我们的首要任务之一是确保客户的数据安全无虞,且随时可供客户访问。对于需要遵从《健康保险流通与责任法案》(HIPAA) 相关要求的客户,我们会提供特定的 Google Workspace 和 Cloud Identity 服务来帮助其满足 HIPAA 规定。
根据 HIPAA 的规定,有关个人健康状况和医疗保健服务的特定信息属于受保护健康信息 (PHI)。如果 Google Workspace 和 Cloud Identity 客户需要遵从 HIPAA,并且希望使用“符合 HIPAA 规定的可用服务”列表中列出的特定 Google Workspace 或 Cloud Identity 服务,则必须与 Google 签订《业务伙伴协议修正条款》(BAA)。
Google Workspace 和 Cloud Identity 客户必须自行判断自己是否需要遵从 HIPAA 的要求,以及是否在 Google 服务中使用(或打算使用)PHI。尚未与 Google 签署 BAA 的客户不得在 Google Workspace 或 Cloud Identity 服务中使用 PHI。
管理员必须先详阅并接受 BAA,然后才能在 Google 服务中使用 PHI。如需查看在 HIPAA 法规遵从要求下可以使用哪些 Google Workspace 产品,请参阅符合 HIPAA 规定的可用服务。
我们发布了《Google Workspace 和 Cloud Identity HIPAA 实施指南》,旨在帮助客户了解在处理 PHI 时,如何在 Google 服务中整理数据。这份指南面向组织内负责 HIPAA 实施工作的员工,帮助他们确保 Google Workspace 和 Cloud Identity 的使用方式符合 HIPAA 规定。
常见问题解答
如何获取以电子形式接受的 HIPAA BAA 的副本?
客户可在其管理控制台中,以电子方式接受 HIPAA BAA。此电子版协议与纸质协议拥有相同的约束力,即具有相同的法律效力。如需证明已接受此电子版协议,客户可前往其管理控制台的法律及法规遵从部分,对其中显示的 HIPAA BAA 接受情况进行截屏,方法是使用超级用户账号进入管理控制台首页,然后依次进入账号设置 
法律及法规遵从。
Gmail 智能功能是否符合 HIPAA 规定?
“帮我写”“情境智能回复”和“侧边栏”功能作为“内置 Gemini 的 Google Workspace”的一部分,已纳入符合 HIPAA 规定的可用服务范围。如需详细了解智能功能,请参阅如何使用 Gmail 中的 Gemini。
Google Workspace BAA 是否适用于第三方应用?
适用 BAA 的可用服务中不包含第三方应用(包括加购项)。如需了解详情,请参阅我们的《Google Workspace 和 Cloud Identity HIPAA 实施指南》。
我应该如何以符合 HIPAA 规定的方式向外部网域发送文档?
客户在 Google Workspace 网域内外共享 PHI 时,均应遵循所在组织有关处理 PHI 的政策。客户可根据这些政策以及 Google Workspace 网域级设置,选择在 Google Workspace 网域内外共享 PHI 的相应方式。《Google Workspace 和 Cloud Identity HIPAA 实施指南》说明了如何在 Google Workspace 网域内,对 PHI 的访问权限施加限制,例如仅与特定收件人(而非拥有链接的任何人)共享信息。
Google 是否计划在符合 HIPAA 规定的可用服务中,添加目前尚未纳入的 Google 产品?
Google 会继续评估可用服务的范围,日后可能会纳入更多产品。请注意,《云端数据处理附录》(CDPA) 和 Google Workspace BAA 条款均不适用于附加 Google 服务。Google 会继续评估对附加 Google 服务实施额外管控的方法,并且随时可能将这些方法引入服务功能。