最後更新:2025年8月6日

使用條款

背景

  • 這些「標準軟體授權條款」(以下簡稱「條款」)是我們網站上的線上訂單(訂單表)中提及的軟體(軟體)授權的標準軟體授權條款。 https://my.singular.health (網站),並構成 Singular Health Pty Ltd (ABN 49 636 261 919) (Singular Health) 與您之間合約的一部分。這些條款提供許可協議,而不是銷售協議。
  • 這些條款規定了您使用本軟體的權利和條件。 Single Health 保留這些條款中未明確授予的所有權利。
  • 透過訂購和存取該軟體,您承認您已閱讀並理解這些條款,並且您接受它們對您具有法律約束力。
  • 您保證您有權接受這些條款,並代表您代表其註冊使用本軟體的任何人接受這些條款。
  • 如果您不接受並遵守這些條款,您不得使用本軟體,並且必須立即通知我們。
  • 您應該查看整個條款,包括軟體可能附帶的任何補充許可條款。如果您不理解本軟體或這些條款或有任何疑問,請聯繫 [email protected] 在繼續使用本軟體之前。
  • Singular Health 可能會透過電子郵件向您提供建議或在其網站上提供通知來更改這些條款或升級軟體。
  • 如果違反這些條款,Singular Health 人員保留隨時暫停或終止您對軟體的存取的權利。
  • 對 Singular Health 的任何提及均包括對其代表、董事、管理人員、員工和承包商的提及。
  • Singular Health 與您之間的合約在您接受網站上的訂單後即成立,並且這些條款構成該合約的一部分(如果適用)。

軟體許可

使用本軟體即表示您同意:

  • Singular Health 授予您個人的、全球性的、非排他性的、不可轉讓的許可(許可),供您以及您僱用和/或簽約的任何人(授權用戶)在使用期間存取和使用該軟體。規定的許可的約定期限;
  • 如果 Singular Health 提供您任何輔助產品(輔助產品),則輔助產品也將根據本條款提供;
  • 您對存取本軟體的設備的安全負責;
  • 您有責任確保軟體的安全使用並了解誰是授權使用者;和
  • 您有責任管理您的資訊以及您透過使用本軟體存取或接收的任何訊息,確保其符合您營運所在司法管轄區的所有相關法律。

使用限制

您同意您將:

  • 僅允許授權使用者根據本條款以及軟體隨附的任何文檔,出於您的業務目的而非其他目的使用軟體和任何輔助產品;
  • 確保軟體和任何輔助產品始終受到保護,免遭誤用、破壞或任何形式的未經授權的使用,包括充分保護用於存取軟體的任何密碼的安全;
  • 不允許非授權使用者的任何第三方使用或存取本軟體或任何輔助產品;和
  • 不得將軟體或任何輔助產品出售、再授權、轉讓或以任何其他方式轉讓給任何第三方,除非經 Singular Health 書面明確授權,且任何此類使用均須遵守這些條款和可能的其他條款由Singular Health書面指定。

許可期限和終止

期限和續訂

許可證的期限在訂單中列出。任何許可期限的續約都必須得到 Singular Health 的書面同意。

因故終止

  • 如果您或授權使用者違反本條款或未能依照訂單付款,Singular Health 可以立即終止與您的協議,恕不另行通知。
  • 除非 Singular Health 自行決定以書面形式另行同意,否則如果您停止業務運營、為了債權人的利益進行一般轉讓或者您破產,您獲得許可的權利將立即終止。
  • 無論有何條款,您對軟體或任何輔助產品的使用均須遵守 Singular Health 自行決定的合理使用規定。
  • 如果 Singular Health 在任何時候認為您對軟體和/或任何輔助產品的使用超出了 Singular Health 自行決定的合理使用標準和/或水平,Singular Health 可限製或減少您對軟體和/或輔助產品的容量和/或使用方面和/或終止您使用此類軟體和/或輔助產品的許可,並且終止您就任何此類索賠
  • 無論有何條款,Singular Health 均可在提前 14 天通知的情況下,因任何原因(非您違反本條款中的任何一項)終止與您的協議,並且就此而言,您有權獲得與相應終止日期之後的任何期間相關的已支付許可費(如有)的退款。
  • 一旦發生上述終止,您無權就該終止而產生的或與之相關的任何性質向 Singular Health 提出任何索賠。

賠償和免責聲明

責任

您同意,Singular Health 不對您或任何一方承擔任何間接、特殊或後果性損失或損害的責任,包括與本條款相關的利潤損失、商業機會損失、儲蓄損失或資料遺失的責任。

保障

您和授權使用者同意為 Singular Health、其董事、管理人員、員工和代理人進行辯護、賠償並免遭因您或授權使用者違反本條款或使用或誤用軟體而引起的任何及所有損失、損害和責任(包括律師費)。

免責聲明

  • 您確認並同意,本軟體及配套產品僅供增強功能使用,用於輔助醫療決策,不得僅依賴其進行醫療決策或執行醫療程序。您進一步同意確保授權使用者確認並同意本條款的規定。在任何相關司法管轄區的法律允許範圍內,Singular Health 對與本軟體及配套產品使用者相關的任何索賠概不負責。
  • 您承認並同意,授權使用者在做出醫療決定和執行醫療程序時必須做出自己的判斷和決定,並且您特此免除並賠償 Singular Health 因不當使用軟體和/或輔助產品而造成的任何責任。

