Регуляторная адвокатская услуга

Меморандум о соответствии Washington MHMDA: фиксированная регуляторная проверка для SaaS-, ИИ- и health-приложений

Если ваш продукт затрагивает потребителей в штате Вашингтон и какие-либо данные правдоподобно квалифицируются как «consumer health data» (данные о здоровье потребителей), то применяется Chapter 19.373 RCW (Washington My Health My Data Act). Это первый в США закон о приватности данных о здоровье за пределами HIPAA, с автоматическим (per se) основанием для иска по Consumer Protection Act и частным правом на иск. Соответствие - это регуляторный вопрос, который я могу проанализировать по своей калифорнийской лицензии уже сегодня, без допуска в адвокатуру штата Вашингтон. Три уровня ниже превращают эту работу в письменные меморандумы с фиксированной стоимостью, так что вы знаете результат и цену до начала работы.

Регуляторная адвокатская работа. Адвокат из Калифорнии, CA Bar #279869, с заявлением на допуск в адвокатуру штата Вашингтон на рассмотрении.

Последняя проверка: 2026-05-18. Ссылки на нормы сверены с Chapter 19.373 RCW на app.leg.wa.gov на дату проверки.

🤖 ИИ-юридический аналитик

Спросите моего ИИ-юридического аналитика об этой услуге

Аналитик оценивает ваш продукт, потоки данных и уровень присутствия пользователей из штата Вашингтон и подсказывает, что подходит: $499 меморандум об объёме (применяется ли MHMDA вообще), $900 меморандум плюс формулировки DPA и вендоров, $1,500 меморандум плюс составленная Consumer Health Data Privacy Policy, либо письменная консультация адвоката за $240, если вам нужно разобрать один вопрос. Полная адвокатская проверка ваших документов и финальное заключение о соответствии - это платная услуга, а не этот чат. Это информация, сгенерированная ИИ, а не юридическая консультация.

Стоимость и объём бесплатно · мгновенно · без email

Что входит в меморандум об объёме за $499?

Уровень 1 за $499 - это письменный меморандум адвиоката на две страницы, отвечающий на вопрос: применяется ли MHMDA к вашему продукту? Он покрывает анализ «регулируемое лицо против малого бизнеса» по RCW 19.373.020, определение потребителя и определение «consumer health data» по RCW 19.373.010 (включая объём, основанный на выводах из неклинических сигналов), отдельное требование о Consumer Health Data Privacy Policy по RCW 19.373.040 (да или нет, чего не хватает) и аудит геозон по RCW 19.373.080 (да или нет по вашему продукту). Результат - письменный меморандум адвоката на понятном языке, со ссылками на нормы. Срок - пять рабочих дней. Подходит оператору SaaS или приложения, который пока не уверен, применяется ли MHMDA вообще.

Запросить Уровень 1 за $499

Чем отличаются три уровня?

Уровень 1 ($499): меморандум об объёме на две страницы - применяется ли MHMDA, есть ли требование об отдельной политике, есть ли проблема с геозонами. Уровень 2 ($900): всё из Уровня 1 плюс договорные формулировки для вендоров и DPA для нижестоящих обработчиков по стандарту обязывающих инструкций RCW 19.373.060, рекомендации по UX согласия против двухслойного режима согласия RCW 19.373.030 и проверка ссылки с домашней страницы. Уровень 3 ($1,500): всё из Уровня 2 плюс составленная отдельная Consumer Health Data Privacy Policy (отдельный документ по RCW 19.373.020 и RCW 19.373.040), составленный текст ссылки на домашней странице и руководство по размещению, составленные формулировки потока согласия для регулируемой точки сбора и один раунд уточняющей переписки после передачи. Сроки: пять рабочих дней (Уровни 1 и 2), семь рабочих дней (Уровень 3).

Что вообще требует MHMDA?

Пять рабочих обязанностей по соответствию: (1) отдельная Consumer Health Data Privacy Policy, заметно связанная ссылкой с домашней страницы, по RCW 19.373.020; (2) двухслойный режим прямого согласия - отдельное согласие на сбор и отдельное согласие на передачу, по RCW 19.373.030; (3) режим договоров с обработчиками по обязывающим инструкциям по RCW 19.373.060; (4) авторизация из девяти элементов в стиле HIPAA до любой продажи данных о здоровье потребителей, по RCW 19.373.070; и (5) прямой запрет геозон в радиусе 2 000 футов от очных медицинских учреждений для отслеживания, сбора данных или рекламы, по RCW 19.373.080. Ставки высоки из-за RCW 19.373.090: каждое нарушение MHMDA автоматически (per se) является нарушением Consumer Protection Act, с частным правом на иск.

