受保护健康信息的去标识化

关键要点

• 受保护健康信息（PHI）包含可识别患者的人口学、健康与支付数据。
• 为获批用途进行二次披露前，必须去除患者直接标识符。
• 去标识化可降低再识别风险，并支持公共卫生、运营与研究用途。
• 访问与披露决策仍需遵循《健康保险可携性和责任法案》（HIPAA）隐私与安全要求。

病理生理

医疗系统安全与隐私保护聚焦数据治理与合规，不属于生物疾病过程。不当披露识别信息会造成隐私侵犯、法律风险与照护信任下降。

第 1 章将《健康保险可携性和责任法案》（HIPAA）直接标识符定义为可将记录关联到特定个体的数据元素，如姓名、地址、日期、社会安全号、病历号、生物特征标识及全脸图像。在特定披露前去除这些标识符是去标识化核心流程。

分类

• 已识别 PHI：仍含直接标识符的数据集。
• 去标识化信息：已移除直接标识符且关联风险较低的数据集。

护理评估

NCLEX 重点

优先判断请求披露是否包含直接标识符，以及是否走在有效披露路径上。

• 评估数据请求是否用于治疗、支付、运营或其他许可用途。
• 评估请求导出或报告中是否存在直接标识符。
• 评估是否仅共享“最低必要”信息。
• 传输前评估隐私防护与基于角色的访问控制是否生效。

护理干预

• 释放任何记录要素前先核实披露用途。
• 在获批的非治疗性报告中使用 PHI 时去除直接标识符。
• 使用安全传输流程并核验授权接收方身份。
• 对不确定披露请求升级至隐私官或指定主管。

再识别风险

部分标识符与其他数据源组合后仍可暴露身份，因此披露范围必须保持最小化。

药理学

当与患者身份关联时，用药信息属于 PHI。去标识化可在不暴露个体身份前提下，开展用药趋势安全与质量分析。

临床判断应用

临床情景

某病区收到县级部门近期死亡数据请求，需在不含患者标识符的前提下提交信息。

• 识别线索：请求用于汇总报告，而非直接患者照护。
• 分析线索：披露前必须移除标识符。
• 确定优先假设：主要风险是共享字段导致未授权身份识别。
• 采取行动：仅通过批准的安全流程提交去标识化数据集。
• 评估结局：公共卫生报告完成且无隐私泄露。

相关概念

• 护理中的隐私、安全与信息学 - 《健康保险可携性和责任法案》（HIPAA）与电子数据防护的更广框架。
• 护理中的隐私、安全与信息学 - 将披露范围限制在岗位相关信息。
• 护理中的隐私、安全与信息学 - 追踪访问并支持泄露调查。
• 护理中的隐私、安全与信息学 - 规范 PHI 的使用、存储与传输要求。
• 护理中的隐私、安全与信息学 - 定义患者端信息访问路径。

自我检查

1. 在《健康保险可携性和责任法案》（HIPAA）指南下，哪些数据元素属于患者直接标识符？
2. 为什么去标识化并不等于可以取消披露控制？
3. 护士应在何时升级披露请求，而非直接释放数据？