合规与框架
HIPAA
别称: 健康保险流通与责任法
定义
美国《健康保险流通与责任法》,为可识别个人健康信息的保护设立国家级标准。
1996 年颁布的《健康保险流通与责任法》(HIPAA)通过隐私规则、安全规则和泄露通知规则实施,确立了美国保护受保护健康信息(PHI)的国家标准。它适用于受监管实体——医疗保险计划、开展电子交易的医疗服务提供者及医疗清算所——以及代为处理 PHI 的业务伙伴(Business Associates)。安全规则要求实施行政、物理和技术保障(如访问控制、审计日志、传输安全、风险分析等)。美国卫生与公众服务部民权办公室(OCR)负责执法,可对违规者处以民事处罚,故意违规甚至构成刑事责任。
示例
- 医院对静态和传输中的 PHI 进行加密以满足安全规则。
- SaaS 厂商与医疗服务提供者签署 Business Associate Agreement。