一、個人健康信息的時代背景

個人健康信息與私人的身體特征和心理狀況密切相關，具有高度的敏感性。倘若對個人健康信息處理不當，可能會造成健康信息權利人的社會地位降低、名譽毀損、遭受歧視等負面影響。特別是在現(xiàn)在這樣信息技術發(fā)達的時代，信息能快速、大量傳輸和發(fā)散的特點更是給個人健康信息造成了不可忽視的威脅，個人健康信息與越來越多的個人和實體共享，隱私和數據安全問題在涉及醫(yī)療健康信息的各個行業(yè)繼續(xù)擴散。

個人健康信息不僅是醫(yī)學和其他科學研究原始資料的重要來源，是政府實施和執(zhí)行公共衛(wèi)生政策的重要依據，還是商業(yè)機構搶占巨額利潤的重要信息來源。例如保險機構可以通過掌握的個人醫(yī)療信息有針對性的決定是否承保，以及如何調整保險費率來實現(xiàn)自身利益的最大化；產品服務經營者可以針對特定的消費群體發(fā)布廣告，投其所好；甚至教育機構也可以根據掌握的基因信息選取具有最大潛力的學生；除此之外，不法分子還可能利用個人醫(yī)療信息隱私進行違法犯罪活動。很多個人醫(yī)療信息的泄露，就是這些利益的驅使下產生的暗箱操作。

二、HIPAA法案概述

美國《健康保險攜帶和責任法案》（Health Insurance Portability and Accountability Act，簡稱HIPAA法案）是一項非常復雜的聯(lián)邦法律，其規(guī)定各組織必須采取具體行動來保護可識別個人的健康信息。在過去的20多年中，HIPAA法案已經被多次修訂和擴展，它制定了受保護健康信息的物理存儲和維護的保障標準、傳輸和訪問要求以及合法使用和披露方式等等，它的主要目標是確保個人的健康信息得到適當保護，同時允許提供和促進高質量醫(yī)療保健所需的健康信息流動。

HIPAA法案由許多不同的規(guī)則組成，主要可以分成以下四個部分：

1）HIPAA隱私規(guī)則。HIPAA隱私規(guī)則為患者對受保護的健康信息（Protected Health Information，簡稱PHI）的權利制定了國家標準。HIPAA隱私規(guī)則只適用于涵蓋實體（Covered Entities，簡稱CE），而不適用商業(yè)伙伴（Business Associates，簡稱BA）。HIPAA隱私規(guī)則所列出的一些標準包括：信息主體訪問PHI的權利、醫(yī)療服務提供者拒絕訪問PHI的權利、使用和披露方式及標準和隱私慣例通知的內容等。監(jiān)管標準必須被記錄在組織的HIPAA政策和程序中，所有員工必須每年接受關于這些政策和程序的培訓，并有文件證明。

2）HIPAA安全規(guī)則。HIPAA安全規(guī)則規(guī)定了安全維護、傳輸和處理電子健康保險的國家標準。HIPAA安全規(guī)則適用于CE和BA，因為他們有可能共享電子形式的PHI（ePHI）。安全規(guī)則概述了ePHI的完整性和安全性的標準，包括任何醫(yī)療機構必須具備的物理、管理和技術保障措施。該規(guī)則的具體內容必須記錄在組織的HIPAA政策和程序中。工作人員必須每年接受關于這些政策和程序的培訓，并有文件證明。

3）HIPAA 違規(guī)通知規(guī)則。HIPAA違規(guī)通知規(guī)則是一套標準，在發(fā)生含有PHI或ePHI的數據違規(guī)時，CE和BA必須遵守該標準。該規(guī)則根據不同的范圍和規(guī)模，對違規(guī)報告提出了不同的要求。違規(guī)主體必須向美國衛(wèi)生和公共服務部（HHS）的民權辦公室（OCR）報告所有的違規(guī)事件，無論違規(guī)事件的規(guī)模大小。

4）HIPAA綜合規(guī)則。HIPAA綜合規(guī)則是HIPAA法案的一個附錄，它的頒布是為了將HIPAA法案適用于除CE之外的BA。HIPAA綜合規(guī)則規(guī)定，BA必須符合HIPAA法案的規(guī)定，并概述了圍繞商業(yè)伙伴協(xié)議（BAA）的規(guī)則。BAA是覆蓋CE和BA之間或兩個BA之間必須執(zhí)行的協(xié)議，然后才能轉移或共享任何PHI或ePHI。

