HIPAA更新覆蓋實體和業務夥伴使用線上追蹤技術的指南

美國衛生及公共服務部（Department of Health and Human Services, HHS）民權辦公室（Office for Civil Rights, OCR）於2024年3月18日更新HIPAA（Health Insurance Portability and Accountability Act of 1996）覆蓋實體和業務夥伴使用線上追蹤技術的指南，其中更新後重點包括：

• OCR 認為，即使個人與受監管實體沒有既有關係，某些資訊也可能屬於受保護的健康資訊（Protected Health Information, PHI），例如 IP 地址或地理位置。
• 如果網站上的網路追蹤技術無法存取個人的健康資訊，或者存取本身與個人的健康無關，則不存在 PHI 的揭露。
• 允許個人安排預約或使用症狀檢查器工具的非驗證網頁上的追蹤技術在某些情况下可能可以存取 PHI。
• 如果追蹤技術供應商不願意與受監管實體簽訂業務合作協議（Business Associate Agreement, BAA），則受監管實體可以與另一個供應商簽訂 BAA，該供應商將對包含 PHI 的線上追蹤資訊進行去識別處理。