一个客户在2023年晚秋的周四下午给我打了电话——金融科技转向健康科技的转向,他们刚刚聘请了一名合规顾问,该顾问查看了他们的Next.js代码库后交回了一份三页的问题清单。"我们以为放在AWS上就足够了,"创始人说。他真的是这么认为的。老实说?在他之前,我可能已经从大约六个不同的团队听过这句话。
HIPAA合规是那些每个人都认为自己理解了表面的领域之一——签署BAA,选择一个符合条件的云提供商,完成。但HIPAA安全规则不关心你的托管提供商的营销页面。它关心的是你的应用程序如何处理、存储、传输和审计受保护的健康信息(PHI)。Next.js作为一个框架,本身既不符合也不不符合HIPAA。你在它之上构建的东西才是一切。thinksthey understand the surface — sign a BAA, pick a compliant cloud provider, done. But theHIPAA Security Ruledoesn't care about your hosting provider's marketing page. It cares about how your application handles, stores, transmits, and audits Protected Health Information (PHI). Next.js — as a framework — is neither compliant nor non-compliant out of the box. What you build on top of it is everything.
所以让我根据我构建过的真实架构和我看过团队犯过的真实错误,为你讲解2026年真正重要的东西。
---
"符合HIPAA的Next.js"实际上意味着什么
人们把基础设施合规性与应用合规性混为一谈。这两者并不相同。
你的云提供商(AWS、GCP、Azure — 任选其一)可以与你签署《业务伙伴协议》。这是一份法律文件,确立他们将根据HIPAA规则在其基础设施上保护PHI。AWS有一份HIPAA合格服务清单,值得收藏。但AWS的BAA并不意味着你的Next.js应用是合规的。远远不够。HIPAA-eligible services listthat's worth bookmarking. But a BAA from AWS doesn't mean your Next.js app is compliant. Not even close.
应用层是你的责任。永远都是。框架只是个工具而已。yourresponsibility. Always. The framework is just a vehicle.
这就是问题所在 — Next.js 14+(进入2026年,App Router已完全成熟)给了你服务器组件、服务器操作、中间件和边缘函数。这些都有不同的PHI处理含义。一个查询患者数据库的服务器组件,然后把数据传给客户端组件 — 那些数据存在哪里?存多久?会不会最后进了浏览器缓存?这些不是假设性问题。
---
PHI表面积问题
在写代码之前,我会让每个医疗科技客户做一个练习:绘制PHI可能在应用中接触到的每个地方。不是它应该接触的地方。是它可能接触的地方。shouldtouch it. Where itcould.
包括:
- URL参数(我见过患者ID出现在查询字符串中 — 不要这样做)
- 浏览器localStorage和sessionStorage
localStorageandsessionStorage - 客户端状态管理(Zustand stores、Redux、甚至 React context)
- Next.js 的 fetch 缓存和数据缓存层
- 开发期间 console.log 输出的日志意外泄露到生产环境
console.logduring development that sneaks into production - 错误追踪工具,比如 Sentry(稍后会详细说明)
- 分析管道——GA4、Segment、Amplitude
最后两个比几乎任何其他问题都更容易绊倒团队。在 2024 年初,Seahawk 有一个远程医疗客户为错误监控配置了 Sentry。标准操作。但他们的错误边界在崩溃时捕获了完整的 props 对象——其中包括预约详情和用户健康标记。Sentry 不在他们的 BAA 覆盖范围内。这是一个等待发生的违规行为。
清理你的错误追踪
如果你在 PHI 相邻代码中使用 Sentry,使用 beforeSend 钩子在数据离开浏览器前清理敏感字段。非此即彼。像这样的做法是不可协商的:beforeSendhook to scrub sensitive fields before they leave the browser. Full stop. Something like this is non-negotiable:
`` beforeSend(event) { if (event.user) { delete event.user.email; delete event.user.ip_address; } return event; } ``beforeSend(event) { if (event.user) { delete event.user.email; delete event.user.ip_address; } return event; }``
Sentry 确实有 HIPAA 合规路径——他们会签署 BAA——但你仍然需要配置你发送给他们的数据。BAA 不会自动清理你的载荷。HIPAA compliance path— they'll sign a BAA — but you still need to configure what data you send them. The BAA doesn't sanitise your payloads automatically.
