---

最後更新：2025年7月16日

此翻譯僅為方便而提供。本文件的英文版本為具有法律約束力的協議。

1. 簡介

本 HIPAA 隱私政策說明 Bloo, Inc.（「我們」、「本公司」或「Blue」）如何根據《1996年健康保險可攜性與責任法案》(HIPAA) 及其實施法規保護受保護健康資訊 (PHI) 的隱私和安全性。本政策適用於我們的網站 www.Blue.cc 以及當我們的 B2B SaaS 平台用於處理 PHI 時。

2. 定義

• 受保護健康資訊 (PHI)：任何關於健康狀態、提供醫療保健服務或醫療保健付款且可連結至特定個人的資訊。
• 承保實體：以電子方式傳輸健康資訊的醫療保健提供者、健康計劃和醫療保健資訊交換中心。
• 業務夥伴：代表承保實體執行某些功能或活動（涉及使用或披露 PHI）或向承保實體提供服務的個人或實體。

3. 我們的角色

當我們的 B2B SaaS 平台用於處理 PHI 時，Blue 作為承保實體的業務夥伴。我們承諾在此職能中遵守 HIPAA 法規。

4. 我們可能處理的 PHI

作為業務夥伴，我們可能處理各種類型的 PHI，包括但不限於：

• 患者姓名
• 地址
• 日期（出生、入院、出院等）
• 電話號碼
• 電子郵件地址
• 醫療記錄號碼
• 帳戶號碼
• 健康計劃受益人號碼

5. PHI 的使用和披露

我們只會根據與承保實體簽署的業務夥伴協議以及遵循 HIPAA 法規的規定使用或披露 PHI。這可能包括：

• 提供我們的 B2B SaaS 平台服務
• 進行數據分析以改善我們的服務
• 執行系統維護和故障排除

除非獲得承保實體和個人的明確授權，否則我們不會將 PHI 用於行銷目的或出售 PHI。

6. 數據安全措施

我們實施強大的安全措施來保護 PHI，包括：

• 企業級加密 (AES-256) 用於靜態和傳輸中的數據
• 進階監控和警報系統
• 後端系統的多重驗證 (MFA)
• 定期第三方安全審計
• 每日數據備份
• 與外部安全研究人員合作

7. 員工培訓和存取

我們所有員工都會定期接受 HIPAA 合規培訓。PHI 的存取僅限於經授權的人員，且採用知情權原則。

8. 數據保留

我們僅在提供服務所需的期間或法律要求的期間內保留 PHI。PHI 刪除後，我們會保留 30 天，然後永久刪除。

9. 數據儲存和傳輸

PHI 在 AWS 數據中心以加密方式靜態儲存。如果我們將 PHI 傳輸至美國境外（例如新加坡），我們會確保採取適當的保護措施，並遵守所有適用的法律法規。

10. 違規通知

如果發生未受保護 PHI 的違規事件，我們將在發現違規後不得無故延遲，且不得晚於 60 個日曆日內通知受影響的承保實體。

11. 個人權利

我們將協助承保實體履行其義務，為個人提供其在 HIPAA 下的權利，包括：

• 存取其 PHI 的權利
• 要求修正其 PHI 的權利
• 披露說明的權利
• 要求限制使用和披露其 PHI 的權利
• 要求機密通訊的權利

個人應聯繫其醫療保健提供者（承保實體）行使這些權利。

12. 業務夥伴協議 (BAAs)

作為業務夥伴，Blue 承諾根據 HIPAA 要求與承保實體簽署業務夥伴協議 (BAAs)。如果您是承保實體並希望使用我們的服務處理受保護健康資訊 (PHI)，您需要與我們簽署 BAA。

要求 BAA：

1. 透過 sales@blue.cc 或我們網站的聯絡表單聯繫我們的銷售團隊。
2. 說明您是需要 BAA 以符合 HIPAA 合規要求的承保實體。
3. 提供您組織的名稱和聯絡資訊。
4. 我們的團隊將在 2 個工作日內回應並提供我們的標準 BAA 或討論任何自訂要求。

請注意：

• 我們使用經我們法務團隊審查且符合 HIPAA 合規要求的標準 BAA 範本。
• 對我們標準 BAA 的任何修改可能需要額外審查和批准。
• 我們建議您在簽署前請您自己的法務顧問審查 BAA。
• 在透過我們的平台處理任何 PHI 之前，必須先簽署 BAA。

13. 本政策的變更

我們可能會不時更新本 HIPAA 隱私政策。我們將透過在此頁面發布新的隱私政策來通知承保實體任何重大變更。您可以在我們的 Gitlab Repository 找到所有版本控制的變更。

14. 聯絡我們

如果您對本 HIPAA 隱私政策、我們的數據處理做法或我們的 BAA 流程有任何疑問，請聯絡我們的隱私專員：

Emanuele FAJA，執行長
電子郵件：support@blue.cc