Zoom 符合 HIPAA 吗?医疗团队必须了解的关键信息
全面解析哪些 Zoom 套餐满足 HIPAA 要求、需要开启哪些设置,以及合规性方面存在哪些缺口。
本文为独立指南,与 Zoom Communications, Inc. 无关联或背书关系。
合规负责人刚刚标记了团队在 Zoom 上进行的治疗会话,患者提出了投诉。你需要尽快找到答案:Zoom 符合 HIPAA 吗?周一之前需要做出哪些调整?
简短的回答是:可以符合,但前提是选择正确的套餐、签署 Business Associate Agreement(BAA),并正确配置大约十二项设置。免费套餐和大多数默认配置不符合要求。
本指南将详细介绍哪些 Zoom 套餐支持 HIPAA 合规(截至 2026 年 3 月)、BAA 涵盖哪些内容、如何锁定安全设置,以及 Zoom 的不足之处。你还会找到一份可以交给 IT 团队的检查清单,以及医疗管理者最常问的问题的解答。
本文仅供参考,不构成法律或医疗建议。请咨询合格的 HIPAA 合规专家,获取适合你所在机构的具体指导。
什么是 HIPAA?
HIPAA(Health Insurance Portability and Accountability Act)是美国于 1996 年颁布的联邦法律,制定了保护患者敏感健康信息的国家标准。它要求医疗服务提供者、保险公司及其商业合作伙伴实施物理、技术和管理保障措施来保护受保护的健康信息(PHI)。违规罚款从每次事件 141 美元到 2,134,831 美元不等(2026 年调整后金额)。
Zoom 符合 HIPAA 吗?
Zoom 可以符合 HIPAA,但默认情况下并不符合。任何视频会议工具都不会默认合规。HIPAA 合规不是一个可以打开的功能开关,而是正确的软件套餐、已签署的法律协议、正确的配置和组织政策的综合结果。
具体来说,如果上周刚下载了 Zoom 并使用免费套餐开展远程医疗会话,那么你不符合 HIPAA。即使使用付费套餐,在与 Zoom 签署 BAA 并调整账户设置之前,也不算合规。
举个例子:Rivera 医生经营着一家小型心理健康诊所,有四名治疗师。他们使用 Zoom Basic 两年,认为加密就够了。合规审计后发现,没有 BAA 的情况下,每次录制的会话都可能构成 HIPAA 违规。修复花了三天,压力却持续了数月。
截至 2026 年 3 月,Zoom 通过 Zoom for Healthcare 在特定付费套餐上提供 HIPAA 合规配置。Zoom 为符合条件的账户签署 BAA,在协议条款范围内涵盖 Zoom Meetings、Zoom Phone、Zoom Team Chat 和 Zoom Rooms。
哪些 Zoom 套餐支持 HIPAA 合规?
并非所有 Zoom 套餐都符合 BAA 条件。截至 2026 年 3 月,Zoom 在以下套餐上提供 HIPAA 合规配置:
- Zoom Workplace Pro(付费)+ 医疗附加模块
- Zoom Workplace Business 及以上
- Zoom Workplace Enterprise(包含专用医疗功能)
- Zoom for Healthcare(专为医疗行业打造,含 EHR 集成)
免费的 Zoom Basic 套餐不符合 BAA 条件。没有医疗附加模块的个人 Pro 账户也不符合。
| 套餐 | BAA 可用 | 医疗功能 | 起始价格(每用户/月) |
|---|---|---|---|
| Zoom Basic(免费) | 否 | 无 | $0 |
| Zoom Workplace Pro | 需附加模块 | 有限 | 查看 zoom.us/pricing |
| Zoom Workplace Business | 是 | 标准 | 查看 zoom.us/pricing |
| Zoom Workplace Enterprise | 是 | 完整 | 定制价格 |
| Zoom for Healthcare | 是 | EHR 集成、候诊室、分析 | 定制价格 |
套餐名称、BAA 资格和价格经常变动。在做出合规决策前,请访问 zoom.us/pricing 或联系 Zoom 销售团队确认当前选项。
套餐之间的关键区别不仅仅是 BAA。更高级的套餐包含医疗机构真正需要的功能:带有诊所名称的自定义候诊室、与 Epic 和 Cerner 等 EHR 系统的集成,以及管理录制权限的精细管理控制。
如果你正在对比各种选择,我们的 Microsoft Teams 替代方案 指南介绍了其他平台如何处理合规性。
What Is Flat.social?
A virtual space where you move, talk, and meet — not just stare at a grid of faces
Walk closer to hear someone, step away to leave the conversation
什么是 BAA?为什么重要?
