基因隐私 - 医疗信息保密 - 民法 - CA

Section § 56.18

本节是加州《基因信息隐私法》的一部分，旨在保护加州居民的基因信息。它规定了公司应如何处理基因数据的定义和规则。关键术语包括“明确授权”（指消费者清晰的同意）和“黑暗模式”（指可能误导用户的欺骗性界面）。“直接面向消费者的基因检测公司”是指直接向个人提供基因检测服务的公司。该法律要求明确同意，禁止从不作为中推断同意，并涵盖了基因数据必须如何处理，包括不得使用欺骗性方法获取数据。任何处理基因数据的公司都必须确保其隐私性，并且限制将此类数据用于其预期目的之外的任何用途。

(a) 本章应被称为“基因信息隐私法”，并可援引此名称。

(b) 就本章而言，以下定义适用：

(1) “明确授权”指消费者表明其有意决定的行为。

(2) “生物样本”指人体的任何物质部分、其分泌物或其衍生物，例如组织、血液、尿液或唾液，已知含有脱氧核糖核酸 (DNA)。

(3) “消费者”指居住在加州的自然人。

(4) “黑暗模式”指一种用户界面，其设计或操纵的实质效果是颠覆或损害用户的自主权、决策或选择。

(5) “直接面向消费者的基因检测公司”指从事以下任何一项业务的实体：

(A) 直接向消费者销售、营销、解读或以其他方式提供消费者发起的基因检测产品或服务。

(B) 分析从消费者处获得的基因数据，但由获得医疗执照的人员为诊断或治疗医疗状况而进行的分析除外。

(6) “明示同意”指消费者在收到关于为特定目的收集、使用、维护或披露基因数据的清晰、有意义且显著的通知后，给予许可的明确授权。数据收集、使用、维护或披露的性质应以清晰显著的措辞传达，以便普通消费者能够注意到并理解。明示同意不能从不作为中推断。通过使用黑暗模式获得的同意不构成同意。

(7)

(A) “基因数据”指任何格式的数据，其来源于对消费者生物样本的分析，或来源于能够获取等效信息的其他要素，并涉及遗传物质。遗传物质包括但不限于脱氧核糖核酸 (DNA)、核糖核酸 (RNA)、基因、染色体、等位基因、基因组、DNA或RNA的改变或修改、单核苷酸多态性 (SNPs)、生物样本分析产生的未经解释的数据，以及从中推断、得出或推导的任何信息。

(B) “基因数据”不包括去标识化数据。就本分段而言，“去标识化数据”指不能用于推断特定个人的信息，或以其他方式与特定个人关联的数据，前提是拥有该信息的企业执行以下所有操作：

(i) 采取合理措施确保信息不能与消费者或家庭关联。

(ii) 公开承诺仅以去标识化形式维护和使用信息，并且不尝试重新识别信息，但企业可以仅为了确定其去标识化过程是否符合本分段的要求而尝试重新识别信息，前提是企业不使用或披露在此过程中重新识别的任何信息，并在评估完成后销毁重新识别的信息。

(iii) 合同约定信息的任何接收方采取合理措施确保信息不能与消费者或家庭关联，并承诺仅以去标识化形式维护和使用信息，且不重新识别信息。

(C) “Genetic data” does not include data or a biological sample to the extent that data or a biological sample is collected, used, maintained, and disclosed exclusively for scientific research conducted by an investigator with an institution that holds an assurance with the United States Department of Health and Human Services pursuant to Part 46 (commencing with Section 46.101) of Title 45 of the Code of Federal Regulations, in compliance with all applicable federal and state laws and regulations for the protection of human subjects in research, including, but not limited to, the Common Rule pursuant to Part 46 (commencing with Section 46.101) of Title 45 of the Code of Federal Regulations, United States Food and Drug Administration regulations pursuant to Parts 50 and 56 of Title 21 of the Code of Federal Regulations, the federal Family Educational Rights and Privacy Act (20 U.S.C. Sec. 1232g), and the Protection of Human Subjects in Medical Experimentation Act, Chapter 1.3 (commencing with Section 24170) of Division 20 of the Health and Safety Code.

(8) “Genetic testing” means any laboratory test of a biological sample from a consumer for the purpose of determining information concerning genetic material contained within the biological sample, or any information extrapolated, derived, or inferred therefrom.

(9) “Person” means an individual, partnership, corporation, association, business, business trust, or legal representative of an organization.

