其他要求的利用或揭露行為119。被涵蓋機構也應制定內部申

訴程序，讓人民可以對機構制定的政策，或政策的執行，提出申訴120。其也要求

機構必須對違反隱私政策或程序、或本規則其他要求的內部員工，施加適當的懲

處121。

被涵蓋機構不可以要求個人放棄本節所有權利，作為得到照顧、加入健康計

畫或獲得福利的條件122。若發生違反本規則的情況，被涵蓋機構應該在可能範圍

內盡量減輕（mitigation）任何已知的傷害123。

參、HIPAA 資安規則

所謂的資安規則（Security Rule），主要是規定受保護健康資訊儲存與使用的

資訊安全的規定。本規則所保障之資訊，乃電子受保護健康資訊（Electronic

Protected Health Information），其就是隱私規則下的受保護健康資訊，而以電子

形式儲存（maintained）或傳輸（transmitted）者。但所謂的電子形式傳輸，如果

(A) An Institutional Review Board (IRB), established in accordance with 7 CFR lc.107, 10 CFR

745.107, 14 CFR 1230.107, 15 CFR 27.107, 16 CFR 1028.107, 21 CFR 56.107, 22 CFR 225.107, 24

CFR 60.107, 28 CFR 46.107, 32 CFR 219.107, 34 CFR 97.107, 38 CFR 16.107, 40 CFR 26.107, 45

CFR 46.107, 45 CFR 690.107, or 49 CFR 11.107; or

(B) A privacy board that:

(1) Has members with varying backgrounds and appropriate professional competency as necessary to

review the effect of the research protocol on the individual's privacy rights and related interests;

(2) Includes at least one member who is not affiliated with the covered entity, not affiliated with any

entity conducting or sponsoring the research, and not related to any person who is affiliated with any of

such entities; and

(3) Does not have any member participating in a review of any project in which the member has a

conflict of interest.

(ii) Reviews preparatory to research. The covered entity obtains from the researcher representations

that:

(A) Use or disclosure is sought solely to review protected health information as necessary to prepare a

research protocol or for similar purposes preparatory to research;

(B) No protected health information is to be removed from the covered entity by the researcher in the

course of the review; and

(C) The protected health information for which use or access is sought is necessary for the research

purposes.”) 118

Lawrence O. Gostin, James G. Hodge, Jr. & Mira S. Burghardt, supra note, at 30. 119

45 C.F.R. 164.530(c)(2). 120

45 C.F.R. 164.530(d)(1). 121

45 C.F.R. 164.530(e)(1). 122

45 C.F.R. 164.530(h). 123

45 C.F.R. 164.530(f).

22

某一文件雖然以電子形式傳輸，但在傳輸之前並非以電子形式儲存124，例如紙本

文件透過傳真機傳送，其並非屬於本規則所定義的以電子媒體傳輸，同樣地，儲

存於影印機、視訊會議系統、語音信箱中的資訊，都不屬於電子受保護健康資訊125。

資安規則可區分為三種類型的資安保障（safeguard），分別是行政上

（administrative）、物理空間上（physical）及科技上（technical）。每一種保障都

規定了被涵蓋機構必須遵守的基本原則（general standards）。且條文中對這些基

本原則，規定了執行細節（implementation specifications）。

原本健康人類部所提出的草案，一共有 69 項執行細節規定，但由於機構的

大小不同，資安管理的能力不同，在各界批評下，最後健康人類部對其執行細節，

做了重要的調整。其最後通過的版本中，執行細節分成必要（required）及建議

（addressable）二類126。如果是必要的執行細則，被涵蓋機構就一定要執行這些

政策（policies）和（procedures）。資安規則中一共有 13 項必要的執行細節。如

果只是建議的執行細節，則被涵蓋機構則必須評估，該規定對本身機構的環境來

說是否為合理且適當的保障。如果被涵蓋機構在評估後決定不執行該建議執行細

節，其必須說明理由，且在合理範圍內，採行其他相當的保障措施127。

一、主要義務與彈性方法

（一）主要義務

其主要有四大義務。一，被涵蓋機構必須確保（ensure）所有其生產或取得

之電子受保護健康資訊（Electronic Protected Health Information）之秘密性、完整

性、和可得性（confidentiality, integrity, and availability）。二，其必須避免任何對

電子受保護健康資訊資安的合理預期的威脅或風險。三，其必須確保任何合理預

期可能違反 HIPAA 的對電子受保護健康資訊的利用或揭露。四，被涵蓋機構必

須確保其員工遵守資安規則128。雖然此處使用確保此字眼，但並不是要求被涵蓋

機構不論成本一定要做到，而是要求在其能力範圍內盡可能做到129。

124

45 C.F.R. 164.103.(Electronic media 的定義) 125

Andrew B. Wachler, Amy Fehn, and Abby Pendleton, Final HIPAA Security Rule Allows Greater

Flexibitity, 15 Health Lawyer 1, 3(2003). 126

Andrew B. Wachler, Amy Fehn, and Abby Pendleton, supra note, at 1. 127

45 C.F.R. § 164.306(d). 128

45 C.F.R. § 164.306(a). 129

Andrew B. Wachler, Amy Fehn, and Abby Pendleton, Final HIPAA Security Rule Allows Greater

Flexibitity, 15 Health Lawyer 1, 3(2003).

