美国自2003年出台《健康保险便利与责任法案》隐私政策(HIPAA Privacy Rule)以来，患者隐私权保护工作已经成为第一要务。

隐私法越来越严格，涵盖面更广泛。《健康保险便利与责任法案》规定了，将通过政府审查(起初政府未进行审查)追究涉嫌实体的相关责任。《医疗信息经济和临床健康法案》(HITECH)和其它法律也扩大了目标组织、个体从业者和商业伙伴的涵盖范围，包括了行政相对人诉讼、资格理事会、司法部长和媒体(通过规定的新闻稿和蒙羞墙网站)。

造成隐私风险的有效方式有两种：内部由诱惑导致的窥探;外部攻击和偷窃。

外部违规的影响力范围大，破坏性强。为了杜绝这一情况，应确定威胁并采用不影响患者治疗的有效对策。防火墙、杀毒软件、加密、漏洞扫描等防御层也需要运行并定期评估。应考虑生物医学设备、护理协作邮件、向患者发布信息等例外情况避免对医疗服务造成干扰。

密码应使医疗服务提供者快速访问关键系统并阻止外部入侵者。例如，日常的密码过期问题妨碍了医疗服务提供者的工作，却无力阻止不法分子的行为，不法分子在下一个失效日期前有大量的时间使用偷来的密码。

内部违规常常由于个人原因导致，容易在医疗机构中滋长不信任的风气。杜绝内部人窥探需要识别因暂时诱惑而导致的冲动行为。打消人们冲动行事的关键不是设置层层关卡，因为我们无法预测谁将需要访问患者信息;患者病情越危重，就越无法预测，越需要紧急访问。

下列两种工具的结合使用可有效杜绝窥探事件的发生，且不会对医疗服务产生任何不利影响。第一个工具，法医数据挖掘系统(《健康保险便利与责任法案》事务安全规则的系统活动审查)如同大海捞针一样从一大堆审查日志条目中提取违法隐私权的行为。调查这些发现结果并积极沟通这个方法可改变文化氛围，使人们自觉抵制窥探行为。

第二个工具，“打破玻璃”(Break the Glass)警报使图谋不轨的人望而却步，却对每一个需要访问患者病历信息的人不造成影响。为了防止出现警报疲劳，“打破玻璃”应该为隐私侵犯高发的患者预留，且在合理访问时应该尽量控制。

医护人员的目标是兢兢业业地从事本行工作，充分访问他们所治疗的每一位患者的信息，营造安全的隐私文化。

医疗服务机构谨记提高服务质量、加强患者隐私的双重目标，必能在21世纪蓬勃发展。

原文标题：Protecting Privacy Without Harming Patients

原文作者：Eric M. Liederman