verified_user
Standardful
首頁chevron_right標準chevron_rightHIPAA
現行有效國際標準update 標準更新:2024年12月fact_check 事實核查:2026年6月28日

HIPAA

1996 年健康保險流通與責任法案

apartment發布組織:美國衛生與公眾服務部 (HHS)

標準簡介

《健康保險流通與責任法案》(HIPAA)是美國於 1996 年 8 月頒布的基礎性聯邦法律,旨在保護敏感的患者健康資訊,防止未經患者同意或知情而被揭露。HIPAA 建立了保護受保護健康資訊(PHI)的國家標準,確保醫療保健提供者、健康計畫、醫療保健清算所及其業務合作夥伴實施適當的安全措施。該法律包含多項規則,包括隱私規則(2003 年 4 月生效)、安全規則(2005 年 4 月生效)和違規通知規則(2009 年 9 月可執行)。HIPAA 適用於'受保實體'(進行電子交易的醫療保健提供者、健康計畫和醫療保健清算所)以及代表受保實體處理 PHI 的'業務合作夥伴'。

HIPAA 合規要求實施三類安全措施:行政措施(政策、程序、培訓)、實體措施(設施存取控制、工作站安全)和技術措施(存取控制、加密、稽核控制)。隱私規則管理 PHI 的使用和揭露,賦予患者存取其記錄、請求更正和接收揭露說明的權利。安全規則專門針對電子 PHI(ePHI)保護,透過必需和可定址的實施規範。最新更新包括 2024 年生殖健康隱私規則和 2025 年提議的網路安全增強措施,以應對勒索軟體和駭客威脅。美國衛生與公眾服務部民權辦公室(OCR)透過稽核和調查執行 HIPAA,每次違規的罰款從 100 美元到 50000 美元不等,每類違規每年最高可達 150 萬美元。2024-2025 年 HIPAA 稽核計畫重點關注與網路安全威脅相關的安全規則合規性。

local_hospital

受保護的健康資訊

建立保護可個別識別健康資訊(PHI)的全國標準——涵蓋電子、紙本與口頭形式。

vpn_key

安全規則保障措施

要求實施行政、實體與技術保障措施,以確保電子受保護健康資訊(ePHI)的機密性、完整性與可用性。

notification_important

外洩通報

強制要求於發現未受保護 PHI 外洩後 60 天內通知受影響個人、HHS,並於大規模外洩情形亦須通知媒體。

list_alt 主要規則

  • 隱私規則——限制 PHI 的使用與揭露
  • 安全規則——針對 ePHI 的行政、實體與技術保障措施
  • 外洩通報規則——60 天通報要求
  • 執行規則——調查與處罰程序
  • 最小必要標準——將 PHI 限縮於所需範圍
  • 須簽訂商業夥伴協議(BAA)
  • 病患有權取得其健康紀錄

誰需要合規?

groups

受規範實體(健康計畫、健康照護清算所、進行電子交易的醫療服務提供者)及其創建、接收、維護或傳輸 PHI 的商業夥伴。

關鍵要求

1

風險分析

對組織所持有 ePHI 的機密性、完整性與可用性所面臨的潛在風險與脆弱性進行準確且徹底的評估。

2

存取控制

實施技術政策與程序,將 ePHI 的存取限縮於已獲授予存取權限的人員與軟體程式。包括獨特使用者 ID、緊急存取與自動登出。

3

商業夥伴協議

與所有代表貴方創建、接收、維護或傳輸 PHI 的商業夥伴簽訂書面合約。BAA 必須載明允許的用途並要求實施保障措施。

4

稽核控制

實施硬體、軟體及/或程序機制,以記錄並檢視包含或使用 ePHI 的資訊系統中的活動。

5

員工訓練

對所有員工提供 HIPAA 政策與程序之訓練。對違反政策的員工實施適當的懲處。

實施路線圖

1
Phase 1schedule 預計週期: 2-4 週

準備與界定範圍

確定您的組織是covered entity還是business associate,並識別所有建立、接收、維護或傳輸PHI和ePHI的系統、工作流程和供應商。任命隱私官和安全官,梳理資料流,並繪製PHI在本地與雲端環境中的分佈位置。

2
Phase 2schedule 預計週期: 3-6 週

差距分析與風險分析

開展Security Rule所要求的風險分析,識別對ePHI的機密性、完整性和可用性構成的威脅與脆弱性。將目前做法與Privacy、Security和Breach Notification規則進行比對,記錄差距並根據可能性和影響確定整改優先順序。

3
Phase 3schedule 預計週期: 8-16 週

實施保障措施

部署管理、實體和技術層面的保障措施,例如存取控制、稽核日誌、對傳輸中和靜態ePHI的加密以及員工培訓。與所有處理PHI的供應商簽署Business Associate Agreements (BAAs),並制定政策、程序以及事件回應和違規通知流程。

