什么是受保护的健康信息？

保护个人数据的安全，对于任何与医疗相关的机构来说都是至关重要的问题。医疗服务提供者、保险公司以及数据交换机构都必须确保患者的隐私得到保护，同时防止数据泄露或未经授权的信息公开。

这篇文章将解释《健康保险可携带性与责任法案》（HIPAA）所规定的“受保护的健康信息”包括哪些内容。我们将了解为了遵守相关法规而需要保护的具体数据有哪些。

PHI必须由被涵盖的实体来存储。 这是由 HIPAA 所监管的机构/组织。 被涵盖的实体包括医生和诊所。 它们还包括医疗信息交换中心、保险公司、健康相关应用程序，甚至那些进行医学试验的大学。

受保护的健康信息定义

受保护的健康信息指的是那些被妥善保存、受到保护的信息。与患者的情况、治疗方式或身份相关的机密信息。PHI必须由被涵盖的实体来存储。这是由 HIPAA 所规范的机构。被涵盖的实体包括医生诊所等机构。此外，还包括医疗数据交换中心、保险公司、健康相关应用程序，甚至进行医学试验的大学等机构。

受保护的医疗信息可以是当前的、历史的信息，也可以与患者的未来健康状况相关。例如，能够预测未来可能患病的基因检测结果就属于此类信息。十年前医生为患者所做的检查记录也属于受保护医疗信息的范畴。

持有受保护的健康信息的人必须遵守HIPAA关于隐私和安全方面的要求。卫生与公共服务部（HHS）制定了多种标准。这些标准规定了如何处理个人健康信息。如果不遵守HHS的标准，就会面临经济上的处罚或刑事责任。

定义受保护的健康信息，是遵守HIPAA法规的重要任务。这篇文章将全面解答关于什么是受保护的健康信息的问题。

我们将探讨为什么某些信息不符合“健康信息”的定义。我们还将列举一些关于健康信息的披露案例。最后，我们将介绍根据HIPAA要求来保护健康信息的最佳实践。

什么是个人健康信息呢？

患者和医疗保健提供者必须了解哪些信息属于受保护的健康信息。这种信息也被称为“个人健康信息”。这两个术语的识别方式是相同的。

简单来说，PHI指的是可以单独识别的健康信息。PHI包括：能够识别患者身份并将患者身份与医疗数据相关联的数据.

HIPAA PHI标识符

• 患者姓名
• 相关程序、测试或咨询的日期
• 患者或医疗保健专业人员的所在位置
• 电话号码
• 电子邮件地址
• 传真号码
• 社会保障号码
• 病历编号
• 健康计划受益人编号
• 银行账户号码
• 许可证或证书编号
• 独特的设备标识符
• 车辆登记代码
• 健康相关网站的网址
• 设备IP地址
• 生物识别因素
• 面部照片
• 与患者相关的其他独特标识符

ePHI究竟是什么？

PHI通常被称为“电子保护健康信息”。这两种分类其实密切相关。两者之间的关键区别在于……ePHI指的是以数字形式存储的健康记录。.

HIPAA提出了相关建议/要求针对电子健康信息，需要采用不同的合规策略来加以保护。纸质记录需要物理安全控制和访问规则来保障其安全性。而数字数据库则需要通过加密、网络分段、防火墙以及多因素认证等多种控制措施来确保数据安全。

供应商还必须考虑其他因素。ePHI是如何存储和传输的？例如，企业可以将医疗记录备份到磁带或便携式存储设备上。为了确保患者的隐私安全，相关机构必须妥善保管并管理这些设备。

根据HIPAA的规定，处理电子健康信息时，被涵盖的实体必须实现三个关键目标。

• 隐私各组织必须确保电子健康记录免受外部攻击者的侵害。同时，他们还必须保护数据不被未经授权的人员获取。
• 数据完整性各组织必须按照HIPAA标准来存储数字健康记录。那些被纳入该标准的机构，必须限制只有具有专业需求的人士才能访问患者的数据。
• 访问。HIPAA规定了患者享有访问权。各组织必须根据患者的请求，将其持有的电子健康信息提供给患者。

