2009年11月9日

HITECH法案:保护PHI的下一个合理步骤
路德·马丁

HITECH法案不要求对受保护的健康信息(PHI)进行加密，但它可能是朝着这个方向迈出的下一步。

HITECH法案有鼓励但不要求受保实体加密PHI的规定。实施部分HITECH法案的临时最终规则要求通知未经授权使用或披露未加密的PHI，这对个人“构成重大的财务、声誉或其他损害风险”。

一些阴谋论者似乎认为，包含这种措辞是为了让企业避免违约通知的高昂成本，他们辩称，他们的分析表明，他们的违规行为没有造成重大伤害风险。一个更合理的解释是，类似的语言可以追溯到1974年最初的《隐私法》，并且已经包含在现有的州违规通知法中。

但是，如果HITECH法案的违规通知要求不是为了让企业自由侵犯我们的隐私，同时给我们一种隐私受到保护的错觉，那么他们为什么要这样做呢?

要求加密的趋势
《HITECH法案》的违规通知要求可能最好被理解为一种趋势的一部分，这种趋势正在缓慢但肯定地增加对敏感数据的保护。这始于要求组织保护敏感信息的法律法规，尽管他们保护敏感信息的确切方式通常非常灵活。然后，它要求通知未加密的敏感信息的泄露。在这一点上，加密仍然不是必需的，但有强烈的动机使用它来避免代价高昂的漏洞披露。下一步是要求组织对敏感信息进行加密。

HIPAA隐私规则是PHI这个过程的第一步。它要求医疗保健组织保护PHI，尽管他们可以通过多种方式实现这种保护。HITECH法案是下一步，因为它本质上要求通知未加密的PHI泄露。在未来，我们可能会看到联邦法律要求对PHI进行加密;这在一些州已经发生了。

2008年，内华达州法律开始要求在企业安全网络外传输该州居民的敏感信息时进行加密。不久之后，马萨诸塞州的加密法也对该州居民采取了同样的措施。立法者现在正在考虑在其他州制定类似的法律，类似的数据加密法律可能会在未来几年内普及。现在很难避免遵守这些州法律，未来会变得更加困难。

如何以合理的方式遵守这些法律仍然是一个未解决的问题。立法者希望企业保护敏感信息，但成本不能太高，对需要盈利才能生存的企业来说不切实际。

加密是出了名的困难和昂贵，但新技术和积极的IT部门的结合正在产生比几年前更实用的解决方案。例如，像基于身份的加密这样的技术，其拥有和运营成本至少比可追溯到互联网繁荣时期的过时的公钥基础设施技术便宜三倍。这通常足以使加密在过去无法实现的地方变得实用。

一旦各州发现哪些有效，哪些无效，联邦政府很可能会提高标准，要求对所有PHI进行加密，这一举措很可能正是基于各州吸取的教训。让我们希望这能尽快实现。

媒体对最近的数据泄露事件进行了大量报道，数百万信用卡号码被黑客泄露。但是，虽然取消一张受损的信用卡并获得一张新信用卡相对容易，但取消并获得新的病史并不实际。一旦被泄露，就永远泄露了。正因为如此，PHI应该有强大的保护，而加密是这项工作的最佳工具。HITECH法案的违规通知要求只是鼓励加密，但它们是确保PHI得到应有保护的良好一步。

——路德·马丁是加州帕洛阿尔托Voltage security公司的首席安全架构师。