什么是 HIPAA？

HIPAA（1996 年健康保险流通与责任法案）旨在保护健康数据或受保护的电子健康信息 (ePHI)。这是一项美国法律，旨在制定隐私标准以保护患者的医疗记录和其他健康信息。HIPAA 界定了 ePHI 的定义、使用和共享 ePHI 的规则与政策，以及对未经授权方滥用或违反 ePHI 的处罚措施。尽管最初的目标包括通过经同意的访问来管理数据隐私，并确保 ePHI 的可移植性，以简化保险计划的变更，但 HIPAA 建立了基本的政策框架，可根据行业需求变化加以调整。 

这部法律在当今比以往任何时候都更有现实意义，因为 ePHI 已纳入大多数医疗保健数据交换的标准格式中，所有相关方（包括攻击者）都有兴趣获取这些敏感数据。美国卫生与公众服务部 (HHS) 信息安全办公室发布的 2023 年报告显示，2012 年至 2021 年，医疗保健数据泄露呈上升趋势。该报告还强调，在过去三年间，医疗保健数据泄露事件增加了一倍。医疗保健机构和相关机构（如保险公司）是受保护健康信息 (PHI) 的托管方。这使得这些企业成为对网络犯罪分子极具吸引力的目标。针对医疗保健行业的网络攻击包括隐蔽的勒索软件威胁和数据安全问题，这些威胁通常始于未经授权的访问和缺乏最小权限访问控制。 

HIPAA 于 1996 年 8 月 21 日颁布。然而从那时起，该框架历经数次重大补充。其中包括安全规则、隐私规则、泄露通知规则和综合最终规则。HHS 监管 HIPAA，而民权办公室 (OCR) 负责执行HIPAA。

根据在“行政简化”下，HIPAA 通过多个构成要素进行了定义，其中包括：

• 交易与编码集合标准
• 标识符标准
• 隐私规则
• 安全规则
• 强制执行规则
• 泄露通知规则

这些规则和标准共同为保护 ePHI 设定了标准。

保护 ePHI 是 HIPAA 合规的核心。Akamai 安全解决方案提供智能和端到端保护，以支持保护 ePHI 免遭泄露和意外暴露。Akamai 突破传统端点检测的安防方式，针对数据安全和隐私提供强大的 Zero Trust 解决方案，帮助企业安全团队提高安全投资的有效性和投资回报率。 

Akamai 提供：

• 全球安全平台，支持实施全面覆盖您 IT 环境的 Zero Trust 安全

• 对资产、访问权限和网络流的深度监测能力

• 对客户配置的安全策略的精细实施

任何医疗保健实体（包括处理健康数据的业务伙伴）都必须遵守 HIPAA 严格的数据安全和隐私规则。如果您的企业受 HIPAA 保护，则需要遵守影响 PHI 访问和处理的法规。如果受影响实体违反了 HIPAA 安全和隐私规则，则需遵循泄露通知规则处理。如有超过 500 名用户受到数据泄露影响，必须将事件通知上报至民权办公室。泄露详细信息列于可搜索的公共网站“泄露门户：致 HHS 部长关于未加密受保护健康信息泄露的通知”中。

受 HIPAA 影响的特定类型的企业包括以下类型：

_医院

《HIPAA 隐私规则》要求医院清晰阐明患者的隐私权。此外，安全是保护患者数据的重要组成部分，HIPAA 规则 45 CFR 164.502(b)、164.514(d) 明确规定，受监管实体必须做到：“…评估其实践，并在必要时加强保护措施，以限制对受保护健康信息的不必要或不适当的访问和披露。” 

医院必须采取措施，尽可能降低未经授权的数据访问风险。Zero Trust 数据访问安全方法提供了一种框架，降低医院环境中 PHI 面临的风险。

_业务伙伴

HIPAA 中的“业务伙伴”被定义为代表受保护实体“创建、接收、维护或传输受保护健康信息 (PHI)”的任何企业。软件供应商、云服务提供商和计费机构等公司也包括在内。业务伙伴必须使用技术措施和防护措施，来保护和维护 PHI 的机密性、完整性和可访问性。HIPAA 的要求之一就是实施安全措施来识别风险、保护 PHI。Zero Trust 平台可在扩展的数据生态系统中提供监测能力，以应用强大的安全措施来防范未经授权的数据访问。

