---

此翻譯僅為方便而提供。本文件的英文版本為具有法律約束力的協議。

最後更新：2025年7月16日

本業務夥伴協議（「BAA」）由受保護實體接受之日起（「生效日期」）生效，由Bloo Inc.（一家主要營業地址位於[公司地址]的德拉瓦州公司）（「業務夥伴」）與接受本協議的實體或組織（「受保護實體」）簽訂。在本BAA中，受保護實體和業務夥伴各為一方「當事方」，合稱為「雙方」。

背景

1. 受保護實體為《1996年健康保險可攜性與責任法案》（Public Law 104-191）及其經HITECH法案修正和HHS頒布的相關法規（統稱「HIPAA」）定義下的「受保護實體」或受保護實體的「業務夥伴」，因此必須遵守HIPAA關於受保護健康資訊保密性和隱私性的規定；

2. 雙方已簽訂或將簽訂一項或多項協議，業務夥伴根據該等協議透過Blue平台向受保護實體提供特定服務（統稱「協議」）；

3. 在根據協議提供服務時，業務夥伴將有權存取受保護健康資訊；

4. 透過根據協議提供服務，業務夥伴將成為受保護實體的「業務夥伴」，該術語在HIPAA中定義；

5. 雙方均致力於遵守管理健康資訊保密性和隱私性的所有聯邦和州法律，包括但不限於45 CFR第160部分和第164部分A及E小部分中的個別可識別健康資訊隱私標準（統稱「隱私規則」）；及

6. 雙方均有意保護根據本協議條款、HIPAA及其他適用法律向業務夥伴披露的受保護健康資訊的隱私並提供安全保障。

協議條款

因此，考慮到協議中所載的相互承諾和條件，以及受保護實體在依賴本BAA的情況下根據協議繼續向業務夥伴提供PHI，雙方同意如下：

1. 定義

就本BAA而言，雙方對以下各術語賦予下列含義。本BAA中使用的任何大寫術語，但未另行定義的，具有隱私規則或相關法律中賦予該術語的含義。

1.1 45 CFR § 160.103中定義的HIPAA術語：

• 「受保護健康資訊」或「PHI」指業務夥伴代表受保護實體創建、接收、維護或傳輸的個別可識別健康資訊。
• 「受保護實體」具有45 CFR §160.103中賦予該術語的含義。
• 「業務夥伴」具有45 CFR §160.103中賦予該術語的含義。
• 「違規」指以隱私規則不允許的方式獲取、存取、使用或披露PHI，從而損害PHI的安全性或隱私性，如45 CFR §164.402中定義。
• 「指定記錄集」具有隱私規則（包括45 CFR §164.501）中賦予該術語的含義。

1.2 額外定義：

• 「Blue服務」指通過https://www.blue.cc提供的專案管理和資料儲存服務
• 「電子PHI」或「ePHI」指如45 CFR §160.103中定義在電子媒體中維護或傳輸的任何PHI。
• 「HHS」指美國衛生及公共服務部。
• 「HITECH法案」指作為《2009年美國復甦與再投資法案》（Public Law 111-005）一部分頒布的《經濟與臨床健康健康資訊技術法案》。
• 「個人」具有45 CFR §§164.501和160.130中賦予該術語的相同含義，包括根據45 CFR §164.502(g)符合個人代表資格的人員。
• 「安全事件」指在資訊系統中嘗試或成功未經授權存取、使用、披露、修改或破壞資訊或干擾系統操作。
• 「安全規則」指45 CFR第160部分和第164部分A及C小部分中規定的電子健康資訊保護安全標準。
• 「不安全的受保護健康資訊」或「不安全PHI」指未透過HHS部長指定的技術或方法使未經授權個人無法使用、讀取或解密的任何PHI。

2. 業務夥伴的義務

2.1 允許使用：
業務夥伴只能按以下方式使用或披露PHI：

• 僅為以下目的處理PHI：(a) 患者資料儲存 (b) 治療/操作分析 (c) 服務條款中指定的其他服務
• 根據需要向受保護實體提供協議中描述的服務
• 為妥善管理和經營業務夥伴的業務
• 履行業務夥伴的法律責任
• 依法要求

2.2 禁止使用和披露：
業務夥伴不得以本BAA規定、隱私規則允許或法律要求以外的方式使用或披露PHI。業務夥伴將在實際可行的範圍內，根據HITECH法案第13405(b)條，將PHI作為有限資料集使用或披露，或限制在執行預期用途或披露目的所需的最少量PHI。

2.3 保護措施：
業務夥伴將實施合理且適當保護PHI保密性、完整性和可用性的管理、物理和技術保護措施，包括：

• 靜止和傳輸中的AES-256加密
• 基於角色的存取控制(RBAC)及各專案權限
• 追蹤PHI存取/修改的稽核控制
• 使用透過電子郵件發送的魔法連結進行安全認證（無密碼）
• 緊急存取程序文件
• 防止本BAA允許範圍外使用或披露PHI所必需的其他保護措施

