Google Workspace 是否符合 HIPAA 法规？

并非所有 Google Workspace 计划都能自动确保 HIPAA 合规性。虽然 Google 在其 Workspace 产品中提供安全和隐私功能，但处理受保护健康信息 (PHI) 的组织通常至少需要付费版本（例如，Business 或 Enterprise）才能访问高级安全配置并签署 Google BAA（Business Associate Agreement）。

通常支持 HIPAA 合规性的计划包括：

• Business（标准版、增强版）

• Enterprise （标准版、增强版）

• Education（在某些情况下，有附加要求）

即使在这些计划中，您也必须正确配置隐私设置。仅仅订阅符合条件的计划并不能保证您的环境符合 HIPAA 法规——您还需要遵循如何使 Google Workspace 符合 HIPAA 法规的指南，包括正确处理电子 PHI (ePHI)。

一旦您签署 Google BAA 并正确配置，几个核心 Google Workspace 服务可以以符合 HIPAA 的方式使用。这些包括：

• Gmail （在正确配置后，通常被称为“符合 HIPAA 的 Gmail”）

• Google Drive （包括 Docs、Sheets 和 Slides）

• Google Meet

• Google Chat （有限的使用场景；确保正确配置）

• Google Calendar

Google BAA 中未列出的服务可能需要额外的审查，或者可能不适合存储或传输 ePHI。例如，Google Voice 可能未包含在标准 BAA 中，因此在使用它进行与 PHI 相关的通信之前，务必直接与 Google 的文档进行验证。

• 签署 Google BAA：这是一份具有法律约束力的文件，概述了 Google 作为 Business 伙伴的责任。BAA 确保 Google 同意以符合 HIPAA 要求的方式处理 ePHI。

• 启用安全功能：启用安全功能，如两步验证、数据丢失防护 (DLP) 和访问控制，以帮助保护 ePHI。

• 配置管理控制：使用 Google Admin 控制台设置受限共享、控制外部电子邮件转发和限制第三方应用程序。

• 培训您的员工：即使有技术保障，用户教育仍然至关重要。确保员工了解在使用 Gmail、Google Drive、Google Docs 和其他 Google Workspace 工具时如何保持 HIPAA 合规性。

• 监控和审计：定期审查审计日志和活动报告，以检测未经授权的访问或异常活动。适当的监控可确保您快速识别潜在的违规行为。

提示：如果您特别关注“如何使 Gmail 符合 HIPAA”或“如何使 Google Workspace 符合 HIPAA”，请关注 Admin 控制台中的安全设置，强制执行加密（例如使用 S/MIME），并确保用户了解最佳实践。

Google Workspace 是否符合 HIPAA？简而言之，如果您：

• 选择符合条件的计划（主要是 Business 或 Enterprise 版本）。

• 签署 Google BAA。

• 启用并维护所需的安全设置和隐私控制。

• 仅以 HIPAA 批准的方式使用这些服务。

仅仅拥有一个 Google Workspace 帐户是不够的，您必须仔细配置和监控环境，培训员工，并遵循处理 PHI 的最佳实践。通过满足这些要求，许多组织成功地将 Google Workspace 用作符合 HIPAA 的解决方案。