Мы под HIPAA - мы освобождены?

Не обязательно. Исключения в RCW 19.373.100 уже, чем кажутся: они привязаны к данным, а не к лицу целиком. Больница, подпадающая под HIPAA, освобождена в отношении своих PHI, но не в отношении данных маркетинговых пикселей на своём публичном сайте. Wellness-приложения вне предложения подпадающего лица, потребительские фитнес-трекеры, приложения для ментального здоровья «напрямую потребителю», приложения для отслеживания цикла и фертильности, приложения для сна, ИИ-проверщики симптомов и приложения общего назначения, которые выводят данные о здоровье из неклинических сигналов, не подпадают под HIPAA и не освобождены. Меморандум об объёме за $499 отвечает именно на этот вопрос для вашего конкретного продукта.

Что мне от вас нужно прислать?

Для определения объёма и передачи результата пришлите: текущую политику конфиденциальности (URL или PDF); краткое описание продукта (какие данные собираете, у кого, с какой целью); есть ли у вас пользователи из штата Вашингтон (да, нет или не уверены); включают ли данные правдоподобно биометрию, ментальное здоровье, репродуктивные, гендерно-аффирмативные, фитнес-данные, геолокацию рядом с медицинским учреждением или выводы из любого из перечисленного; URL домашней страницы (для проверки ссылки на отдельную политику); скриншоты UX согласия или письменное описание потока согласия. Для Уровней 2 и 3 дополнительно - текущий список вендоров и обработчиков плюс ваш существующий шаблон DPA, если он есть. Пришлите документы по защищённой почте; портал загрузки скоро появится.

Когда достаточно консультации за $240?

Если вам не нужен полный меморандум, а нужно разобрать один вопрос (например, подпадает ли продукт под MHMDA в принципе, или нужна ли вам отдельная политика), выбирайте письменную консультацию адвоката за $240. Вы присылаете вопрос, короткое изложение фактов и ключевые документы (до 30 страниц) и получаете письменный ответ адвоката с основными юридическими вопросами, рисками, точками влияния и практическими следующими шагами. Срок - два рабочих дня. Это не полный меморандум о соответствии, проверка или составление документов, если иное отдельно не согласовано. Есть и часовая стратегическая сессия по Zoom за $400.

Запросить консультацию за $240 Сессия по Zoom за $400

Что НЕ входит?

Три вещи находятся вне этих уровней и тарифицируются отдельно. Во-первых, защита по активному запросу генерального прокурора штата Вашингтон или по поданной частной жалобе CPA - это работа, близкая к судебной; я тарифицирую её почасово и, при необходимости, координируюсь с адвокатом из штата Вашингтон. Во-вторых, многоштатный меморандум о гармонизации, сопоставляющий MHMDA с CCPA / CPRA, Connecticut Data Privacy Act, законом Невады SB 370 о данных о здоровье или GDPR, шире, чем объём по одному закону здесь, и тарифицируется отдельно. В-третьих, составление общей политики конфиденциальности или условий использования с нуля - это другой продукт; результат Уровня 3 - это отдельный документ, специфичный для MHMDA, а не полная общая политика конфиденциальности.

Спросите ИИ о вашем продукте

Что в действительности требует MHMDA

MHMDA применяется к любому «regulated entity» (регулируемому лицу) или «small business» (малому бизнесу), который ведёт деятельность в штате Вашингтон или нацеливает продукты или услуги на потребителей в штате Вашингтон и определяет цель и средства обработки данных о здоровье потребителей. Объём, определения и порог малого бизнеса находятся в RCW 19.373.010 и RCW 19.373.020. «Consumer health data» охватывает всё, что разумно связуемо с потребителем и идентифицирует прошлое, настоящее или будущее физическое или ментальное состояние здоровья, включая выводы, сделанные из неклинических сигналов. Закон действует в отношении регулируемых лиц с 31 марта 2024 года и в отношении малого бизнеса - с 30 июня 2024 года.

Почему ставки высоки - RCW 19.373.090. Эта норма объявляет каждое нарушение MHMDA автоматическим (per se) нарушением Consumer Protection Act по Chapter 19.86 RCW. Частному истцу не нужно отдельно заявлять элемент общественного интереса; норма поставляет его. В сочетании с дискреционными тройными убытками с пределом усиления в $25,000, односторонним переносом расходов и четырёхлетним сроком исковой давности по RCW 19.86.120, MHMDA - это закон о приватности потребительских данных о здоровье с наибольшим рычагом давления в Соединённых Штатах.