(10) “Service provider” means a sole proprietorship, partnership, limited liability company, corporation, association, or other legal entity that is organized or operated for the profit or financial benefit of its shareholders or other owners, that is involved in the collection, transportation, and analysis of the consumer’s biological sample or extracted genetic material on behalf of the direct-to-consumer genetic testing company, or on behalf of any other company that collects, uses, maintains, or discloses genetic data collected or derived from a direct-to-consumer genetic testing product or service, or is directly provided by a consumer, or the delivery of the results of the analysis of the biological sample or genetic material. The contract between the company and the service provider shall prohibit the service provider from retaining, using, or disclosing the biological sample, extracted genetic material, genetic data, or any information regarding the identity of the consumer, including whether that consumer has solicited or received genetic testing, as applicable, for any purpose other than for the specific purpose of performing the services specified in the contract for the business, including both of the following:

(A) A provision prohibiting the service provider from retaining, using, or disclosing the biological sample, extracted genetic material, genetic data, or any information regarding the identity of the consumer, including whether that consumer has solicited or received genetic testing, as applicable, for a commercial purpose other than providing the services specified in the contract with the business.

(B) A provision prohibiting the service provider from associating or combining the biological sample, extracted genetic material, genetic data, or any information regarding the identity of the consumer, including whether that consumer has solicited or received genetic testing, as applicable, with information the service provider has received from or on behalf of another person or persons, or has collected from its own interaction with consumers or as required by law.

基因信息隐私法基因数据明确授权 ...

Section § 56.181

这项法律旨在保护消费者在直接面向消费者的基因检测公司所持有的基因数据方面的隐私。这些公司必须清晰地告知消费者其隐私实践，并获得明确同意才能使用基因数据，同时需明确说明使用目的、存储方式以及与第三方共享的情况。消费者有权撤回同意，且任何相关的生物样本必须在撤回同意后30天内销毁。公司被要求实施强大的数据保护安全措施，并提供便捷的选项供消费者访问或删除其基因数据。禁止对行使权利的消费者进行歧视，例如提供不同的服务或价格。与保险相关或就业实体共享基因数据受到严格限制，除非适用特定例外情况。

(a) 为保障消费者基因数据的隐私、保密性、安全性及完整性，直接面向消费者的基因检测公司应采取以下两项措施：

(1) 提供关于公司在收集、使用、维护和披露（如适用）基因数据方面的政策和程序的清晰完整信息，通过向消费者提供以下所有内容：

(A) 一份以通俗易懂的语言撰写的隐私实践摘要，其中包含公司在收集、使用、维护和披露（如适用）基因数据方面的信息。

(B) 一份显著且易于访问的隐私声明，其中至少包含关于公司数据收集、同意、使用、访问、披露、维护、传输、安全以及保留和删除实践的完整信息，以及清晰描述如何根据第56.182条(c)款提起违反本章规定的投诉的信息。

(2) 获取消费者对其基因数据收集、使用和披露的明确同意，其中至少包括对以下各项的单独明确同意：

(A) 通过向消费者提供的基因检测产品或服务收集的基因数据的使用，包括谁可以访问基因数据、基因数据可能如何共享，以及收集、使用和披露基因数据的具体目的。

(B) 在消费者请求的初始检测完成后，对消费者生物样本的存储。

(D) 将消费者基因数据或生物样本转移或披露给服务提供商以外的第三方的每次行为，包括将接收消费者基因数据或生物样本的第三方的名称。

(E)

(i) 基于消费者基因数据向消费者进行营销或协助营销，或第三方基于消费者已订购、购买、接收或使用基因检测产品或服务而进行的营销或协助营销。

(ii) 本分段不要求直接面向消费者的基因检测公司获取消费者明确同意，以便在该公司自己的网站或移动应用程序上，基于消费者已从该公司订购、购买、接收或使用基因检测产品或服务而向其进行营销，如果广告内容不依赖于该消费者的任何特定信息，除了消费者订购、购买、接收或使用的产品或服务之外，且广告的投放并非旨在根据第51条中规定的任何特征导致广告内容的不平等曝光。本分段中的任何内容均不改变、限制或否定任何其他反歧视法或定向广告法的要求。

(iii) 根据(i)或(ii)款向消费者展示的任何第三方产品或服务广告，应显著标明为广告内容，并附有促成广告投放的任何第三方的名称。如适用，广告还应明确指出所宣传的产品或服务以及任何相关声明未经直接面向消费者的基因检测公司审查或认可。