訪問和可用性

  • 您和授權使用者可以存取該軟體,但無權接收該軟體的目標代碼或原始碼的副本。
  • Singular Health 可自行決定不時提供軟體的增強功能、更新或新版本,以便增強或改進軟體的功能或操作,或執行 Singular Health 要求的其他工作。

任務

未經 Singular Health 事先書面同意,您不得將本條款或與 Singular Health 簽訂的包含本條款的任何合約項下的任何或全部權利、義務或責任轉讓或聲稱轉讓或意圖轉讓或轉讓給任何其他人。

保密性

  • 您同意對Singular Health 業務活動或事務的所有機密資訊保密,包括本條款和Singular Health 所有智慧財產權的詳細資訊(機密資訊),且未經其明確書面同意,不得使用或揭露Singular Health 的機密資訊。您將採用與保護您自己的機密資訊相同的謹慎標準來保護您收到的任何機密訊息,但在任何情況下都不得低於合理的謹慎程度。就本條款而言,機密資訊是指以任何形式或媒介不公開提供的所有具有機密性質的資訊(包括本條款的存在和主題),並且您承認並同意這包括業務和技術資訊納入軟體或其中包含的任何軟體或其他技術。
  • 根據本條款,您只能出於履行這些條款規定的義務的唯一目的而複製或使用機密信息,不得導致 Singular Health 的商業、財務或競爭劣勢。

數據

  • 您對您的資料以及您的授權使用者和客戶的資料的內容和準確性負全部責任,包括所有網路資訊、個人資訊、文件和記錄(統稱為資料),並遵守有關管理和使用您的資料的任何適用法律。
  • 您的資料屬於您,Singular Health 不主張對其擁有任何所有權。
  • 您保證,由您或代表您或授權使用者向 Singular Health 提供的所有軟體、資料、資料和信息,以及 Singular Health 為履行與您簽訂的合同而對上述內容的所有使用,均不會侵犯任何人的權利或隱私,也不會違反任何法律或法規。
  • 您同意 Singular Health 複製您的資料或從您的資料中提取或衍生的信息,並將其用於行銷、研究和分析以及一般業務運營(「行銷用途」)。
  • 您無權就因行銷使用而引起的或與之相關的任何事項向 Singular Health 提出任何索賠。

智慧財產

  • 在您和 Singular Health 之間,您同意 Singular Health 始終是與本軟體和 Singular Health 相關的所有版權、商標權、專利權、設計權(無論註冊或未註冊)以及所有其他智慧財產權的所有者。 ,包括各種智慧財產權(Singular Health IP)的所有當前和未來權利,並且這些條款不會阻止、限製或限制Singular Health 使用或利用Singular Health IP。
  • 除本條款中明確規定的之外,Singular Health 不會向您授予任何類型的任何其他權利或許可,並且特此明確排除所有默示的權利和許可。

保固和消費者權利

  • Single Health 保證,如果使用得當,該軟體基本上將按照網站和該軟體隨附的任何資料中所述的方式運作。本有限保固不涵蓋您造成的問題、因您未遵循指示而產生的問題、或因超出 Singular Health 合理控制範圍的事件引起的問題。
  • 如果澳洲消費者法適用於您,則該軟體的許可附帶不能根據澳洲消費者法排除的保證。對於服務的重大故障,您有權:
  • 取消您與我們的服務合約;和
  • 未使用部分的退款,或對其減少的價值進行補償。
  • 對於商品的重大故障,您也有權選擇退款或更換。如果商品或服務的故障不構成重大故障,您有權在合理的時間內糾正故障。如果不這樣做,您有權獲得商品退款並取消服務合約並獲得任何未使用部分的退款。您也有權因商品或服務故障而造成的任何其他合理可預見的損失或損害獲得賠償。
  • 免責聲明:除上述有限保證外,Singular Health 不提供任何其他明示保證、擔保或條件,並且,根據法律暗示的任何義務且不能排除(在相關司法管轄區適用),Singular Health對因使用軟體和/或輔助產品、軟體中的任何缺陷或軟體和/或輔助產品的缺陷、和/或軟體和/或輔助產品的任何限制使用而產生的任何損失、損害、責任、索賠和費用(包括但不限於法律費用和辯護或和解費用)不承擔任何責任,無論此類責任是基於合約、侵權行為(包括疏忽)、法規或其他原因產生的責任。
  • 如果 Singular Health 違反其有限保證,它將自行選擇 (i) 免費維修或更換軟體; (ii) 接受退回軟體並退還您已支付的金額(如有)。根據適用法律,這些是您違反保證的唯一補救措施。
  • 根據本條款的規定,您同意就您或任何第三方因您使用本軟體而遭受或招致的任何及所有損失、責任、損害、成本和費用,向 Singular Health、其董事、員工、高管、承包商及海外代理機構進行賠償、免除、解除並使其免受損害。 Singular Health 對您、任何授權使用者或任何其他人使用本軟體的行為不承擔任何責任。

爭議

  • 在採取任何進一步行動之前,您必須在 60 天內嘗試直接與 Singular Health 解決與這些條款相關的任何爭議。
  • 任何在 60 天內未直接解決的爭議或分歧必須根據解決機構仲裁規則提交給澳洲仲裁。
  • 除非雙方同意仲裁員,否則任何一方均可請求澳洲決議研究所主席提名。