Business Associate Agreement(BAA)是医疗服务提供者(或其他受规范实体)与处理受保护健康信息的供应商之间具有法律约束力的合同。根据 HIPAA,你必须与每个可能访问、存储或传输 PHI 的第三方服务签署 BAA。
没有 BAA,无论 Zoom 的加密多么安全,你都在违反 HIPAA。
Zoom 的 BAA 在正确配置后涵盖以下产品:
- Zoom Meetings(视频和音频)
- Zoom Phone
- Zoom Team Chat
- Zoom Rooms
- Zoom Webinars(有限制)
- 云端录制(在 BAA 条款下启用时)
Zoom 标准 BAA 不涵盖的产品:
- Zoom Apps(第三方市场应用)
- Zoom Whiteboard(请向 Zoom 确认当前状态)
- Zoom Mail 和 Calendar
- 免费套餐的任何功能
向 Zoom 申请 BAA 通常需要:
- 拥有符合条件的付费套餐(Business 或更高,或带医疗附加模块的 Pro)
- 联系 Zoom 销售团队或客户代表
- 审阅并签署 BAA 文件
- 按照 Zoom 的 HIPAA 实施指南配置账户
标准套餐的 BAA 签署流程通常需要 1 到 5 个工作日。Enterprise 账户可以协商自定义 BAA 条款,可能需要 2 到 4 周。
可以把 BAA 想象成安全带。车(Zoom)可能很安全,但没有安全带(BAA),遇到事故(审计或数据泄露)时仍然面临风险。
如何使 Zoom 符合 HIPAA:配置检查清单
签署 BAA 是第一步,第二步是配置 Zoom 账户,使其真正满足 HIPAA 要求。Zoom 向 BAA 签署方提供 HIPAA 实施指南,以下是 IT 团队需要处理的关键设置。
加密设置
- 对包含 PHI 的会议启用端到端加密(E2EE)。Zoom 提供 E2EE 选项,但默认未开启。注意:E2EE 会禁用部分功能,如云端录制、分组讨论室和实时转录。
- 如果使用会议室硬件,要求第三方端点(H.323/SIP)加密。
- 启用 AES 256 位 GCM 加密(自 2020 年起所有 Zoom 会议默认启用)。
会议安全
- 启用候诊室,防止患者进入其他患者的会话。
- 为每次会话要求会议密码。
- 禁用"主持人之前加入",防止患者进入无人监管的房间。
- 所有预期参与者加入后锁定会议。
- 禁用聊天中的文件传输(防止通过聊天意外共享 PHI)。
- 默认禁用云端录制,仅在临床需要且患者已同意时启用。
账户管理
- 将屏幕共享限制为仅主持人(防止患者意外共享屏幕)。
- 除非 BAA 明确涵盖,否则禁用涉及 PHI 会议的 Zoom AI Companion 功能。
- 除非必要且已获同意,否则关闭会议转录。
- 使用托管域名,确保只有授权邮箱才能访问 Zoom 组织。
- 为所有用户账户启用双因素认证(2FA)。
- 为不活跃账户设置自动会话超时。
录制与存储
- 如果必须使用云端录制,请确保 BAA 明确涵盖,并将访问权限限制为授权人员。
- 本地录制将数据保存在自有基础设施上,但需要自行加密和访问控制。
- 不再有临床需要时删除录制内容(设置保留策略)。
需要安全设置虚拟会议帮助的机构,可以参阅我们单独的分步指南。
Zoom 在远程医疗和心理治疗方面符合 HIPAA 吗?
这是医疗服务提供者最常问的问题,答案需要区分讨论。
就远程医疗整体而言,Zoom 的 HIPAA 合规套餐表现良好。平台支持一对一视频咨询、团体治疗会话,甚至远程患者监测。截至 2026 年 3 月,Zoom for Healthcare 包含专为远程医疗设计的功能:虚拟候诊室、与 Epic 和 Cerner 的 EHR 集成,以及临床工作流程工具。
对于心理治疗和行为健康,需要额外谨慎。治疗师处理的是特别敏感的 PHI(药物滥用记录、心理健康诊断、会话笔记)。请考虑以下额外步骤:
- 在治疗会话期间切勿使用 Zoom 的 AI Companion 或转录功能。即使 BAA 涵盖,自动转录治疗内容也会产生不必要的风险。
- 除非患者提供书面同意且所在州法律允许,否则禁用所有录制。
- 使用候诊室功能,使团体会话的患者在主持人允许进入之前无法看到彼此。
- 培训员工在会话期间的 Zoom 聊天中哪些内容可以说、哪些不能说(聊天记录可能会被存储)。
某团体治疗诊所同时开展四场晚间会话。如果候诊室配置不当,焦虑小组的患者 A 可能误入药物滥用会话。屏幕上可见的患者姓名构成 HIPAA 违规。正确的候诊室和密码设置可以完全防止这种情况。
**COVID 时期的 HIPAA 豁免怎么了?**2020 年至 2023 年间,美国卫生与公众服务部(HHS)对使用消费级视频工具的远程医疗提供者给予了执法裁量权。这些豁免已到期。截至 2026 年 3 月,标准 HIPAA 执法规则全面适用。在没有 BAA 的情况下使用 Zoom 进行远程医疗属于违规行为。
如果你想了解如何为团体治疗创建分组讨论室,我们的指南详细介绍了设置流程。
与 Google Meet 和 Microsoft Teams 相比,Zoom 的 HIPAA 合规性如何?