---
身份验证和会话处理
这是我看到最多快捷方式的地方。团队使用 NextAuth.js(现在是 Auth.js),接入一个提供商,然后就完事了。Auth.js 是一个不错的库。但默认设置不符合 HIPAA 的要求。
几个具体细节:
- 会话令牌存储 — Auth.js 默认使用基于 cookie 的会话,这没问题,但你需要明确设置 httpOnly、secure 和 sameSite: 'strict'。不要想当然。— Auth.js defaults to a cookie-based session, which is fine, but you need
httpOnly,secure, andsameSite: 'strict'explicitly set. Don't assume. - 会话过期 — HIPAA 的自动登出标准(§164.312(a)(2)(iii))要求会话在定义的不活动期后终止。虽然没有规定具体时间,但临床应用的行业标准是 15 分钟。在你的布局中加入不活动计时器。我通常将其构建为一个自定义 hook,触发服务器操作来使会话失效。— HIPAA's Automatic Logoff standard (§164.312(a)(2)(iii)) requires that sessions terminate after a defined period of inactivity. The number isn't prescribed, but 15 minutes is the industry standard for clinical applications. Wire up an inactivity timer in your layout. I usually build this as a custom hook that fires a server action to invalidate the session.
- MFA — HIPAA 文本中并未严格要求,但在发生数据泄露后,试试向 OCR 审计员解释为什么没有实施它。使用像 otplib 这样的东西来实现 TOTP,或者依赖 Auth0 或 Clerk 这样已内置 MFA 且会签署 BAA 的身份提供商。— Not strictly mandated by HIPAA's text, but try explaining to an OCR auditor why you didn't implement it after a breach. Use TOTP via something like
otplibor lean on an identity provider like Auth0 or Clerk that has MFA baked in and will sign a BAA. - 身份验证事件的审计日志 — 每次登录、登录失败和登出都需要使用时间戳和用户标识进行记录。每一次。— Every login, failed login, and logout needs to be logged with a timestamp and user identifier. Every single one.
我不会说 Auth.js 不适合这个用例 — 我在生产环境的 HIPAA 项目中已经使用过它。但你必须有意地在上面叠加合规要求。
---
传输中的数据和静态数据
传输是相对容易的部分。最低要求 TLS 1.2,首选 TLS 1.3,覆盖所有地方。不仅仅是你的主域名——还包括你的 API 路由、边缘函数、任何 webhook。如果你在用 Vercel,这已经被处理了。如果你在 EC2 上自托管或在 NGINX 反向代理后面运行 Next.js Docker 容器,你需要自己配置。我审查过的代码库中,内部服务间的调用仍然使用 HTTP,理由是"它在 VPC 内部"。这种做法是不可接受的。
静态数据更难。有几个细节很重要:
- 数据库加密——启用加密的 AWS RDS(通过 AWS KMS 使用 AES-256)。这是一个复选框,但你需要真正勾选它并文档化。— AWS RDS with encryption enabled (uses AES-256 via AWS KMS). This is a checkbox, but you need to actually check it and document it.
- 字段级加密用于高度敏感数据——对于像 SSN、诊断记录或药物清单这样的数据,我经常使用像 @aws-sdk/client-kms 这样的库在应用程序级别添加第二层加密来包装/解包密钥。开销是真实的,风险也是。— For things like SSNs, diagnoses, or medication lists, I often add a second layer of encryption at the application level using a library like
@aws-sdk/client-kmsto wrap/unwrap keys. Overhead is real, but so is the risk. - Next.js 数据缓存——这个会让很多人掉坑里。App Router 默认缓存 fetch 响应。如果你在服务器组件中用 fetch() 获取患者数据,除非你非常刻意地管理重新验证,否则你需要 { cache: 'no-store' }。包含 PHI 的缓存响应存储在服务器的内存或文件系统中是个问题。— This one catches people out. The App Router caches fetch responses by default. If you're fetching patient data in a server component with
fetch(), you need{ cache: 'no-store' }unless you're very deliberately managing revalidation. A cached response containing PHI sitting in the server's memory or filesystem is a problem. - 备份——需要加密。需要测试。需要文档化。显而易见,但我审计过的系统中,备份存在但从未被恢复过一次。— Encrypted. Tested. Documented. Obvious, but I've audited systems where the backups existed but had never been restored once.
