Skip to main content
解決方案
產品
產業
資源
解決方案
產品
產業
資源

Google Workspace HIPAA 企業夥伴附加條款

上次修改日期:2025 年 9 月 12 日
  • 本《HIPAA 企業夥伴附加條款》(下稱「BAA」) 是由 Google 與同意以下條款的客戶 (下稱「客戶」) 共同簽訂,內容僅就「涵蓋服務」(如下文定義) 相關事宜,補充、修訂並併入「服務協議」(如下文定義)。「Google」的定義列載於 https://cloud.google.com/terms/google-entity。本 BAA 將自客戶以電子形式接受當日起生效 (下稱「BAA 生效日期」)。

  • 客戶須已簽訂有效的服務協議,本 BAA 才具效力。本 BAA 連同服務協議,將規範各方對「受保護的健康資訊」(如下文定義) 各自應負的義務。

  • 您聲明及擔保:(i) 您已獲得完整法律授權,可約束客戶履行本 BAA;(ii) 您已詳閱並瞭解本 BAA 內容;以及 (iii) 您代表客戶同意本 BAA 各項條款。如因不具法律授權而無法約束客戶,或不同意條款內容,請勿點選接受本 BAA 條款。

    • 1. 定義。

      • 「企業夥伴」的定義與 HIPAA 中相同。

      • 「違規」的定義與 HIPAA 中相同。

      • 「涵蓋實體」的定義與 HIPAA 中相同。

      • 「涵蓋服務」是指具體列於附件 1 網址的 Google 產品和/或服務,Google 可能不時更新該清單,並另行通知客戶。Google 可從上述網址移除涵蓋服務,唯須提前至少 12 個月通知。

      • 「指定記錄集」的定義與 HIPAA 中相同。

      • 「HIPAA」是指 1996 年頒布的《健康保險流通與責任法案》和相關規則與法規,包含修訂版本。

      • 「HIPAA 導入指南」是指 Google 於附件 2 網址 (或後續網址) 提供的說明指南,說明客戶可如何設定涵蓋服務,藉此遵循 HIPAA 規定。

      • 「HITECH 法」是指美國國會通過的《經濟與臨床健康資訊科技法》(即《美國經濟復甦暨再投資法》第 13 編) 和相關法規,包含修訂版本。

      • 「受保護的健康資訊」(簡稱「PHI」) 的定義與 HIPAA 中相同;就本 BAA 而言,僅限 Google 在客戶的涵蓋服務所允許的用途內,透過涵蓋服務存取「客戶資料」中的 PHI。

      • 「法律要求」的定義與 HIPAA 中相同。

      • 「安全事件」的定義與 HIPAA 中相同。

      • 「服務協議」是指 Google 與客戶就涵蓋服務的提供事宜,共同簽署的書面協議,協議的形式可能是線上版服務條款。

    • 2. 適用性。

      • 本 BAA 適用於以下情形:客戶為涵蓋實體或企業夥伴,透過涵蓋服務建立、接收、維護或傳輸 PHI,且 Google 因此視同受 HIPAA 規範的客戶企業夥伴或分包商。客戶瞭解本 BAA 不適用於 (a) 任何其他並非涵蓋服務的 Google 產品、服務或功能;或 (b) 客戶非以涵蓋服務 (包括客戶使用其離線/地端部署儲存工具或第三方應用程式) 建立、接收、維護或傳輸的任何 PHI。

    • 3. 允許的 PHI 用途和揭露。

      • a. 除非本 BAA 另有規定,否則 Google 只得在下列情形使用和揭露 PHI:(i) 服務協議和/或本 BAA 允許或要求時;或 (ii) 法律要求時。

      • b. Google 為執行適當的管理和行政作業,以及履行法律責任,可能使用和揭露 PHI,前提是此類 PHI 揭露目的須符合以下條件:(i) 法律要求時;或 (ii) Google 向 PHI 的揭露對象取得合理書面保證,確保 PHI 將保持機密、僅用於已揭露的用途,並在發生任何違規或安全事件時通知 Google。

    • 4. 客戶義務。

      • a. 客戶要求 Google 或涵蓋服務使用/揭露 PHI 的方式,不得超出 HIPAA 許可的範圍,即客戶 (當客戶做為涵蓋實體) 或涵蓋實體 (當客戶做為企業夥伴) 之上述行為,亦須符合 HIPAA 規定 (除非 HIPAA 對企業夥伴另有明確許可)。

      • b. 「使用者」利用涵蓋服務處理 PHI 時,客戶將運用服務中提供的控管機制 (包括 HIPAA 導入指南所述的機制),確保使用者的 PHI 使用範圍僅限於涵蓋服務。客戶瞭解並同意,Google 提供的 HIPAA 導入指南僅是供客戶參考的設定選項說明指南,客戶須全權負責確保,客戶及其使用者的涵蓋服務使用情形遵循 HIPAA 和 HITECH 法規範。

