很多人希望，能够像理财或规划旅行行程一样，在智能手机上管理自己的医疗照护，实现这样的场景，需要首先实现医疗信息的互操作性。

今年3月9日，美国医疗保险和医疗补助服务中心（CMS）与医疗信息技术主任办公室（ONC），公布了两项备受期待的互操作性法规最终版。这两项法规，分别是CMS公布的《CMS互操作性与患者访问法规》，[1] 以及ONC公布的《<21世纪治愈法案>：互操作性，信息拦截，ONC医疗IT认证计划》。[2] 这两项法规明确规定，给予患者更多的医疗数据代理权，禁止信息屏蔽。

这里的信息屏蔽（information blocking），特指医疗服务提供方、医疗IT开发商、医疗信息交换或健康信息网络的采取的屏蔽相关信息的做法。除了法律要求或卫生与公众服务部部长（HHS）特别做出规定，除了被认为是合理的和必要的信息屏蔽外，通常情况下，信息屏蔽可能会干扰、阻止或严重阻止电子健康信息（electric health information, EHI）的访问、交换或使用。[3，4]

这两项法规将在6个月内生效。CMS的最终法规包括一项存在争议的条款，这项条款要求医院在患者入院、出院或转院时，向其他医护人员发送电子通知。医疗服务提供方在评论拟定法规时，对此提出意见，认为这样的规定，将给已经承压的临床医生增加更多的来自电子病历（electric health record, HER）的负担。 

法规的重点：互操作性，去除信息屏蔽

由于涉及患者信息的可获得性与隐私权和安全之间的矛盾，这两项法规一直备受争议。

去年，CMS和ONC的两项拟定法规在公示期间，征集了数千条建议、意见。[5，6，7] 去年9月底和10月下旬，政府预算幕僚机构管理和预算办公室（the Office of Management and Budget）分别审查了CMS和ONC的这两份拟定法规。

ONC的最终法规， 旨在通过让所有医疗服务组织在互操作性方面采取同样的做法，让消费者能够以免费的电子方式访问自己的结构化和非结构化医疗数据。法规要求通过标准化应用程序编程接口（application programming interface，API）来实现上述工作，API指服务器接收请求，并在不同计算机系统之间发送响应的一部分。法规还更新了2015版认证EHR标准，以确保IT系统以同步方式发送和接收电子医疗信息，同时允许患者导出和查看其数据。 

ONC主任Don Rucker先生在接受采访时表示， 出台相关法案的最终目的，是能够让患者像理财或规划旅行行程一样，在智能手机上管理自己的医疗照护。 

在联邦公告正式发布该法规两年之内，供应商和医疗服务提供方需要在国家互操作核心数据（U.S. Core Data for Interoperability，USCDI）发送和接收一组有限的数据集，实现互操作性。这是一组必须能够国家标准化的数据元组成的核心数据类（data class）。 

▲国家互操作核心数据（U.S. Core Data for Interoperability，USCDI）（图片来源：参考资料[8]）

国家互操作核心数据（USCDI）包括治疗记录（clinical notes）、过敏数据、用药和人口统计学信息，理论上能够让患者更容易地与自己的记录相匹配。Rucker医生表示，需要实现互操作的数据类型将在2013年略有扩展。

但是，国家互操作核心数据（USCDI）中，缺乏标准化的美国邮政服务地址，支持实现患者匹配的人士认为，美国邮政服务地址标准化，是政府可以采取的最简单的步骤之一，能够帮助匹配患者的正确记录。ONC确实向数据集中添加了以前的地址，电子邮件地址和标准化的电话号码。

ONC法规，还将允许EHR和医疗IT软件用户交流有关系统可用性的信息，包括截图和视频。但是，按照目前市场上的几家主要EHR公司的合同，包括全美最大的电子病历提供商Epic Systems在内，禁止这样的交流。 

▲NOC互操作性路线图（数据来源：参考资料[9]，药品康德内容团队制图）

依据《21世纪治愈法案》（the 21st Century Cure Act）中的相关规定，ONC法规还制定了针对相关数据元的要求，明确界定构成信息屏蔽与不构成信息屏蔽的行为。

去年公示的拟定法规，定义了7个“合理和必要”的信息屏蔽例外，包括预防性危害、促进电子医疗信息隐私权、回应不当请求、维护和改善医疗卫生绩效、促进信息安全、收回合理产生的成本，以及许可互操作性数据元。

最终版ONC法规新增了第8个例外：“内容与方式”例外，如果Actor响应访问请求时，至少在USCDI中提供相应内容，就符合该例外要求。这里的Actor指封装状态和行为的对象，通过交换放在收件人邮箱中的消息进行专门的通信。Actor是面向对象编程最严格的形式。Actor包含状态、行为、邮箱、子Actor和监管策略。所有这些封装在一个Actor引用中。[10]

一些关于拟议法规的评论担心，授权方必须分享新规则下的所有信息。但是，新的例外阐明，在接下来的两年中，信息屏蔽的范围只限于USCDI数据。在此之后，将会涉及与患者相关的所有信息。

上述两项法规的信息屏蔽部分，将在6个月内生效。如果相关方的行为符合一项或多项例外，将不会受到民事处罚或其它法律措施的制裁。但是，依据《21世纪治愈法案》中的相关规定，卫生与公众服务部（HHS）与ONC必须规范医疗照护信息的互操作性，并应对任何不当行为或不当行为采取措施，在发生不当行为时，阻止患者数据的电子传输。