三、中國涉?zhèn)€人健康信息企業(yè)的HIPAA法案合規(guī)工作必要性

對于很多在美國沒有設立主體的中國企業(yè)或中資企業(yè)來說，可能不太理解為何要遵守美國的法律。實際上，HIPAA法案為了向個人健康信息提供完備的保護，其幾乎涵蓋了所有可能接觸個人健康信息隱私的機構和個人，更包括這些機構和個人的商業(yè)伙伴。美國的醫(yī)院系統(tǒng)、醫(yī)療診所和其他醫(yī)療機構需要確保他們合作的企業(yè)能夠滿足HIPAA法案的要求，為了與美國的醫(yī)療機構做生意，我們的企業(yè)必須展示他們有足夠的能力保護相關的個人健康信息，否則美國的相關企業(yè)可能會不愿意建立業(yè)務關系。也就是說，即使中國企業(yè)不直接在美國提供醫(yī)療保健服務，但在如醫(yī)療器械、云服務、智能健康設備等中國企業(yè)活躍的領域，中國企業(yè)有較大機會接觸到美國的個人健康信息，也有較大機會被視為HIPAA法案定義的商業(yè)伙伴（BA），并且法規(guī)的強制要求下與涵蓋實體（CE）簽訂書面的商業(yè)伙伴協(xié)議（BAA），從而需要嚴格遵守HIPAA法案的各項規(guī)定。

以中國云計算及人工智能科技公司阿里云為例，阿里云的官網明確表示會遵從HIPAA的安全要求，滿足客戶保護健康隱私和安全信息的需求，并支持 HIPAA 的商業(yè)伙伴協(xié)議（BAA）。阿里云也提供了HIPAA白皮書說明如何在各種產品和服務中滿足對HIPAA法案的合規(guī)。

但與此同時，我們在實務中接觸了一批可能觸及境外健康信息的中國企業(yè)，如云服務提供商、醫(yī)療器械公司、數據分析及存儲公司、智能設備制造商等，發(fā)現(xiàn)這些企業(yè)普遍對于HIPAA法案缺乏認識和警惕性，也缺乏相應的合規(guī)工作。考慮到HIPAA法案的復雜性、美國監(jiān)管部門執(zhí)法的積極性、懲罰力度等因素，在中美關系前景不明朗的大環(huán)境下，我們建議涉境外健康信息的中國企業(yè)應提高對HIPAA法案的重視。

四、哪些個人信息受到HIPAA法案的保護

HIPAA法案保護由涵蓋實體（CE）或其商業(yè)伙伴（BA）持有或傳送的所有“可識別個人的健康信息”，其形式或媒介包括電子、紙張或口頭，這些個人信息在HIPAA法案中被稱為受保護的健康信息（Protected Health Information，簡稱PHI）。具體而言，PHI是指與個人的過去、現(xiàn)在或將來的身體或精神健康狀況有關的，或與提供醫(yī)療服務、支付醫(yī)療服務或用于醫(yī)療業(yè)務有關的可識別個人的健康信息。以下19種信息項目被認為是PHI：

姓名（Names）

地址（所有小于州的地理細分，例如街道地址、城市、縣、郵政編碼）

所有與個人直接相關的日期元素（除年份外），包括出生日期、入院日期、出院日期、死亡日期

電話號碼（Telephone numbers）

傳真號碼（Fax numbers）

電子郵件地址（E-mail addresses）

社會安全號碼（Social Security numbers）

醫(yī)療記錄號碼（Medical record numbers）

健康計劃受益人號碼（Health plan beneficiary numbers）

賬戶號碼（Account numbers）

證書/執(zhí)照號碼（Certificate/license numbers）

車輛標識符、序列號或車牌號（Vehicle identifiers and serial numbers, including license plate numbers）

設備標識符和序列號（Device identifiers and serial numbers）

網絡URL（Web URLs）

IP地址（IP address numbers）

生物標識符，包括指紋和聲紋（Biometric identifiers, including finger and voice prints）

全臉攝影圖像和任何類似的圖像（Full-face photographic images and any comparable images）

任何其他獨特的識別號碼、特征或代碼

可識別個人的遺傳信息（Individually identifying genetic information，2010年在GINA法案中新增）

應注意，HIPAA法案不限制使用或披露已經去識別化（De-Identification）的健康信息，這些信息不再能識別個人，也不能提供合理的基礎來識別個人，因此不再被視為PHI。CE和BA通?？梢宰杂墒褂萌プR別化的信息，而無需尋求授權或其他協(xié)議。去識別化的目的是確保識別個人的風險和信息的有用性之間有一個合理可行的平衡。HIPAA 隱私規(guī)則第164.514(a)節(jié)提供了對PHI進行去識別化的標準和實施規(guī)范，根據該標準，有兩種去識別化的方法：（1）由合格的專家正式確定；或（2）刪除指定的可識別個人的數據，使得CE和BA無法從剩余信息中識別個人。

