指南

ChatGPT 能合规用于心理咨询吗?真正的合规要求是什么

AI for Inner Explorers.

ChatGPT 能合规用于心理咨询吗?不能 —— OpenAI 不为消费级方案签署 BAA,以及合规真正要求的七项控制

不能 —— 标准版 ChatGPT 不符合 HIPAA。OpenAI 不为消费级方案(Free、Plus、Pro、Team、自助版 Business)签署业务伙伴协议(BAA),而在任何供应商处理受保护健康信息之前,BAA 是法律强制要求。把来访者资料输进去,本身就可能构成违规。

这是大多数咨询师在搜索的那个答案。也是大多数文章停下的地方 —— 于是更有用的那个问题始终没人回答:一个合规的 AI 系统,究竟必须实现什么?

标准版 ChatGPT 为什么过不了这一关

问题不在模型质量。问题在模型外面那层法律与技术的封套。

没有 BAA,就没有合法处理 PHI 的资格。 在 HIPAA 之下,业务伙伴协议是把供应商绑定到保护受保护健康信息义务上的法律工具。没签这份协议,咨询师输入来访者细节就是在框架之外行事 —— 无论提示词写得多小心。

消费级的数据处理方式,和临床需求正好相反。 输入标准消费级界面的数据,可能被留存在供应商服务器上并用于改进模型。治疗对话记录是世上最敏感的个人数据类别之一;它恰恰是最不该被放进这种默认设置的东西。

「我做匿名化处理不就行了」通常站不住。 临床叙事是可再识别的。一个日期、一座城市、一份职业、一个家庭结构,往往就足够了。去掉名字不等于去标识化。

两条确实可行的路径

公平地说,截至 2026 年,合规的路径确实存在:

  • ChatGPT for Healthcare —— 2026 年初推出的企业工作区,面向受监管的临床场景。其中的内容不用于训练 OpenAI 的模型,且 OpenAI 会与符合条件的机构签署 BAA。
  • 签了 BAA 的 OpenAI API —— 在符合零数据留存条件的接口上可用。这是大多数「HIPAA-ready」治疗工具真正的构建路径:供应商与 OpenAI 签一份 BAA,再与你的机构签第二份。

值得注意的规律是:这两种情况里,合规都来自那层封套 —— 协议、留存策略、访问控制 —— 而不是来自聊天机器人本身。

合规真正要求的七项控制

无论一家机构最终采用哪个工具,这些都是值得追问的问题。它们对应 Hamo AI 为通过 PHIPA 6.1 技术审计所实现的控制,并且在各类健康隐私法规之间是通用的。

  1. 传输加密 —— 每一条连接都用 TLS 1.2+,HTTPS 是强制而非可选。
  2. 静态加密 + 客户自管密钥 —— AES-256,密钥由供应商自己掌控并可轮换,而不是云厂商的共享默认密钥。
  3. 基于角色的访问控制 —— 管理员、临床人员、来访者分离成不同角色,且在每一个 API 接口上强制执行,而不只是账号级别。
  4. 强制多因素认证 —— 每一个登录入口都必须要求,而不是作为可选项提供。
  5. 不可变审计日志 —— 每一次对健康信息的访问或修改,都记录下用户、动作、资源、IP 与时间戳。
  6. 强密码哈希 —— 使用有意义成本因子的 bcrypt,而不是裸的 SHA-256 摘要。
  7. 强制会话空闲超时 —— 一台无人看管的设备,不能让临床对话无限期敞着。

一份消费级聊天机器人订阅,基本上一项都不提供。这不是在批评那个产品,而是在陈述它当初是为什么而造的。

Hamo AI 站在哪里 —— 把话说精确

比起听起来漂亮,我们更愿意说得准确。

Hamo AI 于 2026 年 4 月完成了全面的 PHIPA 6.1 技术合规审计,覆盖全部四个平台组件,上述七项控制全部实现并通过验证。PHIPA 是加拿大安大略省的健康隐私框架 —— 它是 HIPAA 的加拿大对应物,不是同一部法律。 在美国 HIPAA 管辖下执业的机构,请直接联系我们,我们会就你们具体的监管处境如实沟通,而不是暗示一种我们并未声称的覆盖范围。

同样地:PHIPA 是一份加拿大资质,我们没有声称符合中国的《个人信息保护法》或任何中国境内的健康数据法规。 如果你在中国境内执业并需要评估这一点,请直接联系我们谈实际情况。