医疗领域的决策者经常将 Zoom 与 Google Meet 和 Microsoft Teams 进行比较。以下是 2026 年 3 月各平台在 HIPAA 合规方面的对比:
Zoom 提供专门针对医疗行业的产品线。BAA 涵盖 Meetings、Phone、Chat 和 Rooms。Zoom for Healthcare 套餐包含 EHR 集成和临床工作流程工具。Zoom 的优势在于远程医疗专用功能以及大多数患者已经熟悉其使用方式。
Google Meet(通过 Google Workspace)可以符合 HIPAA。Google 为 Workspace Business、Enterprise 和 Education Plus 套餐签署 BAA。BAA 涵盖 Meet、Gmail、Drive、Calendar 等核心 Workspace 应用。Google Meet 缺少 Zoom 的医疗专用功能(无 EHR 集成、无临床候诊室),但如果你的组织已经使用 Google Workspace,集成效果不错。
Microsoft Teams(通过 Microsoft 365)也支持 HIPAA 合规。Microsoft 为 Business、Enterprise 和 Education 套餐签署 BAA。Teams 与 Microsoft 的医疗工具深度集成,包括 Microsoft Cloud for Healthcare 平台和 Azure Health Data Services。对于已经深入 Microsoft 生态系统的组织最为适合。
| 功能 | Zoom for Healthcare | Google Meet (Workspace) | Microsoft Teams (365) |
|---|---|---|---|
| BAA 可用 | 是 | 是 | 是 |
| E2EE 可用 | 是 | 是 | 是 |
| EHR 集成 | Epic、Cerner 等 | 有限 | Epic、Cerner(通过 Cloud for Healthcare) |
| 专用医疗套餐 | 是 | 否 | 是(Cloud for Healthcare) |
| 患者熟悉度 | 高 | 中 | 中 |
| AI 功能(BAA 覆盖) | 部分 | 部分 | 部分 |
三个平台都可以符合 HIPAA。选择取决于现有基础设施、预算和使用的 EHR 系统。
对于探索传统视频通话以外替代方案的团队,可以查看提供不同虚拟协作方式的在线会议平台。
不合规使用 Zoom 会有什么后果?
在没有适当合规措施的情况下使用 Zoom(或任何视频工具)处理 PHI,不仅是政策问题,还会带来实际的财务和法律后果。
HIPAA 处罚根据过失程度分为四个等级:
| 等级 | 违规类型 | 每次违规罚款 | 年度上限 |
|---|---|---|---|
| 1 | 不知情(合理注意义务) | $141 – $71,162 | $2,134,831 |
| 2 | 合理原因(非故意疏忽) | $1,424 – $71,162 | $2,134,831 |
| 3 | 故意疏忽,30 天内纠正 | $14,232 – $71,162 | $2,134,831 |
| 4 | 故意疏忽,未纠正 | $71,162 | $2,134,831 |
罚款金额为 2026 年通胀调整后数据。来源:HHS Office for Civil Rights。
除罚款外,HIPAA 违规还可能引发:
- 州检察长调查(许多州有自己的健康隐私法律和单独处罚)
- 患者诉讼(过失或违反保密义务)
- 个人执业者执照吊销
- 声誉损害(导致患者流失)
- 强制违规通知(通知每位受影响患者、HHS,以及涉及 500 条以上记录时通知当地媒体)
与 Zoom 相关的最常见 HIPAA 违规不是惊天黑客攻击,而是日常失误:治疗师在没有 BAA 的情况下使用 Zoom Basic、诊所从未禁用云端录制、管理员分享了包含患者姓名的会议链接。每一种情况都是需要报告的事件。
关于如何以适当的安全实践开展更好的虚拟会议,请参阅我们的提升在线会议参与度指南。
Zoom 与 HIPAA 常见问题
Zoom 与 HIPAA:关键要点
Zoom 在正确设置后可以符合 HIPAA。以下是本周需要完成的事项:
- **确认套餐。**你需要 Zoom Workplace Business 或更高版本,或带医疗附加模块的 Zoom Pro。免费套餐不符合条件。
- **签署 BAA。**联系 Zoom 销售团队。在 BAA 签署完成之前,不要安排下一次患者会话。
- **执行配置检查清单。**启用候诊室、要求密码、为 PHI 会话启用 E2EE、禁用 AI 功能、限制录制。
- **培训员工。**HIPAA 合规在人为层面的失败远多于技术层面。每位使用 Zoom 的临床医生和管理人员都需要了解哪些行为是允许的、哪些是不允许的。
- **记录一切。**将 BAA、配置截图、培训记录和事件响应计划集中保存。审计人员会要求查看。
Zoom 在正确配置后,是远程医疗和医疗沟通的可靠选择。患者的熟悉度、EHR 集成和医疗专用功能使其成为市场上最具竞争力的选项之一。但合规责任在于你,而非 Zoom。
对于全员会议、社交活动或交流等非临床团队聚会,Flat.social 提供空间音频体验,参与者可以自由走动、自然交谈。
Zoom 是 Zoom Communications, Inc. 的商标。HIPAA 是美国联邦法律。本网站与 Zoom Communications, Inc. 无关联、背书或赞助关系。