五、誰需要遵守HIPAA法案涵蓋實體和商業(yè)伙伴

1. 涵蓋實體

Covered Entities，簡稱CE

幾乎整個醫(yī)療保健行業(yè)，以及其他行業(yè)的大量組織，都以各種方式受到HIPAA法案的影響。大型保險公司、醫(yī)院、自保雇主、小型醫(yī)生診所和獨立的健康保險代理商等等，這些組織被稱為CE，他們都必須遵守HIPAA法案。根據美國聯(lián)邦法規(guī)45 CFR § 160.103，目前主要有三類CE：

1）醫(yī)療保健提供者（Health Care Providers）

醫(yī)療保健提供者可以是個人（individual）、團體（group）或組織（organization）。個人是指獲得許可或以其他方式獲得授權從事或提供醫(yī)療服務、護理服務、設備或用品的自然人，一些常見的例子包括醫(yī)生、護士、藥劑師和物理治療師等。團體是指通常由一個以上的人組成的聚合來提供病人護理服務，也包括專業(yè)服務，如開票、付款等。例如，兩名醫(yī)生通過作為一個團體開具賬單和接受付款，作為一個團體進行執(zhí)業(yè)。組織是指由一個以上的人組成的實體，一些例子包括醫(yī)院、實驗室、藥房、護理機構和健康維護組織（HMO）。

2）健康計劃（Health Plans）

一般來說，這些是提供或支付醫(yī)療服務的個人或團體計劃。常見的例子包括私人和政府的健康保險公司、HMO、各類美國公費醫(yī)療保險如Medicare和Medicaid，以及為50名或以上雇員提供保險的雇主贊助的健康計劃。

3）健康保健信息交換中心（Health Care Clearinghouses）

健康保健信息中心負責處理或促進健康信息的非標準數據元素變成標準格式，或從標準格式轉換為非標準格式，以進行電子交易。一些例子包括計費服務、重新定價公司、增值網絡，甚至一些銀行。

2. 商業(yè)伙伴

Business Associates，簡稱BA

自HIPAA法案制定和不斷修訂以來，其規(guī)范的主體在不斷擴大，最引人注目的是2009年的《經濟和臨床健康信息技術法案》（HITECH法案）將HIPAA法案的適用范圍擴展到了CE的商業(yè)伙伴，也就是BA。

BA是指代表CE執(zhí)行某些職能或活動，或向CE提供某些涉及使用、儲存、維護或披露PHI的服務的主體，而不是CE的工作人員。BA從CE或代表CE接收PHI，并使用PHI為CE執(zhí)行某項功能或活動。BA代表CE的職能或活動包括索賠處理、數據分析、審核評估和開具賬單等。BA對CE的服務包括法律、精算、會計、咨詢、數據匯總、管理、行政、認證或財務服務。然而，如果個人或組織的職能或服務不涉及使用或披露PHI，并且這些人對PHI的任何訪問都是偶然的或無意的，則不被視為BA。另外需要注意的是，一個CE可以是另一個CE的BA。以下類型的公司如涉及PHI，則很有可能是BA：

醫(yī)療轉錄公司

文件儲存或處理公司

醫(yī)療賬單公司

數據轉換、去識別化、數據分析服務公司

醫(yī)療器械公司

數據管理、備份公司

會計事務所

律師事務所

銀行

軟件供應商

云計算、云服務供應商

根據HITECH法案，以下實體被特別指定為BA：

健康信息組織（Health Information Organizations）

電子處方系統(tǒng)（E-prescribing Gateways）

經常訪問PHI的數據傳輸供應商

代表CE向個人提供個人健康記錄（PHR）的PHR供應商

代表或為了BA創(chuàng)建、接收、維護或傳輸PHI的分包商

我們將在接下來的文章中分析HIPAA法案對于BA的要求以及提供相關合規(guī)指引。

六、使用和披露PHI的一般原則

1. 基本原則

HIPAA隱私規(guī)則的一個主要目的是界定和限制CE使用或披露PHI的情況。CE不得使用或披露受保護的健康信息，但以下情況除外：（1）HIPAA隱私規(guī)則允許或要求；或（2）經信息主體的個人（或其個人代表）書面授權。