23

（二）彈性方法（flexibility of approach）

在執行資安規則時，被涵蓋機構擁有某些裁量權。其可以採取任何合理且適

當的資安措施（security measures），以落實資安規則中的各項原則和執行細節130。

在考慮採取何種資安措施時，被涵蓋機構可以考量 1.其機構之規模和複雜性、能

力。2.其科技基礎建設、軟體和硬體的能力。3.執行資安措施的成本。4.電子受

保護健康資訊潛在風險的機率和危急程度（criticakity）131。

二、行政保障（Administrative Safeguards）

（一）資訊管理程序（Security Management Process）

所有被涵蓋機構都必須執行資安管理程序（Security Management Process ，

簡稱 SMP），以避免、偵測、更正違反資安的情形132。資安管理程序包含了四項

必要執行細節：(a)風險分析，(b)風險管理，(c)懲處政策，和(d)資訊系統活動之

審查。

1.風險分析（必要性）

被涵蓋機構必須執行風險分析（risk analysis），亦即要對該機構所持有之電

子受保護健康資訊的潛在風險和脆弱性（vulnerabilities）進行精確和徹底的評估133。此項風險分析，應該是進行其他必要執行細節前就需先做的，這樣被涵蓋機

構才能對其電子受保護健康資訊的所有風險和脆弱性做一最初的評估134。

2. 風險管理（必要性）

被涵蓋機構要進行風險管理（risk management），其需採行資安措施，足以

將風險和脆弱性降到合理及適當的程度135。這些資安措施必須持續進行，並且在

必要時定期更新136。

3.懲處政策（必要性）

所謂懲處政策（sanction policy ），指被涵蓋機構必須針對未能遵守資安政

策和程序的內部員工（workforce members）規定適當的懲處137。

4.資訊系統活動審查（必要性）

被涵蓋機構必須對資訊系統活動為審查（information system activity review）。

亦即，被涵蓋機構必須規定程序，定期審查其資訊系統活動，包括查核日誌（logs）、

130

45 C.F.R. § 164.306(b)(1). 131

45 C.F.R. § 164.306(b)(2). 132

45 C.F.R. § 164.308(a)(1)(i). 133

45 C.F.R. § 164.308(a)(1)(ii)(a). 134

Michael P. Barry, A Guide to the Administrative Safeguards of HIPAA's Security Rule, 19 Utah Bar

J. 43, 44 (2006) 135

45 C.F.R. § 164.308(a)(1)(ii)(b). 136

Michael P. Barry, supra note, at 44. 137

45 C.F.R. § 164.308(a)(1)(ii)(c).

24

使用報告（access reports）和資安事件追蹤報告（security incident tracking

reports）。

（二）指定一資安官（必要性）

被涵蓋機構要在其員工中，指定一人擔任資安官（security official），負責制

定並執行資安規則中的政策和程序138。在隱私規則中也要求指定一隱私官139，而

此資安官和隱私官可為同一人140。

（三）內部單位資安原則

被涵蓋機構應執行政策與程序，以確保需要使用受保護健康資訊的內部單位

員工，可以適當地使用該資訊，並避免那些不須要使用資訊的員工，不讓他們使

用接觸受保護健康資訊141。在此原則下的三項執行細節，都屬於建議性。且此原

則與隱私規則下的最小必要原則非常接近，故被涵蓋機構在決定每個員工所需要

接觸的資訊時，可參考最小必要原則142。

1.授權和監督（Authorization and/or Supervision）（建議性）

被涵蓋機構應該制定並執行程序，對接觸電子受保護健康資訊的員工，或在

可接觸地點工作的員工，進行授權或監督143。例如，負責電腦管理和運作的員工，

不應授權其接觸電子受保護健康資訊，因為其對工作的執行並無必要。當其在工

作時可能接觸受保護健康資訊時，則需要對他進行監督144。

2.內部員工清查程序（Workforce Clearance Procedures）（建議性）

其建議被涵蓋機構執行一程序，以判斷內部員工之接觸資料，是否適當145。

3.終止程序（Termination Procedures）（建議性）

當一內部員工離職，或其授權被終止時，被涵蓋機構應有落實程序終止其接

觸的權利146。例如，可取消該員工的秘密，或者要求繳回鑰匙147。

138

45 C.F.R. § 164.308(a)(2). 139

45 C.F.R. § 164.530(a)(1). 140

Michael P. Barry, supra note, at 44. 141

45 C.F.R. § 164.308(a)(3)(i). 142

Andrew B. Wachler, Amy Fehn, and Abby Pendleton, supra note, at 5. 143

45 C.F.R. § 164.308(a)(3)(ii)(A). 144

Andrew B. Wachler, Amy Fehn, and Abby Pendleton, supra note, at 5. 145

45 C.F.R. § 164.308(a)(3)(ii)(B). 146

45 C.F.R. § 164.308(a)(3)(ii)(C). 147

Andrew B. Wachler, Amy Fehn, and Abby Pendleton, supra note, at 5.

