HIPAA合规性如何影响数据共享？

根据HIPAA隐私规则（该规则于2003年在美国民权办公室下生效），（部分）您的可识别健康信息必须在未经您许可的情况下受到保护，不得共享或访问。您的可识别健康数据，称为受保护健康信息（PHI），包括您的医生或其他医疗保健提供者放入您医疗记录中的任何内容，以及您的提供者与其他医生、护士和其他医疗专业人员进行的任何对话。它还包括您的任何账单信息，以及您的健康计划在其计算机系统中拥有的关于您的任何可识别信息[来源：HHS]。

根据HIPAA安全规则，您的个人信息如何进行电子存储、共享和访问都受到保护。符合条件的电子交易包括：索赔和就诊信息、支付和汇款通知、索赔状态、资格、注册状态、转诊和授权、福利协调以及保费支付[来源：医疗保险和医疗补助服务中心]。受保实体有法律义务遵守HIPAA所涵盖交易的规则。他们以及与他们签订业务合同的各方，都必须签署一份法律合同，同意在共享或访问您的数据之前保护您的信息——无论是在线交易、通过平板电脑访问您的记录还是其他电子管理交易。受保实体及其业务伙伴还负责不仅要有行政保障措施，如记录在案的政策和保护电子健康数据员工培训，还要有技术和物理保障措施，如数据备份、数据加密和安全系统。他们还负责披露每次需要访问您的健康信息的原因和预期目的。

在受保实体之外，HIPAA法律不适用。这意味着您的雇主无需担心您的任何健康数据隐私，工伤赔偿提供者、人寿保险提供者、学区、州机构（如儿童保护服务）、执法机构和其他市政办公室也无需担心。使用电脑电子验证您的保险资格的账户经理正在从事受HIPAA保护的行为，并且必须遵守HIPPA保密规则——但HIPAA仅适用于电子交易；如果账户经理通过电话口头确认您的保险资格，HIPAA规则将不适用于PHI的交换。

在某些情况下，HIPAA允许未经您许可共享您的部分受保护健康信息。在紧急情况下——包括紧急医疗救治，以及生物恐怖袭击或任何公共健康威胁事件中，未经您的授权也可以共享您的PHI。HIPAA的例外情况还包括公共卫生监测（例如收集当地流感报告信息）、调查（例如紧急医疗中心报告枪伤）和研究——甚至在某些医疗保健情况（如干预措施）中[来源：CDC]。这些信息被收集到所谓的“有限数据集”（LDS）中；有限数据集包含关于您的有限但个人信息：您的年龄（以年、月、日或小时计）、相关日期（包括您的出生日期和死亡日期，以及入院和出院日期，如适用）和您的基本地理数据（邮政编码或居住城市和州）。

有限数据集中不允许包含的信息列表要广泛得多。根据HIPAA的隐私规则，以下16项可识别信息不能包含在LDS中：姓名、社会安全号码、实际地址（街道地址）和电话号码（包括传真号码）、电子邮件地址、URL和IP地址、车辆识别码（包括序列号和车牌），以及全脸照片（或任何可比较的图像）和生物识别信息（如指纹）。此外，任何账户号码、医疗记录号码、健康计划受益人号码、证书许可证号码以及任何设备识别码（包括序列号）都不能包含在有限数据集中[来源：约翰霍普金斯医学院]。

尽管有这些关于医疗记录的HIPAA规则，83%的美国人仍然对其医疗记录的隐私和安全感到担忧，并且近70%的人根本不希望他们的健康信息数字化[来源：施乐]。那么，当这些担忧得到证实——当发生泄露时会发生什么呢？

根据泄露通知规则，如果或当PHI泄露发生时（这通常是电脑盗窃的结果），受影响的患者必须得到通知，并且事件必须报告给美国卫生与公众服务部（HHS）部长。同样，如果个人希望报告隐私违规行为，他们可以向负责的受保实体（或业务伙伴）报告泄露事件，或向HHS报告，或同时向两者报告。根据具体情况，HIPAA违规行为可能导致民事处罚，如罚款（称为民事罚款），或刑事处罚，不仅包括罚款，还包括监禁。