• 本《HIPAA 企業夥伴附加條款》(下稱「BAA」) 是由 Google 與同意以下條款的客戶 (下稱「客戶」) 共同簽訂，內容僅就「涵蓋服務」(如下文定義) 相關事宜，補充、修訂並併入「服務協議」(如下文定義)。「Google」的定義列載於 https://cloud.google.com/terms/google-entity。本 BAA 將自客戶以電子形式接受當日起生效 (下稱「BAA 生效日期」)。

• 客戶須已簽訂有效的服務協議，本 BAA 才具效力。本 BAA 連同服務協議，將規範各方對「受保護的健康資訊」(如下文定義) 各自應負的義務。

• 您聲明及擔保：(i) 您已獲得完整法律授權，可約束客戶履行本 BAA；(ii) 您已詳閱並瞭解本 BAA 內容；以及 (iii) 您代表客戶同意本 BAA 各項條款。如因不具法律授權而無法約束客戶，或不同意條款內容，請勿點選接受本 BAA 條款。

  • 1. 定義。

    • 「企業夥伴」的定義與 HIPAA 中相同。

    • 「違規」的定義與 HIPAA 中相同。

    • 「涵蓋實體」的定義與 HIPAA 中相同。

    • 「涵蓋服務」是指具體列於附件 1 網址的 Google 產品和/或服務，Google 可能不時更新該清單，並另行通知客戶。Google 可從上述網址移除涵蓋服務，唯須提前至少 12 個月通知。

    • 「指定記錄集」的定義與 HIPAA 中相同。

    • 「HIPAA」是指 1996 年頒布的《健康保險流通與責任法案》和相關規則與法規，包含修訂版本。

    • 「HIPAA 導入指南」是指 Google 於附件 2 網址 (或後續網址) 提供的說明指南，說明客戶可如何設定涵蓋服務，藉此遵循 HIPAA 規定。

    • 「HITECH 法」是指美國國會通過的《經濟與臨床健康資訊科技法》(即《美國經濟復甦暨再投資法》第 13 編) 和相關法規，包含修訂版本。

    • 「受保護的健康資訊」(簡稱「PHI」) 的定義與 HIPAA 中相同；就本 BAA 而言，僅限 Google 在客戶的涵蓋服務所允許的用途內，透過涵蓋服務存取「客戶資料」中的 PHI。

    • 「法律要求」的定義與 HIPAA 中相同。

    • 「安全事件」的定義與 HIPAA 中相同。

    • 「服務協議」是指 Google 與客戶就涵蓋服務的提供事宜，共同簽署的書面協議，協議的形式可能是線上版服務條款。

  • 2. 適用性。

    • 本 BAA 適用於以下情形：客戶為涵蓋實體或企業夥伴，透過涵蓋服務建立、接收、維護或傳輸 PHI，且 Google 因此視同受 HIPAA 規範的客戶企業夥伴或分包商。客戶瞭解本 BAA 不適用於 (a) 任何其他並非涵蓋服務的 Google 產品、服務或功能；或 (b) 客戶非以涵蓋服務 (包括客戶使用其離線/地端部署儲存工具或第三方應用程式) 建立、接收、維護或傳輸的任何 PHI。

  • 3. 允許的 PHI 用途和揭露。

    • a. 除非本 BAA 另有規定，否則 Google 只得在下列情形使用和揭露 PHI：(i) 服務協議和/或本 BAA 允許或要求時；或 (ii) 法律要求時。

    • b. Google 為執行適當的管理和行政作業，以及履行法律責任，可能使用和揭露 PHI，前提是此類 PHI 揭露目的須符合以下條件：(i) 法律要求時；或 (ii) Google 向 PHI 的揭露對象取得合理書面保證，確保 PHI 將保持機密、僅用於已揭露的用途，並在發生任何違規或安全事件時通知 Google。

  • 4. 客戶義務。

    • a. 客戶要求 Google 或涵蓋服務使用/揭露 PHI 的方式，不得超出 HIPAA 許可的範圍，即客戶 (當客戶做為涵蓋實體) 或涵蓋實體 (當客戶做為企業夥伴) 之上述行為，亦須符合 HIPAA 規定 (除非 HIPAA 對企業夥伴另有明確許可)。

    • b. 「使用者」利用涵蓋服務處理 PHI 時，客戶將運用服務中提供的控管機制 (包括 HIPAA 導入指南所述的機制)，確保使用者的 PHI 使用範圍僅限於涵蓋服務。客戶瞭解並同意，Google 提供的 HIPAA 導入指南僅是供客戶參考的設定選項說明指南，客戶須全權負責確保，客戶及其使用者的涵蓋服務使用情形遵循 HIPAA 和 HITECH 法規範。

  • 5. 適當保護措施。

    • Google 和客戶將各自採取適當保護措施，防止涵蓋服務中出現未經授權使用或揭露 PHI 的行為，並遵守 HIPAA 的其他相關要求。

  • 6. 回報與相關義務。

    • a. Google 會立即通知客戶以下消息：(i) Google 得知的任何安全事件 (受第 6 (c) 節規範)；以及 (ii) Google 發現的任何違規行為，前提是違規通知及時發出且未有不合理的延誤，且無論如何不得晚於發現違規行為後 60 天。根據本節規定發出的通知，將盡可能說明違規行為詳情，包括可降低潛在風險的步驟，以及 Google 建議客戶採取的違規處置步驟。