25

（四）資訊接觸管理原則

資訊接觸管理原則，要求被涵蓋機構應制定政策和程序，決定如何授權員工

接觸電子受保護健康資訊，並且盡量符合隱私規則下所要求的各項規定148。

1.獨立健康照顧清算中心功能（必要性）

若一健康照顧清算中心隸屬於一個更大組織，清算中心必須保護電子受保護

健康資訊，不被組織內其他部門未受權地接觸149。

2.接觸授權（建議性）

被涵蓋機構應建立政策及程序，可接觸受保護資訊的多少，給與授權，例如

可允許進入工作站、接觸一交易、計畫、過程或其他機制150。

3.接觸權利的建立和修改（建議性）

應制定並落實相政策和程序，根據被涵蓋機構或商業伙伴的接觸授權政策，

以建立、建檔、審查並修改其使用者的接觸權利151。

（五）資安警覺和訓練

資安規則規定，被涵蓋機構應該執行資安警覺（awareness）及訓練計畫，

以訓練其內部員工及管理階層，遵守各項資安規定152。其包括下述四項建議性項

目，包括 1.可以定期做資安提醒。2.避免惡意軟體攻擊、偵測惡意軟體並報告。

3.登入監督，包括監督外人企圖監督與密碼錯誤情形。4. 秘密管理，包括產生、

改變和保護密碼153。

（六）資安事件程序（必要性）

所謂資安事件（security incident），乃是一故意且成功的未受權進入、使用、

揭露、修改或銷毀資訊系統中的資訊，或干擾其系統運作154。

被涵蓋機構應制定相關政策及程序，當發生或懷疑有資安事件時，應想辦法

減輕其傷害，並記錄該資安事件及結果155。

148

45 C.F.R. § 164.308(a)(4)(i). 149

45 C.F.R. § 164.308(a)(4)(ii)(A). 150

45 C.F.R. § 164.308(a)(4)(ii)(B). 151

45 C.F.R. § 164.308(a)(4)(ii)(C). 152

45 C.F.R. § 164.308(a)(5)(i). 153

45 C.F.R. § 164.308(a)(5)(ii). 154

45 C.F.R. § 164.304. 155

45 C.F.R. § 164.308(a)(6)(ii).

26

（七）應變計畫

被涵蓋機構應該制定政策和程序，以對傷害保存受保護健康資訊系統之緊急

或類似事件（例如火災、人為破壞、系統當機、自然災害等），作出回應156。此

應變計畫應包含下述三項必要的執行細節：

1.資料備份計畫（Data backup plan）（必要性）

被涵蓋機構應制定程序，已保存受保護健康資訊的可回覆、精確的備份檔157。

2.災害復原計畫（Disaster recovery plan）（必要性）

制定程序以回覆受損的資訊158。

3.緊急模式運作計畫（Emergency mode operation plan）（必要性）

被涵蓋機構必須建立程序，對於在緊急狀態下，如何保護受保護健康資訊的

資安159。

4.定期檢測和修改應變計畫（建議性）

5.評估特定應用程式和資料於支援其他應變計畫的危急程度

（八）評估

此原則要求被涵蓋機構定期評估技術性和非技術性的資安保障，以判斷被涵

蓋機構是否符合資安規則。若有環境或運作之改變，也要進行評估160。

（九）商業伙伴協議

HIPAA隱私規則中，當被涵蓋機構的商業伙伴可能接觸受保護健康資訊時，

被涵蓋機構必須和其簽署商業伙伴協議（Business Associate Agreements）。如果

商業伙伴代表被涵蓋機構取得或保存電子受保護健康資訊，則該商業伙伴協議必

須包含資安規則中的原則161。該協議中必須包含下述事項：

1.在代表被涵蓋機構時，對所保存的電子受保護健康資訊，執行行政上、物理空

間上、科技上保障，以合理保護該資訊的秘密、完整和可得162。

2. 對商業伙伴的代理人，包含其次承包商，只要會收到商業伙伴所提供的電子

受保護健康資訊，需確保其會執行合理及適當的保障，以保護電子受保護健康資

訊163。

156

45 C.F.R. § 164.308(a)(7)(i). 157

45 C.F.R. § 164.308(a)(7)(ii)(a). 158

45 C.F.R. § 164.308(a)(7)(ii)(b). 159

45 C.F.R. § 164.308(a)(7)(ii)(c). 160

45 C.F.R. § 164.308(a)(8) 161

45 C.F.R. § 164.308(b)(1). 162

45 C.F.R. § 164.314(a)(2)(i)(a). 163

45 C.F.R. § 164.314(a)(2)(i)(b).

27

3.當發生資安事件時，向被涵蓋機構回報164。

4.如果被涵蓋機構認定商業火慢違反了契約中的條文，允許被涵蓋機構終止其契

約165。

三、物理空間保障（Physical Safeguards）

所謂物理空間保障，就是對於電子系統、設備和資料，設計某些機制，使其

不受威脅、環境風險或未受權進入。其大概包含了對電子受保護健康資訊近取的

限制、設置異地的電腦備份、工作站的資安，和資料備份及儲存等規定。其規定

於 45 C.F.R. § 164.310。

（一）設施接觸管制

被涵蓋機構應落實政策和程序，限制他人接觸電子資訊系統，或者其存放的

設施166。所謂的設施（facility），該法定義為物理的房舍，包括建築物的內部和

外部167。其包含四項建議性要求。

1.應變運作（建議性）

對於在緊急情況下為執行災害復原計畫和緊急模式運作計畫下的回覆損害資

料，而規定允許進入設施的程序168。

2.設施資安計畫（建議性）

為了保障設施及其內的設備，制定並落實相關政策和程序，以避免未經授權

的進入、損害或竊盜169。

3.進出控制和確認程序（建議性）

應執行相關程序，以控制和確認進出設施人員的身分，包括訪客管制，其控

制對檢測和修改電腦程式之人員進行管控170。

4.維護記錄（建議性）

應落實相關政策及程序，對與資安有關的設施的物理部分（例如硬體、牆壁、

門、鎖）進行修改者，加以記錄171。

164

45 C.F.R. § 164.314(a)(2)(i)(c). 165

45 C.F.R. § 164.504(e)(1)(ii). 166

