构建 HIPAA 合规的 AI 系统:关键要点
HIPAA 对 AI 的合规由三条规则主导:Privacy Rule(最少必要的 ePHI 访问)、Security Rule(加密、MFA、审计日志、访问控制)以及 Breach Notification Rule(在 60 天内披露)。签订业务伙伴协议(BAA)是一项法律前提,而不是合规机制。它并不能阻止 ePHI 流经第三方推理基础设施或被用于模型训练。做到这些的,是架构上的控制。
本指南涵盖医疗技术买家真正面对的决策:BAA 覆盖什么、不覆盖什么,2025 年 HIPAA Security Rule 更新改变了什么,以及何时自托管基础设施成为唯一可辩护的选项。跳过定义,您已经知道 HIPAA 是什么。
HIPAA 对 AI 系统究竟要求什么#
适用的三条规则:Privacy、Security、Breach Notification#
Privacy Rule:被覆盖实体与业务伙伴只能在既定目的所需范围内使用和披露 ePHI。对 AI 系统而言,这意味着模型接收的是执行其任务所需的最少 ePHI。执行预约排期的 AI 系统不需要访问临床笔记。做临床记录的 AI 系统则需要。正确地界定访问范围既是合规要求,也是安全实践。
Security Rule:被覆盖实体必须对 ePHI 实施管理、物理与技术层面的保障。2025 年 NPRM(2025 年 1 月 6 日发布)取消了“必须 vs. 可寻址”的区分。所有实施规范现已均为强制:访问 ePHI 的所有系统需 MFA、静态数据采用 AES-256 加密、传输采用 TLS 1.3、每六个月一次漏洞扫描、每年一次渗透测试(HHS Federal Register,2025 年 1 月)。
Breach Notification Rule:一旦发生 ePHI 泄露,受影响个人必须在 60 天内被通知。影响 500 人及以上的泄露必须在 60 天内通知 HHS OCR;规模较小的泄露按年上报。泄露的定义包括第三方未经授权的访问——其中包括在没有适当控制的情况下处理您 ePHI 的 AI 供应商基础设施。
ePHI 的定义:什么算在内,AI 正在接触什么#
Electronic Protected Health Information 是任何以电子方式创建、接收、维护或传输的、可识别个人身份的健康信息。对医疗场景下的 AI 系统而言,ePHI 出现在:
- 与健康状况或治疗关联的患者姓名、日期、联系方式
- 会揭示病情的预约记录(心内科就诊、肿瘤随访)
- 与患者关联的保险信息
- 临床笔记、化验结果、影像报告
- 将某人与操作或诊断关联的账单记录
- 包含上述任一信息的通话录音
预约牙科的 AI 前台接待员可能处理 ePHI:来电者姓名、保险信息、预约类型。是否构成 ePHI 取决于系统采集了哪些数据,以及是否连接到使之成为可识别健康信息的记录。
最少必要标准与 AI 系统为何难以满足#
HIPAA 的最少必要标准要求被覆盖实体将 ePHI 访问限制在任务实际所需的范围内。AI 系统在架构上天然容易违反这一标准,因为它们设计时就倾向于利用上下文提升输出质量。访问患者完整病史的 LLM 给出的回答比只访问预约记录的 LLM 更上下文化,但前者可能违反这一标准。
这意味着要在部署之前、而不是之后,定义显式的数据访问范围。模型只拿到具体任务所需的数据。不是完整记录。
没有 AI 工具是“HIPAA 认证”的:这在实践中意味着什么#
HIPAA 认证并不存在。政府没有 HIPAA 合规认证。当供应商声称其工具“HIPAA 认证”时,他们指的是实施了符合 HIPAA 要求的控制——通常通过内部审计、第三方评估或 SOC 2 认证来验证。
重要的是具体 AI 系统在您环境中的部署是否满足监管要求。HIPAA 资格合格的供应商(愿意签署 BAA)与 HIPAA 合规的部署不是一回事。这一区别重要且被广泛误解。
