← Resources
USECASE · 2026-03-12
医疗私有 AI:无云锁定的 HIPAA 对齐工作区
符合 HIPAA 对齐并不要求把 PHI 送到第三方模型。端侧优先 + 可选 BYOK 云回退 + 审计日志 + RBAC + 触及云时签署 BAA 的工作区,可满足大多数受保护实体的要求。
HIPAA 对 AI 助手到底要求什么
*本文为通用指引,不构成法律或合规建议;最终意见请咨询贵机构的隐私官。*
HIPAA 围绕数据而非阅读数据的工具撰写,因此 AI 助手被视为接触受保护健康信息的任何劳动力成员或业务伙伴。隐私规则规定了 PHI 的允许使用与披露以及最小必要原则。安全规则要求行政、物理与技术保障,包括访问控制、审计控制、完整性、传输安全与书面化的风险分析。违规通知规则规定了在非授权披露未受保护 PHI 时,须通知受影响个人、HHS,且在较大事件中须通知媒体的义务。
HHS 最近的规则制定释放出信号:创建、接收、维护或传输 ePHI 的 AI 系统应像其他资产一样列入清单与风险分析,并要求传输与静态加密、多因素认证以及及时事件响应。读取病历的实体即便变成模型,义务也不会改变。
ChatGPT、Copilot 与 Gemini 在 PHI 上的不足
默认情况下,ChatGPT、Microsoft Copilot 与 Google Gemini 的消费档不适合 PHI。免费与标准订阅不附带 Business Associate Agreement,且在默认条款下提示可能被保留或用于模型改进。
值得理清的细节:每家厂商都提供可被纳入 BAA 的企业级配置。OpenAI 通过销售管理账户为 API 以及 ChatGPT Enterprise 或 Edu 签署 BAA。Microsoft 为 Azure OpenAI Service 与部分 Microsoft 365 Copilot 租户提供 BAA 覆盖,但 GitHub Copilot 与其他消费表面不在内。Google 为合资格 Workspace 套餐内的 Gemini 支持 BAA,但明确排除 NotebookLM 与 Chrome 内的 Gemini 表面。
实际风险是劳动力漂移。临床医生在浏览器中向免费聊天机器人粘贴出院摘要——按默认就是 BAA 覆盖之外的披露,与企业合同写了什么无关。
端侧优先架构:本地模型 + 选择性 BYOK
将 HIPAA 暴露最小化的架构反转了通常的 SaaS 模式。默认模型在用户设备上运行,通常是本地服务的量化开源权重 LLM,因此提示与生成不出端点。当临床医生需要更强的推理模型时,工作区可使用机构自家 API Key 回退到云厂商,按该厂商的 BAA、并经每请求或每工作区显式 opt-in 触发。
这是 osFoundry 背后的模式:本地 llama.cpp 运行时是一等默认,任何云调用都是 BYOK,对手是受保护实体已独立签约的厂商。临床医生与模型之间没有任何共享多租户推理池。
合规收益是具体的。可在本地处理的工作负载永远不会产生云披露事件。需要云容量的工作负载是可追踪、可归因,并受受保护实体既有审核 BAA 约束的。
审计、RBAC、DLP 与最小必要的实际落地
技术保障往往是 AI 试点初次内部审计的失败点。四项控制承担主要工作。
审计日志必须捕获谁在提示、哪个模型在作答、附带了哪些数据源、返回了什么,存储防篡改,保留窗口与你的档案保留策略匹配。RBAC 应将模型访问、数据集访问与工具访问绑定到岗位角色,使前台账号不能查询肿瘤学语料库、计费角色不能触发临床笔记生成器。
DLP 应位于提示边界。在任何云调用前对标识符做基于模式与分类器的脱敏,可将最小必要原则以程序化方式而非仅通过培训去执行。按工作区的数据驻留可避免一家诊所的数据与另一家混杂。
这些都不是 AI 专有的发明,但合在一起才是隐私官能签字让模型接触病历的前提。
三种工作流:接诊笔记、事前授权、运营问答
接诊与就诊笔记是价值最高的本地工作负载。临床医生口述,本地模型起草结构化笔记,签字后通过 EHR 既有接口将记录提交回 EHR,除此之外什么都不出设备。在现代笔记本上延迟可接受,PHI 暴露面只在设备上。
事前授权受益于检索。模型根据病历与付款方公开的医学政策文档拼装出带引用的草稿信函。如果调用了更强的云模型来起草,病历摘录在提示边界去标识,响应回到设备后再重新标识。
HR 政策、计费代码与 SOP 等跨域运营问答很少需要 PHI,可完全在本地或附带 PHI 阻断 DLP 的云模型上运行。这样的拆分把最高风险流量留在设备上,把最低风险流量放到云上。
BAA 与厂商风险:任何 AI 厂商都该问的清单
签约前先过一份短清单。厂商是否为你将使用的确切产品表面(而非姊妹产品)签署 BAA?哪些具体端点、模型与控制台在范围内,哪些被书面排除?提示、生成、向量与微调产物的默认数据保留是什么?能否设为零?
