PHI vs PII 深度解析:從 HIPAA 規範看健康資料與個人識別資訊的關鍵差異
在資料隱私合規領域,PHI 與 PII 的混淆是常見錯誤。兩者雖高度相關,但法律定義、適用範圍與保護標準截然不同。釐清差異,是醫療系統設計與資料治理的第一步。
什麼是 PII?個人識別資訊的廣義定義
PII(Personally Identifiable Information) 泛指任何能直接或間接識別特定個人的資料。姓名、Email、IP 位址、生日、社會安全碼,皆屬此類。PII 並無單一統一法規,受 GDPR、CCPA、個資法等不同地區法律分別規範。其保護重點在於「是否能識別個人」,與資料的使用情境無關。
什麼是 PHI?HIPAA 下的健康資訊定義
PHI(Protected Health Information) 是 PII 的子集,必須同時滿足兩個條件:(1)包含可識別個人的資訊,(2)與健康狀態、醫療照護或付款紀錄相關聯。美國 HIPAA(健康保險可攜性與責任法案) 對 PHI 設有 18 種識別符清單,包含姓名、診斷紀錄、處方資料、保險 ID 等。PHI 僅適用於「涵蓋實體」,如醫院、保險公司及其商業夥伴。違規罰款最高達每年 190 萬美元。
💡 核心差異一覽
- 包含關係:所有 PHI 皆為 PII,但 PII 不一定是 PHI。
- 觸發條件:PHI 必須與醫療情境綁定,單純的姓名或 Email 屬於 PII 而非 PHI。
- 法規主體:PHI 受 HIPAA 嚴格規範,PII 依地區適用不同隱私法。
- 去識別化標準:PHI 需移除全部 18 種識別符才算合規去識別;PII 標準因法規而異。
關鍵判斷:同一筆資料可能同時屬於兩者
同一欄位是否構成 PHI,取決於資料的使用情境與關聯性。例如,Email 單獨存在時僅為 PII;但當 Email 與「糖尿病診斷紀錄」關聯儲存時,整筆資料即升格為 PHI,須受 HIPAA 完整保護。系統設計時,資料分類應動態評估情境,而非單看欄位名稱。
# 情境判斷範例(Python 偽代碼)
def is_phi(record):
has_identifier = any(f in record for f in ["name", "email", "dob"])
has_health_context = "diagnosis" in record or "prescription" in record
return has_identifier and has_health_context
上述邏輯說明:識別符 + 健康情境同時存在,才構成 PHI 的最小判斷條件。
⚠️ 合規設計原則
- 醫療平台應預設所有含識別符的健康資料為 PHI 處理。
- 去識別化需通過 HIPAA Safe Harbor 或 Expert Determination 方法。
- 跨境傳輸 PHI 需同時評估
留言
張貼留言