一般規定

消費稅/增值稅

除非另有說明,我們網站上的任何報價均不包含商品及服務稅、增值稅或其他類似稅費。您必須向 Singular Health 繳納此類額外稅款。

獨立承包商

您與Singular Health之間分別為獨立承包商與客戶供應商關係。本條款的任何內容均不構成雙方之間的僱傭關係、合夥關係、代理關係或合資關係。

生存

這些條款項下的任何賠償或任何保密義務都是獨立的,並且在這些條款終止後仍然有效。就其性質而言,旨在在這些條款終止後繼續有效的任何其他條款在這些條款終止後繼續有效。

完整條款

訂單、這些條款以及根據訂單規定適用的任何其他條款構成了適用於軟體的許可和使用的整套條款,並取代雙方之前就許可和協議達成的所有協議或諒解。

排他性

授予授權使用者使用軟體的權利是個人的、非排他性的,且任何因素都不會阻止 Singular Health 向任何第三方提供該軟體。

可分割性

這些條款中非法或無法執行的條款或部分條款可以從這些條款中分離出來,而這些條款中的其餘條款或部分條款繼續有效。

放棄

如果 Singular Health 未能行使或延遲行使權利、權力或補救措施,您和 Singular Health 並未放棄該權利、權力或補救措施。單獨或部分行使某項權利、權力或補救措施並不妨礙另一項或進一步行使該權利、權力或補救措施。對權利、權力或補救措施的放棄必須以書面形式並由放棄方簽署。

適用法律

這些條款受西澳大利亞州法律管轄並根據西澳大利亞州法律解釋。您和 Singular Health 均不可撤銷且無條件地接受西澳大利亞州任何法院的非專屬管轄權。

資料處理協定附件

本條款適用於您是歐盟的資料控制者(法人實體)。如果您是自然人,請參閱我們的隱私權政策。  

本資料處理協議(以下簡稱「DPA」)已由 Singular Health 與您簽署。 

在本 DPA 中,Singular Health 和您應單獨稱為“一方”,合稱為“雙方”。 

1. 締約方

對於雙方所進行的處理活動,我們將作為處理者,而您將作為控制者。 

「控制者」、「資料主體」、「個人資料」、「資料外洩」、「處理」和「處理者」等術語與《一般資料保護規範》(GDPR)中所述含義相同,同源術語應作相應解釋。  

2. 根據指示行事

我們將代表您處理個人資料(「個人資料」),並將作為您的處理者,並承諾在您接受我們的使用條款並開始使用我們的服務後,根據 GDPR 第 28 條的規定並為了 GDPR 第 28 條的目的遵守 GDPR 和這些條款。 

我們承諾按照 GDPR 規定的義務、這些條款以及您隨後以書面形式發布的僅與根據使用條款開展的活動相關的指示來執行個人資料處理操作。  

當我們認為您發出的指令違反 GDPR 或其他國家或聯盟資料保護法的法律規定時,我們將採取合理措施通知您。 

這些條款體現了您的指示。您也可以在處理個人資料的過程中發出後續指示,但這些指示必須始終與使用條款中規定的服務條款嚴格相關,並以書面形式(包括電子形式)記錄和保存,並提前告知。 

3.處理條款

指示至少應包括以下處理細節: 

  • 題材: 處理方(「我們」)履行使用條款所涵蓋的服務 
  • 處理時長: 個人資料將僅在根據使用條款履行服務所需的時間內存儲,除非您在停止使用我們的服務之前收到刪除或返回指示
  • 處理的性質和目的: 對個人資料進行必要的處理操作,以實現根據使用條款提供服務的目的
  • 個人資料類型: 根據您對使用條款提供的服務 (3DICOM Patient、3DICOM MD、3DICOM EDU) 的實際使用情況,它們可能涵蓋以下類別的資料:CT、PET 和 MRI 掃描;DICOM 標籤;醫療案例研究 
  • 資料主體類別: 患者 

我們以及任何根據我們的授權而有權存取個人資料的人員應僅按照您提供的指示處理這些數據,並且僅用於此目的,不得用於任何其他目的或以任何其他方式處理,除非適用法律要求我們這樣做。 

4.保密義務

 我們採取必要措施,確保我們的員工或合作者僅在需要知道的基礎上並根據這些條款進行與處理個人資料有關的任何操作。  

我們確保這些授權人員遵守保密承諾或專業或法律保密義務,並確保他們接受有關個人資料保護的原則和措施的適當培訓。 

5. 安全

處理者應採取並維持 GDPR 第 32 條中提及的所有安全措施,以及任何其他適當的預防措施,以確保個人資料的安全並避免不允許或不符合使用條款和 GDPR 規定的目的的資料處理。   

6. 資料外洩通知

如果發生影響您資料的個人資料外洩事件,我們將採取合理措施,在發現此類資料外洩後立即通知您,且在任何情況下均在 48 小時內通知您。我們將向您提供所有必要的信息 為了 遵守您的法律義務。 

7. 資料主體請求

我們將協助您履行與處理行使資料主體權利的請求、個人資料安全(即與資料保護影響評估和事先諮詢有關的義務)、處理從公共機構(包括監管機構)收到的請求有關的義務。  

8. 刪除或退回

處理方將歸還所有原始文件,並刪除或銷毀任何媒體中包含個人資料的所有資料,除非處理方有法律義務儲存該資料。如果適用法律要求儲存此類個人資料(例如,包括但不限於法定稅務、財務和會計、歸檔義務),處理方可繼續保留包含個人資料的文件。 

