Hamo AI 完成全面 PHIPA 技术合规
Hamo AI 完成全面 PHIPA 技术合规,为 AI 心理健康服务的隐私保护树立新标准

加拿大多伦多 — 2026 年 4 月 14 日 — Hamo AI Technology Ltd. 今日宣布成功完成 PHIPA 6.1(《个人健康信息保护法》)全面技术合规审计。审计覆盖 Hamo AI 平台的全部四个组件:hamo-ume 后端 API、Hamo Pro 咨询师控制台、Hamo Client 用户端应用,以及 Hamo Portal 管理控制台。
这一里程碑体现了 Hamo AI 的承诺:以最高标准对待数据安全与用户隐私——不是事后补救,而是从第一天起就作为根本性的设计原则。
为什么 PHIPA 合规如此重要
在 AI 心理健康工具快速涌现的当下,大多数通用 AI 系统——包括 ChatGPT、Gemini 等消费级大语言模型——既没有临床护栏,也没有数据驻留控制,更没有医疗级的隐私保护。用户向这些工具倾诉敏感的心理健康信息时,完全无从知晓数据存在哪里、谁能访问、如何被保护。
PHIPA 是安大略省保护个人健康信息的黄金标准。对任何处理敏感治疗对话的 AI 系统而言,实现 PHIPA 合规不是可选项——而是对用户的基本义务。
Hamo AI 正在按这个义务的标准构建产品。
七层 PHIPA 合规安全体系
以下技术控制已在 Hamo AI 平台全面落地:
1. 传输加密(PHIPA 6.1.1)
用户与 Hamo AI 平台之间传输的所有数据均受 TLS 1.2+ 加密保护。后端 API 仅通过 HTTPS 提供服务,经由 AWS Elastic Beanstalk 与 ACM 托管证书(*.hamo.ai)。三个前端(Hamo Pro、Hamo Client、Hamo Portal)均通过 CloudFront 强制 HTTPS,自动将 HTTP 重定向到 HTTPS。所有 CORS 白名单只允许 HTTPS 来源。
2. 静态加密 —— 客户自管密钥(PHIPA 6.1.2)
所有存储的个人健康信息均采用 AES-256 加密,密钥为客户自管 KMS 密钥(CMK)。全部 11 张 DynamoDB 表——包括 users、avatars、ai_minds、psvs_profiles、conversation_sessions、conversation_messages 和 refresh_tokens——均使用专属 CMK(alias/hamo-phi-*)进行 SSE-KMS 加密。IAM 策略将 KMS 访问权限严格限定于经授权的 DynamoDB 服务操作。用于 Avatar 与媒体资源的 S3 存储采用 AES-256 SSE-S3 加密,并强制 TLS 传输。
3. 基于角色的访问控制(PHIPA 6.1.3)
平台强制执行严格的三级角色分离:PORTAL_ADMIN(管理)、THERAPIST(临床)、CLIENT(终端用户)。每个 API 接口都由 rbac_middleware 保护,将 JWT 角色声明与路由前缀白名单(/api/portal/*、/api/pro/*、/api/client/*)进行比对校验。正式的 API 权限矩阵每季度维护与复审一次。
4. 多因素认证(PHIPA 6.1.4)
三个用户端应用的所有登录入口均强制启用 MFA。系统采用 6 位邮箱验证码,5 分钟有效期,最多 3 次尝试。可信设备识别允许已验证用户通过 HttpOnly Cookie 在 30 天内免验证。MFA 邮件经 AWS SES 送达,完整支持中英双语。
5. 全面审计日志(PHIPA 6.1.5)
对个人健康信息的每一次访问或修改,都会自动记录到 hamo_audit_logs DynamoDB 表中。HTTP 中间件为每一个 PHI API 请求记录 action、resource_type、resource_id、user_id、user_email、user_role、ip_address 与 timestamp。GSI 索引支持按用户和资源高效检索审计轨迹。认证事件——包括 LOGIN、LOGIN_FAILED、PASSWORD_RESET——单独记录。Portal 管理控制台提供安全的审计查询界面。
6. 密码安全 —— bcrypt 哈希(PHIPA 6.1.7)
所有用户密码均采用成本因子 12 的 bcrypt 存储,替代旧的 SHA-256 实现。透明迁移机制确保既有用户在下一次成功登录时自动升级为 bcrypt。密码复杂度要求至少 8 位,须包含大写、小写、数字与特殊字符。
7. 会话管理与空闲超时(PHIPA 6.1.8)
会话由 HttpOnly + Secure Cookie 保护,强制 30 分钟空闲超时。JWT 访问令牌 24 小时过期,刷新令牌 7 天过期。/api/auth/refresh 接口在每次请求时校验 last_activity,拒绝超时闲置的会话。后端支持双模式认证(Bearer 头与 HttpOnly Cookie),保障所有前端平滑过渡。
与通用 AI 工具的对比
| ChatGPT / Gemini | Hamo AI | |
|---|---|---|
| 静态数据加密 | 云厂商默认配置 | AES-256 CMK(客户自管) |
| 访问控制 | 仅账号级 | 三种临床角色的 RBAC |
| 多因素认证 | 可选 | 所有入口强制 |
| 审计轨迹 | 无 | 完整 PHI 访问日志 |
| 会话空闲超时 | 无 | 强制 30 分钟 |