---
审计日志:没人想构建的部分
我坦白说——审计日志是健康科技应用中最无聊的,也是最重要的东西。每次访问 PHI 都需要被记录。不仅仅是写操作。还包括读操作。
HIPAA审计控制标准(§164.312(b))要求"用于记录和检查包含或使用ePHI的信息系统活动的硬件、软件和/或程序机制"。实际含义是:你需要一份只能追加的日志,记录谁在何时从何处访问了哪些患者数据。HIPAA Audit Controls standard(§164.312(b)) requires "hardware, software, and/or procedural mechanisms that record and examine activity in information systems that contain or use ePHI." What that means practically: you need an append-only log of who accessed what patient data, when, and from where.
我在Next.js中将其构建为中间件层。对于App Router项目,我会在middleware.ts中拦截以进行路由级日志记录,并在任何涉及PHI表的数据库查询函数周围添加一个轻量级服务包装器。日志记录被写入单独的数据库表(或像AWS CloudTrail这样的服务,如果你需要不可变性保证)——绝不能与PHI本身在同一个表中。middleware.tsfor route-level logging and add a thin service wrapper around any database query function that touches PHI tables. The log records get written to a separate database table (or a service like AWS CloudTrail if you want immutability guarantees) — never the same table as the PHI itself.
最小审计记录如下所示:
user_id——谁— whoresource_type + resource_id——什么+resource_id— whataction——read / write / delete— read / write / deleteip_address——从何处(在网络层匿名化是可以的)— where (anonymised at the network layer is fine)timestamp(UTC,始终是UTC)(UTC, always UTC)request_id——与应用日志关联— to correlate with your application logs
不要让开发人员添加console.log(patientRecord)然后声称这是审计跟踪。我见过这种情况。这不算。console.log(patientRecord)and call it an audit trail. I've seen this. It's not.
---
选择你的基础设施堆栈
诚实的答案是,在2026年,对于生产级的HIPAA Next.js应用,我只会推荐少数几个堆栈。
Vercel + PlanetScale/Neon + Clerk是开发者体验堆栈。Vercel会签署BAA(企业计划——没错,需要付费)。PlanetScale和Neon都有符合HIPAA的层级。Clerk处理身份验证并会签署BAA。这样可以快速发布,操作上也合理。权衡之处在于大规模下的成本以及基础设施控制力有所下降。is the developer-experience stack. Vercel will sign a BAA (enterprise plan — yes, it costs money). PlanetScale and Neon both have HIPAA-eligible tiers. Clerk handles auth and will sign a BAA. This is fast to ship and reasonable to operate. The tradeoff is cost at scale and some loss of infrastructure control.
AWS(用于Next.js应用的ECS/EKS)+ RDS Aurora + Cognito是企业级堆栈。运维开销更大。控制力更强。AWS的共享责任模型有充分文档记录,BAA覆盖范围也很广。如果你的客户是医疗系统或保险公司,他们可能会详细问询你的AWS架构。is the enterprise stack. More operational overhead. Much more control. AWS's shared responsibility model is well-documented and the BAA coverage is broad. If your client is a hospital system or an insurer, they're probably going to ask about your AWS architecture in detail.
Render或Railway——我建议对任何受严格监管的项目都要回避。这些都是很好的工具,但他们的HIPAA合规性故事比较薄弱。— I'd steer clear for anything seriously regulated. They're great tools, but their HIPAA compliance story is thin.
我想指出一点:截至2026年初,Vercel的Edge Network和Edge Functions在其BAA下不属于HIPAA覆盖范围。如果你在边缘中间件中运行涉及PHI的逻辑,那就是一个缺口。改为在无服务器函数(Node.js运行时)中运行该逻辑。notHIPAA-covered under their BAA as of early 2026. If you're running logic that touches PHI in edge middleware, that's a gap. Run that logic in serverless functions (Node.js runtime) instead.
