加利福尼亚州法律
加州福利和机构法典
14100.2. (a) 除第 (i) 款规定外,任何公职人员或机构在执行本章、第 8 章(从第 14200 节开始)或第 8.7 章(从第 14520 节开始)的任何规定时制作或保存的有关个人的所有类型的信息,无论是书面的还是口头的,并且该州根据《社会保障法》第 XIX 章从美国政府收到补助金,这些信息均应保密,并且除与 Medi-Cal 计划的管理直接相关目的之外,不得接受审查。 但是,在为制作或保存该信息的人员指定保护人的申请中,以及在因违反《刑法》第 368 条而对该人员提起刑事诉讼的背景下,以下所有规定均应适用:
在与请愿或起诉相关的任何程序中,当被问及是否知道其认为与该受助人的法律精神能力或该受助人监护的必要性有关的信息时,任何此类机构的公职人员或雇员均可如实回答。 如果该官员或雇员声明其知晓该信息,且法院有其他独立理由相信该官员或雇员掌握有助于解决此事的信息,则法院可命令该官员或雇员就其观察结果作证,并披露任何相关机构记录。
(c)与 Medi-Cal 计划管理直接相关的目的,第 8 章(从第 14200 节开始)或第 8.7 章(从第 14520 节开始)包括部门及其代理人为确保计划有效运行而必须参与的行政活动和职责。 这些活动包括但不限于:确定资格和报销方法;确定医疗援助金额;为受助人提供服务;进行或协助与 Medi-Cal 计划管理有关的调查、起诉或民事或刑事诉讼;以及进行或协助与 Medi-Cal 计划管理有关的立法调查或审计。
(f) “州卫生保健服务部可以制定规则和条例,管理与 Medi-Cal 计划相关法律管理有关的所有记录、文件、档案和通信的保管、使用和保存……这些规则和条例对州的所有部门、官员和雇员均具有约束力,并可以规定向州的机构、公共或政治分支机构提供信息或与这些机构交换信息,并可以规定向为接受者或代表接受者规划、提供或确保此类服务的公共或私人机构提供信息或与这些机构交换信息;并且可以为研究目的提供病例记录,但前提是该研究不会导致披露这些服务的申请人或接受者的身份。”
加州民法典(信息实践法)
1798.24 机构不得以将披露的信息与相关个人联系起来的方式披露任何个人信息,除非信息披露如下:
(e) 如果转移对于受让人机构履行其宪法或法定职责是必要的,并且该使用与收集信息的目的相符,并且该使用或转移符合第 1798.25 条的规定,则可向个人或另一个机构转移。 对于从执法或监管机构转移的信息,或转移到另一个执法或监管机构的信息,如果所请求的信息是在请求机构管辖范围内调查非法活动或者该机构出于许可、认证或监管目的而需要使用,则该使用是兼容的。
(t) (1) 向加利福尼亚大学、非营利性教育机构、从事健康或社会服务研究的既定非营利性研究机构、从摇篮到职业数据系统提供信息,其目的与根据《教育法》第 1 篇第 1 部分第 7 章第 8.5 章第 2 条(从第 10860 节开始)制定和执行《从摇篮到职业数据系统法案》一致;或者,在教育相关数据的情况下,向另一个进行科学研究的非营利性实体提供信息,前提是信息请求得到了加利福尼亚卫生和公共服务局(CHHSA)人类受试者保护委员会(CPHS)或机构审查委员会的批准,如第 (5) 和 (6) 款授权。 批准应包括审查并确定是否满足以下所有标准:
(A)研究人员已经提供了足够的计划来保护个人信息免遭不当使用和泄露,包括足够的行政、物理和技术保障措施,以保护个人信息免受合理预期的对信息安全性或机密性的威胁。
(B) 研究人员已经提供了充分的计划,一旦研究项目不再需要个人信息,就销毁或归还所有个人信息,除非研究人员已经证明研究项目持续需要个人信息,并已经提供了足够的长期计划来保护该信息的机密性。
(C) 研究者已经提供足够的书面保证,保证个人信息不会被重复使用或披露给任何其他个人或实体,或以任何未经研究方案批准的方式使用,除非法律要求或研究项目的授权监督。
(2) CPHS 应与《教育法》第 10862 条定义的“从摇篮到职业数据办公室”签订书面协议,协助该办公室的管理实体履行“从摇篮到职业数据系统”机构审查委员会的职责。
(3)为了保护机构数据库中保存的个人信息,CPHS 或机构审查委员会在审查和批准研究项目时,至少应完成以下所有工作:
(A)确定所要求的个人信息是否是进行研究所必需的。
(B) 仅在研究项目需要时才允许访问个人信息。
(C)仅允许访问研究项目所需的最少的必要个人信息。
(D)如果没有社会保障号码仍可进行研究,则要求分配非来自个人信息的唯一主题代码来代替社会保障号码。
(E)如果可行,并且成本、时间和技术专长允许,要求机构为研究人员进行部分数据处理,以尽量减少个人信息的泄露。
(4)机构在 CPHS 批准条件下保护个人信息的过程相关的合理费用可能会向研究人员收取,包括但不限于机构为研究人员进行部分数据处理、删除个人信息、加密或以其他方式保护个人信息、或分配主题代码的费用。
(5)如果满足本部分规定的数据安全要求,CPHS 可以签订书面协议,以使其他机构审查委员会能够提供本部分要求的数据安全批准。