9.問責和審計權

處理者應向控制者提供所有合理且必要的材料、文件或其他信息,以使控制者能夠確認處理者已按照本條款規定的資料保護義務行事。 

僅在例外情況下,且僅在處理者根據前款規定向控制者提供的材料、文件和資訊不足以評估處理者是否遵守本條款規定的資料保護義務的情況下,控制者才有權在處理者的場所進行檢查。控制者應至少提前30天將檢查請求告知處理者。 

10. 子處理器

控制者應以書面形式向處理者授予聘用分包商的一般授權。處理者應將分包商名單及其後續變更告知資料控制者。資料控制者有權在處理者告知後30天內對名單的修改提出異議,並說明理由。     

當處理者向其子處理者披露個人資料時,處理者應在披露之前與此類子處理者簽訂有效且可執行的書面合同,該合同應包括以下條款:(i)與這些條款中規定的適用於個人資料的義務基本相同;(ii)要求此類子處理者遵守這些條款中關於處理個人資料的條款和條件。 

跨境資料傳輸附錄

(僅適用於歐盟、英國和瑞士客戶)

1.定義

就本附錄而言,下列術語應具有下述含義。本附錄中使用但未另行定義的大寫術語應具有本協議中規定的含義。 

「標準合約條款」指根據客戶的具體情況,以下任何一項: 

英國國際資料傳輸附錄,或; 

歐盟 2021 年標準合約條款(「歐盟標準合約條款」) 

《英國國際資料傳輸附錄》方法:英國資訊專員針對進行限制性轉移的各方所發布的歐盟委員會標準合約條款(「EU SCC」)的英國國際資料傳輸附錄(「IDTA」)(可能會不時修訂、更新或取代)。 

「2021 年標準合約條款」指歐盟委員會第 2021/914 號決定批准的標準合約條款。 

2.跨境資料傳輸

2.1. 雙方同意,2021 年標準合約條款將適用於透過本服務從歐洲經濟區直接或透過後續傳輸傳輸至歐洲經濟區以外的任何國家/地區或接收方的個人數據,且該等國家/地區或接收方未被歐盟委員會認可為對個人資料提供充分保護水準。對於受 2021 年標準合約條款約束的從歐洲經濟區傳輸的數據,2021 年標準合約條款將被視為已簽訂(並透過引用納入本附錄)並按以下方式完成: 

2.2.1. 當您是個人資料的控制者,並且我們代表您處理個人資料時,將適用 2021 年標準合約條款的第二模組(控制者到處理者)。 

2.2.2.當您是個人資料處理者,而我們是您的子處理者時,將適用 2021 年標準合約條款的第三模組(處理者對處理者)。   

2.2.3.對於每個模組,如適用: 

  • 2.2.3.1.2021 年標準合約條款第 7 條 ,可選對接條款將不適用; 
  • 2.2.3.2.在 2021 年標準合約條款第 9 條中,選項 2「一般書面授權」將適用  
  • 2.2.3.3.在2021年標準合約條款第11條中,可選語言將不適用; 
  • 2.2.3.4.在第 17 條(選項 1)中,2021 年標準合約條款將受愛沙尼亞法律管轄; 
  • 2.2.3.5.根據 2021 年標準合約條款第 18(b) 條,爭議應由愛沙尼亞法院解決; 
  • 2.2.3.6.2021 年標準合約條款附件一 A 部分(當事人名單): 
  • 2.2.3.6.1.資料匯出者:您 
  • 2.2.3.6.2.聯絡方式:您用於建立帳戶以使用我們服務的電子郵件地址。 
  • 2.2.3.6.3.資料輸出方角色:雙方確認並同意,在個人資料處理方面,您可以作為控制者或處理者,而我們則作為處理者。我們將根據您的指示(如資料保護協議第 3 條「處理條款」所述)處理個人資料。 
  • 2.2.3.6.4.簽名和日期:透過接受服務條款並使用服務,資料輸出者被視為已簽署此處納入的標準合約條款(包括其附件)。 
  • 2.2.3.6.5.資料導入方:Singular Health Pty Ltd  
  • 2.2.3.6.6.地址: Newcastle Street, Leederville, WA 6007Newcastle Street, Leederville, WA 6007 
  • 2.2.3.6.8.資料導入方角色:雙方確認並同意,就個人資料的處理而言,您可以作為控制者或處理者,而我們作為處理者。我們將根據《資料保護協議》第 3 條「處理條款」中規定的您的指示處理個人資料。 
  • 2.2.3.6.9.簽名與日期:透過根據服務條款提供服務,資料匯入者被視為已簽署納入本文的標準合約條款。 
  • 2.2.3.7.2021 年標準合約條款附件一 B 部分(轉讓說明): 
  • 2.2.3.7.1.資料主體的類別在資料保護協議第 3 節「處理條款」中描述。 
  • 2.2.3.7.2.所傳輸的個人資料類別在資料保護協議的「處理條款」部分中有描述。 
  • 2.2.3.7.3.雙方承認,所傳輸的資料包括資料保護協議「處理條款」部分所描述的敏感資料。 
  • 2.2.3.7.4.簽名和日期:透過接受使用條款並使用服務,資料輸出者被視為已簽署此處納入的標準合約條款(包括其附件)。 
  • 2.2.3.7.5.處理的性質在資料保護協議的「處理條款」部分中描述。 
  • 2.2.3.7.6.處理的目的在資料保護協議的「處理條款」部分中描述。 
  • 2.2.3.7.7.個人資料的保留期限以及確定該期限的標準在資料保護協議的「返回或刪除」部分中有說明  
  • 2.2.3.7.8.向子處理器的轉移在子處理器中描述 資料保護協議部分。 
  • 2.2.3.8.2021 年標準合約條款附件一 C 部分:資料保護監察局 (DPI) 將成為主管監督機構。 
  • 2.2.3.9.安全的內容 資料保護附錄部分作為標準合約條款的附件二。 