BAA 问题:它覆盖什么、不覆盖什么#
业务伙伴协议在法律上做了什么#
BAA 是被覆盖实体与业务伙伴(指代表被覆盖实体处理 ePHI 的任何供应商)之间的法律合同。BAA 定义业务伙伴被允许如何处理 ePHI,要求其实施适当保障,明确出现问题时的责任,并规定违约报告要求。
BAA 是必需的。在未签署的情况下使用处理 ePHI 的 AI 供应商,无论其他事做得多好,都是直接的 HIPAA 违规。
BAA 不能防止的:经推理端点传输的 ePHI#
多数组织对 BAA 忽略的一点是:它不改变数据被处理的架构。
BAA 不能阻止 ePHI 流经供应商的推理基础设施。它不能阻止供应商的模型服务层处理您的提示。它确立了出事时的合同责任,但数据还是会去它该去的地方。
如果您的 AI 系统把患者数据发送给第三方云 API 进行推理,该数据会流经供应商网络、被其推理基础设施处理、并可能在其系统的多个点被记录。BAA 让供应商在合同上对保护该数据负责,但它并不阻止这次传输发生。对于“ePHI 绝不触及第三方系统”是架构要求的工作负载而言,BAA 是不够的。就这样。
88% 的医疗组织已经采纳基于云的生成式 AI,但 96% 使用会利用用户数据做训练的工具。这与 HIPAA 最少必要标准直接冲突(Sprypt,2025)。这些组织中很多都有 BAA。
模型训练缺口:您供应商的 BAA 是否明确覆盖在您数据上的微调?#
阅读 BAA,查看是否存在关于以下内容的显式语句:ePHI 是否可用于模型训练或微调、处理后是否以任何形式保留、是否为调试或监控被记录、数据保留政策与删除流程是什么。
许多 BAA 禁止训练,但对保留与日志记录闭口不谈。“不用于训练”不等于“不保留”。为调试而保留您 ePHI 90 天的日志会创造一个 BAA 可能未覆盖的暴露窗口。
向任何 AI 供应商发送患者数据之前应问的正确问题#
- 您的 BAA 是否覆盖处理我们数据的所有环境,包括推理端点、日志系统和监控基础设施?
- 我们的 ePHI 是否被用于模型训练、微调或评估?在何种情况下?
- 数据在处理后保留在哪里、保留多久?
- 我们的数据是否流经 BAA 未覆盖的任何分包商基础设施?
- 您如何履行 HIPAA 60 天违约通知要求?
- 静态和传输中的数据适用哪些加密标准?
书面获得具体答案。含糊的保证在 OCR 审计面前撑不住。
2025 年 HIPAA Security Rule 更新:改变了什么#
2025 年 1 月 6 日发布的 NPRM:取消“必须”与“可寻址”#
2025 年 1 月 6 日,HHS OCR 发布了一份《拟议规则制定通知》,根本性地改变 Security Rule 的实施结构。现行规则将规范分为“必须”(must implement)与“可寻址”(implement 或 document 原因)。NPRM 取消了这一区分。所有规范均成为强制。
最终规则预计在 2025 年末或 2026 年发布。把 NPRM 的要求视为即将到来的合规底线。
MFA 成为访问 ePHI 所有系统的强制要求,包括内部与远程#
此前 MFA 仅对远程访问强制,对内部访问属“可寻址”。在拟议更新中,MFA 对所有访问 ePHI 的工作人员均为强制,无论是远程接入还是从设施网络内接入。
对 AI 系统而言,这影响任何触及 ePHI 的管理界面、开发者访问或运营工具。您的自托管推理服务器、您的 n8n 工作流自动化、您的监控仪表盘:只要它触及 ePHI,每条访问路径上的 MFA 现在都是强制。
加密标准:静态 AES-256、传输 TLS 1.3#
拟议规则规定静态数据使用 AES-256、传输数据使用 TLS 1.3。这些取代了此前“可寻址”的加密规范,成为明确的标准。
本地存储的模型权重与数据必须静态加密。组件之间的 API 调用(语音智能体到工作流自动化到 EHR)必须使用 TLS 1.3。更老的 TLS 版本不合规。
每六个月漏洞扫描、每年渗透测试#
