PHI 受保护健康信息

Protected Health Information。涉及个人过去、现在、或未来的身心健康状况、医疗服务、医疗费用支付的信息。

跟 PII / SPII 的关系:

• PII = 所有能识别个人的信息
• SPII = PII 的高敏感子集
• PHI = SPII 里专门关于健康的那一类

PHI 的具体内容:

• 病史、诊断、用药记录
• 医疗影像(X 光、CT、MRI)
• 基因测试结果
• 心理健康记录
• 医保账单 + 支付记录
• 任何让医疗信息能跟特定个人挂钩的标识符(姓名 + 病历号)

谁产生和持有 PHI:

• 医院、诊所、个体诊所
• 健康保险公司
• 医保中介(clearinghouse)
• 替上述机构处理数据的第三方(IT 服务商、SaaS、AI 诊断工具)

法律保护框架:

• 美国:HIPAA 主要法律 + HITECH Act
• 澳洲:Privacy Act 1988 + My Health Records Act 2012
• 欧盟:GDPR 把健康数据列为”特殊类别”
• 中国:PIPL + 医疗机构 / 健康医疗大数据相关规定

保护要求(普遍高于普通 PII):

• 强制加密
• 严格访问审计(谁看了谁的病历必须留痕)
• 数据最小化(只用必要的)
• 安全报告/泄露通告(出事必须按法律时限上报)