20
25
Specializing in Cross-Border E-Commerce
专注跨境电商
前言
HIPAA 是由美国国会于1996年通过、由时任总统比尔·克林顿签署生效的一项综合性法案。
HIPAA 在实践中影响最深远的部分是其对医疗数据隐私与安全的规范,尤其是通过后续颁布的《隐私规则》(Privacy Rule)和《安全规则》(Security Rule)。
HIPAA 不仅是一项医疗保险改革法案,更是美国构建现代数字医疗治理体系的基石。它通过平衡患者权利、行业效率与国家安全,为全球医疗数据保护立法(如欧盟 GDPR 中的健康数据特殊保护)提供了重要参考。尽管其合规要求复杂,但其“以风险为基础、技术中立、持续改进”的理念,至今仍深刻影响着全球医疗健康行业的信息安全实践。
本篇是解读的下篇,将对其核心内容“
安全规则”“违规通知规则”予以解读。
《健康保险携带和责任法案》(HIPAA)的核心内容围绕医疗信息隐私保护、数据安全、行政简化与患者权利保障四大支柱展开。尽管其名称强调“保险可携性”,但实践中最具影响力的是其对受保护健康信息(Protected Health Information, PHI)的规范体系。
本文将解读 HIPAA 的五大核心组成部分中的安全规则与违规通知规则:
核心内容二
安全规则
1
概述
《健康保险携带和责任法案》(HIPAA)的安全规则(Security Rule)是 HIPAA 法规体系中专门针对电子受保护健康信息(electronic Protected Health Information, e-PHI)制定的技术与管理保障标准。它于2003年2月由美国卫生与公共服务部(HHS)最终发布,2005年4月21日正式生效,并在2009年《HITECH 法案》及2013年《HIPAA 最终规则》中进一步强化。
与侧重“谁可以使用 PHI”的《隐私规则》不同,《安全规则》聚焦于“如何安全地存储、传输和处理 e-PHI”,其核心目标是确保 e-PHI 的机密性(Confidentiality)。
2
基本原则:技术中立 + 风险导向
安全规则不强制使用特定技术(如必须用 AES-256 加密),而是采用两大核心原则:
1. 技术中立(Technology Neutral)
不指定具体工具或协议,允许组织根据自身情况选择合适方案;
例如:“应考虑加密”(encryption must be considered),但若风险评估认为无需加密,可记录理由并采用其他控制措施。
2. 基于风险的合理实施(Reasonable and Appropriate Safeguards)
要求组织根据其规模、复杂性、技术能力、成本及 e-PHI 面临的风险,实施“合理且适当”的安全措施;
小型诊所与大型医院的安全要求强度可不同,但都必须完成风险分析(Risk Analysis)。
3
三大类安全保障措施
安全规则将安全控制分为三类共 10 项标准(Standards) 和 若干实施规范(Implementation Specifications)。其中部分规范为“必需”(Required),部分为“可寻址”(Addressable)。
管理保障
一、核心标准
(1)安全管理制度
(2)指定安全官
(3)员工培训与监督
(4)风险分析与风险管理
(5)应急计划
(6)评估与审计
二、关键内容
• 必须进行定期风险分析(识别威胁、漏洞、影响)
• 制定应急预案(数据恢复、紧急模式操作等)
• 对员工进行年度安全培训
• 指定专人负责安全合规
• 每年至少一次安全有效性评估
物理保障
一、核心标准
(1)设施访问控制
(2)工作站使用与安全
(3)设备与介质控制
二、关键内容
• 限制对含 e-PHI 的服务器机房、办公室的物理访问
• 规范工作站自动锁屏、屏幕隐私保护
• 设备报废时彻底清除 e-PHI(如硬盘消磁、粉碎)
• 记录设备移动与处置日志
技术保障
一、核心标准
(1)访问控制
(2)审计控制
(3)完整性控制
(4)身份认证
(5)传输安全
二、关键内容
• 唯一用户ID + 紧急访问程序
• 系统自动记录用户操作日志(审计追踪)
• 防止 e-PHI 被篡改(如使用校验码)
• 用户身份验证(密码、多因素认证)