两者此前均为“可寻址”。在拟议更新中,两者均成为强制。漏洞扫描覆盖所有创建、接收、维护或传输 ePHI 的系统,每六个月一次。渗透测试每年一次,并要求对识别出的漏洞进行整改。
对 AI 系统部署而言,您的推理基础设施、工作流自动化层、EHR 集成点以及任何处理 ePHI 的支撑系统,都在两者范围内。
处罚风险:每类违规每年最高 $2 million#
截至 2025 年,HIPAA 违规处罚从每次不知情违规 $13,785 起,到每次未纠正的蓄意疏忽违规 $63,973,每类违规年度上限 $2 million(HHS,2025)。对任何触及预约数据或临床记录的 AI 系统而言,影响数千患者的泄露都是现实情景,由此产生的处罚很容易超过合规架构的成本。
2024 年是医疗数据泄露史上最糟糕的一年:2.768 亿条记录,比 2023 年增长 64.1%(HIPAA Journal,2024)。这些组织里,大多数此前想必都以为自己控制得当。
云端 AI 与自托管 AI:架构决策#
即便签了 BAA,云端 AI 在哪里会制造 HIPAA 风险#
当您的 AI 系统把 ePHI 发送到云 API 处理时,无论合同保护如何,您都制造了一次数据暴露事件。数据流经了供应商网络。其基础设施处理了它。日志可能保留了它。分包商(模型提供商、基础设施供应商)可能接触了它。
BAA 为这些暴露分配责任,但并不阻止它们。对于审计标准是“ePHI 从未离开我们环境”的组织而言,带 BAA 的云端 AI 无法满足该标准。理论上不行,实际中也不行。
自托管推理的真实含义:Ollama、vLLM 与推理层#
自托管 AI 推理意味着在您自己的基础设施上、在您的网络边界内运行语言模型。模型在您控制的硬件上运行。提示中的 ePHI 与生成的输出从不离开您的环境。
生产级自托管 AI 栈通常使用:
- Ollama:用于单用户、小团队或本地开发部署
- vLLM:用于高吞吐、并发用户的生产推理
- Open WebUI:用于面向用户、带访问控制与对话历史的界面
自托管栈 $8,000-$15,000 起步,与许多医疗组织为同等容量支付的每年 $50,000+ 的按席位云 AI 许可相比有明显差异(Petronella Tech / premai.io,2025)。
对受监管的医疗部署而言,当您的合规要求是 ePHI 保留在您的环境内时,自托管基础设施是唯一在架构上站得住脚的选项。带 BAA 的云端 AI 无法满足该要求。这是结构性限制,不是供应商特定限制。
带 BAA 的云端 AI 何时站得住脚,何时不行#
带恰当 BAA 的云端 AI 在以下情况站得住脚:您的 AI 工作负载处理去标识化数据(HIPAA Safe Harbor 或 Expert Determination),BAA 明确涉及推理端点数据处理、训练豁免和日志保留,并且您有文档化的风险分析,识别并接受了残余暴露。
它在以下情况站不住脚:您的审计方要求架构层面的证据证明 ePHI 没有离开您的网络;您的 BAA 对推理端点日志记录与数据保留一言不发;您的 AI 供应商使用了主 BAA 未覆盖的分包商;或您正在处理受基础 HIPAA 之外额外保护要求约束的高敏感临床数据——心理健康记录、HIV 状态、物质使用治疗。
44% 的企业隐私门槛:为何组织选择本地部署#
44% 的企业将数据隐私与安全列为采用 LLM 的首要障碍(Kong Enterprise AI Report,2025)。在医疗行业,这一障碍是监管性的,而不是哲学性的。受数据主权与监管要求驱动,自托管 AI 部署在 2024-2025 年同比增长 38%(IDC,2025)。经历过 OCR 审计的组织与未经历的组织,在架构决策上会做得不一样。
如何构建 HIPAA 合规的 AI 系统:技术栈#
先把每一个处理 ePHI 的 AI 接触点都画出来#