也值得说清楚:PHIPA 合规对一个文书工具和对一个直接与人对话的来访者端 Avatar意味着完全不同的东西 —— 后一个品类需要实时危机检测与临床门控,而转录工具从来不需要建这些。

这个区分,比一枚营销徽章重要得多。一家愿意在标题里把 PHIPA 和 HIPAA 混为一谈的供应商,它其余的合规声明也值得你再看一眼。

更深的那一层

咨询师不能拿 ChatGPT 对来访者用,原因不是它不擅长对话 —— 它相当擅长。原因是通用聊天机器人没有临床封套:没有 BAA、没有审计轨迹、没有角色分离、没有危机协议,也没有一个持证的真人为它说出的话负责。

Hamo AI 的立场是:那层封套本身就是产品。模型只是里面的一个组件 —— 而在 Therapist Mode 里,模型甚至不决定临床上什么被允许。那由确定性代码决定。

合规不是最后贴上去的徽章,而是一开始就得据以设计的约束。任何供应商都能在落地页上写「安全」。诚实的检验标准是:他们愿不愿意准确告诉你,自己通过了哪个框架的审计 —— 以及没通过哪个。
Chris Cheng,Hamo AI 创始人兼 CEO

Grounded in code, not slideware.

Hamo AI — making minds aware, and awake.


关于 Hamo AI

Hamo AI Technology Ltd. 是一家位于加拿大的人工智能公司,正在打造下一代 AI 咨询师 Avatar 系统。我们开发的 AI 疗愈平台「Hamo」通过 AI 疗愈 Avatar 连接心理健康专业人士与来访者,由三个相互连接的应用组成:Hamo Pro(咨询师控制台,用于创建与管理 AI Avatar)、Hamo Client(来访者端,用于与疗愈 Avatar 对话)以及 Hamo-UME(统一心智引擎, 后端 API)。平台的目标是让心理健康支持更可及,同时通过创建并监督这些 AI Avatar 的持证咨询师,始终保持专业把关。

媒体联系

上海合莫科技有限公司
邮箱:socialmedia@hamo.ai
网站:www.hamoai.tech
地址:中国上海市闵行区新闵路 481 弄 15 号 402 室,200240

常见问题

ChatGPT 符合 HIPAA 吗?

不符合。标准版 ChatGPT 方案 —— Free、Plus、Pro、Team 和自助版 Business —— 都不符合 HIPAA,因为 OpenAI 不为它们签署业务伙伴协议(BAA)。而在任何供应商处理受保护健康信息之前,BAA 是法律强制要求。

咨询师可以把来访者资料输入 ChatGPT 吗?

标准版 ChatGPT 不可以。把姓名、出生日期、与个人绑定的诊断或会谈内容输入消费级方案,本身就可能构成 HIPAA 违规,因为这些数据可能被留存在 OpenAI 服务器上并用于改进模型。

有没有合规使用 OpenAI 模型的方式?

有两条路径。2026 年初推出的 ChatGPT for Healthcare 是面向受监管场景的企业工作区,OpenAI 会与符合条件的机构签署 BAA。另外,OpenAI API 在符合零数据留存条件的接口上也可被 BAA 覆盖。

为什么合规的 AI 疗愈工具比 ChatGPT 贵?

因为合规是工程,不是打个勾。它需要客户自管加密密钥、基于角色的访问控制、强制多因素认证、不可变审计日志、强制会话超时,以及一份签署的 BAA —— 这些消费级聊天机器人订阅一项都没有。

Hamo AI 符合 HIPAA 吗?符合中国的法规吗?

Hamo AI 于 2026 年 4 月完成了全面的 PHIPA 6.1 技术审计 —— 那是加拿大安大略省的健康隐私框架。我们没有声称符合美国 HIPAA,也没有声称符合中国《个人信息保护法》或境内健康数据法规;有此需求请直接联系我们沟通实际情况。

PHIPA 和 HIPAA 有什么区别?

HIPAA 是美国联邦层面管辖受保护健康信息的框架;PHIPA 是加拿大安大略省管辖个人健康信息的省级对应法规。两者都要求加密、访问控制、审计轨迹与供应商协议,但它们是彼此独立的法律体系,义务也各自独立。

咨询师该如何判断一个 AI 工具是否合规?

看七项控制:传输层 TLS 1.2+、静态加密且密钥由客户自管、基于角色的访问控制、强制多因素认证、对每一次健康信息访问的完整审计日志、强密码哈希,以及强制会话空闲超时。