要求子处理者清单及其变更通知机制。确认传输与静态加密、Key 管理姿态,以及是否支持客户管理的 Key。要求违规通知时限能让你在留有余量的情况下满足自己的 60 天患者通知义务。
索取最近的 SOC 2 Type II 和任何 HITRUST 鉴证、渗透测试节奏与事件响应手册。最后,要求厂商书面确认不会用你租户的数据训练共享模型。
30 天试点上线
第一周是定范围。隐私官、临床发起人与 IT 选出二至三个工作流,绘出数据流图并更新风险分析。识别哪些步骤可仅本地、哪些需云,并确认任何云表面的 BAA 覆盖。
第二周是开通。把工作区与按岗位映射的 RBAC 角色拉起,将审计日志发往你的 SIEM,在提示边界配置 DLP 脱敏规则,并在试点设备上加载本地模型。书面化回滚预案。
第三周是与 5-10 位临床医生的受监督试点。跟踪节省时间、相对人工审核金标的错误率、以及任何 DLP 告警。周中与隐私官评审。
第四周是 Go/No-Go。更新政策与培训材料,必要时定稿对患者的 AI 使用披露,并为下一批人群确定扩展标准。
Frequently asked questions
- 在端侧运行模型是否完全免除 BAA?
- 对本地推理本身而言,是的,因为不会向第三方披露 PHI。但仍需考量软件厂商的角色。若本地运行时、工作区外壳或任何管理平面可能通过遥测、日志或支持会话接收 PHI,厂商即扮演业务伙伴角色,签 BAA 才合适。稳妥做法是书面确认厂商默认不从设备接收任何 PHI,并禁用可能携带内容的可选遥测。云回退始终要求与云模型厂商签 BAA。
- 我们能在 HIPAA 工作流中使用 ChatGPT、Copilot 或 Gemini 吗?
- 可以,但仅限厂商已同意以 BAA 覆盖的特定企业配置,且仅适用于该协议中明确列出的表面。OpenAI 覆盖 API 与部分 ChatGPT Enterprise 或 Edu 租户。Microsoft 覆盖 Azure OpenAI Service 与合资格 Copilot 租户。Google 覆盖合资格 Workspace 套餐中的 Gemini,同时排除 NotebookLM 与 Chrome 内的 Gemini。免费与标准消费档不在覆盖之列。更难的问题在于员工行为:在网络或浏览器层屏蔽消费表面,与合同同等重要。
- 针对 AI 与传统 EHR 访问的审计日志有何区别?
- 传统 EHR 审计日志按用户、时间、动作捕获记录访问。AI 审计日志需捕获提示、模型与版本、检索到的上下文、响应、用户、工作区以及模型调用的任何工具。当使用 BYOK 回退时还需捕获云路由决策。把它们与 EHR 日志按相同保留策略一同保存,存入防篡改存储,并送入安全团队已监控的同一 SIEM,使 AI 活动成为正常事件响应的一部分,而不是并行筒仓。
- 2026 年新的安全规则变化呢?
- HHS 最近的规则制定将多项原本「可寻址」的保障升级为「必须」,并加重了加密、多因素认证、含处理 ePHI 的 AI 系统在内的资产清单,以及更严格的事件报告时限。请把任何 AI 助手视为风险分析中的在范围资产,记录数据流,并确认事件响应手册可满足更短的通知窗口。具体生效日期与适用过渡安排请与隐私官协调,因为执法立场与延期可能在公布后调整。
Sources