在修复任何东西之前,您需要知道 ePHI 从哪里进入、如何流动、从哪里离开您的 AI 系统。这意味着要映射收集患者信息的语音 AI 智能体、接收并处理通话转录的工作流自动化系统、AI 层与 EHR 之间的集成中间件、捕获执行数据的监控与日志系统,以及接收包含 ePHI 提示的任何 LLM API。
对每个接触点:处理哪些数据、谁控制基础设施、存在哪些 BAA 覆盖、数据保留政策是什么。写下来。这是您的证据基础。
审计 BAA 覆盖:每家供应商明确排除了什么#
逐行阅读每一份 BAA。记录明确排除或保持沉默的部分。常见排除包括:用于模型改进的数据(通常列在 BAA 范围之外)、由分包商运营的日志与监控系统、与其他客户共享的推理基础设施,以及为调试而保留的数据。
您的 BAA 在哪里沉默,就假定那里没有保护。在将覆盖视为完整之前,书面要求供应商明确澄清。
应用 2025 年 Security Rule 强制控制#
对每一个处理 ePHI 的系统:对所有存储数据(包括模型输出、日志和缓存响应)实施 AES-256 静态加密;组件间所有网络通信实施 TLS 1.3;所有访问路径(包括开发者访问、管理界面与运营仪表盘)实施 MFA;对所有 ePHI 访问事件实施不可变审计日志,保留六年。
这些不再是建议。在拟议 NPRM 下,它们是强制的。
实施基于角色的访问#
ePHI 访问应遵循最小权限原则。语音智能体可以访问排期数据,不应访问临床笔记。工作流自动化层可以访问通话转录,不应访问账单记录。推理层处理提示,不应保留它们。
审计日志必须捕获谁访问了什么数据、何时访问、采取了什么动作、哪个系统组件执行了访问。日志必须不可变,不能被其监控的系统修改或删除。如果生成日志的系统同时也能删除它,这份日志在审计中一文不值。
网络分段与推理层隔离#
对自托管推理,模型推理层应与其他系统进行网络分段。推理请求只能来自被授权的内部系统。推理服务器没有公共网络暴露。
对带 BAA 的云端 AI 部署:复核网络路径。如果您的 ePHI 在到达符合 HIPAA 资格的端点前穿越了公共互联网,这一段传输就是合规缺口,无论目的地 BAA 状态如何。
为每个 AI 系统记录您的风险分析#
HIPAA 要求有文档化的风险分析。对 AI 系统而言,这意味着记录系统处理了哪些 ePHI、量级多少,制造了哪些威胁和漏洞、哪些控制缓解了这些威胁、在应用控制后残余风险是什么、以及该残余风险是否可接受。
这份文档就是能在 OCR 审计中生存下来的东西。您构建的架构重要,但证明它的文档才是真正被评估的。
风险最大的使用场景#
临床记录与环境式笔记#
AI 环境式记录系统处理临床接触中说的一切。那是存在的最敏感 ePHI。这些系统需要最严格的架构:自托管推理、明确排除出任何训练管道、最少保留,以及严格的访问控制。这一场景下,没有一个版本是“带 BAA 的云 API 就是正确答案”。
读写 EHR 的预授权工作流#
预授权 AI 阅读临床记录、保险资格数据和治疗计划。它向 EHR 写回授权请求与决定。每一次读和写都是一次 ePHI 访问事件。集成面大、数据敏感性高,审计轨迹要求严格。
用于患者排期与分诊的语音 AI#
预约的语音 AI 智能体会在采集的人口学与保险数据中触及 ePHI。评估症状的分诊智能体会触及高度敏感的临床 ePHI。这两个场景的合规架构差异相当大:分诊智能体需要在数据保留、访问以及推理层隔离方面更严格的控制。
关于医疗语音 AI 的更多内容,参见 医疗行业语音 AI 智能体。
医疗编码与 NLP 辅助账单#
处理临床记录以生成账单代码的 AI 会触及完整的临床记录。出错同时带来合规风险(不正确的账单本身就是独立的监管暴露)和 HIPAA 风险(对临床记录的广泛访问制造了大攻击面)。
如何审计您当前的 AI 配置以发现 HIPAA 缺口#
对您环境中的每个 AI 系统,按以下问题逐一检查:
- 该系统是否创建、接收、维护或传输 ePHI?如果是,它在 HIPAA 范围内。
- 是否与每家处理该 ePHI 的供应商签署了 BAA?
