好问题！但恐怕没有一个可靠的答案。与大多数情况一样，这取决于具体情况，但有一些事情需要考虑。

首先，如果有一些疏忽，那么个人可能会承担个人责任。

但是，我认为 HIPAA 安全官员与任何其他负责敏感个人信息安全的人没有什么不同；通常这些案件不会上法庭。

担任此职务的个人是否比其他员工面临更多的个人违规责任？

免责声明：我不是律师，但我已经通过了几轮 HIPAA 培训。

HIPAA 安全人员是否自动对违规行为负责？不会。如果安全人员已经尽职调查，适当的保护措施到位，并且无论如何都有恶意用户去向狗仔队出售名人的健康信息，那么安全人员是否会在任何由此产生的诉讼中被点名似乎是值得怀疑的。即使他们被点名，他们已经完成了他们的工作，应该没有什么好害怕的。

但是，HIPAA 安全人员是否比普通员工承担更多的潜在责任？或许。通过承担这方面的责任，如果他们疏忽了他们实施的保护措施或对他人的培训，他们可能会面临某种形式的责任。（尽管正如@John Straka 指出的那样，我从未听说过这种情况。）

不幸的是，我认为这个问题目前尚无定论。虽然我认为 HIPAA 合规性很重要，但执法仍然不存在。

弗兰肯干巴巴地指出，已向 OCR 提交了 64,000 起隐私投诉，其中近 500 起被提交给司法部进行刑事调查。但弗兰肯说，司法部告诉他的工作人员，只有 16 起 HIPAA 刑事诉讼。他说，与此同时，HHS 只获得了一项民事罚款和六项和解。

http://www.modernhealthcare.com/article/20111116/BLOGS02/311169962/candid-comments-on-hipaa-privacy-rules-enforcement

在执法发生变化之前，我们不知道谁将真正负责。