---
第三方集成:合规性的坟墓
每一个接触PHI的第三方集成都需要一份BAA。这听起来很明显。这里是通常会绊倒团队的名单:
- 客户支持工具(Intercom、Zendesk)——如果患者在你的支持平台上发送关于其健康的消息,那就是你支持平台中的 PHI
- 表单工具(Typeform、Jotform)——患者初诊表单是 PHI
- 电子邮件提供商(SendGrid、Postmark)——如果电子邮件正文包含健康信息,则需要 BAA
- 功能标志工具(LaunchDarkly、Statsig)——通常没问题,但如果你传递包含健康状态的用户属性来评估标志,那就是 PHI
- CRM(HubSpot、Salesforce)——许多健康科技团队在没有仔细考虑的情况下将患者数据同步到这些工具中
Postmark 会签署 BAA。SendGrid(通过 Twilio)也会在付费计划中签署。Twilio 的 SMS 也是如此。LaunchDarkly 有 BAA 路径。这些不是冷门选项——BAA 流程通常就是提交一份表单,等待几个工作日。
那些不愿意或无法签署 BAA 的工具?不要在 PHI 附近集成它们。就这么简单。
---
常见问题
在 Vercel 上部署我的 Next.js 应用是否使其符合 HIPAA 规范?
不能。Vercel 可以在其企业计划中签署《业务关联协议》(BAA),这意味着他们承担其控制的基础设施的某些 HIPAA 义务。但是你的应用代码、数据库设计、日志、第三方集成——都不在 Vercel 的 BAA 覆盖范围内。合规责任分布在整个技术栈的每一层,应用层是你的责任。
我需要在将数据发送到客户端之前对 Next.js API 路由中的数据进行加密吗?
TLS 处理传输中的加密,所以你不需要手动加密 HTTP 响应体。你需要做的是确保只返回操作所需的最小必要 PHI——例如,如果只需要名字就不要返回完整的患者记录。"最小必要"原则嵌入在 HIPAA 中,应该从第一天起就指导你的 API 响应设计。
Next.js App Router 的内置缓存对 PHI 安全吗?
默认情况下不安全。App Router 中的数据缓存和完整路由缓存可以缓存包含 PHI 的响应,这是有问题的。对于任何涉及患者数据的路由或 fetch 调用,在 fetch 调用上使用 { cache: 'no-store' },并在路由段上添加 export const dynamic = 'force-dynamic'。仔细查看 Vercel 的缓存文档——内容很多但很重要。{ cache: 'no-store' }on fetch calls and addexport const dynamic = 'force-dynamic'to route segments. Review Vercel'scaching documentationcarefully — it's dense but important.
进行 HIPAA 审计追踪需要的最少日志记录是什么?
最少需要:谁访问了什么、何时访问以及从哪里访问。即用户 ID、资源标识符、操作类型、时间戳和 IP 地址。日志需要防篡改(仅追加,应用代码无法编辑)并需要保留——大多数合规框架建议保留六年,这与 HIPAA 的文档保留要求一致。
我可以在 HIPAA 应用中使用 React Query 或 SWR 来获取数据吗?
可以,但需要谨慎。这两个库都在客户端缓存响应,这意味着 PHI 可能会保留在浏览器内存中。对于返回 PHI 的查询,设置 staleTime: 0 和 cacheTime: 0(React Query)或 dedupingInterval: 0(SWR)。同时在退出登录时显式清除查询缓存——不要依赖组件卸载来处理这个问题。staleTime: 0andcacheTime: 0(React Query) ordedupingInterval: 0(SWR) for queries that return PHI. Also clear the query cache on logout explicitly — don't rely on component unmounting to handle this.
---
我想坦诚地说一件事:HIPAA合规性确实很难做好,没有任何框架——无论是Next.js还是其他框架——能让它变得容易。我见过做得好的团队都是从第一天起就把它当作一个架构问题来对待,而不是在发布前要过的一个清单。框架本身没问题。问题几乎总是出在围绕框架所做的决策上。
从PHI表面积映射开始。其他一切都由此而来。