• 传输加密(如 TLS、VPN)——虽为“可寻址”,但实践中几乎视为必需
4
关键合规义务详解
一、风险分析(Risk Analysis)——合规基石
必须系统识别:
e-PHI 存储位置(服务器、笔记本、手机、云端);
潜在威胁(黑客、内部人员、自然灾害);
现有控制措施的有效性;
漏洞(如未打补丁的软件、弱密码策略)。
HHS OCR 在执法中最常引用的违规点就是“未进行充分风险分析”。
二、 应急计划(Contingency Plan)
包括五个子计划:
数据备份计划;
灾难恢复计划;
紧急模式操作计划(如系统宕机时如何继续提供关键服务);
应用与数据关键性分析;
测试与修订机制。
三、访问控制
实施“最小权限原则”:员工仅能访问其职责所需的 e-PHI;
离职员工账户必须及时停用;
远程访问需通过安全通道(如 VPN + MFA)。
5
常见违规与执法重点(HHS OCR 数据)
1.未进行风险分析
多起罚款案件首要原因(如 2022 年眼科诊所 $30 万罚款)
2.未加密便携设备
笔记本、U盘丢失导致大规模泄露(如 2017 年 Center for Orthopaedic Specialists $80 万)
3.未及时终止离职员工访问权限
前员工持续访问患者数据库数月
4.缺乏应急计划
勒索软件攻击后无法恢复数据,被迫支付赎金
5.未签署 BAA 与云服务商合作
使用未经 BAA 约束的 Google Drive 存储病历
核心内容三
违规通知规则
1
规则背景与法律依据
首次引入:
2009 年《HITECH 法案》(Health Information Technology for Economic and Clinical Health Act)作为《美国复苏与再投资法案》的一部分,首次在联邦层面强制要求数据泄露通知。
正式生效:
2013 年 3 月 26 日,HHS(美国卫生与公共服务部)发布《HIPAA 最终规则》,整合并强化了违规通知义务。
核心目的:
赋予个人对其健康信息被不当访问或泄露的知情权;
推动涵盖实体和业务伙伴加强数据安全防护;
增强公众对医疗系统数据保护的信任。
2
什么是“违规”(Breach)?
一、根据 HIPAA 定义:
“Breach” 是指 未授权获取、访问、使用或披露受保护健康信息(PHI),且该行为危及 PHI 的安全性或隐私性。
二、关键判断标准:
“重大危害可能性”测试(Significant Risk of Harm Assessment)
三、不构成情形
并非所有 PHI 暴露都构成“违规”。如果组织能通过书面风险评估证明以下任一情形,则不视为违规,无需通知:
PHI 已有效加密(如符合 NIST 标准的 AES-256 加密),且密钥未泄露;
接收方无合理可能保留或利用 PHI(如误发邮件后立即撤回且确认未读);
经专家评估,重识别或滥用风险极低。
3
通知对象与时间要求
根据泄露涉及的人数规模,通知要求分为两类:
一、大规模违规(≥500 人)
二、小规模违规(<500 人)
4
通知内容要求
发送给个人的通知必须包含以下四项要素:
简明描述违规事件:何时发生、涉及哪些类型 PHI(如姓名、诊断、社保号);
已采取的应对措施:如调查、系统加固、员工培训等;
个人可采取的保护建议:如监控信用报告、设置欺诈警报、更改密码;
联系信息:提供机构隐私官或指定联系人的电话/邮箱,供进一步咨询。
作者简介
师伟律师
泰和泰(深圳)律师事务所
具备法院(四川省某人民法院民商事审判庭)、公司法务(超多维集团、环球易购等)和律所三重法律工作背景,拥有10年的法律从业经验。负责多起金额亿元以上的投融资并购交易,另外代理企业500+商事诉讼、仲裁案件,并保持90%胜诉率。
有长达6年的跨境电商行业的从业法律服务经验,在跨境电商企业涉及的境外产品合规、数据合规、广告营销合规、消费者保护合规、跨境电商企业在境内与供应商涉及的产品质量纠纷、与劳动者涉及的竞业限制纠纷、绩效纠纷、商业贿赂纠纷等方面有丰富的司法实践经验,能为客户提供跨境电商行业的常年法律顾问服务、专项服务以及诉讼服务。
电话丨18565822898
邮箱丨wei.shi@tahota.com
免责声明:本文及其内容仅为交流目的。本文任何文字、图片等内容,未经授权不得转载。如需转载或引用,请联系公众号后台取得授权。