45 C.F.R. § 164.310(a)(1). 167

45 C.F.R. § 164.304. 168

45 C.F.R. § 164.310(a)(2)(i). 169

45 C.F.R. § 164.310(a)(2)(ii). 170

45 C.F.R. § 164.310(a)(2)(iii). 171

45 C.F.R. § 164.310(a)(2)(iv).

28

（二）工作站使用

所謂的工作站（workstation），其定義為「電腦設備，例如筆電和桌上型電腦，

或執行類似功能的任何社之，以及儲存於該設備中的電子媒體。172」對於可以接

觸受保護健康資訊的工作站，被涵蓋機構應落實相關政策和程序，明訂各內部單

位員工在其工作站的特定執掌，以及為完成此一職掌所需採取的方法，還有工作

站周邊的擺放位置173。

（三）工作站資安

對所有能接觸受保護資訊的工作站，都執行相關空間保障，以限制對被授權

使用者的接觸174。

（四）設備和媒體管控

對於含有受保護資訊的硬體和電子媒體，落實相關政策和程序，以管理其在

設施內及進出設施的收取和移動175。

1.處置（必要性）

被涵蓋機構對受保護資訊及儲存媒體的最終處置，應落實相關政策及程序176。

2.純存媒體重複使用（必要性）

若要重複使用某儲存媒體，應先落實程序，將儲存媒體中的受保護資訊刪除，

才可再使用177。

3.記錄負責者（建議性）

對於硬體和電子媒體的移動，既保存記錄，並註明負責人178。

4.資料備份和儲存（建議性）

在移動設備前，若有需要，應先對受保護資訊產生一可復原、精準的複製本179。

172

45 C.F.R. § 164.304. 173

45 C.F.R. § 164.310(b). 174

45 C.F.R. § 164.310(c). 175

45 C.F.R. § 164.310(d)(1). 176

45 C.F.R. § 164.310(d)(2)(i). 177

45 C.F.R. § 164.310(d)(2)(ii). 178

45 C.F.R. § 164.310(d)(2)(iii). 179

45 C.F.R. § 164.310(d)(2)(iv).

29

四、科技保障（Technical Safeguards）

科技保護主要是想規定，應使用何種自動程序（主要是軟體），以保護和控

制對電子受保護健康資訊的近取。其包含使用認證程序，要求個人必須註冊登入，

才能接觸電子受保護健康資訊；也包括在資料儲存或傳輸時，加密和解密等事項；

以及避免資料在未受權下被修改或銷毀的機制等。其規定於 45 C.F.R. §

164.312。

（一）接觸管制

對於儲存受保護資訊的電子資訊系統，應落實科技上的政策和程序，只准許

本法所允許接觸的那些人和軟體程式接觸180。意思就是，在根據資訊接觸管理相

關政策決定何人有何種權限後，以軟體程式的方式，已執行每個人的權限181。其

具體又指示了四項作法。1.個人帳號（必要性）：應要求每人登入其姓名號編號，

以確認並追蹤其使用。2.緊急接觸程序（必要性）：在緊急情況下，建立相關程

序，開放可接觸必要的受保護資訊。3.自動登出（建議性）：超過預計的時間或

一段期間沒有動作後，讓其自動登出。4.加密和解密（建議性）：對受保護資訊

執行加密和解密182。

（二）監視控制

被涵蓋機構應設計硬體、軟體或程序機制，記錄資訊系統中使用受保護資訊

的活動183。

（三）完整性

執行相關政策和程序，以保護電子受保護資訊不被不當修改或銷毀184。其建

議，使用電子機制，以確認受保護資訊沒有被以未受權的方法修改或銷毀185。

（四）個人和機構認證

應落實相關程序，以確認接觸之個人和機構，確實為本人186。

180

45 C.F.R. § 164.312(a)(1). 181

Andrew B. Wachler, Amy Fehn, and Abby Pendleton, supra note, at 10. 182

45 C.F.R. § 164.312(a)(2)(i)-(iv). 183

45 C.F.R. § 164.312(b). 184

45 C.F.R. § 164.312(c)(1). 185

45 C.F.R. § 164.312(c)(2). 186

45 C.F.R. § 164.312(d).

30

（五）傳輸資安

被涵蓋機構應落實相關資安措施，以避免未經授權的人，透過電子傳輸網路，

而接觸電子受保護健康資訊。其具體提出二項建議。1.完整性：其採取資安措施，

確保電子傳輸的受保護資訊，不會在未經察覺下被不當修正。2.加密：在有必要

時，採取機制對所傳輸的受保護資訊進行加密187。

五、文件保存要求

和隱私規則一樣，資安規則也要求被涵蓋機構要保存落實資安規則要求的政

策和程序188。該政策和程序可以紙本方式或電子方式保存，且必須提供給負責執

行該程序的人員，並至少保存六年189。這些政策和程序必須定期檢討更新，以面

對會影響受保護資訊資安的環境和運作的改變190。此外，被涵蓋機構對於資乾規

則所要求的任何活動、行為或評估，所為的紙本或電子文件，都應至少保存六年191。

肆、HIPAA 之執法

一、違反本法之處罰

健康人類服務部下，由人權辦公室（Office for Civil Rights）負責執行隱私規

則與資安規則，並可對相關機構進行調查。為了讓被涵蓋機構符合隱私規則之規

定，人權辦公室可尋求被涵蓋機構之合作，並提供技術協助。若被涵蓋機構無法

遵守隱私規則時，可對之處以行政罰鍰。甚至，某些嚴重的違法行為，也有刑事

制裁。違反隱私規則或資安規則的處罰，直接規定在 HIPAA 中，亦即直接規定

於聯邦法典中。

在行政罰鍰部分，則可根據違反之日期、是否知道或應該知道其行為違法，

或是出於有意忽略（willful neglect）等因素，決定其罰鍰192。若是在不知情情況

下違反本法任何一個規定，可處 100 美金罰鍰，但若在一年內對同一人違反本法

所有規定之處罰，最高不可超過 2500 美金罰鍰193。若是其違反出於過失且並非

有意忽略，則一次可處 1000 美金罰鍰，一年對同一人之所有處罰不可超過 10