| 密码安全 | 平台托管 | bcrypt(cost=12) |
| 隐私法规 | 无医疗合规 | PHIPA 6.1 合规 |
“当一个人向 AI 系统倾诉自己最脆弱的时刻,他们理应确信自己的隐私受到最高技术标准的保护。PHIPA 合规是我们的承诺——不只是对监管者,更是对每一位信任我们、把心理健康之旅托付给我们的用户、咨询师和家庭。这才是负责任地构建 AI 的含义。”
— Chris Cheng,Hamo AI 创始人兼 CEO
下一步
Hamo AI 的持续合规路线图包括:启用 KMS 密钥年度轮换、实施账户锁定策略,以及建立针对异常访问模式的 CloudWatch 监控。
Hamo AI 正与心理健康专业人士及机构积极合作,建立以临床操守、专业督导和用户隐私优先为基石的伙伴关系。
关于 Hamo AI
Hamo AI Technology Ltd. 是一家位于加拿大的人工智能公司,正在打造下一代 AI 咨询师 Avatar 系统。我们开发的 AI 疗愈平台「Hamo」通过 AI 疗愈 Avatar 连接心理健康专业人士与来访者,由三个相互连接的应用组成:Hamo Pro(咨询师控制台,用于创建与管理 AI Avatar)、Hamo Client(来访者端,用于与疗愈 Avatar 对话)以及 Hamo-UME(统一心智引擎, 后端 API)。平台的目标是让心理健康支持更可及,同时通过创建并监督这些 AI Avatar 的持证咨询师,始终保持专业把关。
媒体联系
上海合莫科技有限公司
邮箱:socialmedia@hamo.ai
网站:www.hamoai.tech
地址:中国上海市闵行区新闵路 481 弄 15 号 402 室,200240
常见问题
Is Hamo AI PHIPA compliant?
Yes. Hamo AI completed a full technical PHIPA 6.1 compliance audit in April 2026, covering all four platform components — the hamo-ume backend, Hamo Pro, Hamo Client, and Hamo Portal — with seven layers of verified technical controls.
How does Hamo AI encrypt personal health information?
Data in transit uses TLS 1.2+ over HTTPS. Data at rest uses AES-256 encryption with Customer-Managed KMS Keys across all 11 DynamoDB tables, including conversation and psychological-profile data — not shared cloud-provider default keys.
Is multi-factor authentication required on Hamo AI?
Yes, MFA is mandatory on every login across all three user-facing apps — a 6-digit email code with a 5-minute expiry, capped at 3 attempts, with optional 30-day trusted-device recognition via HttpOnly cookies.
Does Hamo AI keep an audit trail of who accessed my data?
Yes. Every access to or modification of personal health information is automatically logged — action, resource, user, IP address, and timestamp — in a dedicated audit table, with authentication events logged separately.
How is this different from using ChatGPT or Gemini for therapy?
ChatGPT and Gemini use standard cloud-default encryption, account-level access only, optional MFA, and no audit trail or healthcare compliance. Hamo AI adds customer-managed encryption keys, mandatory MFA, three-tier RBAC, and full PHI audit logging.
What happens if a session is left idle?
Sessions enforce a 30-minute idle timeout via HttpOnly and Secure cookies. JWT access tokens expire after 24 hours and refresh tokens after 7 days, so an unattended device can't leave a conversation exposed indefinitely.