2.3.瑞士數據傳輸。對於將個人資料轉移到瑞士境外,或將受《瑞士聯邦資料保護法》(「FADP」)(以及修訂後的 FADP(「revFADP」),生效時)管轄的個人資料轉移到第三國(未經歐盟委員會或瑞士相關機構頒發充分性決定或同等決定),雙方同意適用本附錄中的歐盟 SCC,但須遵守以下條款與條件: 

2.3.1.參考文獻:歐盟 SCC 中使用的術語「一般資料保護規範」或「條例 (EU) 2016/679」應解釋為包括 FADP 以及適用時的 revFADP。 

2.3.2.第 13 條:如果個人資料的轉移僅受 FADP/revFADP 管轄,則瑞士聯邦資料保護和資訊專員公署 (FDPIC) 為唯一監管機構。如果個人資料的轉移同時受 GDPR 和 FADP/revFADP 管轄,則具有平行監管權(根據歐盟資料保護規則附件 IC)的主管監管機構為 FDPIC;如果轉移受 GDPR 管轄,則必須遵守第 13 條 (a) 款中關於主管機構選擇的標準。 

2.3.3.第 17 條:如果轉讓僅受 FADP/revFADP 約束,則歐盟 SCC 應受瑞士法律管轄,或在其他情況下,受歐盟成員國之一的法律管轄,前提是該成員國法律允許第三方受益人權利。 

2.3.4.第 18(b) 條:如果轉移僅受 FADP/revFADP 管轄,則因歐盟 SCC 引起的任何爭議應由瑞士法院解決,或在其他情況下由歐盟成員國法院解決。 

2.3.5.第 18(c) 條:「成員國」一詞不得解釋為排除瑞士資料主體根據歐盟 SCC 第 18(c) 條在其慣常居住地(瑞士)提起訴訟以爭取其權利的可能性。 

2.3.6.revFADP:歐盟 SCC 應保護法人實體的數據,直到 revFADP 生效。 

2.4.英國國際資料傳輸附錄。雙方同意,英國國際數據傳輸附錄將適用於透過服務從英國直接或透過後續傳輸傳輸至英國境外任何國家/地區或接收方的個人數據,且該等國家/地區或接收方未被英國主管監管機構或英國政府機構認可為提供足夠個人資料保護水準。對於受英國國際數據傳輸附錄約束的從英國傳輸的數據,英國國際數據傳輸附錄將被視為已簽訂(並透過此引用納入本附錄)並按如下方式完成: 

2.4.1.表 1:締約方 

  • 2.4.1.1.生效日期為雙方在本附錄或協議上最後簽署的日期。 
  • 2.4.1.2.締約方載於本 IDTA 所附的歐盟 SCC 附件 IA。 

2.4.2.表 2:選定的 SCC、模組和選定的條款 

  • 2.4.2.1.附錄歐盟標準規範 
  • 2.4.2.1.1.適用附有本 IDTA 的已核准 EU SCC 版本(包括附錄資訊)。 

2.4.3.表 3:附錄資訊 

  • 2.4.3.1.附件 1A:締約方名單 
  • 2.4.3.1.1.締約方載於本 IDTA 所附的歐盟 SCC 附件 IA。 
  • 2.4.3.2.附件 1B:轉讓說明 
  • 2.4.3.2.1.轉讓描述如本 IDTA 所附的歐盟 SCC 附件 IB 所述。 
  • 2.4.3.3.附件二:技術和組織措施,包括確保資料安全的技術和組織措施 
  • 2.4.3.3.1.技術和組織措施載於本 IDTA 所附的歐盟 SCC 附件 II。 
  • 2.4.3.4.附件三:資料處理協定的子處理器部分。 
  • 2.4.3.4.1.不適用。 

2.4.4.表 4:當核准的附錄變更時結束本附錄: 

  • 2.4.4.1.出口商和進口商可以依照《IDTA》第 19 條的規定終止本《IDTA》 

2.4.5.IDTA 的第 2 部分經引用併入本文。 

2.5.衝突。如果標準合約條款與本資料保護協議或隱私權政策中的任何其他條款之間存在任何直接衝突,則以標準合約條款的規定為準。 

商業夥伴協議

(僅限 HIPPA 相關實體)

本業務合作夥伴協議(「BAA」)自涵蓋實體為使用我們的服務而建立帳戶之日起制定並生效。 

涵蓋實體: 你  

業務助理: Singular Health Pty Ltd(“業務夥伴”,根據《聯邦法規》第45卷第164.501條賦予該術語的含義)。在本BAA中,涵蓋實體和業務夥伴各自為“一方”,合稱為“雙方”。 

背景 

我。 涵蓋實體是指 1986 年《健康保險流通與責任法案》(公共法 104-191,經《HITECH 法案》(定義見下文)修訂)以及 HHS 頒布的相關法規(定義見下文)(統稱「HIPAA」)所定義的「涵蓋實體」或涵蓋實體的「業務夥伴下文」,因此,必須遵守 HIPAA 關於健康和隱私規定的隱私規定的「業務夥伴」。 

二. 雙方已達成或將達成一份或多份協議,根據該協議,業務夥伴將向涵蓋實體提供或將提供某些特定服務(統稱為「協議」); 

