Google Workspace 是否符合 HIPAA 标准？

并非所有 Google Workspace 计划都会自动确保遵守 HIPAA。虽然 Google 在其 Workspace 产品中提供了安全和隐私功能，但处理受保护健康信息 (PHI) 的组织通常至少需要付费版本（例如Business 或者Enterprise ）访问高级安全配置并签署Google BAA （ Business 合作伙伴协议)。

通常支持 HIPAA 合规性的计划包括：

• Business (标准型、升级型)

• Enterprise （标准版、增强版）

• 教育（特定情况下有额外要求）

即使在这些计划中，您也必须正确配置隐私设置。仅仅订阅符合条件的计划并不能保证您的环境符合 HIPAA 规定 - 您还需要遵循如何使 Google Workspace 符合 HIPAA 规定的指南，包括正确处理电子 PHI (ePHI)。

签署Google BAA并正确配置后，即可以符合 HIPAA 要求的方式使用多项核心 Google Workspace 服务。这些服务包括：

• Gmail （正确配置时通常称为“符合 Gmail HIPAA 标准”）

• Google Drive （包括文档、表格和幻灯片）

• Google Meet

• Google Chat （使用场景有限；确保配置正确）

• Google 日历

Google BAA 中未列出的服务可能需要额外审查，或者可能不适合存储或传输 ePHI。例如，Google Voice 可能不在标准 BAA 的涵盖范围内，因此在将其用于与 PHI 相关的通信之前，务必直接查阅 Google 的文档进行验证。

• 签署 Google BAA：这是一份具有法律约束力的文件，概述了 Google 作为业务合作伙伴的责任。BAA 确保 Google 同意以符合 HIPAA 要求的方式处理 ePHI。

• 启用安全功能：启用安全功能（例如两步验证、数据丢失防护 (DLP) 和访问控制）以帮助保护 ePHI。

• 配置管理控制：使用 Google 管理控制台设置受限共享、控制外部电子邮件转发以及限制第三方应用程序。

• 培训您的员工：即使有技术保障，用户教育仍然至关重要。确保员工了解如何在使用 Gmail、Google Drive、Google Docs 和其他 Google Workspace 工具时保持 HIPAA 合规性。

• 监控和审计：定期查看审计日志和活动报告，以检测未经授权的访问或异常活动。适当的监控可确保您能够快速识别潜在违规行为。

提示：如果您特别关心“如何使 Gmail 符合 HIPAA 标准”或“如何使 Google Workspace 符合 HIPAA 标准”，请重点关注管理控制台中的安全设置、强制加密（例如使用 S/MIME），并确保用户了解最佳做法。

Google Workspace 是否符合 HIPAA 规定？简而言之，如果您符合以下条件，Google Workspace 即可符合 HIPAA 规定：

• 选择符合条件的计划（ Business 或者Enterprise 版本，主要）。

• 签署 Google BAA。

• 启用并维护所需的安全设置和隐私控制。

• 仅以 HIPAA 批准的方式使用服务。

仅拥有 Google Workspace 帐号是不够的，您必须仔细配置和监控环境、培训员工并遵循处理 PHI 的最佳做法。通过满足这些要求，许多组织成功地将 Google Workspace 用作符合 HIPAA 要求的解决方案。