Исключения в RCW 19.373.100 уже, чем кажутся. Они привязаны к данным, а не к лицу целиком. Больница, подпадающая под HIPAA, освобождена в отношении своих PHI, но не в отношении данных маркетинговых пикселей на своём публичном сайте. Wellness-приложения вне предложения подпадающего лица, потребительские фитнес-трекеры, приложения для ментального здоровья «напрямую потребителю», приложения для отслеживания цикла и фертильности, приложения для сна, ИИ-проверщики симптомов и приложения общего назначения, которые выводят данные о здоровье из неклинических сигналов, не подпадают под HIPAA и не освобождены.

Три уровня меморандума

Уровень 1, меморандум об объёме MHMDA

$499

Письменный меморандум адвоката на две страницы. Срок - пять рабочих дней.

Применяется ли MHMDA к вашему продукту?

Покрывает анализ «регулируемое лицо против малого бизнеса» по RCW 19.373.020, определение потребителя и определение «consumer health data» по RCW 19.373.010 (включая объём, основанный на выводах), отдельное требование о Consumer Health Data Privacy Policy по RCW 19.373.040 (да или нет, чего не хватает) и аудит геозон по RCW 19.373.080 (да или нет по вашему продукту). Результат - письменный меморандум адвоката на понятном языке, со ссылками на нормы. Подходит оператору SaaS или приложения, который пока не уверен, применяется ли MHMDA вообще.

Уровень 2, меморандум MHMDA плюс формулировки DPA и вендоров

$900

Письменный меморандум адвоката на две страницы. Срок - пять рабочих дней.

Результат Уровня 1 плюс договорный слой для вендоров

Результат Уровня 1 плюс договорные формулировки для вендоров и DPA для нижестоящих обработчиков и сторонних поставщиков услуг (составленные по стандарту обязывающих инструкций RCW 19.373.060), рекомендации по UX согласия против двухслойного режима согласия RCW 19.373.030 и проверка ссылки с домашней страницы для требования об отдельной политике. Подходит SaaS, запускающемуся со встроенными сторонними обработчиками, которому нужен договорный слой вендоров, согласованный с политикой.

Уровень 3, меморандум MHMDA плюс составленная Consumer Health Data Privacy Policy

$1,500

Письменный меморандум адвоката плюс составленные документы. Срок - семь рабочих дней.

Результат Уровня 2 плюс составленная отдельная политика

Результат Уровня 2 плюс составленная отдельная Consumer Health Data Privacy Policy (отдельный документ, требуемый RCW 19.373.020 и поясняемый каталогом прав в RCW 19.373.040), составленный текст ссылки на домашней странице и руководство по её размещению для выполнения требования о заметной ссылке, составленные формулировки потока согласия для регулируемой точки сбора данных о здоровье потребителей и один раунд уточняющей переписки после передачи. Подходит SaaS, выпускающему продукт для потребителей в штате Вашингтон без существующей позиции по приватности данных о здоровье.

Цены прямого бронирования на Terms.Law отражают отсутствие комиссий сторонних площадок, администрирования площадки или специфических для площадки накладных расходов на рабочий процесс. Если первоначальный контакт был установлен через стороннюю площадку, все коммуникации и платежи должны оставаться на этой площадке, если только отношения не переведены в соответствии с правилами этой площадки.

Почему я могу выполнять эту работу по своей калифорнийской лицензии

Washington My Health My Data Act может дотягиваться до компаний из других штатов, если они ведут деятельность в штате Вашингтон или нацеливают продукты или услуги на потребителей в штате Вашингтон и определяют цели и средства сбора, обработки, передачи или продажи данных о здоровье потребителей. SaaS-компания в Техасе с пользователями из штата Вашингтон, wellness-приложение в Калифорнии, нацеленное на потребителей в штате Вашингтон, или ИИ-инструмент здоровья, собирающий данные о здоровье потребителей у пользователей из штата Вашингтон, могут нуждаться в проверке по MHMDA в зависимости от нацеливания, категорий данных и контроля над обработкой. Проверка соответствия - это регуляторная адвокатская работа, а не представительство по праву штата Вашингтон. Я лицензирован в Калифорнии (CA Bar #279869), с заявлением на допуск в адвокатуру штата Вашингтон на рассмотрении; меморандум по MHMDA - это регуляторный анализ того, как закон штата Вашингтон применяется к вашему продукту, а не «представительство по праву штата Вашингтон». Если дело перерастёт в судебный спор, специфичный для штата Вашингтон, в правоприменительное действие генерального прокурора или в частный иск по CPA, поданный в суды штата Вашингтон, я координировался бы с адвокатом из штата Вашингтон или передал бы судебную работу.