187

45 C.F.R. § 164.312(e). 188

45 C.F.R. § 164.316(b)(1)(i). 189

45 C.F.R. § 164.316(b)(2). 190

45 C.F.R. § 164.316(b)(2)(iii). 191

45 C.F.R. § 164.316(b)(1)(ii). 192

42 USC § 1320d–5(a)(1). 193

42 USC § 1320d–5(a)(3)(a).

31

萬美金194。若是出於有意忽略而違反本法，一次可處 1 萬美金，一年對同一人之

所有處罰不可超過 25 萬美金。但在 2009 年通過 HITECH 法後調高其罰鍰上限，

對一次之處罰，最高可至 5 萬美金，一年最高可處 150 萬美金195。不過，若並非

出於有意忽略而發生違反行為，在知道後的 30 日內，立刻改正其行為，則不予

處罰196。

如果行為人乃故意違反本法取得或揭露個人可辨識健康資訊，則可處 5 萬美

元罰金，並判處一年以下有期徒刑。如果行為人詐欺並違反本法，則最高可處

10 萬美金，並判處五年以下有期徒刑。如果行為人是出於商業利益、私人獲利、

刻意傷害等目的而銷售、移轉、使用個人可辨識健康資訊，則可處 25 萬以下罰

金，並判處十年以下有期徒刑197。由司法部負責本法之調查與起訴。

不過，雖然該法之處罰很重，但是，健康人類服務部明白宣示，其職權主要

是促進大家遵守本法。本法的目的是要透過技術協助讓大家遵守法律，在執行處

罰前，均會給予行為人改正之機會198。

二、聯邦與州法之衝突

由於美國是聯邦制國家，其下有 50 個州，而 HIPAA 下之隱私規則只是聯邦

行政命令，而各州也有各州的健康資訊保護法規。在 HIPAA 下，各州的健康資

訊隱私法規，原則上，比聯邦的 HIPAA 保護更多時，則優先適用各州法規199。

因此，該規則只能說是一「最低」規範。例如，各州可能對於基因、心理健康或

HIV /AIDS 資訊，提供更多的保護200。但論者認為，美國此種保護隱私複雜的

法規體系，至少有二種缺點：1.對各州居民並不公平，有的州受到的保護較多，

有的較少。2. 現在跨州電子健康資料的傳輸越來越多，而某些被涵蓋機構，尤

其是較大的健康照顧提供者、健康計畫等，其必須同時適用聯邦規範和各州規範，

這樣將造成該機構適用法律上增加許多成本201。

三、2009 年 HITECH 修正

美國國會於 2009 年通過美國恢復與再投資法（American Recovery and

Reinvestment Act of 2009 ），其中包含了一部份，稱為經濟和臨床健康之健康資

訊科技法（Health Information Technology for Economic and Clinical Health Act），

簡稱為 HITECH 法，其授權歐巴馬政府在 2014 年前，動用 360 億美元進行投資，

194

42 USC § 1320d–5(a)(3)(b). 195

42 USC § 1320d–5(a)(3)(d). 196

42 USC § 1320d–5(b)(2)(a). 197

42 USC § 1320d–6(b). 198

Diane Kutzko, Gilda L. Boyer, Deborah J. Thoman & Nicholas L. Scott, supra note, at 436. 199

45 C.F.R. 160.203(b). 200

Lawrence O. Gostin, James G. Hodge, Jr. & Mira S. Burghardt, supra note, at 34. 201

Lawrence O. Gostin, James G. Hodge, Jr. & Mira S. Burghardt, supra note, at 34.

32

以促進健康資訊科技的使用。其中，HITECH也部分修改了 1996年的HIPAA法，

尤其是加重違法的處罰，並新增了出現違反行為的通知程序202。

（一）增加執法力道

HITECH 第一個修正的重點，就是加重了 HIPAA 的行政罰鍰與刑事處罰。

關於修法後處罰的額度，前文已經說明，不再重複。

HITECH對於衛生人類服務部之人權辦公室的執法上，提供了一誘因，亦即，

其規定未來人權辦公室處罰之行政罰鍰或行政處罰過程中之和解金，將回歸到人

權辦公室使用，以做後後續的執法經費203。其罰鍰和和解金，可一部份補償隱私

受侵害之個人之損害，但其計算標準則另外規定204。故除了補償受侵害個人外的

金額，通通可回饋到人權辦公室，這對人權辦公室之執法，提供了執法誘因。過

去人權辦公室對於本法之執行，強調是由人民提起陳情而啟動（complaint-driven），

原則上人權辦公室不會主動調查，但在修法後，人權辦公室將採取更積極的執法

與監督205。

在原本的 HIPAA 下，各州檢察官是否可以對違反者提出民事訴訟，並不明確206。HITECH 則明訂，賦予各州檢察官有權限可以調查 HIPAA 之違法行為，代

表人民提出民事求償。求償金額，對每一個人之每一違反行為，受害額最高為

100 美金，但對一被告一年最高不得高於 2 萬 5000 美金。但為了提供州檢察官

之執法誘因，法官可以判決將賠償金額外，另外判決被告須支付檢察官之法律行

為費用與合理律師費用給州政府207。

（二）違反規定之通知（Breach notification）

在 HIPAA 下，原本並沒有規定被涵蓋機構若有違反行為，通知資料主體之義

務。但 HITECH 則規定，若發生或相信出現違反（breach）本法而將「不安全的」

（unsecured）個人受保護健康資訊揭露時，被涵蓋機構應通知該個人208，而商業

伙伴也應通知被涵蓋機構209。所謂的不安全之資訊，該法定義，乃指沒有採用健

康人類服務部部長所公布之科技或方法加密之資訊210。

202

Kelly M. Jolley and Kathleen G. Chewning, The New HIPAA Privacy and Security Rules are Here:

What Do Your Clients Need to Know?, 21 S. Carolina Lawyer 16, 17(2010). 203

42 USC § 17939(c)(1). 此一方式相當於臺灣所講的特別公課。 204

42 USC § 17939(c)(2). 205

Kelly M. Jolley and Kathleen G. Chewning, supra note, at 20. 206

Kelly M. Jolley and Kathleen G. Chewning, supra note, at 20. 207

42 USC § 1320d–5(d). 208

42 USC § 17932(a). 209

42 USC § 17932(b). 210

42 USC § 17932(h)(1)(A).

33

而此通知義務，必須在該機構或商業伙伴內部員工得知有違反行為之日起 60

日內，提出通知211。通知原則上應以書面進行個別通知，且必須以第一等級之重

要性，聯繫個人之最新地址212。如果無法以信件聯絡上個人，則可採取某些替代

方式，例如，若受害人超過 10 人，可在健康人類服務部長同意下，張貼於公司

網站213。若被涵蓋機構認為發生違反情事後，資料有立即遭到濫用之危險，則可

立刻以電話方式聯絡個人214。如果受害人數超過 500 人，則除信件通之外，也應

直接透過當地主要媒體公布215。另外，除了通知資料主體外，任何不安全的資料

被取得或揭露時，都應通知健康人類服務部，若人數超過 500 人，則應立即通知

健康人類服務部，人數低於 500 人，則作成記錄，事後定期通知健康人類服務部216。

此一通知的內容，也有所要求。其必須包含： (1)違反行為發生的日期，以

及發現的日期，並描述如何發生。(2) 被侵害的受保護健康資訊的類型，例如是

否涵蓋姓名、生日、帳戶等。(3) 指示受影響之個人，如何預防可能出現之傷害。

(4)該機構將會採取何種調查和防護措施。(5) 個人若想知道更多訊息的聯繫方式217。

（三）對商業伙伴加重要求

在原本的 HIPAA 下，資安規則主要適用於被涵蓋機構，並不包含商業伙伴。

過去只是要求被涵蓋機構要以契約方式，要求商業伙伴也採取相關的資安規則。

但 HITECH 則修法，將資安規則中的行政保障、物理空間保障和科技保障等三

要求，以及其他資安的相關要求，都直接適用於商業伙伴218。而若商業伙伴違反

資安規則，過去只是被涵蓋機構以違約方式處理，HITECH 也規定行政罰鍰與刑

事責任也一併直接適用於商業伙伴219。

同樣地，在隱私規則部分，過去被涵蓋機構也只能透過商業伙伴契約，要求

商業伙伴在契約中履行隱私規則。但若違反契約中的隱私規則，其結果只是違約

並且被終止契約220。而 HITECH 也新增條文，將原本商業伙伴契約中列入的隱

私規則義務，擴大直接適用於被涵蓋機構的商業伙伴221。若商業伙伴違反這些契

約中之義務，一樣會直接面對行政罰鍰與刑事責任222。

211

42 USC § 17932(d). 212

42 USC § 17932(e). 213

42 USC § 17932(e)(1)(B). 214

42 USC § 17932(e)(1)(C). 215

42 USC § 17932(e)(2). 216

42 USC § 17932(e)(3). 217

42 USC § 17932(f). 218

42 USC § 17931(a). 219

42 USC § 17931(b). 220

Kelly M. Jolley and Kathleen G. Chewning, supra note, at 23. 221

42 USC § 17934(a). 222

42 USC § 17934(c).

34

上述這些新增直接適用於商業伙伴的資安規則和隱私規則，HITECH也要求，

應修正原本被涵蓋機構和商業伙伴間的契約，納入這些規定223。

此外，原本 HIPAA 對商業伙伴有提供一些例示，但 HITECH 又增加一些類

型，包括健康資訊交換機構（health information exchanges）、區域健康資訊組織

（regional health information organizations）、網路開藥管道（e- prescribing gateways）

和其他與受涵蓋機構有契約關係的商販等，都屬於商業伙伴，此一修法直接修正

於 HIPPA 下之聯邦法規之定義中224。

（四）增加行為義務

HITECH 對被涵蓋機構和商業伙伴，增加了幾種新的行為義務。 (1)對於那些

獲得健康照顧之個人，乃全部以自己費用支付者，因而產生的資訊，該個人可以

要求，不得為了支付或健康照顧運作之目的將該資訊向健康計畫透露225。 (2) 當

依據本法利用或揭露或他人請求提供資料時，被涵蓋機構和商業夥伴除了利用隱

私規則中所謂的有限資料組外，還必須積極地認定何謂最小必要的範圍，在最小

範圍內利用、揭露與提供226。(3)被涵蓋機構和商業伙伴必須將受保護健康資料

儲存於電子健康記錄（electronic health record）中，好讓個人可以透過電子形式

接觸其個人資料227。(4)被涵蓋機構和商業夥伴利用個人受保護健康資訊所為的

行銷溝通，欲得到直接或間接的支付，不能認為屬於健康照顧運作，故也需要按

照 HIPPA 隱私規則下 164.508 經過個人特別授權，才可使用228。 (5)被涵蓋機構

和商業伙伴對於任何籌款的溝通，應提供個人選擇退出的機會，且若選擇退出，

將視為隱私規則下 164.508 中的撤回特別授權229。

此外，原本 HIPAA 要求機構製作揭露資訊報告（accounting），但此報告可以

排除為了治療、支付或健康照顧運作之目的所為之揭露。但 HITECH 希望所有

健康紀錄都盡量電子化，且未來電子化的揭露將更為頻繁，故規定若是為了治療、