在根據協議提供服務時,業務夥伴將有權存取受保護的健康資訊; 

透過根據本協議提供服務,業務夥伴將成為涵蓋實體的“業務夥伴”,該術語的定義見 HIPAA; 

雙方承諾遵守所有有關健康資訊保密性和隱私性的聯邦和州法律,包括但不限於 45 CFR 第 160 部分和第 164 部分 A 和 E 分部中的個人可識別健康資訊隱私標準(統稱為「隱私規則」);以及 

雙方均有意根據本協議、HIPAA 和其他適用法律保護向業務夥伴披露的受保護健康資訊的隱私並確保其安全。 

協定 

因此,現考慮到本協議中包含的相互條件以及涵蓋實體依據本 BAA 依據本協議繼續向業務夥伴提供 PHI,雙方同意如下: 

1. 定義就本 BAA 而言,雙方賦予本第 1 條中各術語以下含義。本 BAA 中使用的任何大寫術語,但另有定義的,其含義與隱私規則或相關法律賦予該術語的含義相同。 

一個。   「關聯公司」指涵蓋實體的子公司或關聯公司,根據 HIPAA 的定義,該子公司或關聯公司是或曾經是涵蓋實體。 

b.   「違規」是指以隱私規則不允許的方式取得、存取、使用或揭露 PHI,從而危及 PHI 的安全性或隱私性,定義見 45 CFR § 164.402。 

c.   「違規通知規則」指 45 CFR 第 164 部分 D 分部中規定的 HIPAA 部分。 

d.   「資料聚合」是指,對於業務夥伴作為受保實體在《健康保險隱私及責任法》(HIPAA) 框架下作為「業務夥伴」所創建或接收的 PHI,將業務夥伴所創建或接收的 PHI 與業務夥伴作為受保實體在《健康保險隱私及責任法》(HIPAA) 框架下作為一個或多個其他受保實體在《健康保險隱私及責任法》(HIPAA) 框架下接收的一個或多個受保實體的其他業務夥伴接收的 PHI進行合併,以允許進行與各受保實體的醫療保健運作(定義見下文)相關的數據分析。本 BAA 中「資料聚合」的含義應與隱私規則中該術語的含義一致。 

例如 「指定記錄集」具有隱私規則(包括 45 CFR § 164.501.B)賦予該術語的含義。 

f. 「去識別化」是指改變 PHI,使得產生的資訊符合 45 CFR §§164.514(a) 和 (b) 中所述的要求。 

g.   「電子 PHI」指 45 CFR § 160.103 中定義的任何以電子媒體保存或傳輸的 PHI 

h.   「醫療保健營運」具有 45 CFR § 164.501 中賦予該術語的含義。 

我。  “HHS” 指美國衛生與公眾服務部。 

j. 「HITECH 法案」是指《經濟與臨床健康資訊科技法案》,該法案作為 2009 年《美國復甦與再投資法案》(公法 111-005)的一部分頒布。 

k.   「個人」與 45 CFR §§164.501 和 160.130 中該術語的含義相同,包括根據 45 CFR § 164.502(g) 有資格成為個人代表的人。 

「隱私權規則」是指 45 CFR 第 160 部分和第 164 部分 A 和 E 小節中規定的 HIPAA 部分。 

米。   「受保護的健康資訊」或「PHI」具有 45 CFR §§164.501 和 160.103 中「受保護的健康資訊」一詞的含義,僅限於業務夥伴從或代表涵蓋實體創建或接收的資訊。 

n.   「安全事件」指試圖或成功未經授權存取、使用、揭露、修改或破壞資訊系統或乾擾系統運作的行為。 

哦。   「安全規則」指 45 CFR 第 160 部分和第 164 部分 A 和 C 分部分規定的電子健康資訊保護安全標準。 

頁數 「不安全的受保護健康資訊」或「不安全的 PHI」是指 45 CFR §§164.501 和 160.103 中定義的任何「受保護的健康資訊」,這些資訊不會透過使用衛生與公眾服務部部長在根據 HITECH 法案發布的指南中指定的並編纂於 42 USC(h) 42 USC 1793(h) 而無法使用的技術來破解 

2. PHI 的使用和揭露。 

一個。   除非本 BAA 另有規定,業務夥伴可以合理地使用或揭露 PHI,以便向涵蓋實體提供協議中所述的服務,以及開展本 BAA 允許或要求的業務夥伴開展的其他活動,或根據法律要求開展其他活動。 

b.   除非本 BAA 或聯邦或州法律另有限制,否則涵蓋實體授權業務夥伴使用其持有的 PHI 來妥善管理業務夥伴的業務並履行其法律責任。業務夥伴可以披露 PHI 以進行妥善管理,前提是 (i) 披露符合法律規定;或 (ii) 業務夥伴在向第三方披露任何信息之前,以書面形式獲得 (a) 該第三方的合理保證,即 PHI 將按照本 BAA 的規定保密,並且僅根據法律要求或出於向該第三方披露的目的或出於向其披露的目的披露或客戶行為; 

c.   業務夥伴不得以本 BAA 規定、隱私權規則允許或法律要求以外的方式使用或揭露 PHI。業務夥伴應在切實可行的範圍內,將 PHI 作為有限的數據集使用或披露,或將 PHI 限制為實現預期使用或披露目的所需的最低限度數量,並根據《高科技法案》第 13405(b) 條(編纂為 42 USC § 17935(b))以及美國與公眾披露的任何規定和公共披露的情況下進行任何規定的情況 PHI 實施該法案。 

