HIPAA 业务伙伴协议附加条款

版本:2022 年 12 月 22 日

本《健康保险流通与责任法案 (HIPAA) 业务伙伴协议附加条款》(以下简称“BAA”)由 Google 与同意这些条款的客户(以下简称“客户”)签订,仅针对受保护服务(定义见下文)补充、修改并纳入协议(定义见下文)。本 BAA 自客户点击接受或双方以其他方式同意本 BAA 之日生效。

客户必须已签署现有协议,此 BAA 才能生效。本 BAA 与本协议一起,将规范各方在受保护健康信息(定义见下文)方面的各自义务。

您声明并保证:(i) 您拥有充分的法定权力,可让客户遵守本 BAA;(ii) 您已阅读并理解本 BAA;(iii) 您代表客户同意本 BAA 的条款。如果您没有法定权力约束客户,或者不同意本协议条款,请勿签署本 BAA 或点击接受本 BAA 条款。

对于本 BAA 中使用但未另行定义的大写术语,其含义为:(a)《健康保险流通与责任法案》(Health Insurance Portability and Accountability Act)、《经济与临床健康健康信息技术法案》(Health Information Technology for Economic and Clinical Health Act) 以及其实施法规(修订版)(统称“HIPAA”)的“行政简化”部分或(b) 协议中为这些术语指定的含义。

协议”是指 Google 与客户就提供涵盖的服务而签订的书面协议,该协议可以采用在线服务条款的形式。

受保服务”是指 Looker Studio,但不包括 Looker Studio Pro。

最终用户”的含义以协议中对其的定义为准。

Google”是指是协议一方的 Google 实体。

Google 实体”是指 Google LLC、Google Ireland Limited 或者 Google LLC 的任何其他关联公司。

HIPAA 实施指南”是指 Google 提供的信息指南,介绍了客户如何根据其 HIPAA 合规性工作来配置受涵盖的服务。您可以访问以下网址查看适用于受涵盖服务的 HIPAA 实施指南:https://cloud.google.com/looker/docs/studio/looker-studio-hipaa-implementation-guide

受保护健康信息”(即“PHI”)的定义与 HIPAA 中规定的定义相同。在本 BAA 中,受保护健康信息仅限于 Google 在客户获准使用涵盖服务的相关情况下,通过涵盖服务访问的客户数据中的受保护健康信息。