“使用（Use）”一詞是指在CE、BA或分包商內部共享、使用、應用、利用、檢查或分析PHI?！芭叮―isclosure）”一詞是指在持有信息的實體之外以任何方式發(fā)布、轉移、提供訪問權或透露信息的行為。

2. 必要的披露

CE必須在兩種情況下披露PHI：（1）當個人（或其個人代表）要求獲取或說明其PHI的披露情況時，專門向他們披露；以及（2）在進行合規(guī)調查、審查或執(zhí)法行動時，向HHS披露。

3. 經允許的使用和披露

HIPAA隱私規(guī)則允許CE在沒有個人授權的情況下，為以下目的或情況使用和披露PHI：（1）對信息主體披露其PHI；（2）治療、付款和醫(yī)療保健業(yè)務；（3）有機會表示同意或反對的使用和披露，可以通過直接詢問個人，或通過明確給予個人同意、默許或反對機會的情況來獲得許可；（4）偶然的使用和披露；（5）公共利益和福利活動；以及（6）為研究、公共衛(wèi)生或醫(yī)療保健業(yè)務而進行的有限數據集。

4. 經信息主體授權的使用和披露

如果使用或披露PHI的目的不是為了治療、付款或醫(yī)療保健業(yè)務，也不是HIPAA隱私規(guī)則所允許或要求的，CE必須獲得個人的書面授權。授權書必須以具體條款寫成，它可以允許尋求授權的CE或第三方實體使用和披露PHI。需要個人授權的披露信息的例子包括：出于保險目的向保險公司披露信息；向雇主披露就業(yè)前的體檢或實驗室測試結果；或出于自身營銷目的向制藥公司披露信息。

所有授權都必須使用通俗易懂的語言，并包含有關要披露或使用的信息、披露和接收信息的人、有效期、書面撤銷的權利以及其他數據的具體信息。

5. 將使用和披露限制在最低限度的必要范圍內

隱私規(guī)則的一個核心是“最小必要”的使用和披露原則。CE必須做出合理努力，只使用、披露和請求使用、披露最低數量的PHI來達到預期目的。CE必須制定和實施政策和程序，合理地將使用和披露限制在最低限度的必要范圍內。

七、隱私慣例通知及信息主體的個人權利

1. 隱私慣例通知

Notice of Privacy Practices，簡稱NPP

除某些例外情況外，每個CE都必須提供有關其隱私慣例的通知。HIPAA隱私規(guī)則要求該通知必須包括以下內容：

必須描述CE可能使用和披露受保護健康信息的方式

必須說明CE保護隱私的責任

必須說明個人的權利，包括在個人認為其隱私權受到侵犯時向HHS和CE投訴的權利

必須包括提供進一步信息和向CE提出投訴的聯(lián)絡方式

CE必須按照其通知行事，將通知張貼在每個服務提供地點的清晰和顯眼的地方，以使尋求服務的人可以合理地預期能夠閱讀該通知。HIPAA隱私規(guī)則還包含對直接治療提供者、所有其他醫(yī)療保健提供者和健康計劃的具體分發(fā)要求。

2. 訪問

Access

除某些特殊情況外，個人有權審查和獲取CE指定記錄集中PHI的副本。CE可以對復印和郵寄的費用收取合理的、基于成本的費用。

3. 修改

Amendment

當PHI不準確或不完整時，個人有權要求CE修改其在指定記錄集中的PHI。如果請求被CE拒絕，CE必須向個人提供書面拒絕，并允許個人提交一份不同意聲明，以列入記錄。

4. 披露核查

Disclosure Accounting

個人有權要求對CE或BA披露其PHI的情況進行核查。

5. 限制

Restriction Request

個人有權要求CE限制使用或披露PHI。

6. 機密通信

Confidential Communications Requirements

CE必須允許個人要求以其他方式或地點接收PHI的通信，而不是CE通常采用的方式。例如，個人可以要求提供者通過指定的地址或電話號碼與個人通信。

八、HIPAA法案的處罰、執(zhí)法和常見違規(guī)類型

HIPAA隱私規(guī)則為使用和披露PHI制定了一套國家標準，以及為個人提供了解和控制其PHI使用方式的隱私權標準。美國衛(wèi)生與公眾服務部（HHS）民權辦公室（OCR）負責管理和執(zhí)行這些標準，并可進行投訴調查和合規(guī)審查。

