BAA vs 普通NDA
很多人第一次问BAA是什么,脑子里会自动套到NDA。两者确实都和保密有关,但目的不一样。NDA管的是商业秘密、报价、客户名单这类信息;BAA盯的是PHI,也就是能识别个人身份的健康信息。
举个例子,诊所把患者预约记录上传到云客服系统,里面有姓名、电话、就诊项目,这就不是单纯商业秘密。BAA要约定服务商如何保护这些信息、能不能再披露、发生泄露后怎么通知。NDA一般扛不住这些细节。
BAA是什么?简单说,它是HIPAA场景下医疗机构和业务伙伴之间的书面协议,用来管受保护健康信息怎么用、怎么护、出事怎么报。别把它当普通保密协议,它解决的问题更窄,也更硬核。
很多人第一次问BAA是什么,脑子里会自动套到NDA。两者确实都和保密有关,但目的不一样。NDA管的是商业秘密、报价、客户名单这类信息;BAA盯的是PHI,也就是能识别个人身份的健康信息。
举个例子,诊所把患者预约记录上传到云客服系统,里面有姓名、电话、就诊项目,这就不是单纯商业秘密。BAA要约定服务商如何保护这些信息、能不能再披露、发生泄露后怎么通知。NDA一般扛不住这些细节。
服务合同讲交付,比如系统 uptime、费用、付款、退款、技术支持。BAA讲合规边界,比如PHI使用限制、安全措施、分包商义务和终止后数据处理。两份文件经常一起签,但别互相替代。
实务里我见过一种坑:主合同写得很厚,服务等级、赔偿上限都有,结果没有BAA。供应商出了数据事件后,医疗机构发现合同里根本没有按HIPAA逻辑设计的通知和配合条款,只能靠一般违约去吵,效率很低。
隐私政策是服务商对外公开说法,通常面向用户或访客;BAA是双方签署的合同文件,面向Covered Entity和Business Associate。前者像店门口的告示,后者像后台操作规程加责任书。
如果一个供应商只给你隐私政策链接,说“你看我们很重视隐私”,这不等于有BAA。隐私政策可能随时更新,且不一定承诺对你的PHI承担业务伙伴义务。采购时要拿到可签署版本,而不是截图收藏。
DPA通常指数据处理协议,常见于GDPR、跨境数据或企业数据处理场景。BAA则是美国HIPAA体系下的特定文件。两者都管数据处理,但适用法规、术语和责任触发点不同。
一家远程医疗公司如果同时服务美国患者和欧洲用户,可能既需要BAA,也需要DPA。别用一个文件包打天下。BAA会写PHI、Covered Entity、Business Associate;DPA更常见的是Controller、Processor、Sub-processor这些词。
最该关心BAA的,不只是律师。诊所老板、医疗SaaS销售、产品经理、信息安全负责人都要懂一点。你不需要背法条,但要能看出供应商是不是在接触PHI、有没有签约资格、条款是否过于宽松。
一句话记住:BAA是什么?它不是“合规装饰品”,而是医疗数据外包时的责任说明书。只要第三方会碰到PHI,这份文件就该早早进入采购清单,而不是上线前一天才找法务救火。
BAA通常是Business Associate Agreement的缩写,中文可理解为业务伙伴协议,主要出现在美国HIPAA医疗隐私合规语境中。
不是。关键看供应商是否会代表医疗机构创建、接收、维护或传输PHI。只卖不接触患者健康信息的工具,通常不需要BAA。
HIPAA是法规体系,BAA是落实业务伙伴责任的合同工具。BAA本身不是全部合规,但缺它往往会造成明显合规缺口。