  1. 定义
  2. 适用范围
    1. 在客户作为适用实体或业务伙伴通过适用服务创建、接收、维护或传输受保护健康信息 (PHI),并且 Google 因此根据 HIPAA 被视为客户的业务伙伴或分包商的情况下,本 BAA 适用。客户确认,本 BAA 不适用于 (i) 不属于“受保护服务”的任何其他 Google 产品、服务或功能;或 (ii) 客户在“受保护服务”之外创建、接收、维护或传输的任何 PHI(包括客户使用其离线或本地存储工具或第三方应用的情况)。
    2. 本 BAA 中对《健康保险流通与责任法案》(HIPAA)中某个部分的引用,是指该部分(可能会不时修正)。
  3. 使用和披露个人健康信息
    1. Google 只能在以下情况下使用和披露 PHI:(i) 本协议和/或本 BAA 允许或要求使用和披露 PHI,或者 (ii) 法律要求使用和披露 PHI。
    2. Google 可能会出于适当的管理和行政目的以及履行法律责任而使用和披露 PHI,但仅在以下情况下才会出于此类目的披露 PHI:(1) 法律要求;或 (2) Google 从将要披露 PHI 的人员处获得合理的书面保证,保证他们会对 PHI 保密,仅在法律要求或出于披露之目的使用或进一步披露 PHI,并会将任何数据泄露或安全事件通知 Google。
    3. 在 HIPAA 法案的“最低限度必要”要求范围内,Google 仅会请求、使用和披露实现请求、使用或披露目的所需的最低限度受保护健康信息。
    4. 如果 Google 书面同意履行客户根据《健康保险流通与责任法案》(HIPAA) 隐私权规则规定的任何义务,则 Google 在履行此类义务时,应遵守适用于客户的《健康保险流通与责任法案》隐私权规则要求。
  4. 客户义务
    1. 客户对客户最终用户是否有权在受涵盖的服务中分享、披露、创建和/或使用 PHI 负有全责。
    2. 除本 BAA 第 3 节所述的情况外,客户不会要求 Google 或受涵盖服务以 HIPAA 法案不允许客户(如果客户是受涵盖实体)或客户的业务伙伴(除非 HIPAA 法案明确允许业务伙伴)采用的方式使用或披露受保护健康信息。
    3. 客户向 Google 披露 PHI 时,将仅提供实现 Google 用途所需的最低 PHI 量。
    4. 对于将受涵盖服务用于处理受保护健康信息 (PHI) 的最终用户,客户将使用服务中提供的控制功能(包括 HIPAA 实施指南中详述的控制功能),以确保其仅将 PHI 用于受涵盖服务。客户确认并同意,Google 提供的《HIPAA 实施指南》仅作为有关客户配置选项的信息指南,客户需自行负责确保其自身和最终用户对受涵盖服务的使用符合 HIPAA 规定。
    5. 客户保证,已获得并将获得 HIPAA 法案和/或其他适用法律要求的所有同意、授权和/或其他法律许可,以便向 Google 披露受保护健康信息。如果个人授予的使用或披露 PHI 的权限发生任何变化或被撤消,客户有责任相应地管理其对受涵盖服务的使用,以更新和/或删除受涵盖服务中的此类 PHI。
  5. 保护措施。除非本 BAA 另有许可或要求,否则 Google 和客户各自都将采取合理且适当的保护措施来防止使用或披露 PHI。此外,Google 应实施管理保障措施、物理保障措施和技术保障措施,以合理且适当的方式保护其代表客户创建、接收、维护或传输的电子媒体(以下简称“EPHI”)中传输或维护的受保护健康信息的机密性、完整性和可用性。Google 应遵守 HIPAA 安全规则中与电子病历信息 (EPHI) 相关的适用规定。
  6. 报告和相关义务
    1. Google 会立即通知客户 (i) Google 知晓的任何安全事件(受第 6(c) 条约束);以及 (ii) Google 发现的任何违规行为,前提是 Google 会立即通知客户任何违规行为,且不得无故拖延,并且在发现违规行为后 60 个日历日内通知客户。根据本条规定发出的通知将尽可能详细地描述数据泄露的详细信息,包括为减轻潜在风险所采取的措施以及 Google 建议客户为解决数据泄露而采取的步骤。
    2. Google 会将所有适用的通知发送到客户在协议(和/或适用的服务界面)中提供的通知电子邮件地址,或通过与客户直接沟通的方式发送。
    3. 尽管第 6(a) 条另有规定,但本第 6(c) 条将被视为向客户发出通知,告知 Google 会定期收到未经授权尝试访问、使用、披露、修改或销毁信息,或干扰 Google 信息系统和受保护服务正常运行的失败尝试。客户确认并同意,即使此类事件构成安全事件,Google 也无需根据本 BAA 就此类未遂攻击(本第 6(c) 条除外)提供任何通知。
    4. Google 将采取合理措施,尽可能减少 Google 违反本 BAA 使用或披露 PHI 所造成的任何有害影响(Google 已知)。
    5. 如果 Google 发现本 BAA 不允许的任何 PHI 使用或披露行为,将向客户报告。
  7. 分包商。Google 将与代表 Google 创建、接收、维护或传输 PHI 的每家分包商签订符合 45 C.F.R. §§ 164.504(e) 和 164.314(a)(2) 要求(如适用)的书面协议。Google 将确保与每个分包商签订的书面协议都要求分包商遵守限制和条件,这些限制和条件可为 PHI 提供与本 BAA 相同的实质性保护级别。
  8. 访问和修改。客户确认并同意,客户对其在受涵盖服务中维护的 PHI 的形式和内容承担全部责任,包括客户是否在受涵盖服务中的指定记录集中维护此类 PHI。Google 将通过涵盖的服务向客户提供对其 PHI 的访问权限,以便客户履行 HIPAA 规定的个人访问权和修正权义务,但对于 HIPAA 为个人提供的指定记录集权利(包括对 PHI 的访问权或修正权),Google 对客户或任何个人没有其他义务。客户有责任管理其对受涵盖服务的使用,以便妥善回应此类个人请求。
  9. 披露信息的会计处理。Google 将按照 HIPAA 法案对业务伙伴的要求,在 HIPAA 法案要求的范围内记录 Google 披露的 PHI,并向客户提供此类披露的账目。
  10. 图书的供应情况和对记录的访问权限。在法律要求的范围内,并受适用的律师-客户特权的约束,Google 将向美国卫生与公共服务部秘书(以下简称“秘书”)提供其有关使用和披露从客户处收到的或由 Google 代表客户创建或收到的 PHI 的内部做法、账簿和记录,以便秘书确定是否遵守本 BAA。
  11. 到期和终止
    1. 本 BAA 将在以下任一时间点终止:(i) 根据下文第 11(b) 条允许的终止时间,或 (ii) 客户有权访问的所有协议到期或终止的时间(以先到者为准)。
    2. 如果任何一方严重违反本 BAA,未违反的一方可在向违反的一方发出 15 天书面通知后终止本 BAA,除非违反行为在 15 天内得到纠正。如果无法合理地根据本第 11(b) 条采取补救措施,未违约方可以立即终止本 BAA;如果无法合理地根据本第 11(b) 条采取终止或补救措施,未违约方可以向秘书报告违规行为,但须遵守所有适用的法律特权。
    3. 如果本 BAA 提前于协议终止,客户可以继续根据协议使用服务,但必须删除其在受涵盖服务中维护的所有 PHI,并停止进一步创建、接收、维护或将此类 PHI 传输给 Google。
  12. 返还/销毁信息。协议终止后,Google 将返回或销毁从客户处收到的所有 PHI,或 Google 代表客户创建或收到的所有 PHI;但如果无法返回或销毁此类 PHI,Google 将将本 BAA 的保护范围扩大到未返回或销毁的 PHI,并将进一步使用和披露的用途限制为导致无法返回或销毁 PHI 的用途。
  13. 此 BAA 的变更。Google 可能会不时修改本 BAA 的条款(包括这些条款中提及的网址以及此类网址中的内容)。您可以在相关网址(或 Google 不时提供的其他网址)或相关涵盖服务的界面中查看此类修改的通知。对这些条款的更改(包括对网址中内容的更改)不溯及既往,并将于发布 14 天后生效,但对网址引用的更改将立即生效。
  14. 其他
    1. 效力存续。第 12 条(信息的返还/销毁)和第 14 条(其他)在本 BAA 终止或到期后仍然有效。
    2. 附录的效力。如果本 BAA 与协议的其余部分存在冲突,则以本 BAA 为准。本 BAA 受协议中的“管辖法律”部分约束。除非本 BAA 明确修改或修订,否则协议条款仍然完全有效。

过往版本

2020 年 11 月 16 日