---

最后更新：2025年7月16日

本商业伙伴协议（"BAA"）由位于[公司地址]的特拉华州公司Bloo Inc.（"商业伙伴"）与接受本协议的实体或组织（"承保实体"）于承保实体接受本协议之日（"生效日期"）签订。在本BAA中，承保实体和商业伙伴各为一方（"一方"），合称为双方（"各方"）。

背景

1. 承保实体是根据1996年《健康保险携带和责任法》（公法104-191，经HITECH法修订）和卫生与公众服务部（HHS）颁布的相关法规（统称"HIPAA"）定义的"承保实体"或承保实体的"商业伙伴"，因此必须遵守HIPAA关于受保护健康信息保密性和隐私性的规定；

2. 各方已经签订或将要签订一项或多项协议，根据该协议商业伙伴通过Blue平台向承保实体提供特定的指定服务（统称"协议"）；

3. 在根据协议提供服务时，商业伙伴将有机会接触受保护健康信息；

4. 通过根据协议提供服务，商业伙伴将成为承保实体在HIPAA定义下的"商业伙伴"；

5. 双方均致力于遵守管理健康信息保密性和隐私性的所有联邦和州法律，包括但不限于45 CFR第160部分和第164部分子部分A和E中的个人可识别健康信息隐私标准（统称"隐私规则"）；以及

6. 双方均打算保护根据本协议、HIPAA和其他适用法律向商业伙伴披露的受保护健康信息的隐私并提供安全保障。

协议

因此，鉴于本协议包含的相互约定和条件，以及承保实体依据本BAA继续向商业伙伴提供PHI，各方同意如下：

1. 定义

就本BAA而言，各方对以下每个术语给出以下含义。本BAA中使用的任何大写术语，如果未另行定义，则具有隐私规则或相关法律中给出的含义。

1.1 45 CFR § 160.103中定义的HIPAA术语：

• "受保护健康信息"或"PHI"是指商业伙伴代表承保实体创建、接收、维护或传输的个人可识别健康信息。
• "承保实体"具有45 CFR §160.103中给出的含义。
• "商业伙伴"具有45 CFR §160.103中给出的含义。
• "违规"是指以隐私规则不允许的方式获取、访问、使用或披露PHI，从而损害PHI的安全性或隐私性，如45 CFR §164.402中定义。
• "指定记录集"具有隐私规则（包括45 CFR §164.501）中给出的含义。

1.2 附加定义：

• "Blue服务"是指通过https://www.blue.cc提供的项目管理和数据存储服务
• "电子PHI"或"ePHI"是指以45 CFR §160.103中定义的电子媒体维护或传输的任何PHI。
• "HHS"是指美国卫生与公众服务部。
• "HITECH法"是指作为2009年美国复苏与再投资法案（公法111-005）一部分颁布的《经济和临床健康健康信息技术法》。
• "个人"具有45 CFR §§164.501和160.130中给出的相同含义，包括根据45 CFR §164.502(g)符合个人代表资格的人员。
• "安全事件"是指试图或成功未经授权访问、使用、披露、修改或销毁信息或干扰信息系统中的系统操作。
• "安全规则"是指45 CFR第160部分和第164部分子部分A和C中提供的电子健康信息保护安全标准。
• "不安全的受保护健康信息"或"不安全的PHI"是指通过使用HHS部长指定的技术或方法未被呈现为不可用、不可读或对未经授权的个人不可理解的任何PHI。

2. 商业伙伴的义务

2.1 允许的使用：
商业伙伴只能按以下方式使用或披露PHI：

• 仅为以下目的处理PHI：(a) 患者数据存储 (b) 治疗/操作分析 (c) 服务条款中指定的其他服务
• 根据需要向承保实体提供协议中描述的服务
• 为了商业伙伴业务的正当管理和行政管理
• 履行商业伙伴的法律责任
• 法律要求

2.2 禁止的使用和披露：
商业伙伴不得以本BAA规定、隐私规则允许或法律要求以外的方式使用或披露PHI。商业伙伴将在可行的范围内，根据HITECH法第13405(b)条，使用或披露PHI作为有限数据集或限制为执行使用或披露预期目的所需的最少量PHI。

2.3 保护措施：
商业伙伴将实施合理和适当保护PHI的保密性、完整性和可用性的管理、物理和技术保护措施，包括：

• 静态和传输中的AES-256加密
• 基于角色的访问控制(RBAC)和按项目权限
• 跟踪PHI访问/修改的审计控制
• 使用通过电子邮件的魔术链接进行安全身份验证（无密码）
• 紧急访问程序文档
• 防止以本BAA允许以外的方式使用或披露PHI所必需的其他保护措施