4
Phase 4schedule 預計週期: 持續進行

稽核與維護

建立持續監控、定期更新風險分析和內部稽核機制,以便在系統和威脅演變時保持合規。審查BAA、重新培訓員工、測試事件回應,並將文件至少保留六年,以向HHS OCR證明問責能力。

合規檢查清單

0 / 13

checklist 管理保障措施

checklist 技術保障措施

checklist 違規與事件回應

處罰與執行

warning

民事處罰依過失程度為每次違規 141 美元至 2,134,831 美元不等。故意濫用之刑事處罰最高可達 25 萬美元罰金與 10 年有期徒刑。HHS OCR 透過稽核與調查執行。

常見問題解答

誰必須遵守HIPAA?

expand_more

HIPAA適用於covered entities,包括健康計畫、醫療資訊交換機構以及為特定交易以電子方式傳輸健康資訊的醫療服務提供者。它同樣適用於business associates,即代表covered entity建立、接收、維護或傳輸PHI的供應商和分包商。這兩類主體都直接受HIPAA規則約束並承擔責任。

什麼是PHI和ePHI?

expand_more

PHI即受保護健康資訊,是covered entity或business associate以任何形式持有或傳輸的可識別個人身分的健康資訊。ePHI就是以電子形式建立、儲存或傳輸的PHI,也是HIPAA Security Rule的具體關注對象。兩者都必須防止未經授權的使用和揭露。

什麼是BAA,何時需要它?

expand_more

Business Associate Agreement (BAA)是一份書面合約,約束處理PHI的供應商保護該資料並僅在允許範圍內使用。每當covered entity向business associate揭露PHI,以及每當business associate使用會接觸PHI的分包商時,都需要簽署BAA。若未簽署BAA,向供應商共享PHI通常構成HIPAA違規。

Security Rule的保障措施類別有哪些,什麼是必需的風險分析?

expand_more

HIPAA Security Rule將保護措施劃分為三類:管理保障措施(政策、培訓和風險管理)、實體保障措施(設施存取和裝置控制)和技術保障措施(存取控制、稽核控制、完整性和傳輸安全)。管理保障措施的基石是風險分析,即對ePHI的機密性、完整性和可用性所面臨的威脅與脆弱性進行系統性評估。風險分析是明確要求的,HHS OCR在執法行動中經常指出其缺失。

違規通知的時限和門檻是什麼?

expand_more

根據Breach Notification Rule,covered entities必須在發現違規後不無理拖延地通知受影響個人,且不得晚於60天。影響500人或以上的違規還必須在該60天窗口內報告給HHS OCR和主要媒體。規模較小的違規可以記錄在案,並在日曆年度結束後60天內每年向HHS OCR報告一次。

HIPAA違規的處罰有哪些?

expand_more

民事罰款根據過錯程度分級,從不知情的違規到故意疏忽不等。罰款按每次違規計算,並對相同違規類別設有每年上限,該上限會定期根據通貨膨脹調整,每個類別每年可達約190萬美元。情節惡劣的違規還可能招致刑事起訴和聲譽損害。

HIPAA是否要求加密?

expand_more

HIPAA將加密歸類為可斟酌的實施規範,而非嚴格強制要求,這意味著您必須在合理且適當的情況下實施加密,或記錄為何採用等效的替代方案。實務中,對傳輸中和靜態ePHI的加密是一項有力的保障措施,若已正確加密的資料遺失,還可享有免於違規通知的安全港。多數組織實際上將加密視為必需。

對於雲端和SaaS供應商應考慮什麼?

expand_more

儲存或處理ePHI的雲端和SaaS提供者屬於business associates,在共享任何PHI之前必須簽署BAA。您仍需負責核實供應商的保障措施、理解共享責任模型,並確保您自身一側的組態(例如存取控制和加密)正確無誤。使用合規的提供者並不會轉移您在HIPAA下的自身問責。

官方文件

查看全部

實施時間線

gavel
1996年8月
柯林頓總統簽署 HIPAA - 公法 104-191 簽署成為法律,保護患者健康資訊
privacy_tip
2000年12月
隱私規則發布 - HHS 發布最終隱私規則,建立 PHI 保護的國家標準
check_circle
2003年4月
隱私規則生效 - 醫療保健提供者、健康計畫與清算所必須遵守
security
2003年2月
安全規則發布 - HHS 發布電子 PHI(ePHI)保護的最終安全規則
verified_user
2005年4月
安全規則生效 - 受保實體必須實施行政、實體與技術安全措施
notification_important
2009年9月
違規通知規則可執行 - HITECH 法案要求通知個人 PHI 違規的規定開始執行
rule
2013年3月
綜合最終規則可執行 - 加強隱私與安全保護,擴展至業務合作夥伴
health_and_safety
2024年6月
生殖健康隱私規則生效 - 為生殖醫療資訊隱私提供新保護
shield
2025年1月
安全規則網路安全更新提議 - 發布 NPRM,增強網路安全標準以應對勒索軟體

相關分類