新任 HHS 领导层将推动 HIPAA 改革吗？

将近 30 年前，1996 年《健康保险携带与责任法案》 ( HIPAA ) 生效，其目的是保护个人健康信息的使用和披露。但随着新政上台，各公司正密切关注美国卫生与公共服务部 ( HHS ) 部长罗伯特·F·肯尼迪, Jr. 领导下可能出现的变化。

HIPAA 的主要目标是确保个人健康信息得到妥善保护，同时确保提供高质量医疗服务所需的健康信息能够在安全可靠的环境中流通。该法案在允许对患者信息进行重要利用的同时，也兼顾保护寻求医疗帮助者的隐私。

肯尼迪于 2 月份就任 HHS 部长，负责管理和监督所有 HHS 项目、运营部门及相关活动。肯尼迪尚未就 HIPAA 未来走向作出任何正式声明，但这并未阻止医疗保健行业观察者对未来可能采取的措施进行猜测，尤其在该机构计划作为特朗普政府提高效率努力的一部分裁减多达 20,000 个工作岗位之际。

早期迹象显示变革即将到来？

Smart Communications 无线服务提供商负责医疗保健业务的副总裁约翰·齐默勒在一封电子邮件采访中表示，到目前为止，HHS 尚未就 HIPAA 具体事项发出任何通知。“肯尼迪部长目前将该机构的初步重点放在了解导致慢性病发生的原因以及改善慢性病治疗上，作为他‘让美国重获健康’运动的一部分。”

然而，齐默勒指出，有几项政策公告可能会对 HIPAA 及整体健康隐私产生影响。其中最重要的是，HHS 已经推翻了一项关于联邦规则制定过程中要求征求公众意见的政策。

“此前，HHS 会在拟定规则之前通知公众并征求对提案的意见，”他解释说，“而在 2 月底撤销 Richardson 例外后，情况似乎不再如此。”自 1971 年以来，一直使用的保证公众参与联邦规则制定的例外，如今在肯尼迪 2 月份的讲话之后，可能更容易获得豁免以排除公众意见。

在新政府和肯尼迪任命之前的上一次阶段，HHS 在去年 12 月下旬发布了一份 ( NPRM ) 公告，提议修改 HIPAA 安全规则，“以加强对电子受保护健康信息 ( ePHI ) 的网络安全防护。”公众意见的提交截止日期为 3 月 7 日，目前正在审议中。

一些行业团体曾致信特朗普总统和肯尼迪，要求他们撤销对 HIPAA 安全规则的更新。齐默勒表示，目前尚不清楚拟议规则变更的最终结果如何。

Axio 网络风险管理服务提供商总裁大卫·怀特在一次在线采访中表示，他认为医疗保健行业正面临一场未做好准备的危机。“对 HIPAA 安全规则的拟议更新正是对多年来日益增长而未得到遏制的问题的直接回应，”他发出警告。

“医疗机构尚未为当今网络威胁的复杂性和规模做好准备，”怀特指出，“尽管像 HIPAA 这样的合规框架奠定了基础，但它们历来都是一种被动应对，仅在危机发生后才有所演变。”他提到了今年 2 月 Change Healthcare 数据泄露事件，作为当前系统脆弱性的最新例证。

推动变革

“考虑到他的自由意志倾向，以及 HIPAA 更新进程实际上始于第一届特朗普政府时期，我怀疑肯尼迪部长会倾向于加强隐私保护措施，”齐默勒说。

根据拟议的 HIPAA 安全规则，除非最终规则有所更改，否则医疗机构将需要达到更高的网络安全标准。OurRecords 公司首席执行官比尔·霍尔指出，新上任的 HHS 领导层可能会推动更为强有力的 HIPAA 保护措施，特别是针对在线健康数据和患者隐私。他预见到 AI 驱动工具的到来以及对公司在数据收集、存储和共享方面更加严格的监管。

“患者很可能会获得更多对其信息的控制权，而企业则将面临更严格的合规标准，”霍尔在一次在线采访中表示。他补充道，即将推出的变革将影响市场营销人员、保险公司、医院和创业者。“消费者将获得更多隐私保护，但企业必须进行改变。”他预言，最难的方面将是在不扼杀技术创新的前提下维持安全。“如果规则既清晰又切实可行，它们将有助于在不延缓进步的情况下建立人们对数字健康的信任。”

网络安全规定亟需加强

大卫·怀特警告说，更强有力的规定是必要的，但不应被视为万应灵药。网络安全不仅仅是打勾选项——它关乎全面了解潜在攻击面。“威胁者并不关心一个组织是否为受保护实体或业务伙伴——他们只会利用最薄弱的环节。这就是为什么这些规定最终开始关注第三方风险，要求供应商每年核实其安全控制措施，”他指出。但即便有了新要求，许多医疗机构仍将发现自己处于不断追赶的局面。

霍尔表示，实施措施将通过更新的规定、更多执法行动，以及可能针对医疗服务提供者和科技公司的新指导意见来实现。“HHS 也可以加强对与第三方共享数据的限制，提高审计力度，并强化同意规定，”他观察到，“处理健康数据的企业——无论是医疗、保险还是 IT 领域——都必须评估其流程以确保合规。”

超越合规

怀特认为，合规应该被视作起点而非终点。“组织需要超越现有要求，着重于持续的风险分析、快速响应能力以及将韧性置于首位的安全文化，”他建议说，“因为在医疗保健领域，网络攻击不仅仅是一个 IT 问题——它更是一场随时可能爆发的患者安全危机。”