受保护健康信息
受保护健康信息(Protected Health Information,PHI)是美国 HIPAA 法案定义的一个法律术语,指代由“涵盖实体”(如医院、保险公司)或其“商业伙伴”持有或传输的、任何能够识别个人身份的健康信息。PHI 的定义极其广泛,它不仅包括病历记录、实验室检查结果和影像数据,还包括支付记录甚至挂号时的预约信息。只要信息中包含特定的18类标识符(如姓名、日期、IP地址等)之一,且该信息与个人的身体/心理健康状况、医疗服务或医疗支付相关,即被视为 PHI,受到联邦法律的严格保护。
构成的三要素
并不是所有的健康数据都是 PHI。要成为 PHI,数据必须同时满足以下三个条件:
- 1. 身份识别性: 数据包含可以直接或间接识别特定个人的信息(如名字、SSN)。
- 2. 医疗相关性: 数据涉及个人的过去、现在或未来的身心健康状况、医疗服务提供过程或医疗支付信息。
- 3. 持有主体: 数据必须由 HIPAA 定义的“涵盖实体”(Covered Entity)或其“商业伙伴”(Business Associate)创建、接收或保存。
(注:你在智能手表或运动APP里自己记录的心率数据通常不属于PHI,因为APP开发商若不是医疗机构,则不受HIPAA管辖。)
避风港原则:18 类标识符 (Safe Harbor)
为了将 PHI 转化为非 PHI(即去标识化数据),HIPAA 规定了著名的“避风港”标准。必须移除以下 18 类信息,数据才被视为“脱敏”,从而可以自由用于科研或商业分析:
| 序号 | 标识符类别 | 详细说明与陷阱 |
|---|---|---|
| 1-3 | 姓名与地理位置 |
包括姓名、街道、城市、县、邮政编码(小于2万人的区域除外)。 |
| 4 | 所有日期 (Dates) |
直接关联个人的日期(出生、入院、出院、死亡)。 |
| 5-12 | 各类编码号码 |
电话、传真、电邮、社保号 (SSN)、病历号 (MRN)、医保受益人号、账户号、证书/执照号。 |
| 13-16 | 设备与网络标识 |
车辆牌照、设备序列号、Web URL、IP 地址。 |
| 17-18 | 生物特征与其他 |
指纹、声纹、全脸照片 (Full-face photos) 及任何其他唯一特征号码。 |
电子 PHI (e-PHI) 的特殊性
随着电子病历 (EHR) 的普及,e-PHI 成为了监管的重中之重。它适用 HIPAA 的安全规则 (Security Rule)。
- 加密要求: 所有处于传输状态(In Transit)和静止状态(At Rest)的 e-PHI 必须加密。例如,数据库必须加密,发送含有患者信息的邮件必须使用安全通道。
- 访问控制: 必须有严格的账号管理,实行“最小权限原则”。医生只能看到自己病人的数据。
- 审计日志 (Audit Trail): 系统必须记录谁在何时查看或修改了哪条数据。这是事后追责违规行为(如护士私自查看明星病历)的关键证据。
法规参考文献 [Legal Guidelines]
[1] U.S. Department of Health & Human Services (HHS). Guidance Regarding Methods for De-identification of Protected Health Information in Accordance with the Health Insurance Portability and Accountability Act (HIPAA) Privacy Rule.
[点评]:官方发布的权威指南,详细解释了“专家判定法”和“避风港法”的具体操作标准。
[2] Nass SJ, et al. (2009). Beyond the HIPAA Privacy Rule: Enhancing Privacy, Improving Health Through Research. National Academies Press.
[点评]:医学研究所 (IOM) 的报告,批评了过度严格的隐私规则可能阻碍流行病学研究,探讨了如何在保护 PHI 和促进科研之间取得平衡。
[3] Hripcsak G, et al. (2014). Health data privacy regulations and the free flow of information. Journal of Biomedical Informatics.
[点评]:从医学信息学角度讨论了 PHI 定义在面对基因组数据和大数据分析时面临的挑战(例如,基因组数据本身就是一种终极标识符)。