支付或健康照顧運作之目的而透過電子健康記錄揭露時，應將該將之納入揭露資

訊報告（accounting），但只要提供三年內之揭露，而非六年230。當個人申請製作

揭露資訊報告時，被涵蓋機構可以選擇提供自己和商業伙伴所有的揭露報告，也

可以只報告自己的揭露記錄，並提供商業伙伴的清單，請個人再向那些商業伙伴

提出申請231。

223

42 USC §§ 17931(a), 17934(a). 224

45 C.F.R. § 160.103. 225

42 USC § 17935(a). 226

42 USC § 17935(b). 227

42 USC § 17935(e). 228

42 USC § 17936(a). 229

42 USC § 17936(b). 230

42 USC § 17935(c)(1). 231

42 USC § 17935(c)(3).

35

四、HIPPA執法實例：販售藥房處方簽

雖然上述對HIPAA和HITECH的介紹，感覺美國特別重視健康資訊之保護，

但實際運作上，卻並非如此。以下以一個特殊案例，說明 HIPAA 執法上的侷限。

（一）銷售去病患連結之處方簽資料

在美國，藥廠要行銷其藥物，會對醫生採取所謂的「detailing」(詳細介紹)行

銷方式。業務會安排至醫院或診所拜會醫師，說服他們開立處方，使用藥廠的藥

物。同時，他們會攜帶試用藥品給醫師，並詳細說明他們家藥品的優點。而藥廠

業務若能事先知悉各醫師的用藥習慣，將能使業務知道哪位醫師較可能對某醫藥

品感興趣，且知道如何最好的呈現銷售資訊，因此能使「詳細介紹」行銷更有效

率。詳細介紹行銷是一種昂貴的行銷方式，藥廠通常使用這種方式來推銷獲利最

高的品牌藥（受專利保護）232。

另外，在美國，藥房基於聯邦法233或各州州法規定，藥房會保留醫師處方簽

記錄。許多藥房都會將這些資料賣給資料分析公司（data miners），這些處方簽

資料已經將病患姓名匿名化處理，但保留醫師姓名，故能作出個別醫師用藥習慣

的分析報告。資料分析公司將這些資料，授權給藥廠使用，約定藥廠必須保密。

藥廠業務因而使用這些分析報告，協助他們進行詳細介紹行銷234。

讀者可能會產生疑惑，為何這種資料能夠銷售，難道不會受到 HIPAA 下的

隱私規則所限制？原因在於，隱私規則的保護有許多限制。例如，以較近的一個

案例 Steinberg v. CVS Caremark Corp.案235為例，說明其侷限。該案事實為，某一

處方藥購買者 Steinberg，控告賓州的連鎖藥房 CVS Caremark，將購買者的處方

簽資訊，販售給資料分析公司。原告主張，藥房有二行為，(1) 藥房在收取藥廠

的對價後，直接寄信給病人的醫師，建議他們可開立別種藥物，及(2) 藥房在收

取對價後，藥房將去辨識後的處方簽資訊，直接寄給藥廠和資料分析公司。但賓

西法尼亞洲東區聯邦地區法院，卻直接駁回該案，認為該案欠缺訴訟權236。法院

認為，在本案情形，隱私規則根本沒有限制被告的行為237。

（二）HIPAA的限制

1.私人無訴權

地區法院指出，HIPAA 隱私規則，並沒有提供私人訴權，因此，個人不能

232

Sorrell v. IMS Health Inc., 131 S. Ct. 2653, 2659-60 (2011). 233

See 21 U.S.C. § 353(b). 234

131 S. Ct. at 2660. 235

Steinberg v. CVS Caremark Corp., 899 F.Supp. 2d 331(E.D. Pa. Feb. 15, 2012). 236

Id. at 332-333. 237

Id. at 337.

36

直接根據 HIPAA 提起訴訟238。事實上，該案中的原告，也知道無法根據 HIPAA

起訴，故乃是認為被告行為違反 HIPAA，進而有欺騙消費者，故乃是根據賓州

的不公平交易運作和消費者保護法（Pennsylvania Unfair Trade Practices and

Consumer Protection Law）以及一般普通法上的不當得利（unjust enrichment）與

侵害隱私（invasion of privacy）而起訴239。

2.健康照顧運作

地區法院認為，被告所為的第一種行為，亦即藥房因為在藥廠贊助下，直接

寄廣告信給病人的醫師，信中包含了病人之姓名和處方，並推薦其他用藥，的確

利用了受保護的健康資訊。但是法院認為，此種行為屬於隱私該規則所允許的「健

康照顧運作」（health care operations）240。因為所謂的健康照顧運作，在 164.501

的定義中，包括「與健康照顧提供者與病人聯繫，提供其他治療資訊」（contacting

of health care providers and patients with information about treatment alternatives），

而法院認為，被告所為的第一種行為，乃是對病人既有的醫師聯繫，並沒有聯繫

其他健康照顧提供者，而其寄信之目的，也只是提供其他治療資訊。

而在隱私規則的 45 C.F.R. § 164.502(a)(1)中規定，被涵蓋機構，在下述情形，

可以使用或揭露受保護健康資訊（A covered entity is permitted to use or disclose

protected health information as follows）：(i) 向病患個人（To the individual）；(ii) 為

了在§ 164.506 所允許且符合該條的治療、付費、或健康照顧運作（For treatment,

payment, or health care operations, as permitted by and in compliance with § 164.506）241。加上前述對於所謂健康照顧運作之定義，因此，法院認為，被告的第一種行