根據HIPAA法案規(guī)定的合規(guī)原則，OCR將尋求與CE和BA的合作，并可能提供技術援助，幫助他們自愿遵守HIPAA各項規(guī)則。未能自愿遵守規(guī)則的主體可能會受到民事罰款的處罰。此外，某些違反HIPAA隱私規(guī)則的行為可能會受到刑事起訴。

1. 民事罰款

OCR可對未能遵守HIPAA隱私規(guī)則要求的主體進行處罰。罰金將因各種因素而有很大差異，這些因素包括違規(guī)行為的性質和程度、受影響的人數、違規(guī)行為造成的傷害的性質和程度、以前是否有違規(guī)的歷史、違規(guī)主體的財務狀況等等。

如果投訴人對某一主體提出投訴，經OCR調查或合規(guī)性審查確定不存在違規(guī)行為，OCR將以書面形式通知該主體和投訴人。如果投訴人對某一主體提出投訴，而合規(guī)性審查結果確認存在違規(guī)的情況，OCR將以書面形式通知CE或BA，如有可能，OCR將嘗試以非正式方式解決。如果違規(guī)情況不能以這種方式解決，將向提出投訴的人和CE或BA發(fā)出正式的違規(guī)情況報告。

在OCR實施處罰之前，它將通知違規(guī)主體，并為其提供一個機會，以提供那些可以減少或阻止處罰的情況的書面證據。這些證據必須在收到通知的30天內提交給OCR。此外，如果OCR聲明其打算實施處罰，將受到處罰的主體有權要求舉行聽證會，對擬議的處罰提出上訴。

民事罰款根據違規(guī)行為的嚴重性分為以下四級結構，在每一種情況下，一個日歷年內同一類型的違規(guī)行為的民事罰款總額上限為150萬美元（罰款金額會根據當年通貨膨脹進行調整）：

1）第一級：不知情。違規(guī)主體不知道，并且合理地不應該知道該違規(guī)行為。每次違規(guī)最低罰款 100 美元，最高50,000美元。

2）第二級：有合理的理由。違規(guī)主體知道或應該知道該行為是違規(guī)的，但其沒有故意忽視的行為。每次違規(guī)最低罰款1,000美元，最高50,000美元。

3）第三級：故意忽視，已糾正。違規(guī)行為是由于故意或輕率漠視，但在發(fā)現(xiàn)后30天內糾正了違規(guī)行為。每次違規(guī)最低罰款10,000美元，最高50,000美元。

4）第四級：故意忽視，未糾正。違規(guī)行為是由于故意或輕率漠視，并且在發(fā)現(xiàn)后30天內沒有糾正違規(guī)行為。每次違規(guī)最低罰款50,000美元。

在每一種情況下，一個日歷年內同一類型的違規(guī)行為的民事罰款總額上限為150萬美元。

應注意，根據HIPAA法案的多種安全和隱私標準，任何違規(guī)行為導致的數據泄露或安全事件可能會針對違規(guī)的不同方面分別處以罰款，罰款也可以按違規(guī)的天數、次數累積計算。因此，嚴重違反HIPAA法案所引發(fā)的民事罰款可以非常高昂。

2. 刑事處罰

違反HIPAA隱私規(guī)則，故意獲取或披露PHI的人可能面臨最高5萬美元的刑事處罰和最多一年的監(jiān)禁；如果不法行為涉及欺詐，則刑事處罰可以增加到10萬美元和最多5年的監(jiān)禁；如果不法行為涉及為商業(yè)利益、個人利益或惡意傷害而出售、轉讓或使用PHI的意圖，則刑事處罰可以增加到25萬美元和最多10年的監(jiān)禁。美國司法部負責根據HIPAA隱私規(guī)則進行刑事起訴。

3. 執(zhí)法情況

根據HHS公布的數據顯示，截至2022年9月30日，自HIPAA隱私規(guī)則生效以來，OCR已收到超過309,475份HIPAA投訴，并啟動了超過1,053次合規(guī)審查，其中97%的案件已經解決。

截至2022年9月30日，OCR已經調查并解決了超過29,779起案件，要求CE和BA改變對待PHI的做法和采取糾正措施，或向他們提供技術援助。OCR在其中的126個案件中達成和解或施加了民事罰款，總金額為1.3億美元，平均每個案件超過100萬美元。OCR也會將涉及違反規(guī)則故意披露或獲取PHI的適當案件提交給美國司法部進行刑事調查，截至2022年9月30日，OCR共向美國司法部移交了1,552起此類案件。

