业务合作伙伴协议审查清单

2026年2月24日

在审查商业伙伴协议（BAA）清单时，关键很简单：如果文件无法显示权限、版本、证据、阈值、截止日期和负责人，最终的法律或商业决定就更难信任。将相关文件上传到 Caira，并把它们变成可审查的清单。
打开 Caira

先从文件要支持的决定开始。然后在结论定型前建立证据索引。把缺失信息、商业决定、法律假设和归档机制分开。起始阶段就保留日期、文件版本和指定负责人。

锚定文件的官方数据点

用这些有来源支撑的检查，让页面更实用，而不是空泛。

商业伙伴协议审查清单之所以重要，是因为风险通常不是少了一段文字，而是缺乏可追溯性。你需要把 BAA 变成一个可操作的健康数据控制文件，同时把来源权限、有效文件、审批机制、证据归属和未决假设分开。

目标不是用摘要取代来源文件。目标是让记录更易检查：请求了什么，哪条规则或合同条款控制它，批准了什么，哪些证据支持它，缺少什么，什么已升级处理，以及什么仍需负责决定。

场景 1. 一家医疗供应商发现，访问控制错误泄露了 4,320 名患者的记录。受监管实体想迅速确认 PHI 范围和通知时点。供应商则想避免在取证未完成前夸大事件。

场景 2. 一家医院系统收到一份只有两段细节的供应商泄露通知。隐私官在决定是否需要患者、媒体或监管机构通知前，需要受影响数据字段、缓解步骤、分包商参与情况和截止日期假设。

这个问题通常会以实际方式出现。医疗供应商需要梳理 PHI 使用、保障措施、分包商和泄露通知。服务协议常常允许比 BAA 更宽的数据使用。

它也会在后续制造审查阻力。分包商传递条款常是缺失的证据点。终止条款需要返还、销毁或保留的证明。

先找出控制该问题的权限或记录，然后核对眼前的实际文件。若州、机构、法院或县级规则不同，请把适用该司法辖区的权限与已审查文件放在一起。

在本页中，权限核查应始终与实际文件绑定。HHS 商业伙伴指引和 HIPAA 泄露通知规则支持这一流程。BAA 文件应标明受监管实体、商业伙伴、服务、PHI 范围、允许用途、保障承诺和下游分包商控制。

用它作为紧凑的审查表。它能把法律来源、工作文件和最终处理结果放在同一视线内。

检查项	需确认内容
权限	在起草前确认适用的法规、规则、表格、机构指引、法院记录、县级规则或合同条款。
版本	锁定文件草稿、附件集、来源页或 PDF、审查日期以及签署人或归档状态。
问题类型	将每个要点标记为审批、归档、通知、交割条件、保密、截止日期、金钱风险、控制失效或整改。
证据质量	区分原始文件、摘要、截图、管理层说明、审查笔记和未决假设。
处理结果	记录负责人、权限引用、文件引证、拟采取行动、最终决定和关闭日期。