Что мне нужно от вас, чтобы определить объём и передать результат

Текущая политика конфиденциальности (URL или PDF).
Краткое описание продукта: какие данные вы собираете, у кого, с какой целью.
Есть ли у вас пользователи из штата Вашингтон (да, нет или не уверены).
Включают ли данные правдоподобно биометрию, ментальное здоровье, репродуктивные, гендерно-аффирмативные, фитнес-данные, геолокацию рядом с медицинским учреждением или выводы из любого из перечисленного.
URL домашней страницы (для проверки ссылки на отдельную политику конфиденциальности).
Скриншоты UX согласия или письменное описание потока согласия.
Только для Уровней 2 и 3: ваш текущий список вендоров и обработчиков плюс ваш существующий шаблон DPA, если он есть.

Что не входит в объём

Тарифицируется отдельно. Три вещи находятся вне этих уровней и должны тарифицироваться отдельно, если они вам нужны. Во-первых, защита по активному запросу генерального прокурора штата Вашингтон или по поданной частной жалобе CPA - это работа, близкая к судебной, которую я тарифицировал бы почасово и, при необходимости, координировал бы с адвокатом из штата Вашингтон. Во-вторых, многоштатный меморандум о гармонизации, сопоставляющий MHMDA с CCPA / CPRA, Connecticut Data Privacy Act, законом Невады SB 370 о данных о здоровье или GDPR, шире, чем объём по одному закону здесь, и тарифицировался бы отдельно. В-третьих, составление общей политики конфиденциальности или условий использования с нуля - это другой продукт; результат Уровня 3 - это отдельный документ, специфичный для MHMDA, а не полная общая политика конфиденциальности.

Готовы заключить услугу

Выберите уровень, соответствующий вашему этапу: $499 чтобы узнать, применяется ли MHMDA, $900 чтобы добавить договорный слой вендоров и DPA, $1,500 чтобы добавить составленную отдельную Consumer Health Data Privacy Policy. Если вам нужно сначала разобрать один вопрос, есть письменная консультация адвоката за $240.

Ссылки PayPal NCP для трёх уровней меморандума MHMDA сейчас оформляются. Чтобы начать работу, напишите мне на owner@terms.law, указав желаемый уровень и приложив политику конфиденциальности, описание продукта и краткую анкету, и я отвечу с подтверждением о начале работы и правильной ссылкой для оплаты.

Консультация за $240 Сессия по Zoom за $400

Я не провожу бесплатный ознакомительный звонок или бесплатное сканирование документов до начала работы. Чат выше - это бесплатная предварительная оценка; меморандум о соответствии MHMDA - это платная услуга.

Примечания об источниках

Нормативные источники получены 2026-05-18 с app.leg.wa.gov:

RCW 19.373.005, законодательные выводы.
RCW 19.373.010, определения (потребитель, данные о здоровье потребителей, регулируемое лицо, малый бизнес, геозона).
RCW 19.373.020, Consumer Health Data Privacy Policy и требование о ссылке с домашней страницы.
RCW 19.373.030, двухслойный режим прямого согласия.
RCW 19.373.040, права потребителей (доступ, удаление, отзыв, обжалование).
RCW 19.373.050, безопасность данных и ограничения доступа, привязанные к согласию.
RCW 19.373.060, режим обязывающих инструкций для обработчиков.
RCW 19.373.070, продажа данных о здоровье потребителей и авторизация из девяти элементов.
RCW 19.373.080, запрет геозон в радиусе 2 000 футов от очных медицинских учреждений.
RCW 19.373.090, автоматическое (per se) основание по Consumer Protection Act.
RCW 19.373.100, исключения (привязаны к данным, а не к лицу целиком).

Денежные суммы, поправки к нормам и любые последующие руководства генерального прокурора штата Вашингтон, формы ведомств или подзаконные акты, изданные в рамках MHMDA, следует сверять с текущими публикациями на app.leg.wa.gov и atg.wa.gov до того, как полагаться на них в конкретном деле. Каждый меморандум, который я пишу, заново сверяет действующий текст в день составления.

Связанные материалы на этом сайте

Washington My Health My Data Act hub - более широкий ландшафт соответствия MHMDA.
Washington Consumer Protection Act hub - основание per se и механика частного иска.
Washington Data Breach Notification Guide - обязанности по уведомлению о нарушении данных.
Washington SaaS Terms Guide - условия SaaS для продуктов, затрагивающих пользователей из штата Вашингтон.
SaaS Agreement Review - более широкая услуга проверки SaaS / контрактов.