4. 常見的違規(guī)類型

HHS公布了HIPAA法案最常被投訴的、最常見的違規(guī)類型，按頻率從高到低依次為：

1）在不被允許的情況下使用和披露PHI；

2）缺乏對PHI的保護措施；

3）信息主體無法訪問其PHI；

4）缺乏對ePHI的管理保障措施；

5）使用或披露超過最低限度需要的PHI。

九、結論與建議

最近HHS公布的數據顯示，美國針對HIPAA法案的執(zhí)法活動和罰款金額在不斷上升，面對HIPAA法案，中國涉?zhèn)€人健康信息企業(yè)很難完全置身事外。尤其在現(xiàn)在新冠病毒疫情流行的期間，遠程醫(yī)療、云計算、高端醫(yī)療器械的需求不斷攀升，電子化的個人健康信息的全球流動正在成為一種需要和事實。我們建議涉及個人健康信息的企業(yè)在確認自身應遵循HIPAA法案的情況下，及時做好全面的合規(guī)評估和計劃，增強對HIPAA法案和其他必要的數據隱私法律的實質性理解，主動響應不斷變化的法律要求以保護企業(yè)免受意外違規(guī)行為的侵害。

參考文獻

1. Overseas HIPAA Compliance. (2020, August 3). Accountable: The HIPAA Blog. https://www.accountablehq.com/post/overseas-hipaa-compliance

2. What is HIPAA Compliance. (2022, November 8). Compliancy Group. https://compliancy-group.com/what-is-hipaa-compliance/

3. 方儀靜. 個人醫(yī)療信息的隱私保護路徑探究——以美國HIPAA法案隱私條款為借鑒 [ D ]. 南京師范大學.

4. Enforcement Results by Year. (2022, July 19). HHS.gov. https://www.hhs.gov/hipaa/for-professionals/compliance-enforcement/data/enforcement-results-by-year/index.html

5. Herold, R., & Beaver, K. (2014). The Practical Guide to HIPAA Privacy and Security Compliance, Second Edition.

6. What are the Penalties for HIPAA Violations? 2022 Update. (2022, October 31). HIPAA Journal. https://www.hipaajournal.com/what-are-the-penalties-for-hipaa-violations-7096/

7. Enforcement Highlights - Current. (2022, October 7). HHS.gov. https://www.hhs.gov/hipaa/for-professionals/compliance-enforcement/data/enforcement-highlights/index.html

8. 曾益康. 數據時代健康信息交換中的隱私保護——以美國《HIPAA法案》為例 [ J ]. 中國數字醫(yī)學, 2022, 17(3):5.

9. Health Insurance Portability and Accountability Act of 1996 (HIPAA). (2022, June 27). Centers for Disease Control and Prevention. https://www.cdc.gov/phlp/publications/topic/hipaa.html

10. HIPAA for Professionals. (2021, August 16). HHS.gov. https://www.hhs.gov/hipaa/for-professionals/privacy/laws-regulations/index.html

11. Petronella, C. (2016). How HIPAA Can Crush Your Medical Practice. Why Most Medical Practices Don’t Have a Clue about Cybersecurity or HIPAA and What to Do about It.

12. Hartley, C. P., & Jones, E. D. (2014). HIPAA Plain and Simple. After the Final Rule. 

閱讀原文

相關知識

Splashtop 合規(guī)性：GDPR、HIPAA、FERPA、SOC 2、ISO 等
電子健康檔案，保障你的醫(yī)療信息安全與隱私
發(fā)展不忘合規(guī)，健康醫(yī)療大數據合規(guī)注意事項
互聯(lián)網醫(yī)院及健康醫(yī)療大數據合規(guī)分析
醫(yī)療健康數據合規(guī)，你必需知道的那些事（二）需要遵循哪些規(guī)制？
個人健康醫(yī)療信息保護模式考察
電子病歷SaaS系統(tǒng)，實現(xiàn)醫(yī)療信息的高效共享與保護
隱私與安全，妥善處理你的電子健康檔案
5大醫(yī)療保健數據安全挑戰(zhàn)和數據保護技巧
可穿戴設備就健康大數據的合規(guī)分析

網址: 跨境數據合規(guī)系列文章（二）：個人健康信息保護——美國HIPAA法案隱私規(guī)則解析 http://www.u1s5d6.cn/newsview515880.html