Образовательный ресурс по праву штата Вашингтон

MHMDA штата Вашингтон для SaaS в сфере психического здоровья: соблюдение норм за пределами HIPAA

Если я веду приложение для терапии, трекер настроения, продукт для ведения дневника, платформу для лечения зависимостей, сообщество взаимопомощи, AI чат-бот по психическому здоровью или любой поведенческий SaaS, который затрагивает потребителей штата Вашингтон, Chapter 19.373 RCW, скорее всего, распространяется на меня, а HIPAA обычно нет. Большинство SaaS в сфере психического здоровья находится полностью за пределами HIPAA, потому что оператор не является ни Covered Entity, ни Business Associate. My Health My Data Act штата Вашингтон заполняет этот пробел и рассматривает статус психического здоровья, настроение, симптомы, диагноз, обращение за лечением, записи дневника и выводы как Consumer Health Data. Нарушение является per se нарушением Consumer Protection Act согласно RCW 19.373.090. Этот хаб разбирает реальную поверхность соответствия для продуктов поведенческого здоровья.

Последняя юридическая проверка: 2026-05-19. Цитаты проверены по Chapter 19.373 RCW. Общую структуру MHMDA смотрите на моём хабе MHMDA штата Вашингтон. Для определения сферы применения смотрите MHMDA Scope Analyzer; для проверки пробелов, специфичной для SaaS в сфере психического здоровья, смотрите Mental Health SaaS MHMDA Gap Checker.

Почему SaaS в сфере психического здоровья - категория MHMDA с самым высоким риском

MHMDA определяет Consumer Health Data в RCW 19.373.010 как персональную информацию, связанную или разумно связываемую с потребителем, которая идентифицирует прошлый, настоящий или будущий статус физического или психического здоровья, включая выводы. Психическое здоровье названо явно. Определение охватывает очевидные категории (диагноз, лечение, симптомы, медикаменты), а также входы и выходы большинства SaaS-продуктов в сфере психического здоровья: журналы настроения, записи дневника, маркеры сна и стресса, результаты опросников PHQ-9 / GAD-7 / PCL-5, флаги кризисной лексики и любые AI-выводы, сделанные на основе неклинических входных данных.

Три причины, по которым эта категория несёт больший риск, чем обычные wellness SaaS. Во-первых, большинство продуктов в сфере психического здоровья прямо приглашают пользователей раскрывать статус психического здоровья, что устраняет любой аргумент типа «мы никогда не собираем данные о здоровье». Во-вторых, сторонние SDK (аналитика, session replay, атрибуционные пиксели, CRM, AI API, инструменты клиентской поддержки) обычно получают контент, который является Consumer Health Data, что превращает маркетинговые пиксели и AI-API-вызовы в события передачи данных по MHMDA. В-третьих, мост per se к CPA в RCW 19.373.090 означает, что истцу не нужно доказывать общественную значимость по делу Hangman Ridge; частное право на иск с дискреционным трёхкратным взысканием с лимитом $25,000 и односторонним возмещением гонораров возникает автоматически.

MHMDA может применяться, когда HIPAA не применяется

HIPAA охватывает Covered Entities (планы здравоохранения, расчётные центры здравоохранения, медицинские провайдеры, передающие медицинскую информацию электронно в HIPAA-транзакциях) и их Business Associates. Потребительский SaaS в сфере психического здоровья без отношений с провайдером обычно не является ни тем, ни другим. Прямые потребительские терапевтические чат-боты, приложения для ведения дневника, трекеры настроения, приложения взаимопомощи и AI-помощники по психическому здоровью обычно находятся за пределами HIPAA. Освобождение в RCW 19.373.100 относится к данным, а не к организации целиком: даже приложение, имеющее некоторые отношения, охваченные HIPAA, всё равно несёт обязательства MHMDA в отношении любых Consumer Health Data, которые не являются PHI в покрываемой транзакции.

Для сравнительного анализа пересечений, исключений и практической позиции для гибридных продуктов смотрите мой HIPAA vs MHMDA для SaaS в сфере психического здоровья.