    • 5. 適當保護措施。

      • Google 和客戶將各自採取適當保護措施,防止涵蓋服務中出現未經授權使用或揭露 PHI 的行為,並遵守 HIPAA 的其他相關要求。

    • 6. 回報與相關義務。

      • a. Google 會立即通知客戶以下消息:(i) Google 得知的任何安全事件 (受第 6 (c) 節規範);以及 (ii) Google 發現的任何違規行為,前提是違規通知及時發出且未有不合理的延誤,且無論如何不得晚於發現違規行為後 60 天。根據本節規定發出的通知,將盡可能說明違規行為詳情,包括可降低潛在風險的步驟,以及 Google 建議客戶採取的違規處置步驟。

      • b. 如有任何適用通知,Google 將傳送至客戶於協議中提供的通知電子郵件地址,或直接聯繫客戶。

      • c. 儘管第 6 (a) 節已有規定,此第 6 (c) 節仍應視為給客戶的通知,指出 Google 會定期取得失敗嘗試的資訊,包括未經授權存取,企圖使用、揭露、修改或刪除資訊,或干擾 Google 系統和涵蓋服務的一般運作。客戶瞭解並同意,即使此類事件構成安全事件,Google 無須根據本 BAA 就失敗嘗試提供第 6(c) 節以外的任何通知。

    • 7. 分包商。

      • Google 會採取適當措施,確保受 Google 委任的分包商在履行服務協議中的義務 (代表 Google 存取 PHI) 時,均受書面義務約束,須對 PHI 提供與本 BAA 相同層級的實質保護。假如 Google 委任分包商履行本 BAA 所規定的義務,Google 仍須對其履約行為負責,承擔如同親自履行之責任。

    • 8. 存取與修訂。

      • 客戶瞭解並同意,客戶在涵蓋服務中維護的 PHI 形式與內容,須由客戶全權負責,包括客戶是否在涵蓋服務中以指定記錄集的形式維護此類 PHI。Google 會透過涵蓋服務向客戶提供客戶 PHI 的存取權,供客戶履行 HIPAA 規定的義務,保障個人的存取及修訂權;但對於 HIPAA 賦予個人的指定記錄集相關權利,像是存取或修訂 PHI 的權利,Google 無須對客戶或任何個人承擔其他義務。客戶須負責管理涵蓋服務的使用情形,適當回應此類個人要求。

    • 9. 揭露說明。

      • Google 會記錄自身的 PHI 揭露行為,並根據 HIPAA 與其中企業夥伴適用的規定,向客戶提供此類揭露行為的說明,其範圍和程度均須符合 HIPAA 中的企業夥伴規範。

    • 10. 記錄存取權。

      • 在法律要求和所有適用法律保密特權的範圍內,Google 會將有關使用及揭露 PHI 的內部做法、簿冊和記錄,包括由客戶提供或由 Google 代表客戶建立/接收的資訊,提供給美國衛生及公共服務部的部長 (下稱「部長」),用於評估本 BAA 的法規遵循情形。

    • 11. 到期與終止。

      • a. 本 BAA 將因以下情形終止 (以較早發生者為準):(i) 根據第 11 (b) 節允許終止時;或 (ii) 為客戶授予涵蓋服務存取權的服務協議皆到期或終止時。

      • b. 如果任一方嚴重違反本 BAA,非違規方可在向違規方寄出書面通知的 30 天後終止本 BAA,除非違規行為在 30 天內改正。若此第 11 (b) 節所述的改正措施並非合理可行,非違規方可立即終止本 BAA;若此第 11 (b) 節所述的終止和改正措施皆非合理可行,非違規方可向部長檢舉違規行為,並受所有適用的法律保密特權規範。

      • c. 如果本 BAA 的終止時間早於服務協議,客戶可根據服務協議繼續使用服務,但須刪除其於涵蓋服務中維護的所有 PHI,並停止進一步建立、接收、維護 PHI,也不得傳送此類 PHI 給 Google。

    • 12. 資訊回傳/刪除。

      • 服務協議終止時,Google 會傳回/刪除由客戶提供或由 Google 代表客戶建立/接收的所有 PHI;但如果這類回傳/刪除作業不可行,Google 會將本 BAA 的保護範圍延伸至無法傳回/刪除的 PHI,並將後續的使用和揭露行為僅限於造成 PHI 無法傳回/刪除的用途。

    • 13. 其他。

      • a. 繼續有效。本 BAA 終止或到期後,第 12 節 (資訊回傳/刪除) 和第 13 節 (其他) 仍繼續有效。

      • b. 複本。雙方得透過簽署複本 (包括傳真、PDF 或其他電子副本) 簽訂本 BAA,但所有複本將合併構成一份協議文件。

      • c. 附加條款效力。如果本 BAA 與服務協議其餘條款有所牴觸,應以本 BAA 為準。本 BAA 受服務協議的「準據法」一節規範。除非經本 BAA 明確修改或修訂,否則服務協議其餘條款仍完全有效。

    • Google Workspace HIPAA BAA (Google LLC) 09032020

附件 1:涵蓋服務清單

附件 2:HIPAA 導入指南

Previous Versions
Last modified September 12, 2025