d.   根據要求,業務夥伴將向涵蓋實體提供業務夥伴或其任何代理商或分包商所擁有的任何涵蓋實體的 PHI。 

例如 業務夥伴可以使用 PHI 向適當的聯邦和州當局報告違法行為,符合 45 CFR §164.502(j)(1) 的規定。 

3. 防止 PHI 濫用的保障措施業務夥伴將採取適當的保護措施,防止除本協議或本 BAA 規定之外的其他 PHI 的使用或披露,且業務夥伴同意實施管理、物理和技術保護措施,合理且適當地保護其代表涵蓋實體創建、接收、維護或傳輸的電子 PHI 的機密性、完整性和可用性。業務夥伴同意採取合理措施,包括為其員工提供充分的培訓,以確保遵守本 BAA,並確保其員工或代理人的行為或疏忽不會導致業務夥伴違反本 BAA 的條款。 

4. PHI 和安全事件的報告揭露業務夥伴應以書面形式向涵蓋實體報告其所知的任何未在本 BAA 規定的 PHI 使用或揭露行為,且業務夥伴同意向涵蓋實體報告其所知的任何影響涵蓋實體電子 PHI 的安全事件。業務夥伴同意在事件發生後 30 個工作天內通報此類事件。

 5. 報告不安全 PHI 的洩露. 業務夥伴應在發現任何未受保護 PHI 的違規行為後,根據 45 CFR § 164.410 中規定的要求,立即以書面形式通知涵蓋實體,但不得晚於發現違規行為後 30 個日曆日。業務夥伴應補償涵蓋實體因遵守 45 CFR §164 子部分 D 的要求而產生的任何費用,這些費用是業務夥伴的違規行為導致涵蓋實體承擔的。 

6. 緩解 PHI 揭露. 業務夥伴將採取合理措施,在可行的範圍內減輕業務夥伴所知的因業務夥伴或其代理人或分包商違反本 BAA 的要求使用或披露 PHI 而造成的任何有害影響。 

7. 與代理商或分包商的協議。業務夥伴將確保其任何有權存取或業務夥伴向其提供 PHI 的代理商或分包商書面同意本 BAA 中有關 PHI 使用和披露的限制和條件,並同意實施合理且適當的保護措施以保護其代表業務夥伴或透過業務夥伴、涵蓋實體創建、接收、維護或傳輸的任何電子 PHI。業務夥伴應將所有與本協議相關的分包合約和協議通知涵蓋實體或上游業務夥伴,其中分包商或代理商依照本 BAA 第 1.M 節的規定接收 PHI。此類通知應在分包合約簽訂後 30 個日曆日內透過將此類通知發佈在業務夥伴的主網站上進行。業務夥伴應確保所有分包合約和協議提供與本 BAA 相同等級的隱私和安全。 

8. 審計報告應要求,業務夥伴應向涵蓋實體或上游業務夥伴提供其最新的獨立 HIPAA 合規報告 (AT-C 315)、HITRUST 認證或其他雙方認可的基於獨立標準的第三方審計報告的副本。涵蓋實體同意不重新揭露業務夥伴的審計報告。 

9. 個人存取 PHI

一個。   根據要求,業務夥伴同意按照涵蓋實體指定的時間和方式向涵蓋實體提供業務夥伴在指定記錄集中維護的 PHI 副本,以使涵蓋實體能夠響應個人根據 45 CFR §164.524 訪問 PHI 的請求。 

b.   如果任何個人或其個人代表直接向業務夥伴要求存取其個人的 PHI,業務夥伴應在 10 個工作天內將此請求轉發給涵蓋實體。任何個人或其個人代表所要求的 PHI 的揭露或不揭露決定,以及個人取得 PHI 權利的適用要求的遵守,均由涵蓋實體自行承擔。  

10. PHI 的修訂

一個。   根據涵蓋實體的請求和指示,業務夥伴將根據涵蓋實體的指示,按照 45 CFR §164.526 規定的程序,修改 PHI 或指定記錄集中有關個人的記錄。涵蓋實體提出的任何此類資訊修改請求,業務夥伴應在收到請求後的 15 個工作天內完成。 

b.   如果任何個人要求業務夥伴修改其 PHI 或指定記錄集中的記錄,業務夥伴應在 10 個工作天內將此請求轉發給涵蓋實體。任何根據個人要求修改 PHU 或記錄,或決定不修改 PHU 或記錄,以及遵守適用於個人請求修改 PHI 權利的要求,均由涵蓋實體自行負責。 

11. 揭露會計

一個。   業務夥伴應記錄其所做的任何 PHI 揭露,以便根據 45 CFR §164.528(a) 的要求對此類揭露進行說明。業務夥伴還將提供與此類披露相關的信息,以便涵蓋實體根據 45 CFR §164.528 的要求響應披露說明請求。業務夥伴應至少就其所做的任何涵蓋揭露向涵蓋實體提供以下資訊:(i) PHI 揭露日期;(ii) 接收 PHI 的實體或個人的名稱,以及(如果知道)該實體或個人的地址;(iii) 所揭露 PHI 的簡要描述;以及 (iv) 揭露目的的簡要說明,其中包括揭露的依據。 

b.   業務夥伴將在涵蓋實體提出書面請求後的 10 個工作天內,向涵蓋實體提供根據本第 10 條收集的信息,以允許涵蓋實體根據 45 CFR §164.528 的要求對披露進行核算,或者在涵蓋實體選擇向個人提供其業務夥伴披露的情況下,如果個人要求,業務將提供其 ACT 的管理夥伴法規的要求。 

c.   如果個人將初始會計請求直接提交給業務夥伴,業務夥伴將在 10 個工作天內將該請求轉發給涵蓋實體。 

12. 書籍和記錄的可用性. 業務夥伴應根據要求向 HHS 部長提供其與 PHI 的使用和披露相關的內部實踐、書籍、協議、記錄和政策及程序,以確定涵蓋實體和業務夥伴是否遵守 HIPAA 和本 BAA。 