Стек соответствия для поведенческого SaaS

Отдельная Consumer Health Data Privacy Policy согласно RCW 19.373.020. Самостоятельный документ, заметно связанный с главной страницы, отдельный от общей политики конфиденциальности. Пять обязательных раскрытий, включая конкретный список аффилированных лиц. Объединение раскрытий MHMDA в общую политику конфиденциальности - самая распространённая модель нарушений.
Двухуровневое согласие согласно RCW 19.373.030. Положительное согласие на сбор плюс отдельное, различимое согласие на передачу. Не связанное с общим принятием условий. Один флажок «Я согласен с политикой конфиденциальности» недостаточен.
Операционные права и рабочий процесс удаления согласно RCW 19.373.040. Подтверждение, доступ со списком сторонних получателей, отзыв, удаление (включая уведомление вниз по цепочке процессоров и третьих лиц) и процесс апелляции с письменным решением в течение 45 дней. Это должно быть операционным, а не просто текстом политики. Запрос на удаление, который невозможно фактически выполнить в AI vector store, аналитическом хранилище и CRM, является нарушением на практике.
Безопасность при разумной заботливости согласно RCW 19.373.050. Ограничьте доступ только теми сотрудниками, процессорами и подрядчиками, которым доступ необходим для выполнения согласованных целей. Административный, технический и физический контроль на уровне отраслевой нормы или выше.
MHMDA-совместимые контракты с процессорами согласно RCW 19.373.060. Обязательные инструкции, ограниченные разрешённые цели, обязательство о разумной помощи. Стандартные GDPR DPA и соглашения о сервис-провайдерах CCPA обычно требуют дополнения для штата Вашингтон. Процессор, выходящий за рамки инструкций, превращается в регулируемую организацию для соответствующих данных.
Запрет геозонирования согласно RCW 19.373.080. Полный запрет геозонирования в радиусе 2,000 футов от очной медицинской организации с целью идентификации или отслеживания потребителей, сбора данных о здоровье или отправки уведомлений. Продукты поведенческого здоровья с рекламой на основе геолокации или push-триггерами должны провести аудит конфигураций рекламных платформ против адресов психиатрических клиник, реабилитационных центров и метадоновых клиник.
Мост per se к CPA согласно RCW 19.373.090. Любое нарушение автоматически является нарушением Washington Consumer Protection Act. Элемент общественной значимости предоставлен по декларации; истец всё ещё доказывает ущерб и причинно-следственную связь.

Ловушка стороннего SDK. Большинство потребительских приложений для психического здоровья загружают аналитику, атрибуцию, session replay, рекламные пиксели, AI API и виджеты клиентской поддержки, которые получают контент с экрана. Когда этот контент - записи дневника, журналы настроения, чат-сообщения или ввод симптомов, каждый вызов SDK является событием передачи, подпадающим под RCW 19.373.030. Исправление - это задокументированная карта поставщиков, MHMDA-контракты с процессорами согласно RCW 19.373.060, и либо (a) отключить поток данных к поставщику, (b) собрать отдельное согласие на передачу для этого конкретного поставщика с заявленной целью, либо (c) рассматривать поставщика как регулируемую организацию для соответствующих данных. AI-функции, которые отправляют свободный текст с содержанием о психическом здоровье в API сторонней модели, - самый распространённый пробел, который я вижу.

Подкатегории SaaS в сфере психического здоровья

Профиль риска различается по подкатегориям. Я веду отдельную страницу по каждой, чтобы анализ пробелов оставался специфичным для вашего продукта.

Соответствие MHMDA для приложений терапии: каталоги лицензированных провайдеров, асинхронный обмен сообщениями, видеосессии и анализ пересечений HIPAA-MHMDA для гибридных моделей.
Соответствие MHMDA для трекеров настроения: журналы настроения, маркеры сна / стресса, движки выводов и оценки в стиле PHQ-9 вне клинических отношений.
Соответствие MHMDA для приложений ведения дневника: записи дневника в свободном тексте как категория ввода с наивысшей чувствительностью, риск AI-суммаризации и составление карты процессоров для AI-функций.
Соответствие MHMDA для приложений по лечению зависимостей: трекеры трезвости, приложения сообщества восстановления и исключение 42 CFR Part 2 в RCW 19.373.100.
Конфиденциальность AI чат-ботов в сфере психического здоровья: API AI-моделей, позиция данных для обучения, окна хранения, передача флагов кризиса и линия брендинга лицензированного специалиста.
Проверка конфиденциальности SaaS поведенческого здоровья: B2B и продукты для клинических провайдеров, порталы провайдеров и анализ HIPAA Business Associate, наложенный на MHMDA.
HIPAA vs MHMDA для SaaS в сфере психического здоровья: сравнение охвата, механика исключений и практическая позиция для гибридных продуктов.