对于相关涉事机构的违规行为，每次可处以高达100万美元的罚款。但是，ONC和HHS的监察长办公室，可以在不另行通告，以及就法规制定征询建议、意见之前，不执行处罚。ONC副主任Steve Posnack先生在接受采访时表示，有关民事罚款处罚的法规将很快出台。[11]

依据CMS法规规定，到2021年，要求医疗补助、儿童健康保险计划（Children's Health Insurance Program，下文简称为CHIP计划）、医疗保险优惠计划（Medicare Advantage，下文简称为MA计划）和平价医疗法案（Affordable Care Act）所涉的交换计划，为覆盖的1.25亿患者提供通过电子方式免费访问其个人健康数据的服务，包括医疗保险索赔和经历信息（包括费用）。

受访的CMC官员表示，这项举措是建立在2018年医疗保险“蓝色按键2.0计划”（Blue Button 2.0）的基础之上。“蓝色按键”计划指一项供客户下载健康记录的功能。相关人士可以使用下载的健康数据来改善健康状况，并更好地控制自己的个人医疗信息和家人的医疗照护。目前，该计划拥有55个推出应用程序的组织。[12] 

MA计划、州医疗保险和CHIP计划、CHIP管理医疗实体、医疗补助管理医疗计划和具有联邦交换资质的医疗计划，现在必须"实施、测试和监测"符合HL7的快速医疗互操作性资源应用程序编程接口（Health Level Seven FHIR-compliant API）。[13] HL7（Health Level 7）指一组用于在各种医疗服务提供方所采用的软件应用程序之间，传输临床和管理数据的国际标准。这些标准侧重于应用层，即开放式系统互联参考模型（Open System Interconnect Reference Model，OSI）模型中的“第7层”。HL7标准由国际标准化组织（ISO）Health Level Seven International制定，并被美国国家标准协会和国际标准化组织等其它标准发布机构所采用。[14]

除了目前已经做到的在联邦层面上的交换之外，这些计划必须在2021年前，通过API技术将响应的医疗服务提供方目录提供给目前和潜在的参与者。相关各方希望保险公司也将这些做法也移植到私营保险计划中。

CMS主任Seema Verma博士表示，这样的做法，将允许第三方应用程序提取相关信息，帮助患者实时评估自己适合于哪些计划，了解网络中有哪些医生。此外，到2022年，这些相关计划需要应患者的要求，相互共享某些医疗信息，能够让患者的既往医疗记录在保险公司和计划之间互传时跟踪这些记录。

在拟定法规中，支付方必须参与受信任的交换网络，该网络自动验证参与者的安全性和身份，从而实现信息的自由流动。但是，这些要求，并没有列入最终版法规。

在2019计划年度的绩效数据报告中，CMS会公开报告可能屏蔽信息的所有参与者，希望通过向公众透明，激励企业优先考虑信息的自由流通，并帮助患者选择提供可提供互操作服务的医疗服务提供方。

尽管行业在理论上支持互操作性，但是支付方、医疗服务提供方和医疗IT公司一直对相关法规有所忌惮。法规的落地，将使患者在相关计划、公司和医疗照护场所之间选择、转换变得更为容易。 

▲电子医疗信息流闭环示意图（图片来源：参考资料[15]）

相关法规原定于今年1月1日生效，但由于实现合规需要采取许多步骤，包括新的电子健康记录（HER）功能开发和认证，医疗服务提供方采用，定制，以及员工培训等，因此，支付方与医疗服务提供方对快速转换持保留意见。[16]

业界的反应

相关人士认为，医疗服务提供方和医疗IT利益方，不太可能对最终方案感到满意。在很大程度上新公布的法案最终版，与之前提出的版本差异不大，还对支付方造成额外负担。包括信息屏蔽的新例外在内，相关法规的实施时间表已经推后。在法规颁布的当天，美国医院协会（The American Hospital Association）发表声明表示，认为这两项法规不能保护消费者的医疗信息。

从一开始，这两项法规就陷入隐私权与安全性的争议之中。软件公司警告，这些法规还不足以保护高度敏感的患者医疗信息。有批评人士指出，允许患者将自己的医疗数据导出到第三方应用程序中，如果第三方应用程序的隐私权保护标准与医疗机构的隐私权保护标准不同，可能会导致大量信息泄露。

美国医院协会在法规发布当天的一份声明中表示，最终颁布的法规在隐私权方面有所欠缺。该协会表示："相关法规缺乏必要的护栏，无法保护消费者免受第三方应用等参与者的侵入，这些参与者不需要这些应用能够满足医院同样严格的隐私和安全要求。这样的缺陷，可能导致第三方应用程序以患者不知情的方式利用个人医疗信息。” 

图片来源：Pixabay

Epic公司的商业模式也将受到相关法规的影响。今年年初，该公司表达了担忧，表示在医疗机构和第三方应用程序之间共享患者数据变得更容易，将会损害敏感医疗行业的隐私权和安全性。[17] 但联邦政府官员在日前表示，相关法规最关注的，是患者的了解和知情权。相关的患者身份验证过程充分考虑到患者知情权，要求医疗服务提供方让患者了解自己是否统一，并在患者导出数据之前，向患者报告可能涉及的任何隐私权问题。 

ONC主任Rucker认为，已经在法规中提供了一些强有力的保护。

目前，大多数医院仍然依靠传真和邮件来获取医疗记录摘要。根据卫生与公众服务部估算，相关法规的落实，每年可节省约33亿美元，同时使大约1.25亿患者更容易获得电子健康记录。有医疗IT专家表示，鉴于互操作性的混乱状态，有必要落实这些法规的要求。