符合 HIPAA 的
医疗支持 AI
将 JieGou 的 10 层治理架构映射到 HIPAA 要求。PHI 检测(MRN、NPI、ICD-10、医保标识符)搭配可配置的脱敏模式、访问控制、审计追踪、加密和最小必要原则 — 全部内置于每个 AI 交互中。
HIPAA 要求
HIPAA 对 AI 系统的要求
任何处理患者通信的 AI 系统都必须满足 HIPAA 隐私和安全规则的这些核心要求。
PHI 保护
受保护的健康信息必须被识别、保护,且仅向授权方披露。处理患者消息的 AI 系统必须检测 MRN、NPI、ICD-10 代码、医保标识符和医疗上下文 — 并以可配置的脱敏模式处理 PHI。
最小必要原则
仅应使用或披露特定目的所需的最少 PHI 量。AI 自主权必须受到限制以防止不必要的数据暴露。
审计追踪
所有对 PHI 的访问和披露都必须记录谁、什么、何时和为什么。AI 决策必须产生可供合规审查的可审计记录。
数据泄露通知
覆盖实体必须就未加密 PHI 的泄露通知受影响个人、HHS,以及在某些情况下通知媒体。必须建立检测和响应系统。
JieGou 对照
JieGou 如何应对各项要求
JieGou 现有的治理功能直接映射到 HIPAA 的技术保障要求 — 无需附加组件或第三方插件。
专用 PHI 检测模块
JieGou 提供专门构建的 PHI 检测模块,可在 AI 处理消息之前识别医疗记录号码(MRN)、通过 Luhn 校验验证国家提供者标识符(NPI)、检测 ICD-10 诊断和手术代码、识别医保标识符,并标记医疗上下文短语。可配置的脱敏模式支持完全脱敏或部分遮罩。该模块已通过 32 个测试用例验证,涵盖边界情况和误报。敏感度标签按暴露风险对检测到的 PHI 进行分类。
每个 AI 决策的审计日志
30 种操作类型捕获每次交互 — 消息接收、AI 分流决策、PHI 检测、升级触发、响应发送、审批请求。不可篡改的日志支持合规审计和事件调查。
信任升级强制最小必要原则
4 个自主等级控制 AI 可访问和操作的数据量。等级 1(仅建议)确保人工审查每个包含 PHI 的响应。等级 4(完全自动)可限制为仅处理不含 PHI 的交互。
BYOK 静态数据加密
AES-256-GCM 加密搭配自带密钥(BYOK)支持,确保患者数据使用您组织控制的密钥加密。内置密钥轮换、访问日志和职责分离。
功能对照
HIPAA 要求对应 JieGou 功能
| HIPAA 要求 | JieGou 功能 | 状态 |
|---|---|---|
| PHI 检测 | PHI 检测模块 — MRN、NPI(Luhn 验证)、ICD-10 诊断/手术代码、医保标识符,以及具可配置脱敏模式(完全或部分遮罩)的医疗上下文短语。32 个验证测试用例。 | 就绪 |
| 访问控制 | RBAC(5 种角色,20 项权限) | 就绪 |
| 审计追踪 | 30 种操作类型,不可篡改日志 | 就绪 |
| 加密 | AES-256-GCM(BYOK) | 就绪 |
| 最小必要原则 | 信任升级(4 个自主等级) | 就绪 |
架构
符合 HIPAA 的消息处理流程
企业安全认证
JieGou 正在获取 SOC 2 Type II 认证,涵盖安全性、可用性、处理完整性、机密性和隐私。我们的治理架构从第一天起就是为满足这些控制措施而设计的。