(F) 就本款而言，“第三方”不包括公共或私人非营利性高等教育机构，只要消费者的基因数据或生物样本是为第56.184条(b)款(4)项所述的科学研究或教育活动目的而披露给公共或私人非营利性高等教育机构。

(b) 受(a)款(2)项所述要求约束的公司，应提供有效的机制，且不包含任何不必要的步骤，供消费者在同意后撤销其同意，其中至少一种机制应利用公司与消费者沟通的主要媒介。

(1) 根据本节撤销同意应符合《联邦法规法典》第 45 篇第 46 部分的规定。

(2) 公司应在收到撤销存储生物样本同意后的 30 天内销毁消费者的生物样本。

(d) 直接面向消费者的基因检测公司应执行以下两项操作：

(1) 实施并维护合理的安全程序和措施，以保护消费者的基因数据免遭未经授权的访问、销毁、使用、修改或披露。

(2) 制定程序和措施，使消费者能够轻松执行以下任何操作：

(A) 访问消费者的基因数据。

(B) 删除消费者的账户和基因数据，但公司为遵守适用的法律和法规要求而必须保留的基因数据除外。

(e) 任何人或公共实体不得因消费者行使本章项下的任何权利而歧视消费者，包括但不限于通过以下任何方式：

(1) 拒绝向消费者提供商品、服务或福利。

(2) 对商品或服务收取不同的价格或费率，包括通过使用折扣或其他激励措施或施加罚款。

(3) 向消费者提供不同水平或质量的商品、服务或福利。

(4) 暗示消费者将获得不同价格或费率的商品、服务或福利，或不同水平或质量的商品、服务或福利。

(5) 将消费者行使本章项下的权利视为涉嫌刑事不法行为或非法行为的依据。

(f)

(1) 尽管本节有任何其他规定，除第 (2) 项另有规定外，直接面向消费者的基因检测公司不得向任何负责管理或决定健康保险、人寿保险、长期护理保险、残疾保险或就业的实体，或向任何为负责执行这些职能的实体提供咨询的实体披露消费者的基因数据。

(2) 如果符合以下所有条件，直接面向消费者的基因检测公司可以向第 (1) 项所述实体披露消费者的基因数据或生物样本：

(A) 该实体并非主要从事健康保险、人寿保险、长期护理保险、残疾保险或就业的管理。

(B) 消费者的基因数据或生物样本并非以该实体作为负责管理、咨询或决定健康保险、人寿保险、长期护理保险、残疾保险或就业的当事方的身份披露给该实体。

基因数据隐私声明消费者同意 ...

Section § 56.182

如果有人过失违反本法律，他们可能需要支付最高1000美元的罚款，外加诉讼费。如果他们故意违反，将被处以1000至10000美元的罚款，外加诉讼费。总检察长、地方检察官、市检察官或其他有适当授权的人可以向法院提起这些案件。收取的罚款将支付给受影响的个人，而诉讼费则支付给处理案件的一方。合同不能阻止某人就本法律涵盖的问题获得法律帮助。最后，每次违规行为都被视为一个独立的问题。

(a) 任何过失违反本章规定的人，应被处以民事罚款，金额不超过一千美元 ($1,000)，另加诉讼费，由法院裁定。

(b) 任何故意违反本章规定的人，应被处以民事罚款，金额不低于一千美元 ($1,000) 且不高于一万美元 ($10,000)，另加诉讼费，由法院裁定。

(c) 根据本章寻求救济的诉讼，应由总检察长或地方检察官，或经与地方检察官协议授权的县法律顾问（在涉及违反县级条例的诉讼中），或人口超过 750,000 的城市的市检察官，或市县的市检察官，或经地方检察官同意的拥有专职市检察官的城市的市检察官，以加利福尼亚州人民的名义，根据其自身投诉或根据委员会、官员、个人、公司或协会的投诉，或根据因违反本章而实际遭受损害并损失金钱或财产的人的投诉，专属在有管辖权的法院提起。

(d) 根据本节追回的诉讼费应支付给提起违规诉讼的一方或多方。根据本节追回的罚款应支付给所涉遗传数据相关联的个人。

(e) 消费者与受本章管辖的人之间的任何合同或协议条款，凡具有或将具有延迟或限制获得针对违反本章行为的法律救济的效果，均不适用于根据本章行使权利或执行。

(f) 每次违反本章的行为均为独立的、可提起诉讼的违规行为。

民事罚款过失违规故意违规 ...