- 该 BAA 是否明确处理推理端点数据处理、训练豁免与日志保留?
- 该系统中的所有静态 ePHI 是否应用了 AES-256 加密?
- 组件之间传输中的所有 ePHI 是否应用了 TLS 1.3?
- 对该系统的所有访问是否要求 MFA?
- 审计日志是否已实施并保留六年?
- 该系统是否包含在您上一次漏洞扫描范围内?
- 该系统是否在您上一次渗透测试范围内?
- 系统文档是否支持一份站得住脚的风险分析?
67% 的医疗组织报告对 2025 年 HIPAA Security Rule 更新中更严格的安全标准准备不足(Sprypt,2025)。对您当前的 AI 系统走一遍这张清单,会在审计或事件发生之前暴露缺口。
常见问题#
签署 BAA 就让 AI 工具 HIPAA 合规了吗? 不。BAA 分配责任。它不实施技术保障,也不阻止您的数据流经供应商的推理基础设施。许多 BAA 覆盖供应商的基础设施,但并未限制您的数据如何流经其模型推理端点,也不限制是否可被用于训练管道。您必须审计 BAA 的措辞,而不是仅确认它存在。
如果供应商签了 BAA,就可以使用基于云的 AI 工具处理患者数据吗? 这取决于 BAA 关于数据保留、模型训练和推理路由的具体规定。如果 ePHI 流经共享推理端点,或在无明确范围限制的情况下被保留用于模型改进,签署的 BAA 也不能防止 Security Rule 违规。最安全的配置是仅通过专属、隔离、零数据保留且明确排除训练的实例路由 ePHI。
面向 AI 的 HIPAA 资格合格与 HIPAA 合规有什么区别? HIPAA 资格合格意味着供应商愿意签 BAA。HIPAA 合规意味着 AI 系统的架构、访问控制、加密和审计日志满足 Security Rule 的技术保障。资格合格是一项法律约定。合规是架构和运营状态。供应商可以资格合格,而您的部署不合规。
自托管的 AI 模型需要遵守 HIPAA 吗? 需要。自托管消除了第三方数据传输风险,但系统本身仍必须满足 HIPAA 的 Security Rule:静态与传输中加密、MFA、访问控制、审计日志和网络分段。自托管是高风险 AI 工作负载 HIPAA 合规的前提,而不是合规控制本身的替代。
2025 年 HIPAA Security Rule 更新改变了什么? 2025 年 1 月 6 日,HHS OCR 发布了一份《拟议规则制定通知》,取消 Security Rule 中的“必须 vs. 可寻址”区分。所有实施规范均成为强制:访问 ePHI 的所有系统实施 MFA、静态 AES-256 加密、传输 TLS 1.3、每六个月漏洞扫描、每年渗透测试。最终规则预计在 2025 年末或 2026 年发布。
AI 相关违约适用哪些 HIPAA 处罚? 截至 2025 年,HIPAA 违规处罚从每次不知情违规 $13,785 起,到每次未纠正的蓄意疏忽违规 $63,973,每类违规年度上限 $2 million(HHS,2025)。影响数千患者的泄露所造成的处罚,往往远超合规架构的成本——通常是事后才引起重视的一点。
不确定您当前的 AI 配置是否 HIPAA 站得住脚?Silverthread Labs 审计医疗 AI 栈,给您一幅清晰的改进图景:BAA 覆盖缺口、基础设施配置问题,以及不符合 2025 年标准的安全控制。
