我刚刚收到来自 Google 的通知，告诉我由于Google Health服务将于 2012 年 1 月 1 日关闭，我应该下载我的数据并关闭我的帐户。在下载开始之前，它要求我确认此消息：

您已选择以 ZIP 格式下载您的个人资料。下载的文件将包含您个人资料中的所有数据，包括 PDF、CCR、CSV、XML 形式的通知和文件。这可能需要几分钟的时间来准备和下载，所以请耐心等待。

您的 Google 健康档案可能包含敏感信息，包括健康记录。如果您将敏感信息下载到共享或不安全的计算机或设备，其他人可能会看到它。您有责任保护您下载的信息，并决定与谁共享这些信息。

您确定要将您的个人健康档案副本下载到您正在使用的计算机或设备上吗？

我下载并打开了文件。PDF 文件未加密，它们包含我的姓名和出生日期，这符合 PII（个人身份信息）和 PHI（个人健康信息）的条件。

现在我不是一名律师（虽然我在电视上播放过一个……长篇大论），但我不得不问：如果 Google 不对包含 PII 和 PHI 以数字方式交付给患者的 PDF 进行密码保护，为什么有人会这样做？否则需要这样做吗？

标准免责声明：我不是律师。

您的示例提到了 CD 或拇指驱动器。考虑一下：从您将数据放在驱动器上的那一刻到您将其交给患者的那一刻，数据是您保护数据的责任。所以你有两个选择：

人身安全。可以把它想象成一个手腕上拴着公文包的银行快递员。刻录 CD/创建 U 盘的人必须将其物理地固定在自己的身上或保管库中，直到将其交给患者。或者，他们必须在燃烧后立即交出。

你必须有工作说明和类似的定义这个过程，培训人们，并确保他们遵守它。听起来很麻烦？它是。

电子安全。密码保护的东西。现在 Bob 博士在去洗手间的路上把它丢了或者放在桌子上都没有关系。

一旦到达患者手中，它就不再受 HIPAA 保护，因为它们不是受保护的实体。他们可以用它做他们想做的事。但是为了他们自己的利益，如果它受到保护会很好。

注意：Google Health 解决了这个问题，不会自己刻录副本，而是立即安全地将其传送到用户的计算机上。