美國法律下雲提供者和使用者各自的責任要求

新的技術（從電子醫療記錄到醫療設備，再到移動和 Web 應用程式）為醫生改善患者的健康情況和救治生命提供了很大的説明。 醫生們使用這些技術來收集較之前多很多的資訊，從而通過所收集的資料瞭解患者的健康情況。 這些技術及其包含的資料不斷地連接和交互，通過日益複雜並且風險和漏洞也隨之漸增的系統發送健康資訊。 醫生不再是這些私密的健康資訊的惟一被授權人。 如今，還有其他人（比如管理資料存儲的人）可以訪問這些資訊因而也有責任保護這些資訊。

認識到健康資訊的敏感性之後，美國政府于 1996 年頒佈了醫療資訊流通與責任法案 (Health Information Portability and Accountability Act, HIPAA) 並在 2003 年頒佈了醫療資訊技術 促進經濟和臨床健康法案 (Health Information Technology for Economic and Clinical Health, HITECH Act)。 這些法律要求負責敏感健康資訊的實體實施某些措施來確保隱私和安全性，並在患者資訊的隱私和安全性遭受危害時通知患者。

當使用者遷移到雲服務時，對於履行義務和維護（洩露了其私密的健康詳細資訊）患者的信任的實體來說，理解這些標準以及嚴格遵從這些標準至關重要。 為了給解決與雲服務相關的問題提供一個基礎，本文首先會讓您對 HIPAA 和 HITECH 有一個基本的瞭解，包括這些法律、規則以及法規適用的物件。 然後，為了説明防止雲服務的使用者和雲提供者與 HIPAA 和 HITECH 要求發生衝突，本文討論了資料控制、訪問、完整性以及可用性的問題；共用的多租戶環境的具體要求；事故準備及回應；以及資料安全性。

HIPAA 和 HITECH Act

對於 HIPAA 的討論通常都會忽略一系列複雜的法律、規則以及法規的複雜性。 經常提到的兩個術語是隱私 和安全性，但沒有考慮到 HIPAA 和 HITECH 的細微差別部分，因此會模糊合規性的意義。

HIPAA

HIPAA 包含面向某些健康資訊的特定隱私標準和安全性標準，即 HIPAA Privacy Rule ("Privacy Rule") 和 HIPAA Security Rule ("Security Rule")。 HIPAA 將這些規則應用於所涵蓋的實體，包括醫療提供者、健康計畫以及醫療結算中心。

根據美國衛生與公眾服務部 (U.S. Department of Health & Human Services, HHS) 的網站：

而 Security Rule 則 「指定了一系列針對監管、物理以及技術保護措施，供所涵蓋的實體用來確保電子受保護健康資訊的機密性、完整性和可用性」。

HITECH Act

HITECH Act 是對 HIPAA Privacy 和 Security Rule 的擴展，該法案提高了對違反 HIPAA 的處罰。 之前，HHS 民權辦公室 (Office for Civil Rights, OCR) 的管轄權只限于所涵蓋實體對隱私權的觸犯。 根據 HITECH Act，HIPAA Privacy 和 Security Rule 可通過擴展適用于業務夥伴 (BA)，即代表所涵蓋的某個實體（或作為向該實體提供的一項服務）執行某些涉及到 PHI 的使用或洩露的功能或活動的個人或實體。 如今，OCR 也具有對 BA 的執法管轄權。 BA 通常都會提供諸如索賠處理或管理、資料分析、使用評估或實踐管理等服務。 直接代表所涵蓋的某個實體或通過另一個 BA 間接代表某個實體而存儲 PHI 的雲提供者也可視為是一個 BA。

作為 BA 的雲提供者

雲提供者作為一個承載 EPHI 的 BA 有其自己的獨特之處。 在 HIPAA 頒佈之時，「雲」 的概念還未出現，而且可能還沒有任何預見。 越來越多的所涵蓋的實體和其他 BA 都選擇在雲中存儲健康資訊。 這麼做的常見原因包括成本節省、存儲管理、平臺優勢、資源可用性、備份和恢復以及 IT 維護的減少。 但是，若將 EPHI 存儲在雲中，使用者實際上就將其洩露給了雲提供者，雲提供者也就成為了一個 BA。 出於該原因，雲提供者必須也要遵從 HIPAA 和 HITECH 的規定。

HIPAA 允許所涵蓋的實體無需取得患者的同意就可以為了治療、支付和醫療操作交換 EPHI。 不過，應該只公開為了實現這種交換目的所必需的最少量 EPHI。 因此，所涵蓋的實體可以彼此之間或與 BA 交換 EPHI。 但是，在將這些資訊發佈給 BA 之前，所涵蓋的實體必須得到滿意的保證，即 BA 會恰當地保護所涵蓋實體提供的所有 EPHI。 而這正是通過業務夥伴協定 (BAA) 完成的。