HIPAA 采取了严格的保护措施来确保 ePHI 的安全性和隐私。应用 HIPAA 的原则为受监管的实体和患者带来了一系列好处。一些最重要的好处包括：

加强患者隐私保护：有关患者健康的个人信息和敏感信息仅限于需要知晓的人员访问。在某些情况下，患者必须同意共享其健康数据。

实施基于角色的访问权限和最小权限原则：数据仅供需要知晓的用户访问。Zero Trust 安全有助于实施这些原则。

强制执行高强度身份验证：HIPAA 要求所有受监管的实体实施高强度身份验证，以帮助实施访问控制策略。

抵御恶意软件：勒索软件会攻击医院和其他医疗机构。这导致 ePHI 面临风险。符合 HIPAA 规定可以防止恶意软件感染。

Akamai 提供了全面的解决方案系列，可提供 Zero Trust 安全性，从而帮助满足和保持 HIPAA 合规。我们的客户认可，Akamai 领先的安全解决方案在业内表现突出；我们的医疗保健客户利用 Akamai 来保护 ePHI，并执行最小权限原则和可靠的访问控制。Akamai 的安全产品组合已从一系列单点解决方案发展成为强大的综合性 Zero Trust 平台。Akamai 出色的解决方案提供安全控制措施，以支持 HIPAA 的安全和隐私规则，涵盖数据安全、可用性、完整性、机密性和隐私。Akamai 能够深入监测您的 IT 环境和整个扩展基础架构，包括业务伙伴在内。

Akamai Cloud：我们用于云计算、安全性和内容交付的大规模分布式边缘云平台。Akamai Cloud 旨在确保受 HIPAA 监管的实体能够使用云计算并保持合规性。

Akamai Identity Cloud：Akamai Identity Cloud 内置隐私和安全功能。该解决方案提供高度可扩展的身份管理功能，并能处理复杂应用场景——Identity Cloud 以高度安全的方式存储客户数据，运用最小权限原则来抵御网络攻击。该解决方案还具有内置的许可管理，以遵守 HIPAA、GDPR、CCPA、PIPEDA 等法规。

HHS 将受 HIPAA 受监管的实体分为三类：

1. 医疗保健提供商：包括医生、诊所、牙医和药店
2. 医疗计划：包括医疗保险公司和公司健康计划
3. 医疗保健信息交换机构：处理来自另一实体的非标准健康信息的组织 

《综合规则》将 PHI 的保护范围扩展至任何处理健康数据的业务伙伴。

HIPAA 法规规定的受保护的电子健康信息 (ePHI) 是指可识别个人身份的健康数据或个人健康信息：HIPAA 包括 18 个“标识符”。这些标识符代表 HIPAA 涵盖的不同类型的识别数据。信息类型包括患者姓名、电子邮件地址、社会保险号码、电子健康记录 (EHR)、医疗记录、生物识别数据等。发布包含任何此类数据的记录时，都需要获得患者授权。

ePHI 如果可以使用 HIPAA 隐私规则第 164.514(a) 条中的“去标识化标准”进行去标识化处理，则 ePHI 将被排除在 HIPAA 控制范围之外。

任何创建、接收、使用或维护 PHI 的 HIPAA 覆盖实体，都必须遵守 HIPAA 安全规则。该规则明确涵盖了用于确保 ePHI 机密性、完整性和安全性的管理、物理和技术保护措施。帮助遵守 HIPAA 和保护 PHI 的技术保护措施包括：

• ePHI 的访问控制
• 个人或实体身份验证
• 传输安全，例如加密

其他安全规定包括员工合规培训和认知提升，以及实体访问保护措施。

HIPAA 隐私规则于 2000 年 12 月颁布，并于 2002 年 8 月更新。它提供了隐私框架，以保护受监管实体的个人可识别健康信息，并控制受保护健康信息的披露。关联数据同样受隐私规则规管，例如：

• 过去、现在和未来的生理或心理状况
• 针对某种病症的治疗
• 关于治疗的付款信息

HIPAA 和 HITECH 法案（《经济与临床健康信息技术法案》）均与保护 ePHI 有关。HITECH 扩展了 HIPAA 的加密合规性要求，并规定了对“未受保护”（未加密）PHI 数据泄露事件的披露。这意味着患者可以请求获取任何关于其 PHI 披露的通知。

HIPAA 包含泄露通知规则，该规则定义了在违反 HIPAA 的情况下触发泄露通知的条件。泄露通知的基本规则如下：

• 影响 500 名或以上个人的数据泄露：受监管实体必须在发生泄露事件后的 60 天内及时通知部长。
• 影响不足 500 人的数据泄露：受监管实体可每年向部长通报，但需在泄露事件发生当年结束后的 60 天内完成。

HIPAA 泄露通知规则请参见 HIPAA 45 CFR §§ 164.400-414。

HIPAA 违规的处罚包括每次 HIPAA 违规最高 50,000 美元的罚款，并且可能包括刑事处罚。