HIPAA 美国医疗信息保护法

Health Insurance Portability and Accountability Act(1996)。美国联邦法律,保护患者健康信息(PHI)。

谁要遵守:

• Covered Entities —— 医生、医院、保险公司、医保 clearinghouse
• Business Associates —— 替前者处理 PHI 的第三方(数据中心、IT 供应商、SaaS)
• 这两类的范围比想象大 —— 给医院做软件的初创公司也得遵守

HIPAA 主要规则:

• Privacy Rule —— 怎么使用和披露 PHI
• Security Rule —— 电子 PHI 的安全保护要求(Security Controls)
• Breach Notification Rule —— 出事了多久内必须通报谁
• Enforcement Rule —— 怎么处罚

违规代价:

• 单条 PHI 记录罚款 $100-$50,000
• 单次违规年度最高 $1.5M
• 严重故意可触发刑事(最高 10 年监禁)
• 品牌损害 —— 数据泄露通告必须公开发到媒体

跟其他法规的对比:

• HIPAA = 美国 + 医疗
• GDPR = 欧盟 + 一切个人数据
• Compliance = 总称,HIPAA 是其中一种

跟 PII / SPII 的关系:HIPAA 主要保护的 PHI 是 SPII 的一个子集(医疗类敏感个人信息)。