《健康保险可移植性和问责法》 (HIPAA) & 经济和临床健康 (HITECH) 法的运行状况信息技术

项目
02/15/2023

HIPAA 和 HITECH 法案概述

1996年《健康保险可移植性和问责法》 (HIPAA) 和 HIPAA 下颁布的法规是一套美国医疗保健法律，规定了对个人可识别健康信息的使用、披露和保护的要求。随着2009年《经济和临床健康健康信息技术 (HIECH) 法》的颁布，HIPAA的范围得到了扩大。

HIPAA 适用于专门 (的涵盖实体，即卫生保健提供者、健康计划和医疗保健清算所，) 创建、接收、维护、传输或访问患者在 PHI) (受保护的健康信息。 HIPAA 进一步适用于执行涉及 PHI 的某些函数或活动的涵盖实体的业务关联，作为向涵盖实体或代表所覆盖实体提供服务的一部分。

当涵盖的实体与云服务提供商（如 Microsoft）的服务接洽时，云服务提供商将成为 HIPAA 下的业务伙伴。此外，当企业将分包与云服务提供商关联以创建、接收、维护或传输 PHI 时，云服务提供商也会成为业务关联。

Microsoft、HIPAA 和 HITECH 法案

HIPAA 法规要求根据规则定义的涵盖实体 () 与业务关联者签订协议，以确保 PHI 受到充分保护。此协议称为业务关联协议。除其他事项外，业务关联协议根据双方之间的关系和业务关联人正在执行的活动或服务之间的关系，确定业务关联人允许和要求使用和披露 PHI。为了支持客户在利用 Microsoft 企业产品和服务时遵守 HIPAA，Microsoft 将与其涵盖的实体和业务关联客户签订业务关联协议。

目前没有经卫生与公众服务部批准的认证标准，以证明业务伙伴遵守 HIPAA 或 HITECH 法案。但是，Microsoft 使客户能够遵守 HIPAA 和 HITECH 法案，并遵守 HIPAA 作为业务关联人的身份的安全规则要求。此外，Microsoft 还与其涵盖的实体和业务关联客户签订业务关联协议，以支持其遵守 HIPAA 义务。

第三方认证

BAA 涵盖的 Microsoft 服务已通过经认证的独立审核员对 Microsoft ISO/IEC 27001 认证和 HITRUST CSF 认证进行审核。

FedRAMP 评估还介绍了 Microsoft 企业云服务。 Microsoft Azure 和 Microsoft Azure 政府收到 FedRAMP 联合授权委员会提供的临时运营机构;Microsoft Dynamics 365 美国政府从美国住房和城市发展部收到了一个机构运营机构，美国卫生与公众服务部Microsoft Office 365美国政府也是如此。

若要了解 Microsoft 云如何帮助客户支持 HIPAA 和 HITECH 要求，请访问 Microsoft 客户故事。

Microsoft 范围内云平台 & 服务

Azure 与 Azure 政府
Azure DevOps Services
Dynamics 365 和 Dynamics 365 美国政府
Intune
Microsoft Defender for Cloud Apps
Microsoft Healthcare 机器人服务
Microsoft 托管桌面
Microsoft 专业服务：针对 Azure、Dynamics 365、Intune 及 Microsoft 365 商业版中型企业客户的高级和本地支持。
Office 365，Office 365美国政府
Power Automate (以前称为 Microsoft Flow) 云服务，作为独立服务提供，或者随 Office 365 或 Dynamics 365 品牌计划或套件一并提供
PowerApps 云服务，作为独立服务提供，后者随 Office 365 或 Dynamics 365 品牌计划或套件一并提供
Power BI 云服务要么作为独立服务，要么包括在 Office 365 或 Dynamics 365 品牌计划或套件中
Windows 365

Azure、Dynamics 365 和 HIPAA

有关 Azure、Dynamics 365 和其他联机服务合规性的详细信息，请参阅 Azure HIPAA 产品/服务。

Office 365和 HIPAA

Office 365环境

Microsoft Office 365 是一个多租户超大规模云平台，同时面向全球多个区域的客户提供应用和服务的集成体验。大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域（例如，美国）中的其他区域，以实现数据复原，但 Microsoft 不会在所选地理区域之外复制客户数据。

本部分介绍以下Office 365环境：

客户端软件（客户端）：客户设备上运行的商业客户端软件。
Office 365（商业）：全球范围内提供的商业公共 Office 365 云服务。
Office 365 政府社区云 (GCC)：Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府，以及代表美国政府持有或处理数据的承包商。
Office 365 政府社区云 - 高 (GCC High)：Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计，并支持严格监管的联邦和防御信息。联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
Office 365 DoD (DoD)：Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计，并支持严格的联邦和防御法规。此环境供美国国防部专用。

使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。若要了解哪些服务在哪些区域可用，请参阅国际可用性信息和 Microsoft 365 客户数据的存储位置文章。有关 Office 365 政府版云环境的详细信息，请参阅 Office 365 政府云文章。

