HIPAA安全规则拟大修：医疗合规要从“有文件”转向“有证据”

美国HHS下属民权办公室OCR，已经把HIPAA Security Rule的大修放到了台面上。

按已公开的Federal Register信息，2025年1月6日发布的是拟议规则通知，也就是NPRM。它涉及电子受保护健康信息，也就是ePHI的加密、多因素认证、年度安全风险分析、资产清单、网络映射、漏洞管理，以及业务伙伴监督。

这里最容易误读的一点是：这还不是最终规则。具体生效日期、过渡期、技术测试频率和例外空间，仍要看最终文本。

但方向已经很清楚。医疗安全合规正在从“我有政策文件”转向“我能拿出证据”。

原来能解释的安全措施，正在变成更难绕开的硬要求

HIPAA Security Rule的底层框架形成于2003年前后。那时还没有今天这种规模的云EHR、远程医疗、勒索软件产业链、SaaS外包和联网医疗设备。

旧规则里有不少“addressable”要求。这个词很关键。它不是“可做可不做”，而是机构可以根据风险分析选择实施、替代实施，或说明为什么不实施。

拟议更新的变化，是把一些长期被拖延、被解释、被写进例外表的控制项，往强制方向推。

我更在意的是资产清单和网络映射。

这听起来像基础工作，甚至有点笨。但没有这张底图，后面的加密覆盖率、MFA覆盖率、漏洞扫描范围、应急响应边界都说不清。

监管表面上在问文档，实际是在问一句话：你到底知不知道ePHI在哪里。

最受影响的不是同一类机构，缺口也不一样

这次变化对医疗机构IT和合规负责人最直接。

以后准备审计材料，不能只让法务拿政策，让IT导几张截图。更现实的动作是，把ePHI系统清单、身份系统、加密状态、风险分析、整改记录和供应商核验串成一条证据链。

采购也会变。新买EHR、备份、邮件网关、远程访问、云存储和数据分析服务时，不能只看功能和价格。加密、MFA、日志、审计导出、BAA配合、年度安全证明，会变成入围条件。

不同对象的压力不一样。

小型诊所最难的是人手和供应商依赖。几名医生的诊所，通常没有专职安全团队。EHR、邮件、备份、远程接入可能分别由外包商维护。它们要做的第一件事，不是买一堆新工具，而是弄清每个系统是否接触ePHI，并要求供应商给出可保存的证明。

大型医院难在复杂度。医院可能已经有MFA、终端管理、漏洞扫描和工单系统。但遗留系统、影像设备、实验室系统、医疗物联网、第三方运维账号，都会制造例外。合规负责人真正要补的是跨系统证据，而不是再堆一个仪表盘。

处理ePHI的业务伙伴压力也会上来。计费公司、云服务商、转录服务商、数据分析供应商，不能只把BAA放在法务文件夹里。年度核验怎么做、谁来核验、发现问题怎么整改，都要留下记录。

这里也要留一个边界。

拟议文本提到了更强的技术测试和漏洞管理要求，但不能把供应商文章里的产品建议，当成监管指定动作。漏洞扫描、渗透测试的频率和强度，仍要看最终规则、机构规模、系统风险和OCR解释。

现在该补的是底账，不是等一个最终日期

如果我是医疗机构IT或合规负责人，我不会把所有动作押到最终规则发布后。

有些事早做不亏。即便最终文本调整，这些工作也会提高真实安全水平。

可以先抓五件事：

• 更新ePHI系统资产清单，标明哪些系统存储、处理、传输ePHI。
• 补网络图，至少把远程访问、云服务、第三方连接和关键临床系统画清楚。
• 核对静态数据和传输数据的加密覆盖范围，单独列出例外。
• 把远程访问和关键ePHI系统纳入MFA，清理共享账号和弱认证入口。
• 做年度Security Risk Analysis，并保留访谈、扫描、整改、例外审批和复核记录。

业务伙伴也要提前改工作方式。

过去很多公司把BAA当合同管理。以后更像供应商风险管理：年度核验记录、客户问卷回复、控制证明、整改闭环，都要能随时拿出来。

接下来最该看四个变量。

美国医疗行业这一步并不孤立。金融业早已把MFA、资产管理、供应商风险和事件响应放进常态审计。医疗行业过去常以临床连续性、预算有限、系统老旧为由慢半拍。

这个理由不是完全没有道理。医院不能像互联网公司一样随手停机升级。老设备也不是说换就换。

但勒索软件已经把病历系统停摆、预约取消、急诊转诊变成现实风险。到了这一步，纸面合规就不够了。

这次HIPAA安全规则拟议更新，真正把问题压回了一个很朴素的标准：底账清不清，控制真不真，证据硬不硬。