HIPAA 合规性检查清单(适用于AI智能体)
为部署AI智能体的医疗机构生成HIPAA合规性检查清单、风险评估和审计框架。
本技能功能
激活后,根据用户请求生成以下任一交付物:
1. 部署前合规性检查点
- AI供应商业务伙伴协议(BAA)要求检查清单
- 受保护健康信息(PHI)数据流映射模板
- 最小必要标准应用指南
- 风险评估框架(45 CFR 164.308(a)(1))
2. 技术保障措施(45 CFR 164.312)
访问控制:
- AI智能体唯一服务账户ID
- 系统故障应急访问程序
- 15分钟自动注销配置
- 基于角色的最小必要权限
审计控制:
- PHI访问日志记录(时间戳、用户、操作、数据)
- 6年保留合规性
- 访问模式异常检测
- AI决策审计追踪
传输安全:
- TLS 1.3强制执行
- 患者通信端到端加密
- API连接证书固定
- 禁止在URL、查询字符串或日志中存储PHI
3. AI特定风险矩阵
| 风险 | 影响 | 缓解措施 |
|---|---|---|
| 提示注入 → PHI泄露 | 严重 | 输入清理、输出过滤、沙箱隔离 |
| 基于PHI的模型训练 | 高 | BAA禁止条款、单租户部署 |
| 生成虚假医疗信息 | 严重 | 人工介入、置信度阈值 |
| 未经授权的AI工具处理PHI | 高 | 批准工具注册、数据防泄露规则 |
4. 违规响应时间线
- 0-1小时: 控制(禁用智能体、保留日志)
- 1-24小时: 评估PHI暴露范围
- 24-48小时: 记录根本原因、受影响个体
- 60天内: 通知HHS + 受影响个体 + 媒体(如超过500人)
- 30-90天: 修复、补丁、重新训练
5. 按用例合规性评级
评估每个AI部署风险等级:
- 患者排程 → 中等风险
- 账单/编码 → 高风险
- 临床决策支持 → 严重风险
- 患者沟通 → 高风险
- 医疗记录摘要 → 严重风险
6. 处罚参考
| 等级 | 单次违规罚款 | 年度上限 |
|---|---|---|
| 无意识违规 | $141 - $71,162 | $2,134,831 |
| 合理原因违规 | $1,424 - $71,162 | $2,134,831 |
| 故意疏忽(已纠正) | $14,232 - $71,162 | $2,134,831 |
| 故意疏忽(未纠正) | $71,162 | $2,134,831 |
医疗数据泄露平均成本:$10.93M(IBM/Ponemon 2025)。
输出格式
- 带状态列的Markdown检查清单
- 含影响/可能性评分的风险矩阵
- 违规响应时间线表格
- 部门特定合规卡片
资源
- 医疗AI上下文包 — $47 — 完整患者旅程自动化、收入周期、EHR集成模式
- AI收入流失计算器 — 发现手动流程成本点
- AI智能体设置向导 — 5分钟配置合规AI智能体