• 此《HIPAA 業務夥伴附錄》(以下簡稱「BAA」) 由 Google 與同意以下條款、補充條款、修訂條文的客戶 (下稱「客戶」) 簽訂，納入《服務協議》(如下文所定義) 並僅適用於涵蓋服務 (如下文所定義)。「Google」具有 https://cloud.google.com/terms/google-entity 所載涵義。本 BAA 將由客戶以電子方式接受條款當日起生效 (下稱「BAA 生效日期」)。

• 客戶必須已簽訂目前生效的《服務協議》，本 BAA 才能生效。本 BAA 連同《服務協議》將管限各方關於受保護健康資訊 (如下文所定義) 的各自義務。

• 您陳述並擔保 (i) 您擁有全部法定權力約束客戶遵守本 BAA，(ii) 您已閱讀並明白本 BAA，以及 (iii) 您代表客戶同意本 BAA 條款。如果您不具備法定權力約束客戶或不同意此等條款，請勿按下按鈕接受本 BAA 的條款。

  • 1. 定義。

    • 「業務夥伴」具有 HIPAA 所賦予的定義。

    • 「違規」具有 HIPAA 所賦予的定義。

    • 「涵蓋實體」具有 HIPAA 所賦予的定義。

    • 「涵蓋服務」是指附件 1 網址中列明的 Google 產品和/或服務，Google 可能不時更新並通知客戶。Google 必須提前至少 12 個月向客戶發出事先通知，才能從此等網址移除涵蓋服務。

    • 「指派記錄集」具有 HIPAA 所賦予的定義。

    • 「HIPAA」是指 1996 年《健康保險便利及責任法案》和當中經修訂的規則及條例。

    • 《HIPAA 執行指南》是指 Google 載於附件 2 網址或後繼網址中的參考指南，說明涵蓋服務可由客戶根據其遵守 HIPAA 的情況來設定。

    • 「HITECH 法案」是指由美國國會頒佈的《經濟及臨床健康醫療資訊科技法案》，是《美國復甦與再投資法案》第 13 章和當中經修訂的條例。

    • 「受保護健康資訊」或「PHI」具有 HIPAA 所賦予的定義。在本 BAA 下，以客戶資料中的受保護健康資訊為限。Google 可就客戶授權的涵蓋服務用途，透過涵蓋服務存取上述資訊。

    • 「法律規定」具有 HIPAA 所賦予的定義。

    • 「安全事故」具有 HIPAA 所賦予的定義。

    • 「服務協議」是指 Google 與客戶就提供涵蓋服務所簽訂的書面協議，此協議可能採用網上版服務條款形式。

  • 2. 適用性。

    • 本 BAA 適用於下述情況：客戶以涵蓋實體或業務夥伴的身分，透過涵蓋服務建立、接收、維護或傳送受保護健康資訊，並因此根據 HIPAA 將 Google 視為客戶的業務夥伴或分包合約商。客戶瞭解本 BAA 不適用於以下情況：(a) 任何不屬於涵蓋服務的其他 Google 產品、服務或功能；或 (b) 客戶在涵蓋服務以外 (包括客戶使用其離線或內部儲存工具或第三方應用程式) 建立、接收、維護或傳送的任何受保護健康資訊。

  • 3. 獲授權使用及披露受保護健康資訊。

    • a. 除非本 BAA 另有訂明，Google 只可在下列情況使用和披露受保護健康資訊：(i) 由《服務協議》和/或本 BAA 授權或要求，或者 (ii) 法律規定。

    • b. Google 可能出於妥善管理及履行其法律責任的原因使用及披露受保護健康資訊，前提是任何因該等目的披露受保護健康資訊的行為只限於下列情況：(i) 法律規定；或者 (ii) Google 從接收所披露受保護健康資訊的對象取得合理書面保證，確認他們會將受保護健康資訊保密，並只用於披露資訊所作的用途，而且會就任何違規行為或安全事故通知 Google。

  • 4. 客戶義務。

    • a. 客戶不得要求 Google 或涵蓋服務以任何 HIPAA 不允許客戶 (如果客戶是涵蓋實體) 或視客戶為業務夥伴 (除非 HIPAA 對業務夥伴另有明確訂明) 的涵蓋實體採用的方式使用或披露受保護健康資訊。

    • b. 如果用戶使用涵蓋服務的過程涉及受保護健康資訊，客戶將使用服務內提供的控制項 (包括《HIPAA 執行指南》詳述的項目)，確保其使用受保護健康資訊的行為僅限於涵蓋服務範圍內。客戶瞭解並同意《HIPAA 執行指南》是由 Google 就客戶設定選項提供，僅用作參考指南，而且客戶全權負責確保自己及用戶使用涵蓋服務的行為遵守 HIPAA 和 HITECH 的規定。

  • 5. 適當保護措施。

    • Google 和客戶會各自就涵蓋服務使用適當保護措施或 HIPAA 要求的其他方式，以防止未經授權使用或披露受保護健康資訊的行為。

  • 6. 報告及相關義務。

    • a. Google 須及時通知客戶以下情況：(i) Google 知悉任何安全事故，惟須受第 6(c) 條約束；以及 (ii) Google 發現任何違規行為，而任何此等違規通知必須及時、沒有不合理延遲，且絕不會在發現後超過 60 個曆日才發出。根據本條款發出的通知將盡可能說明違規行為的詳細情況，包括為緩解潛在風險而執行的步驟，以及 Google 建議客戶採取以處理違規行為的做法。

