確保客戶資料安全且隨時可供客戶存取是我們的首要任務之一。如果客戶必須遵守《健康保險流通與責任法案》(HIPAA) 的規定,Google Workspace 和 Cloud Identity 可提供《健康保險流通與責任法案》法規遵循的支援。
根據《健康保險流通與責任法案》的規定,凡是有關個人健康或醫療保健服務的特定資訊,均歸類為「受保護的健康資訊」(PHI)。如果 Google Workspace 與 Cloud Identity 客戶需要遵守《健康保險流通與責任法案》的規定,而且想使用 Google Workspace 或 Cloud Identity 處理受保護的健康資訊,則必須和 Google 簽署《業務合作協議》(BAA)。
Google Workspace 和 Cloud Identity 客戶必須自行判斷是否需要遵守《健康保險流通與責任法案》規定,以及是否使用或想要使用 Google 服務處理受保護的健康資訊。如果客戶並未和 Google 簽署《業務合作協議》,則不得使用 Google 服務處理受保護的健康資訊。
管理員必須先詳閱並接受《業務合作協議》,才能使用 Google 服務處理受保護的健康資訊。如要瞭解在遵循《健康保險流通與責任法案》法規的情況下可使用哪些 Google Workspace 產品,請參閱「《健康保險流通與責任法案》涵蓋功能」清單。
我們也發布了「Google Workspace 與 Cloud Identity《健康保險流通與責任法案》實施指南」,協助客戶瞭解如何在處理受保護的健康資訊時管理 Google 服務中的資料。這份指南適用於機構中負責實施《健康保險流通與責任法案》的員工,可幫助他們確保 Google Workspace 與 Cloud Identity 的使用方式符合該法案的規範。
常見問題
該如何取得以電子形式接受的《健康保險流通與責任法案業務合作協議》副本?Google 會透過管理控制台向客戶提供《健康保險流通與責任法案業務合作協議》,而客戶將以電子形式接受本協議。這類電子協議與書面協議具有同等法律約束力,即兩者法律效力相同。客戶如要表明已透過電子形式接受本協議,可以擷取管理控制台「法律和法規遵循」部分中顯示的《健康保險流通與責任法案》接受記錄,並提供該螢幕截圖。如要前往「法律和法規遵循」部分,請使用超級管理員帳戶登入管理控制台首頁,接著依序前往「帳戶設定」「法律和法規遵循」。
BAA 的涵蓋功能不包含帶有外掛程式的第三方應用程式。如需更多資訊,請參閱我們的 HIPAA 實作指南。
無論受保護健康資訊的分享對象是 Google Workspace 網域內還是網域外的使用者,客戶都應遵守機構制定的受保護健康資訊處理政策。客戶可根據這些政策和 Google Workspace 的全網域設定,為 Google Workspace 網域內或網域外的使用者選擇相應的分享方式。「《健康保險流通與責任法案》實施指南」說明如何在 Google Workspace 網域中限制受保護健康資訊的存取權,例如與特定接收者分享內容,而不是與任何知道連結的使用者分享。
Google 會持續評估涵蓋功能的範圍,而且日後可能還會加入其他產品。請注意,《Cloud 資料處理修訂條款》(CDPA) 和《Google Workspace 業務合作協議》條款皆不涵蓋額外的 Google 服務。Google 會持續評估為這些 Google 服務提供額外控制項的方法,並可能隨時在服務功能中導入這類控制項。