3. 分包商

3.1 授權分包商：
業務夥伴可在向受保護實體提供服務時使用以下分包商：

• Cloudflare（傳輸加密）
• Amazon AWS（儲存加密）

3.2 要求：

• 業務夥伴將確保任何有權存取PHI或業務夥伴向其提供PHI的代理人或分包商書面同意本BAA中有關PHI使用和披露的限制和條件
• 業務夥伴與所有處理PHI的分包商簽訂BAA
• 業務夥伴將透過電子郵件通知為新分包商提供30天通知
• 業務夥伴應確保所有分包合約和協議提供與本BAA相同水準的隱私和安全保護

4. 報告要求

4.1 違規通知：

• 業務夥伴將在發現本BAA未規定的PHI使用或披露後五個工作日內書面報告受保護實體
• 業務夥伴將在發現後60個日曆日內報告不安全PHI的違規
• 如果超過500個人受影響，業務夥伴將提供即時初步通知
• 報告將識別受影響的個人，描述違規性質，概述採取的緩解措施，並為受影響方提供聯繫程序

4.2 安全事件：
業務夥伴同意在發現影響受保護實體電子PHI的安全事件後五個工作日內向受保護實體報告。

5. 資料管理

5.1 最少必要：

• 業務夥伴將實施政策，將PHI存取限制在任務所需的最少量
• 業務夥伴將由其安全團隊進行季度存取審查

5.2 個人權利：

• 應要求，業務夥伴將向受保護實體提供其在指定記錄集中維護的PHI副本，以使受保護實體能夠根據45 CFR §164.524回應個人的存取請求
• 應受保護實體的要求和指示，業務夥伴將根據45 CFR §164.526按受保護實體的指示修改指定記錄集中的PHI
• 業務夥伴將記錄PHI披露，以便受保護實體根據45 CFR §164.528回應披露會計請求

5.3 處置：

• 業務夥伴將使用NIST 800-88標準實施安全刪除
• 應要求可提供PHI銷毀證書

6. 期限和終止

6.1 期限：
本BAA將在生效日期生效，並將持續有效，直至雙方履行完協議和本BAA項下的所有義務。

6.2 因故終止：

• 如果受保護實體確定業務夥伴違反了本BAA的重大條款，且業務夥伴在書面通知後30天內未能補救該重大違規，受保護實體可立即終止本BAA和協議
• 如果業務夥伴確定受保護實體違反了本BAA的重大條款，且在通知後30天內未能補救，業務夥伴可終止本BAA和協議

6.3 終止時的義務：

• 無論因何原因終止協議或本BAA，業務夥伴維護的所有PHI都將歸還給受保護實體或銷毀
• 除非歸還或銷毀不可行，否則業務夥伴不得保留PHI的任何副本
• 因不可行而保留PHI的相關義務在終止後繼續有效
• 在可行時，將在終止後180天內提供完整銷毀證書

6.4 存續：
業務夥伴在本條項下的義務在本BAA終止後繼續有效。

7. 一般條款

7.1 稽核權利：

• 受保護實體有權要求年度第三方HIPAA稽核
• 業務夥伴將應HHS要求提供其與PHI使用和披露相關的內部實務、帳簿、協議、記錄以及政策和程序，以確定合規性
• 業務夥伴將配合HHS稽核要求

7.2 衝突：

• HIPAA要求優先於本BAA或協議中的衝突條款
• 如本BAA條款與協議條款發生衝突，以本BAA條款為準

7.3 修正：

• 本BAA不得修改，任何條款也不得放棄或修正，除非由雙方授權代表正式簽署的書面文件
• HIPAA規則或法規變更可能需要修正

7.4 HITECH法案合規：
雙方承認HITECH法案對HIPAA要求包含重大變更。各方同意遵守HITECH法案的適用條款和HHS就HITECH法案頒布的任何法規。

7.5 資料所有權：
業務夥伴的資料管理權不會就根據協議與其共享的任何資料（包括所有形式的PHI）賦予業務夥伴資料所有權。

7.6 無第三方受益人：
除本BAA明確規定或法律規定外，本BAA不會為任何第三方創設權利。

7.7 通知：
根據本BAA向一方發出的所有通知、請求和要求或其他通信將透過頭等郵件、掛號或認證或快遞，或電子郵件發送至該方在帳戶註冊期間提供或隨後書面更新的地址。

茲作為見證，雙方透過受保護實體在帳戶創建期間接受這些條款或在收到這些條款通知後繼續使用Blue服務來確認同意上述條款。