13. 受保實體的責任. 關於業務夥伴對受保護健康資訊的使用和/或揭露,涵蓋實體同意: 

一個。   根據 45 CFR §164.520,在隱私權慣例通知中告知業務夥伴任何限制,因為此類限制可能會影響業務夥伴對 PHI 的使用或揭露。 

b.   如果個人使用或揭露受保護健康資訊的授權發生任何變更或撤銷,則應通知業務夥伴,因為此類變更可能會影響業務夥伴對 PHI 的使用或揭露。 

c.   將涵蓋實體根據 45 CFR §164.522 同意的任何 PHI 使用或揭露限制通知業務夥伴,只要此類限制可能會影響業務夥伴對 PHI 的使用或揭露。 

d.   除業務夥伴的資料聚合或管理和行政活動外,涵蓋實體不得要求業務夥伴以任何根據 HIPAA 不允許的方式使用或揭露 PHI。 

14. 資料所有權. 業務夥伴的資料管理並未賦予業務夥伴根據本協議與其共享的任何資料(包括任何及所有形式的資料)的所有權。 

15. 菲律賓 訪問 美國境外。 涵蓋實體承認並同意,業務夥伴及其關聯公司和分包商可以在履行本協議項下的服務時從美國境外存取 PHI。 

16. 期限和終止

一個。   本 BAA 將於上述首次書寫的日期生效,並將持續有效,直至雙方根據本協議和本 BAA 履行完所有義務為止。 

b.   若涵蓋實體認定業務夥伴違反了本 BAA 中的實質條款,且業務夥伴未能在涵蓋實體發出書面通知後 30 天內糾正該實質性違約行為,且達到涵蓋實體合理滿意的程度,則涵蓋實體可終止本 BAA、本協議及任何其他相關協議。如果終止協議不可行,涵蓋實體可向美國衛生與公眾服務部部長報告此問題。 

c.   如果業務夥伴認定涵蓋實體違反了本 BAA 的實質條款,則業務夥伴應以書面通知涵蓋實體存在違約行為,並給予涵蓋實體 30 天的時間來糾正違約行為。如果涵蓋實體未能在 30 天期限內糾正違約行為,則業務夥伴有權立即終止本協議和本 BAA。業務夥伴可以向美國衛生與公眾服務部 (HHS) 報告該違約行為。 

d.   一旦因任何原因終止本協議或本 BAA,業務夥伴保存的所有 PHI 均應返還給涵蓋實體或由業務夥伴銷毀。業務夥伴不得保留此類資訊的任何副本。本規定適用於業務夥伴的代理商和分包商持有的 PHI。若返還或銷毀 PHI 不可行,業務夥伴經合理判斷後,將以書面通知涵蓋實體導致返還或銷毀不可行的原因。如果雙方一致認為返還或銷毀 PHI 不可行,則只要業務夥伴仍保留此類信息,業務夥伴便會將本 BAA 的保護範圍擴大到此類信息,並將其進一步的使用和披露限制在導致返還或銷毀不可行之目的範圍內。雙方瞭解,本第 14.D 條在本 BAA 終止後仍然有效。

17. BAA的作用

一個。   本 BAA 是本協議的一部分並受本協議條款的約束,但如果本 BAA 的任何條款與本協議的任何條款相衝突,則以本 BAA 的條款為準。 

b.   除非本BA明確規定或法律另有規定,本BAA不會為任何第三方創設任何權利。 

18. 監理參考. 本 BAA 中對 HIPAA 條款的引用是指當時有效的條款或修訂後的條款。 

19. 通知. 依本 BAA 向一方發出的所有通知、請求和要求或其他通訊將透過一級郵件、掛號信、認證信或特快專遞或電子郵件發送至該方的以下地址: 

如果是核保實體,則發送至您在登入使用我們的服務時提供的電子郵件地址。 

如果是業務夥伴,則: [email protected] 

20. A修改和豁免除非經雙方授權代表正式簽署書面文件,否則本 BAA 不得修改,任何條款亦不得放棄或修訂。某一事件的棄權不應被解釋為繼續有效,也不應被解釋為對後續事件的任何權利或救濟的禁止或放棄。 

21. HITECH ACT 合規性雙方承認,HITECH 法案對隱私權規則和安全規則進行了重大修改。 HITECH 法案的隱私權條款規定,這些條款顯著改變了對業務夥伴的要求以及業務夥伴與 HIPAA 下涵蓋實體之間的協議,這些變更可能會在即將出台的法規和指南中進一步明確。各方同意遵守 HITECH 法案的適用條款以及任何與 HITECH 法案相關的 HHS 法規。雙方也同意本著誠信的原則進行協商,以在 HITECH 法案及其法規生效後合理必要地修改本 BAA,但如果雙方無法就此類修改達成一致,任何一方均有權提前 30 天以書面形式通知另一方終止本 BAA。