HIPAA 合规 当任务明确涉及美国医疗合规时,以此作为 HIPAA 专用入口。此技能刻意保持精简和规范: 仍是处理 PHI/PII、数据分类、审计日志、加密和泄露防护的主要实施技能。 仍是当代码、架构或产品行为需要医疗感知的二次审查时的专业审核者。 仍适用于通用认证、输入处理、密钥、API 和部署加固。 使用时机 请求明确提及 HIPAA、PHI、受保实体、业务伙伴或 BAA 构建或审查存储、处理、导出或传输 PHI 的美国医疗软件 评估日志记录、分析、LLM 提示、存储或支持工作流是否产生 HIPAA 暴露风险 设计面向患者或临床医生的系统时,需关注最小必要访问和可审计性 工作原理 将 HIPAA 视为覆盖在更广泛的医疗隐私技能之上的叠加层: 1. 从 开始,获取具体的实施规则。 2. 应用 HIPAA 专用决策门: 这些数据是否为 PHI? 该行为者是否为受保实体或业务伙伴? 供应商或模型提供商在接触数据前是否需要 BAA? 访问权限是否限制在最小必要范围内? 读/写/导出事件是否可审计? 3. 如果任务影响患者安全、临床工作流或受监管的生产架构,则升级至 。 HIPAA 专用防护栏 切勿将 PHI 置于日志、分析事件、崩溃报告、提示或客户端可见的错误字符串中。 切勿在 URL、浏览器存储、截图或复制的示例负载中暴露 PHI。 要求对 PHI 的读写操作进行认证访问、范围授…