在當今數位化時代,個人身份信息(PII)、敏感個人身份信息(SPII) 與 受保護的健康信息(PHI) 的保護愈加重要。隨著越來越多的個人數據在線上共享,各國相繼制定了隱私保護法規來保障這些信息的安全。
瞭解什麼是 PII、SPII 和 PHI 以及它們之間的區別,對於確保合規性與保障隱私安全至關重要,本文將深入探討 PII、SPII 和 PHI 的定義、識別方式及保護方法,並解釋這些信息在 HIPAA 法規下的意義。
個人數據保護定義
可識別個人身份信息(PII)
根據不同企業或適用的法律政策定義有所不同,但一般來說它指的是任何能夠直接或間接識別個人身份的信息,例如姓名、電子郵件地址、社會安全號碼、身份證字號或 IP 地址等。
敏感的可識別個人身份信息(SPII)
通常定義為那些如果被洩露、盜竊或未經授權披露,可能會對個人造成重大損害的 PII。
在台灣最有名的是個人資料保護法的規範,在美國的制定者有聯邦機構或各州均有保護 PII 的隱私保護法(例如,美國各州綜合隱私法比較),在大多數情況下,對於被認為是敏感的 PII 需要採取額外的保護措施,如端到端加密等。
受保護的健康信息(PHI)
是由醫療提供者或其他受 HIPAA(1996 年健康保險攜帶和責任法)保護的機構收集的敏感 PII,與提供醫療服務相關。HIPAA 規定這些受保護的機構和其業務夥伴需實施特定的技術和操作防護措施以保護 PHI。
詳細說明PII、SPII、PHI差異
可識別個人身份信息(PII)
- 電子郵件
- 家庭地址
- IP 地址
- 姓名
- 電話號碼
- 任何其他可以唯一識別個人的信息
敏感的可識別個人身份信息(SPII)
獨立信息:
- 外籍登記號碼
- 生物識別標識符(例如:指紋)
- 信用卡號碼
- 駕照號碼
- 身份證號碼(國民身分證統一編號)
- 金融帳戶號碼
- 護照號碼
- 社會安全號碼(SSN)
與其他信息結合:
- 帳戶密碼
- 公民身份或移民狀況
- 犯罪記錄
- 出生日期(DOB)
- 社會安全號碼的最後四位數字
- 母親的婚前姓氏
- 種族類別
- 宗教信仰
- 醫療信息(例如:病歷、醫療)
- 個人財務信息
- 性取向
- 任何其他如果丟失、洩露或未經授權披露可能對個人造成重大傷害、尷尬、不便或不公平的信息
受保護的健康信息(PHI)
PHI 是指由 HIPAA 覆蓋的機構、學校、大學、雇主或 HIPAA 覆蓋機構的業務夥伴收集的健康信息(無論是實體、電子還是口述形式),並與醫療服務或醫療費用支付相關聯。
健康信息:
- 過敏史
- 用藥情況
- 家族病史
- 健康記錄
- 實驗室檢驗結果
- 醫療賬單
- 過去、現在和未來的健康狀況或身體/心理健康
- 治療/康復計劃
- X 光片
- 任何其他有關個人健康的信息
標識符:
- 帳戶號碼
- 生物識別標識符(視網膜掃描、指紋等)
- 證書/執照號碼
- 日期(除年份外)
- 設備標識符和序列號
- 電子郵件地址
- 傳真號碼
- 地理數據
- 全面部照片及可比圖像
- IP 地址
- 健康保險受益人編號
- 醫療記錄編號
- 姓名
- 社會安全號碼
- 電話號碼
- 車輛標識符和序列號,包括車牌
- 網址
- 任何唯一的識別號或代碼
HIPAA 覆蓋機構:
- 醫療提供者:醫生、診所、心理學家、牙醫、脊椎指壓師、護理之家、藥房
- 健康保險公司
- 健康維護組織(HMO)
- 雇主提供的健康計劃
- 政府支付的醫療計劃(如 Medicare、Medicaid 和軍人健康計劃)
- 清算機構:幫助其他組織將非標準化健康信息轉換為符合數據內容或格式標準的組織
HIPAA 覆蓋機構的業務夥伴:
- 數據分析、存儲和傳輸服務
- 法律和會計服務
- 賬單和福利管理服務
- 精算和索賠處理服務
- 任何其他需要接觸病人健康信息以提供服務的業務