什么不属于健康信息呢？

并非所有与健康相关的信息都符合“受保护”的标准。医疗机构必须共享这些信息，以便更好地管理患者关系并安排治疗方案。不过，信息共享的前提是能够轻松访问某些患者的数据。那些不属于受保护信息的例子包括：

• 匿名化的健康数据。大规模数据分析需要大量准确的患者信息。相关规定允许使用去标识化处理后的信息来进行数据处理。这些信息缺乏独特的标识符，因此用户无法识别出与数据记录相关的具体个人身份。
• 就业与教育记录与员工健康相关的信息通常并不被归类为受保护的健康信息。同样，与教育相关的健康信息也并不属于受保护的信息范畴。例如，大学或学校的护士记录就不属于受保护的信息范围。
• 个人记录患者可以将健康数据存储在应用程序或智能设备上。例如，智能手表可以存储关于睡眠模式和心率的数据。这些信息并不属于PHI的范畴。
• 研究数据用于学术研究的数据通常不属于受保护的健康信息。这些数据会被匿名处理并汇总起来。进行研究的机构应当获得患者的同意后才能收集这些信息。
• 与联系人分享的信息患者可能会与朋友或亲戚分享个人信息。如果接收方并非符合HIPAA规定的受保护健康信息主体，那么这种信息就不属于受保护的健康信息。
  
  

根据HIPAA安全规则，那些不属于健康信息类别的信息，仍然需要得到保护。例如，《家庭教育权利和隐私法》就保护了教育机构所存储的健康相关数据。医疗机构需要评估自身的合规状况，同时必须确定他们所持有的数据应遵守哪些法律法规。

什么是与PHI相关的附带披露内容呢？

与受保护的健康信息相关的最常见的违规行为，就是意外泄露。所谓“意外泄露”，指的是被涵盖的实体将受保护的健康信息泄露给未经授权的人员或机构。这种曝光并非有意为之，而泄露个人信息也并非涉事个人的目的。.

HHS通常将偶然的披露视为一种轻微的违规行为。根据HIPAA规定，各机构无法保护所有受保护的信息。因此，监管机构往往对这种无意的资料泄露行为采取较为宽松的处理方式。不过，只有当这种泄露行为符合某些标准时，才能被认定为“偶然性泄露”。

• 最小化被覆盖的实体必须努力减少数据被意外泄露的可能性。在履行其专业职责时，各组织必须减少所处理的数据量。
• 安全控制措施。各组织必须采取必要的保障措施来保护个人健康信息。即便已经实施了符合要求的安保措施和政策，仍然需要公开这些信息。
• 缺乏意图。这种披露必须是完全偶然的。绝不可能有与外界分享患者隐私的意图。
• 范围有限信息披露必须涉及一些具体的记录。HHS将涉及许多患者的事件视为违规行为。在这种情况下，行为人的意图并不重要。通常，这些行为会导致公民权利办公室的处罚。
  
  

就这几件吧案例研究请明确说明“附带披露”到底指的是什么。

1. 一家符合HIPAA规定的医疗机构的员工向患者发送了一封邮件，以便安排未来的预约时间。不过，该员工不小心将邮件发错了地址。这一事件只涉及一条记录，且并非有意为之。因此，这可以被视为“偶然发生的接触”。
2. 这家美容诊所以短期合同的方式雇佣了一名专家。当这名专家进入等候室时，他认出了自己的朋友。这样一来，患者的身份以及其就诊地点就暴露了。这两种情况都属于医疗信息的泄露行为。不过，该专家属于HIPAA规定的合规商业合作伙伴。因此，这种泄露行为并不构成违规行为。
3. 一名护士正在医疗数据库上查找某位患者的信息。她不小心将另一份患者记录误认为是自己想要查询的那份记录。同时，她也简要地了解了该患者的病情情况。这种信息泄露其实是一种偶然发生的状况，属于护士在履行其职责时的无心之失。因此，这可以被视为一种“偶然的披露”。

