HIPAA
HIPAA(Health Insurance Portability and Accountability Act,健康保险流通与责任法案)是美国国会于 1996 年颁布的一项联邦法律。尽管其最初目的是为了保障工人在换工作时健康保险的“可流通性”,但它如今最核心的影响力在于确立了受保护健康信息 (PHI) 的国家级安全标准。HIPAA 规定了谁有权查看和接收患者的健康数据,并要求医疗机构及其商业伙伴采取严格的物理、网络和程序安全措施来防止数据泄露。它是现代电子病历 (EHR) 系统设计和医疗数据合规性的最高准则。
三大核心规则 (The Three Pillars)
HIPAA 体系极其庞大,但对临床和数据从业者而言,最关键的是以下三大规则:
- 隐私规则 (Privacy Rule):
• 关注“谁”有权访问数据。
• 适用于所有形式的 PHI(纸质、口头、电子)。
• 规定患者有权获取自己的病历,并要求医疗机构在披露信息前需获得授权(除非是为了治疗、支付或医疗运营 TPO)。 - 安全规则 (Security Rule):
• 仅适用于电子形式的 PHI (e-PHI)。
• 关注“如何”保护数据。要求实施行政(人员培训)、物理(门禁、设备锁)和技术(加密、访问日志)三大类保障措施。 - 违规通报规则 (Breach Notification Rule):
• 一旦发生未授权的 PHI 泄露,必须在 60 天内通知受影响的个人、HHS(卫生与公众服务部),如果是大规模泄露(>500人),还必须通报媒体。
核心概念:PHI 与 去标识化
PHI (Protected Health Information) 是 HIPAA 保护的绝对核心。任何能够“识别个人身份”且涉及“健康状况、医疗服务或支付”的信息都属于 PHI。
| 类别 | 常见标识符 (共18类) |
|---|---|
| 直接标识 |
姓名、电话号码、电子邮件、社会安全号 (SSN)、病历号 (MRN)、设备序列号。 |
| 间接标识 |
所有比“年”更精细的日期(如入院日期、出生日期)、比“州”更精细的地理位置(如街道、邮编)。 |
| 生物特征 |
指纹、声纹、全脸照片 (Full-face photos)。 |
Safe Harbor 方法: 若要将数据用于科研且不受 HIPAA 限制,必须移除上述所有 18 类标识符,这一过程称为去标识化 (De-identification)。
适用实体:不只是医生
- 涵盖实体 (Covered Entities, CE):
• 医疗服务提供者(医生、诊所、心理学家、牙医、药房)。
• 健康计划(保险公司、HMO)。
• 医疗信息交换所(处理账单的中间机构)。 - 商业伙伴 (Business Associates, BA):
• 代表 CE 处理 PHI 的第三方。例如:AWS/Google Cloud(云存储)、律师事务所、IT 外包商、销毁文件的公司。
• 关键点: 任何 BA 在接触数据前,必须与 CE 签署 BAA (Business Associate Agreement),这使他们同样承担法律责任。
重要文献与法规来源 [Legal & Academic]
[1] Annas GJ. (2003). HIPAA regulations - a new era of medical-record privacy? New England Journal of Medicine.
[点评]:在隐私规则生效之际发表的重要评论,探讨了法律对临床研究和公共卫生的深远影响。
[2] Gostin LO. (2001). Health information privacy. JAMA.
[点评]:详细分析了在信息时代平衡个人隐私权与医疗数据流通(用于质量改建和科研)之间的伦理和法律挑战。
[3] U.S. Congress. (1996). Health Insurance Portability and Accountability Act of 1996. Public Law 104-191.
[点评]:法律原文。定义了现代美国医疗信息系统的底层架构。