【数据合规23】美国HIPAA解读（1）

因为专注所以专业

HIPAA 是由美国国会于1996年通过、由时任总统比尔·克林顿签署生效的一项综合性法案。

HIPAA 在实践中影响最深远的部分是其对医疗数据隐私与安全的规范，尤其是通过后续颁布的《隐私规则》（Privacy Rule）和《安全规则》（Security Rule）。

HIPAA 不仅是一项医疗保险改革法案，更是美国构建现代数字医疗治理体系的基石。它通过平衡患者权利、行业效率与国家安全，为全球医疗数据保护立法（如欧盟 GDPR 中的健康数据特殊保护）提供了重要参考。尽管其合规要求复杂，但其“以风险为基础、技术中立、持续改进”的理念，至今仍深刻影响着全球医疗健康行业的信息安全实践。

本篇是解读的上篇，将对其基本概念、立法目的、历史发展、适用范围予以解读。

基本概念

立法目的

发展脉络

1991年

美国国会开始关注医疗信息系统标准化问题，推动简化医疗行政流程。    

1996年8月21日

克林顿总统签署 HIPAA 成为法律，最初重点在于保险连续性和反欺诈。    

1999年

卫生与公共服务部（HHS）发布《隐私规则》草案，引发广泛讨论。  

2000年12月

《隐私规则》最终版发布，要求 Covered Entities（涵盖实体）保护 PHI。    

2003年4月14日

《隐私规则》正式生效，成为 HIPAA 隐私保护的里程碑。    

2005年4月21日 

《安全规则》生效，专门规范电子受保护健康信息（e-PHI）的技术与管理保障措施。    

2009年

《HITECH 法案》（作为《美国复苏与再投资法案》的一部分）通过，大幅强化 HIPAA 执法力度，扩展适用范围至“业务伙伴”（Business Associates），并引入强制性数据泄露通知制度。    

2013年

HHS 发布《HIPAA 最终规则》，整合 HITECH 要求，明确处罚分级、扩大责任主体。    

2020年代至今

HIPAA 持续适应云计算、远程医疗、AI 健康应用等新技术场景，强调风险评估与灵活合规。

发展特点

《健康保险携带和责任法案》（HIPAA）自1996年颁布以来，其历史发展呈现出鲜明的阶段性演进、技术驱动适应性、执法强化与责任扩展三大特点。这些特点不仅反映了美国医疗体系数字化进程中的挑战，也体现了隐私保护理念从“辅助条款”到“核心支柱”的转变。

以下从几个维度系统梳理 HIPAA 历史发展的主要特点：

初始定位（1996年）：

HIPAA 最初的核心目标是解决劳动者因更换工作而失去医保的问题（即“可携带性”），并打击医疗欺诈。隐私保护仅是附带条款（Section 264 要求 HHS 若两年内国会未立法，则自行制定隐私规则）。

功能重心转移（2000年后）：

随着电子病历（EMR）普及和数据泄露事件频发，HHS 于2000年发布《隐私规则》，2003年生效，使 HIPAA 实质转变为美国首个全国性医疗隐私保护框架。公众和行业逐渐将 HIPAA 等同于“医疗隐私法”，而非保险法规。

HIPAA 并未一次性规定所有细节，而是采取“框架+细则”的渐进模式：

比如：

1996–2000，法律文本通过。仅设定原则性要求，授权 HHS 制定具体标准；

2000–2003，《隐私规则》《交易与代码集规则》通过，明确 PHI 定义、患者权利、使用/披露限制 。

2005，《安全规则》生效，针对电子 PHI（e-PHI），提出管理、物理、技术三类保障措施，强调“技术中立”——不指定具体技术，只规定目标（如加密“应考虑”而非强制）    

2009–2013 ，HITECH 法案 + 最终规则生效，强化处罚、扩展至业务伙伴、引入强制泄露通知。

最初（1996–2009）：

仅约束三类“涵盖实体”（医疗机构、健康计划、信息交换中心）；

HITECH 法案后（2009年起）：

业务伙伴（Business Associates）被直接纳入监管范围；

下游分包商（Subcontractors）若接触 PHI，也需承担合规义务；

形成“责任链条”（Chain of Responsibility）。

涵盖实体（Covered Entities）

HIPAA 明确规定以下三类组织属于“涵盖实体”，必须全面遵守 HIPAA 的隐私规则（Privacy Rule）、安全规则（Security Rule）和违规通知规则（Breach Notification Rule）：

包括医生、医院、诊所、牙医、心理医生、药房、护理机构、实验室等，只要他们以电子方式传输任何受 HIPAA 标准规范的健康信息（如电子理赔、电子处方、电子转诊等）。

• 注意：仅使用纸质记录且从不进行电子交易的提供者通常不受 HIPAA 约束。

包括：
• 商业健康保险公司（如 UnitedHealthcare、Aetna）
• 政府医保项目（如 Medicare、Medicaid）
• 雇主自保计划（self-insured employer plans）
• HMOs（健康维护组织）
• 某些长期护理保险公司
• 州或联邦资助的医疗补助计划

指对非标准格式的健康信息进行标准化转换的第三方机构，例如：
• 将医生提交的非标准账单转换为标准电子格式再发送给保险公司的服务公司
• 处理多个提供者数据并统一格式后分发给多个保险公司的中间平台

业务伙伴（Business Associates, BAs）

“业务伙伴”是指代表涵盖实体执行涉及 PHI 的职能或活动的外部个人或组织。自 2009 年《HITECH 法案》生效后，业务伙伴直接承担 HIPAA 合规义务，不再仅通过合同间接约束。

常见的业务伙伴包括：

• 云服务提供商（如 AWS、Microsoft Azure、IBM Cloud，若用于存储 PHI）

• 医疗账单处理公司

• 第三方管理员（TPAs）管理自保健康计划

• 律师事务所、会计师事务所（在处理 PHI 时）

• IT 支持与托管服务商（访问患者数据库）

• 数据分析公司、AI 健康科技公司（使用 PHI 训练模型）

• 电子健康记录（EHR）系统供应商（如 Epic、Cerner）

• 医疗转录服务、呼叫中心（如 Callnovo，若处理患者预约或病历信息）

哪些机构通常 不 受 HIPAA 约束？

以下组织即使接触健康信息，一般不属于 HIPAA 涵盖范围（除非同时满足上述条件）：

雇主在管理员工病假、工伤赔偿（Workers’ Comp）或普通人事档案时，不视为健康计划，因此不受 HIPAA 约束（但可能受 ADA、FMLA 等其他法律限制）。

学生健康记录通常受《家庭教育权利与隐私法》（FERPA）管辖，而非 HIPAA。

若其业务不涉及“健康计划”定义下的医疗服务支付，则不受约束。

若未与医疗机构或保险公司合作处理 PHI，仅收集用户自愿输入的数据，不属于涵盖实体或业务伙伴。