    • b. 如有任何適用通知，Google 將傳送至客戶於協議中提供的通知電子郵件地址，或直接聯繫客戶。

    • c. 儘管第 6 (a) 節已有規定，此第 6 (c) 節仍應視為給客戶的通知，指出 Google 會定期取得失敗嘗試的資訊，包括未經授權存取，企圖使用、揭露、修改或刪除資訊，或干擾 Google 系統和涵蓋服務的一般運作。客戶瞭解並同意，即使此類事件構成安全事件，Google 無須根據本 BAA 就失敗嘗試提供第 6(c) 節以外的任何通知。

  • 7. 分包商。

    • Google 會採取適當措施，確保受 Google 委任的分包商在履行服務協議中的義務 (代表 Google 存取 PHI) 時，均受書面義務約束，須對 PHI 提供與本 BAA 相同層級的實質保護。假如 Google 委任分包商履行本 BAA 所規定的義務，Google 仍須對其履約行為負責，承擔如同親自履行之責任。

  • 8. 存取與修訂。

    • 客戶瞭解並同意，客戶在涵蓋服務中維護的 PHI 形式與內容，須由客戶全權負責，包括客戶是否在涵蓋服務中以指定記錄集的形式維護此類 PHI。Google 會透過涵蓋服務向客戶提供客戶 PHI 的存取權，供客戶履行 HIPAA 規定的義務，保障個人的存取及修訂權；但對於 HIPAA 賦予個人的指定記錄集相關權利，像是存取或修訂 PHI 的權利，Google 無須對客戶或任何個人承擔其他義務。客戶須負責管理涵蓋服務的使用情形，適當回應此類個人要求。

  • 9. 揭露說明。

    • Google 會記錄自身的 PHI 揭露行為，並根據 HIPAA 與其中企業夥伴適用的規定，向客戶提供此類揭露行為的說明，其範圍和程度均須符合 HIPAA 中的企業夥伴規範。

  • 10. 記錄存取權。

    • 在法律要求和所有適用法律保密特權的範圍內，Google 會將有關使用及揭露 PHI 的內部做法、簿冊和記錄，包括由客戶提供或由 Google 代表客戶建立/接收的資訊，提供給美國衛生及公共服務部的部長 (下稱「部長」)，用於評估本 BAA 的法規遵循情形。

  • 11. 到期與終止。

    • a. 本 BAA 將因以下情形終止 (以較早發生者為準)：(i) 根據第 11 (b) 節允許終止時；或 (ii) 為客戶授予涵蓋服務存取權的服務協議皆到期或終止時。

    • b. 如果任一方嚴重違反本 BAA，非違規方可在向違規方寄出書面通知的 30 天後終止本 BAA，除非違規行為在 30 天內改正。若此第 11 (b) 節所述的改正措施並非合理可行，非違規方可立即終止本 BAA；若此第 11 (b) 節所述的終止和改正措施皆非合理可行，非違規方可向部長檢舉違規行為，並受所有適用的法律保密特權規範。

    • c. 如果本 BAA 的終止時間早於服務協議，客戶可根據服務協議繼續使用服務，但須刪除其於涵蓋服務中維護的所有 PHI，並停止進一步建立、接收、維護 PHI，也不得傳送此類 PHI 給 Google。

  • 12. 資訊回傳/刪除。

    • 服務協議終止時，Google 會傳回/刪除由客戶提供或由 Google 代表客戶建立/接收的所有 PHI；但如果這類回傳/刪除作業不可行，Google 會將本 BAA 的保護範圍延伸至無法傳回/刪除的 PHI，並將後續的使用和揭露行為僅限於造成 PHI 無法傳回/刪除的用途。

  • 13. 其他。

    • a. 繼續有效。本 BAA 終止或到期後，第 12 節 (資訊回傳/刪除) 和第 13 節 (其他) 仍繼續有效。

    • b. 複本。雙方得透過簽署複本 (包括傳真、PDF 或其他電子副本) 簽訂本 BAA，但所有複本將合併構成一份協議文件。

    • c. 附加條款效力。如果本 BAA 與服務協議其餘條款有所牴觸，應以本 BAA 為準。本 BAA 受服務協議的「準據法」一節規範。除非經本 BAA 明確修改或修訂，否則服務協議其餘條款仍完全有效。

  • Google Workspace HIPAA BAA (Google LLC) 09032020

附件 1：涵蓋服務清單

• 任何具體列載於 https://workspace.google.com/terms/2015/1/hipaa_functionality.html 的 Google Workspace 產品或服務，均屬於 Google BAA 涵蓋範圍 (統稱「Google Workspace 涵蓋服務」)。

附件 2：HIPAA 導入指南

• 適用於 Google Workspace 涵蓋服務：

• 點選以下網址，即可查看 HIPAA 導入指南：https://services.google.com/fh/files/misc/gsuite_cloud_identity_hipaa_implementation_guide.pdf