HIPAA（健康保险携带和责任法案）全称为：Health Insurance Portability and Accountability Act/1996，Public Law 104-19，国内文献一般直接称为HIPAA法案，法案中规定的隐私规则建立了美国国家标准用于保护特定的健康信息，安全规则建立了美国国家标准用于保护电子化的健康信息。

该法案的主要目标有：

• 保证劳动者在转换工作时，其健康保险可以随之转移；

• 保护病人的病例记录等个人隐私；

• 促进国家在医疗健康信息安全方面电子传输的统一标准。

以下为HIPAA的内容摘要：

1.法律和监管背景

HIPAA呼吁HHS安全条例用于度量保护相关实体保有或传输的e-PHI的机密性、完整性和可用性。HHS提出了一份安全规则草案并在1998年8月12日公开征求意见。共计收到大约2350份公共意见，安全规则的最终版本发布于2003年2月20日。安全规则描述了一系列的管理、技术和物理安全程序，以便相关实体用于确保e-PHI的机密性、完整性和可用性。

2.安全规则涉及人员

安全规则，和所有管理简化规定一样，适用于健康计划、卫生保健清算中心、传输电子化健康信息的医疗服务提供者。

3.业务伙伴

2009年的HITECH法案扩展了业务伙伴的职责，HHS正在起草规定实现和澄清这些变化。

4.受保护信息

HIPAA隐私规则保护个人可识别健康信息的隐私，被称为受保护的健康信息（PHI）。安全规则保护隐私规则所覆盖信息的一个子集，是由相关实体以电子化方式产生、接收、维护和传输的所有个人可识别健康信息。安全规则称这些信息为电子化的受保护健康信息（e-PHI）。安全规则并不适用于口头或书面传输的受保护的健康信息。

5.通用规则

安全规则要求相关实体维护合适的管理、技术和物理安全防护措施用于保护e-PHI。具体的说，相关实体必须：

（1）确保所有他们产生、接收、维护或传输的e-PHI的机密性、完整性和可用性；

（2）能够确定并保护针对信息安全和完整性的合理预期威胁；

（3）防范合理预期的不被允许的使用和披露；

（4）确保员工遵守安全规则。

6.风险分析和管理

安全规则中的安全管理规定要求相关实体进行风险分析作为安全管理的一部分。这里将风险分析和管理规定分开有助于决定何种安全措施更合适，风险分析影响了安全规则中包含的所有保障措施的实施。

风险分析应该是一个持续的过程，相关实体需要定期评审记录，以跟踪对于e-PHI的访问，并检测安全事件，周期性评估安全措施的效果，定期重新评估针对e-PHI的潜在风险。

7.管理保障措施

• 安全管理流程

相关实体必须确定和分析针对e-PHI的潜在风险，必须实施安全措施以将风险和危害降低到合适的水平。

• 安全人员

相关实体必须指定一个安全员进行安全策略和程序的制定和实施。

• 信息访问管理

隐私规则基于必要原则限制对PHI的使用和披露，与此相一致的，安全规则要求相关实体实施策略和程序，用于基于用户角色进行e-PHI的授权访问。

• 员工培训和管理

相关实体必须为工作中涉及e-PHI的员工进行合适的授权和监管。相关实体必须就相关的策略和程序对所有员工进行培训，并对违例员工进行惩罚。

• 评估

相关实体必须周期性的对安全策略和程序满足安全规则要求的情况进行评估，

8.物理安全措施

• 设施访问控制

相关实体必须限制对其设施的物理访问，同时又确保被授权的访问能被允许。

• 工作站和设备安全

相关实体必须实施策略和程序以确保对工作站和电子设备的恰当使用和访问。相关实体必须针对电子媒介的传输、移除、销毁和重用实施相应的策略和规章，以确保对e-PHI的恰当保护。

9.技术保障措施

• 访问控制

相关实体必须实施技术性的策略和规章，确保只有获得授权的人才能访问e-PHI。

• 审计控制

相关实体必须实施硬件、软件或规章制度记录和检查对于包含和使用e-PHI的信息系统的访问以及其它活动。

• 完整性控制

相关实体必须实施策略和规章以确保e-PHI不会被不恰当的修改或销毁，必须有电子化的措施确保e-PHI不会被不恰当的修改或销毁。

• 传输安全

相关实体必须实施技术性措施防止e-PHI信息在网络上传输时未经授权的访问。

10.必要的与可实现的实施规范

相关实体被要求遵从每一个安全规则标准，然而，安全规则将特定的实现规范进行了分类，一类为必须的，一类为可实现的。必须的实现规范必须被实施。可实现的规范并不意味着实现规范是可选的，只是表示相关实体可以决定实现规范是否是合理恰当的，如果不合适，安全规则允许相关实体采用合理恰当的替代方案达到同样的目的。

11.组织的要求

• 相关实体的责任

如果相关实体知道业务伙伴的活动构成了重大违例，相关实体必须采取合适的措施进行补救或终止违例。违例包括没有采取安全措施恰当的保护e-PHI。

• 业务伙伴合同

HHS正在基于HITECH2009起草与业务伙伴义务和合同相关的规章。

• 策略、规章和文档化要求

相关实体必须采取合理恰当的策略和规章以符合安全规则的规定，必须保存书面安全策略、规章和相应活动的书面记录6年。

12.更新

相关实体必须根据影响到e-PHI安全性的环境或组织的变化周期性的评审和更新其文档。

13.州法律

优先级

通常，如果州法律和HIPAA规章相冲突，联邦法律优先，即HIPAA适用。

14.关于不合规的强制执行和惩罚

15.合规性

安全规则针对e-PHI的机密性、完整性和可用性建立了一系列的美国国家标准，HHS民权办公室负责这些规章的强制执行，和隐私规则一样，民权办公室可以进行投诉调查和合规性评审。

合规日期

合规计划

更多详细信息，请参考：https://www.hhs.gov/answers/hipaa/index.html