为什么犯罪分子会试图获取个人健康信息呢？

单独来看，许多与个人健康相关的信息其实并不具有危险性，而且这些信息也并不能揭示出太多关于个人的信息。然而，窃取消费者的健康信息却仍然是一个非常活跃的行业。之所以会出现这种犯罪行为，原因有很多。

首先，犯罪分子可以出售健康记录以获取利润。单个患者健康信息记录的价格大约为1美元。不过，完整的患者健康记录在暗网上可以卖到高达250美元。

这些能够单独识别的健康信息，还提供了关于目标对象的详细资料。攻击者可以伪装成专业的专业人士，从而实施网络钓鱼攻击。包含机密信息的电子邮件或电话联系方式，往往更具说服力。

社会保障号码以及其他独特的标识符让犯罪分子能够窃取他人的身份信息攻击者可以模仿真实人物的特征来创建虚假的个人信息。他们可以利用这些虚假信息来获取财务数据，或者发起虚假的医疗索赔，或者获取社交媒体和电子邮件账户的信息。

PHI también这使得实施敲诈攻击变得更加容易。患者可能不愿意公开自己的健康信息。然而，攻击者可以利用这些信息来索要赎金或要求获取更多个人信息。

那些遵守规定的组织应该如何处理与隐私相关的信息呢？

符合HIPAA规定的机构必须遵循HIPAA的隐私规则以及安全规则。为了简化这一挑战，可以将合规性分为两个方面：患者隐私保护和数据安全。

患者的隐私

• 各组织必须……向患者告知他们的隐私权相关事项。根据HIPAA法规，患者必须了解自己的数据是如何被存储和处理的。他们还应该拥有相应的权利。通往请求个人健康信息的明确途径从他们的医疗服务提供者那里获得。
• 患者应该能够……请求对他们的健康信息进行修改。如果他们发现了任何不准确之处的话。
• 医疗服务提供者必须做到：在分享受保护的健康信息时，必须获得相关人员的同意。这适用于那些与治疗、必要的医疗操作以及支付无关的原因。
• 在它们的运作过程中，各组织必须遵循“最低必要”原则来行事。所有符合HIPAA规定的实体都必须尽量减少对个人健康信息的使用。
• 如果患者的健康信息被泄露，那么符合HIPAA规定的机构必须通知受影响的患者。此外，这些机构还应按照相关规定向HHS报告此事。HIPAA数据泄露通知规则.
• 处理个人健康信息的第三方必须签署相关协议。商业合作伙伴协议。这些协议表明，它们符合HIPAA的相关规定。
• 处理个人健康信息的员工必须获得相应的待遇/报酬。隐私与安全培训.

数据安全

• 医疗保健机构必须采取措施来创建……用于保护个人健康信息的安保政策。相关政策应当明确安全控制措施及流程。合规团队应定期审查这些政策，确保其符合HIPAA标准。
• 每个被涵盖的实体都应如此行事。通过加密技术来保护患者的个人信息。在存储和传输过程中，所有个人信息都受到加密保护。
• 访问控制和认证系统应当限制对受保护个人信息的未经授权的访问。只有出于专业目的的用户才有权获取这些受保护的信息。
• 物理保护措施应当能够保护患者的个人信息。旨在防范盗窃、非法访问，以及由意外或灾难引起的损失。
• 企业必须执行相关操作/措施。定期的风险评估为了确保患者信息的妥善保护。

保护个人信息的最佳实践

满足 HIPAA 的要求似乎相当复杂。不过，通过遵循一些处理医疗数据的最佳实践，就可以轻松应对这一合规挑战了。