Практическая заметка Сергея

SaaS в сфере психического здоровья - это категория, где MHMDA фактически меняет поведение на практике. Продукт приглашает пользователя раскрыть статус психического здоровья; платформа интегрируется с аналитикой, атрибуцией, AI-моделью API, CRM и виджетом поддержки; и почти ничего из этого не было сопоставлено со статутом штата Вашингтон. Исправление - это не желаемый текст политики. Это карта поставщиков, MHMDA-совместимые контракты с процессорами согласно RCW 19.373.060, операционный рабочий процесс удаления, который действительно достигает AI vector store и аналитического хранилища, отдельная Consumer Health Data Privacy Policy согласно RCW 19.373.020, и двухуровневое согласие при регистрации. Я проверяю продукты SaaS в сфере психического здоровья по лицензии Калифорнии. Это регуляторная консультативная работа, а не представительство в штате Вашингтон.

Что отправить для письменной проверки

Текущий URL политики конфиденциальности плюс снимок с датой; политика consumer health data, если она публикуется отдельно.
Скриншот главной страницы на десктопе и мобильном устройстве, показывающий ссылку на политику.
Скриншоты UX согласия: регистрация, баннеры согласия в приложении, переключатели передачи, раскрытие AI-функций, механизм отзыва.
Инвентаризация категорий Consumer Health Data (журналы настроения, записи дневника, результаты оценок, контент чата, выведенные категории).
Карта поставщиков: аналитика, session replay, атрибуция, рекламные пиксели, CRM, API AI-моделей, виджеты поддержки, облачные процессоры, субпроцессоры, плюс текущий шаблон DPA.
Позиция HIPAA: являюсь ли я Covered Entity, Business Associate или ни тем, ни другим, и какие поля данных, если таковые имеются, находятся внутри отношений, покрываемых HIPAA.
Краткое описание продукта: что делает продукт, какие данные он собирает, каких пользователей штата Вашингтон он затрагивает, какие AI-функции он поставляет.

Что я проверяю и что покрывают тарифы

Работа делится на меморандум об объёме, меморандум плюс исправления процессоров и согласия, и меморандум плюс составление Consumer Health Data Privacy Policy. Для продуктов поведенческого здоровья с множественными интеграциями SaaS-пакет включает карту поставщиков, формулировки процессоров, политику и поток согласия по лицензии Калифорнии. Для более крупного SaaS-пакета напишите мне для уточнения текущей доступности и подтверждения объёма.

Первичные источники

Источники статутов получены 2026-05-19 с app.leg.wa.gov: RCW 19.373.010, .020, .030, .040, .050, .060, .080, .090, .100.

Образовательный ресурс. Сергей Токмаков - адвокат, лицензированный в Калифорнии (CA Bar #279869), в настоящее время рассматривается его допуск в коллегию адвокатов штата Вашингтон. Ничто на этой странице не создаёт отношения адвокат-клиент и не является юридической консультацией по праву штата Вашингтон. Адвокат, допущенный в штате Вашингтон, должен проверить действующий текст статута, прежде чем полагаться на него в реальном деле.

Реклама адвоката. Сергей Токмаков лицензирован в Калифорнии (CA Bar #279869); заявление о допуске к практике в штате Вашингтон находится на рассмотрении. Эти страницы предоставляют общую юридическую информацию и платную проверку документов или соответствия по делам штата Вашингтон. Я не выступаю в судах штата Вашингтон и не представляюсь адвокатом штата Вашингтон. Для подачи документов в суды штата Вашингтон, представительства или судебных разбирательств я координирую работу с квалифицированным адвокатом штата Вашингтон. Привлечение начинается только после проверки конфликтов и подписанного письма о привлечении.