3. 分包商

3.1 授权分包商：
商业伙伴可在向承保实体提供服务时使用以下分包商：

• Cloudflare（传输加密）
• Amazon AWS（存储加密）

3.2 要求：

• 商业伙伴将确保其任何有权访问或商业伙伴向其提供PHI的代理或分包商以书面形式同意本BAA中包含的关于PHI使用和披露的限制和条件
• 商业伙伴与所有处理PHI的分包商维持BAA
• 商业伙伴将通过电子邮件通知提前30天通知新分包商
• 商业伙伴应确保所有分包合同和协议提供与本BAA相同级别的隐私和安全

4. 报告要求

4.1 违规通知：

• 商业伙伴将在意识到本BAA未规定的任何PHI使用或披露后5个工作日内以书面形式报告给承保实体
• 商业伙伴将在发现后60个日历日内报告不安全PHI的违规
• 如果超过500个个人受到影响，商业伙伴将提供即时初步通知
• 报告将识别受影响的个人，描述违规的性质，概述所采取的缓解步骤，并为受影响方提供联系程序

4.2 安全事件：
商业伙伴同意在意识到影响承保实体电子PHI的任何安全事件后5个工作日内向承保实体报告。

5. 数据管理

5.1 最少必要：

• 商业伙伴将实施政策，将PHI访问限制为任务所需的最少量
• 商业伙伴将由其安全团队进行季度访问审查

5.2 个人权利：

• 应要求，商业伙伴将向承保实体提供商业伙伴在指定记录集中维护的PHI副本，以使承保实体能够根据45 CFR §164.524回应个人的访问请求
• 应承保实体的要求和指示，商业伙伴将根据45 CFR §164.526按承保实体的指示修改指定记录集中的PHI
• 商业伙伴将记录PHI的披露，这是承保实体根据45 CFR §164.528回应披露会计请求所必需的

5.3 处置：

• 商业伙伴将使用NIST 800-88标准实施安全删除
• 应要求将提供PHI销毁证书

6. 期限和终止

6.1 期限：
本BAA将在生效日期生效，并将持续有效，直到各方在协议和本BAA下的所有义务得到履行。

6.2 因故终止：

• 如果承保实体确定商业伙伴违反了本BAA的重要条款，且商业伙伴在书面通知后30天内未能纠正该重要违规，则承保实体可立即终止本BAA和协议
• 如果商业伙伴确定承保实体违反了本BAA的重要条款，且在通知后30天内未能纠正，则商业伙伴可终止本BAA和协议

6.3 终止时的义务：

• 协议或本BAA因任何原因终止后，商业伙伴维护的所有PHI将返回给承保实体或销毁
• 除非返回或销毁不可行，否则商业伙伴不得保留任何PHI副本
• 由于不可行而保留的PHI相关义务将在终止后继续存在
• 可行时将在终止后180天内提供完整的销毁证明

6.4 存续：
商业伙伴在本条下的义务应在本BAA终止后继续存在。

7. 一般条款

7.1 审计权利：

• 承保实体有权要求年度第三方HIPAA审计
• 商业伙伴将应HHS要求提供其与PHI使用和披露相关的内部做法、账簿、协议、记录以及政策和程序，以确定合规性
• 商业伙伴将配合HHS审计要求

7.2 冲突：

• HIPAA要求优先于本BAA或协议中的冲突条款
• 本BAA条款与协议条款发生冲突时，以本BAA条款为准

7.3 修改：

• 除非经各方授权代表正式签署的书面形式，否则不得修改本BAA，任何条款也不得被放弃或修改
• HIPAA规则或法规的变更可能需要修改

7.4 HITECH法合规：
各方承认HITECH法包括对HIPAA要求的重大变更。每一方都同意遵守HITECH法的适用条款以及HHS就HITECH法发布的任何法规。

7.5 数据所有权：
商业伙伴的数据管理职责不授予商业伙伴对根据协议与其共享的任何数据（包括所有形式的PHI）的数据所有权。

7.6 无第三方受益人：
除本BAA明确规定或法律规定外，本BAA不会为任何第三方创造权利。

7.7 通知：
根据本BAA向一方发出的所有通知、请求和要求或其他传达将通过一级邮件、挂号或认证或快递，或电子邮件发送到该方在账户注册期间提供或随后以书面形式更新的地址。

兹证明，各方通过承保实体在账户创建期间接受这些条款或在收到这些条款通知后继续使用Blue服务来确认其同意上述条款。