    • b. Google 將透過客戶在協議中提供的通知電郵地址或直接與客戶通訊，以傳送任何適用通知。

    • c. 如果 Google 定期收到未經授權存取、使用、披露、修改或破壞資訊，或者干擾 Google 系統和涵蓋服務一般運作的未成功嘗試通知，即使有第 6(a) 條規定，本第 6(c) 條將視為對客戶的通知。客戶瞭解並同意，即使此類活動構成安全事故，Google 毋須根據本 BAA 就本第 6(c) 條以外的未成功嘗試提供任何通知。

  • 7. 分包合約商。

    • Google 將採取適當措施，確保 Google 為履行《服務協議》所規定義務 (需要代表 Google 存取受保護健康資訊) 而使用的任何分包合約商受書面義務規定的約束，以提供與本 BAA 有相同實質級別的受保護健康資訊保障。如果 Google 為履行本條款所述義務而使用分包合約商，便須負責確保合約商履行義務的效果達到與 Google 相同的水平。

  • 8. 存取及修訂。

    • 客戶瞭解並同意，他們全權負責涵蓋服務中所維護受保護健康資訊的形式和內容，包括客戶是否在涵蓋服務內的指派記錄集維護此等受保護健康資訊。Google 將透過涵蓋服務為客戶提供其受保護健康資訊的存取權，讓客戶可以就個人存取權和修訂權履行 HIPAA 所規定的義務，但對於 HIPAA 就指派記錄集賦予個人的相關權利 (包括受保護健康資訊的存取權或修訂權)，Google 對客戶或任何個人毋須承擔其他義務。客戶須負責管理使用涵蓋服務的過程，以適當回應此等個人要求。

  • 9. 披露記錄。

    • Google 將記錄其披露受保護健康資訊的行為，並按照 HIPAA 下適用於業務夥伴的要求及相關規定，在所需範圍內向客戶提供該等披露記錄。

  • 10. 記錄存取權。

    • 根據法律規定及所有適用法律特權，對於由客戶提供或由 Google 代表客戶建立或接收的受保護健康資訊，Google 會將使用和披露這些資訊的內部做法、書籍和記錄提供給美國衛生及公共服務部部長 (下稱「部長」)，讓部長確定相關項目是否符合本 BAA 規定。

  • 11. 到期和終止。

    • a. 本 BAA 將於以下時機終止，以較早者為準：(i) 根據第 11(b) 條的允許終止時間，或 (ii) 所有賦予客戶涵蓋服務存取權的《服務協議》之到期和終止時間。

    • b. 如有任何一方實際上違反本 BAA，非違規方可在發出書面通知 30 天後終止本 BAA，除非違規方在 30 天期限內對違規行為作出補救。如果根據第 11(b) 條，補救措施非合理可行，非違規方可以立即終止本 BAA；如果根據第 11(b) 條，終止或補救措施皆非合理可行，非違規方可根據所有適用法律特權向部長舉報相關違規行為。

    • c. 如果本 BAA 早於《服務協議》終止，客戶可繼續根據《服務協議》使用服務，但必須刪除涵蓋服務中維護的任何受保護健康資訊，並停止進一步建立、接收、維護或向 Google 傳送此等受保護健康資訊。

  • 12. 資料交還/銷毀。

    • 《服務協議》終止時，Google 將交還或銷毀所有由客戶傳送或者由 Google 代表客戶建立或接收的受保護健康資訊；但若此等交還或銷毀做法不可行，Google 將為未交還或銷毀的受保護健康資訊延長本 BAA 的保障期限，並只限出於使交還或銷毀受保護健康資訊不可行之目的進一步使用和披露該等健康資訊。

  • 13. 其他。

    • a. 仍然適用。第 12 (資料交還/銷毀) 和第 13 (其他) 條在本 BAA 終止或到期後仍然存在。

    • b. 協議文本。雙方可各自簽署本 BAA 的不同文本，包括使用傳真、PDF 或其他電子文本方式；各文本一併構成同一份協議。

    • c. 附錄效力。如果本 BAA 與《服務協議》的其餘條款有抵觸，以本 BAA 為準。本 BAA 須受《服務協議》中的「適用法」條款約束。除非本 BAA 經過明確修改或修訂，《服務協議》的條款仍然具有十足效力及作用。

  • Google Workspace HIPAA BAA (Google LLC) 09032020

附件 1 涵蓋服務清單

• 以下網址中具體列明的任何 Google Workspace 產品或服務：https://workspace.google.com/terms/2015/1/hipaa_functionality.html 納入 Google BAA 涵蓋範圍 (統稱「Google Workspace 涵蓋服務」)。

附件 2《HIPAA 執行指南》

• 適用於 Google Workspace 涵蓋服務：

• 《HIPAA 執行指南》載於下列網址以供參閱：https://services.google.com/fh/files/misc/gsuite_cloud_identity_hipaa_implementation_guide.pdf