為，完全符合 HIPAA 隱私規則下 164.506 允許的為了健康照顧運作，而利用或

揭露受保護健康資訊242。

3.去連結（De-Identified）資訊

HIPPA 隱私規則只規範「可識別個人之健康資訊」（individually identifiable

health information）243。因此，該規則並沒有禁止受規範之機構244揭露去連結之

238

Id, at 337. 239

Id. at 332. 240

Id. ("Federal regulations permit the disclosure of protected Health Information under certain

circumstances, including for "treatment, payment, or health care operations.' The term "health care

operations' is defined to include "contacting of health care providers and patients with information

about treatment alternatives.'"). 241

45 C.F.R. § 164.502(a)(1)(i)-(ii). 242

Steinberg v. CVS Caremark Corp., 899 F.Supp. 2d. at 338. 243

45 C.F.R. § 160.103. (“Protected health information means individually identifiable health

information:

(1) Except as provided in paragraph (2) of this definition, that is:

(i) Transmitted by electronic media;

(ii) Maintained in electronic media; or

(iii) Transmitted or maintained in any other form or medium.

(2) Protected health information excludes individually identifiable health information in:

(i) Education records covered by the Family Educational Rights and Privacy Act, as amended, 20

U.S.C. 1232g;

37

資料給第三人，包括揭露給研究者。受涵蓋機構，可以使用受保護健康資訊，去

創造無法辨識出個人的健康資訊，或為了此種目的向企業夥伴揭露此一受保護健

康資訊，不論該去連結資訊是否由被涵蓋機構使用245。符合§ 164.514(a)和(b)所

定刪除特定識別資訊的健康資訊，即為不可辨識出個人的健康資訊（not to be

individually identifiable health information），亦即為去連結（de-identified）資訊。

本法所訂之要求，即不適用於符合§ 164.514 所規定的去連結資訊246。

在本案中，原告指控被告所為的第二種行為，亦即藥房銷售給藥廠和資料分

析公司的資料，已是去辨識的處分藥資訊，無法辨識病人身分。其將個人姓名、

生日、社會安全號碼刪除，而只保留治療歷史、所開立藥物、開立日期、診斷、

醫生姓名247。則因為在銷售前已經將資訊去辨識，故沒有違反 HIPAA 隱私規則248。

原告雖然承認藥房已經資料去連結，但由於 HIPAA 要求，藥房在第一次接

觸病人時，就必須告知其將來所取得之資料，會作何種方式利用。但不管於藥房

的告知，或者在網站上的公布說明，都沒有明確提到會將處方簽資訊賣給藥廠。

故認為藥房的銷售行為，雖然沒有違反 HIPAA，但屬於一種欺騙行為，而違反

賓州的不公平交易運作和消費者保護法。但法院認為，藥房在事前的告知中，已

經說到會保護「可識別」消費者的資訊，故雖然沒有告知會將資料賣給藥廠，但

也無違反其事前告知內容249。

伍、美國個資保護之基本模式－－代結論

從上述對美國 HIPAA 之研究，大概可以掌握美國個人資料保護的幾項特

色。

美國至今並無一般性的個人資料保護法，而只有少數個別部門的個人資料保

護法，包括金融領域與健康領域。而其中對於健康領域，制定了本文所介紹的

HIPAA 下的隱私規則與資安規則。所以，其在個資保護的特色，屬於特定部門

（sector-based）保護的模式250。

美國的 HIPPA 設計，也有幾個特色。其主要的特色在於，其並沒有規範個

(ii) Records described at 20 U.S.C. 1232g(a)(4)(B)(iv); and

(iii) Employment records held by a covered entity in its role as employer.”) 244

The HIPAA Privacy Rule applies to health plans, health care clearinghouses, health care providers

who transmit health information electronically for particular purposes (generally claims or benefits

activities), and their business associates. Id. §§160.102-160.103; 42 U.S.C. § 17931 (2006). 245

45 C.F.R. § 164.502(d)(1). 246

45 C.F.R. § 164.502(d)(2). 247

Id. at 336. 248

Id. at 338 ("Under the Privacy Rule, healthcare providers are permitted to "de-identify' Protected

Health Information. Once information is de-identified, it is no longer considered Protected Health

Information."). 249

Id. at 339. 250

Nicolas P. Terry, Protecting Patient Privacy in the Age of Big Data, 81 UMKC L. Rev. 385, 386-87,

405-407(2012).

38

人資料的蒐集行為（collection），而只規範利用和揭露（use and disclosure）行為。

由於沒有規範最上游的蒐集行為，只規範下游階段的後續利用與揭露，對資料的

隱私而言，保護較為欠缺。甚至有學者認為，如果沒有規範資料蒐集行為，其根

本沒有保護個人隱私（privacy），HIPAA 只有規範資料的利用揭露的限制，事實

上只是做保密（confidentiality）規範251。

另外，HIPAA 有別於其他國家的個人資料保護法，就是有一個詳細的資安

規則，這也是其重要特色。但資安規則中，由於對持有資訊者的管理，可能造成

很大的負擔，故又妥協，將資安規則區分為必要性與建議性。雖然資安規定並未

強制所有 HIPAA 下被涵蓋機構一定要做到，但由於有此規定，美國也開始提升

其資訊安全的各種程序要求。此點對照其他國家，或許是可為借鏡之處。

最後，在資料的利用上，各國個人資料保護法均同意可為了研究用途，將資

料提供他人為學術研究使用。基本上美國也非常重視資料的分析研究，故 HIPAA

也規定可為了研究用途，將資料授權他人利用。整體而言，雖然美國 HIPAA 的

例外使用情況非常多，但也設定了頗多程序要件。例如雖然准許為了研究而提供

利用，但是必須申請人先經過審查委員會的審查，且法規對申請書所需具備的各

項說明，詳細規定，且也對審查委員會的審查標準制定了明文規定。

251

Nicolas P. Terry, supra note, at 387, 400.