你的组织完全负责确保遵守所有适用的法律和法规。本节中提供的信息不构成法律建议，你应咨询法律顾问，以了解有关组织法规合规性的任何问题。

Office 365 适用性和范围内的服务

使用下表确定 Office 365 服务和订阅的适用性：

适用性	范围内服务
商业	Access Online、Azure Active Directory、Azure 通信服务、合规性管理器、客户密码箱、Delve、Exchange Online、Forms、Griffin、Identity Manager、Lockbox (Torus) 、Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 高级合规版加载项、Office 365客户门户中，Office 365微服务 (包括但不限于 Kaizala、ObjectStore、Sway、Power Automate、PowerPoint Online 文档服务、查询批注服务、学校数据同步、Siphon、语音、StaffHub、eXtensible 应用程序计划) 、Office 365安全性& 合规中心、Office Online、Office Pro Plus、Office Services 基础结构、OneDrive for Business、Planner、PowerApps、Power BI、Project Online、Microsoft Purview 客户密钥服务加密、SharePoint Online、Skype for Business、Stream
GCC	Azure Active Directory、Azure 通信服务、合规性管理器、Delve、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 高级合规版加载项、Office 365安全性& 合规中心、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、Stream

适用性

范围内服务

商业

Access Online、Azure Active Directory、Azure 通信服务、合规性管理器、客户密码箱、Delve、Exchange Online、Forms、Griffin、Identity Manager、Lockbox (Torus) 、Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 高级合规版加载项、Office 365客户门户中，Office 365微服务 (包括但不限于 Kaizala、ObjectStore、Sway、Power Automate、PowerPoint Online 文档服务、查询批注服务、学校数据同步、Siphon、语音、StaffHub、eXtensible 应用程序计划) 、Office 365安全性& 合规中心、Office Online、Office Pro Plus、Office Services 基础结构、OneDrive for Business、Planner、PowerApps、Power BI、Project Online、Microsoft Purview 客户密钥服务加密、SharePoint Online、Skype for Business、Stream

GCC

Azure Active Directory、Azure 通信服务、合规性管理器、Delve、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 高级合规版加载项、Office 365安全性& 合规中心、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、Stream

常见问题解答

我的组织是否可以使用 Microsoft 进入 BAA？

能。 Microsoft 为其涵盖的实体和业务关联客户提供涵盖范围内 Microsoft 服务的业务关联协议。

默认情况下，Microsoft HIPAA 业务关联协议可通过 Microsoft Online Services 数据保护附录提供给 HIPAA 下涵盖实体或业务关联的所有客户。有关此 BAA 涵盖的云服务列表，请参阅此网页上的“Microsoft 范围内云服务”。

HIPAA 业务关联协议也适用于范围内的 Microsoft 专业服务。有关详细信息，请与 Microsoft 服务代表联系。

与 Microsoft 签订业务关联协议是否确保我的组织遵守 HIPAA 和 HITECH 法案？

否。通过提供业务关联协议，Microsoft 可帮助支持 HIPAA 合规性。但是，使用 Microsoft 服务本身并不能实现 HIPAA 符合性。你的组织负责确保你有足够的合规计划和内部流程，并且 Microsoft 服务的特定使用符合 HIPAA 和 HITECH 法案规定的义务。

Microsoft 是否可以使用我组织的业务关联协议？

否，Microsoft 无法使用客户的业务关联协议。由于我们提供针对所有客户标准化的超大规模多租户服务，因此我们必须以一致的方式运行。 Microsoft HIPAA 业务关联协议密切反映了我们如何运作。因此，为了满足医疗保健行业的需求，Microsoft 与医疗保健领域的学术医疗中心和其他公共和私营部门实体联盟合作，创建符合我们规模服务产品/服务并满足客户需求的业务关联协议。

如何获取第三方审核报告的副本？

服务信任门户提供独立审核的合规性报告。可以使用门户请求审核报告，以便审核员可以将 Microsoft 的云服务结果与你自己的法律和法规要求进行比较。 Azure 客户还可以通过 Microsoft Defender for Cloud 中的审核报告边栏选项卡检索Azure 门户中的 Azure 证书和审核报告。

如何详细了解 Microsoft 如何支持遵守 HIPAA 和 HITECH 法案？

为了帮助客户完成此任务，Microsoft 发布了以下指南：

Azure 隐私、安全和合规性官员以及负责 HIPAA 和 HITECH 法案实施的其他人员的 HIPAA/HITECH 法案实施指南介绍了组织为维护合规性而可以采取的具体步骤。
使用 Microsoft Azure 设计安全运行状况解决方案的实用指南可帮助你更好地了解以安全方式成功采用云服务需要什么。

使用 Microsoft Purview 合规性管理器评估风险

Microsoft Purview 合规性管理器是Microsoft Purview 合规门户中的一项功能，可帮助你了解组织的合规性状况，并采取措施帮助降低风险。合规性管理器提供了一个高级模板，用于对此法规建立评估。在合规性管理器的“评估模板”页面中找到模板。了解如何在合规性管理器中建立评估。