Section § 56.184

本法明确规定，直接面向消费者的基因检测公司必须遵守所有相关的隐私和安全法律。如果本规定与其他法律发生冲突，则以对消费者隐私保护最严格的规定为准。本法不适用于某些情况，例如已受特定隐私法管辖的医疗信息、某些医疗保健提供者，或用于诊断特定疾病的检测。它也不涵盖某些教育机构进行的研究、加州新生儿筛查计划，以及基因数据必须用于工作场所健康和安全的情况。此外，消费者自愿公开的信息不受这些规定的影响。

(a) 本章规定不得减少直接面向消费者的基因检测公司根据任何适用的州和联邦隐私和安全保护法律所承担的职责、义务、要求或标准。

(b) 如果本章规定与任何其他法律发生冲突，则应优先适用给予消费者隐私权最大保护的法律规定。

(1) 受《医疗信息保密法》第2.6部分（第56条起）管辖的医疗信息，或受涵盖实体或业务伙伴根据美国卫生与公众服务部发布的《联邦法规》第45卷第160和164部分规定的隐私、安全和违规通知规则管辖，并根据1996年《联邦健康保险流通与责任法案》（Public Law 104-191）和《联邦经济与临床健康信息技术法案》（Public Law 111-5）制定的受保护健康信息，这些信息被收集、维护、使用或披露。

(2) 受《医疗信息保密法》（第2.6部分（第56条起））管辖的医疗保健提供者，或受涵盖实体根据美国卫生与公众服务部发布的《联邦法规》第45卷第160和164部分规定的隐私、安全和违规通知规则管辖，并根据1996年《健康保险流通与责任法案》（Public Law 104-191）和《联邦经济与临床健康信息技术法案》（2009年《联邦美国复苏与再投资法案》第十三篇，Public Law 111-5）制定的受涵盖实体，只要该提供者或受涵盖实体以与第 (1) 款所述医疗信息或受保护健康信息相同的方式维护、使用和披露基因信息。

(3) 受涵盖实体的业务伙伴，该业务伙伴受美国卫生与公众服务部发布的《联邦法规》第45卷第160和164部分规定的隐私、安全和数据泄露通知规则管辖，并根据1996年《联邦健康保险流通与责任法案》（Public Law 104-191）和《联邦经济与临床健康信息技术法案》（2009年《联邦美国复苏与再投资法案》第十三篇，Public Law 111-5）制定，只要该业务伙伴以与第 (1) 款所述医疗信息或受保护健康信息相同的方式维护、使用和披露基因信息。

(4) 由公立或私立非营利性高等教育机构进行的科学研究或教育活动，该机构根据《联邦法规》第45卷第46部分与美国卫生与公众服务部签订了保证协议，只要该机构进行的科学研究和教育活动符合所有适用的联邦和州法律法规，以保护研究中的人类受试者，包括但不限于根据《联邦法规》第45卷第46部分（第46.101条起）的《共同规则》、根据《联邦法规》第21卷第50和56部分的美国食品药品监督管理局法规、《联邦家庭教育权利与隐私法案》(20 U.S.C. Sec. 1232g)，以及《健康与安全法典》第20部第1.3章（第24170条起）的《医疗实验中人类受试者保护法》。

(5) 经《健康与安全法典》第106部第5部分第1章（第124975条起）授权的加州新生儿筛查计划。

(6) 专门用于诊断个体是否患有特定疾病的检测，只要参与检测的所有人员以与第 (1) 款所述医疗信息或受保护健康信息相同的方式维护、使用和披露基因信息。

(7) 雇主使用或维护的基因数据，或雇员向雇主披露的基因数据，只要该数据的使用、维护或披露对于遵守地方、州或联邦工作场所健康与安全条例、法律或法规是必要的。

(d) 本章任何规定均不得解释为影响消费者向公众公开的信息的获取。

直接面向消费者的基因检测隐私保护消费者隐私 ...

Section § 56.186

本法律规定，如果本章的任何部分被认定为无效或不可执行，本章的其余部分仍然有效且可执行。某一部分的无效不影响可以独立运作的其他部分的有效性。

本章的规定是可分割的。如果本章的任何规定或其适用被认定无效，该无效不应影响在没有无效规定或适用的情况下仍可生效的其他规定或适用。

可分割性无效条款独立运作 ...

在填写您的离婚表格时遇到困难？

医疗信息保密

医疗信息保密基因隐私