2Slides Team
6 min read
GDPR 與 HIPAA 合規的 AI 簡報工具(2026 指南)
對於醫療保健機構與歐盟組織而言,符合特定合規標準的 AI 簡報工具數量有限。針對 HIPAA(美國醫療保健法規,需簽署商業夥伴協議):截至 2026 年 4 月,Microsoft 365 Copilot 是唯一提供正式 BAA 文件的主流選項;Canva 在企業級方案中可應要求提供 BAA;Google Gemini for Workspace 為執行 Google BAA 的 Workspace Business/Enterprise 客戶提供符合 HIPAA 資格的部署方案。針對 GDPR(歐盟資料處理法規):Microsoft 與 Google 提供歐盟資料邊界/歐盟儲存區域選項;Beautiful.ai、Gamma、Canva 及 Plus AI 發布符合 GDPR 的 DPA(含標準契約條款),但並非全部保證僅在歐盟處理資料——多數仍在美國託管資料。常見的採購錯誤:「支援」GDPR 的 AI 簡報工具與保證歐盟資料駐留的工具並不相同。本指南附引用來源,詳細列出每個主流工具的實際合規狀態,並說明各項法規的實際適用時機。
本指南總結截至 2026 年 4 月的公開合規文件;具體部署決策請諮詢您的合規顧問。我們不列出供應商未書面承諾的合規聲明。
HIPAA:BAA 閘門
HIPAA(健康保險流通與責任法案)規範美國組織如何處理受保護健康資訊(PHI)。如果您的簡報可能包含患者姓名、病歷號碼、診斷、影像,或 18 項 HIPAA 識別資訊中的任何一項——即使只是在註腳或附錄中——您就是在處理 PHI。
若要使用雲端服務處理 PHI,供應商必須與您的組織簽署業務夥伴協議(BAA)。BAA 是根據 45 CFR §164.504(e) 制定的特定合約,規定供應商有義務保護 PHI、報告資料外洩並限制使用。沒有 BAA,任何上傳到該工具的 PHI 都構成 HIPAA 違規——無論該工具在技術上有多安全。
誰公開提供 AI 簡報功能的 BAA?
Microsoft 365 Copilot 涵蓋在 Microsoft 的標準 BAA 下,該 BAA 透過 Microsoft 線上服務資料保護增補條款提供給屬於 HIPAA 涵蓋實體或業務夥伴的客戶。BAA 可透過 Service Trust Portal 取得。Microsoft 365 Copilot Enterprise 被列為適用範圍內的服務。客戶資料不會用於訓練底層模型。Microsoft Copilot for Security 也明確涵蓋在內。
Google Gemini for Workspace 自 2025 年 9 月 30 日起符合 HIPAA 資格。Gemini 應用程式和 Gemini in Workspace——包括「幫我寫」、情境式智慧回覆和驅動 Google Slides AI 生成的側邊面板功能——現在都是 Google Workspace 的 HIPAA 業務夥伴增補條款下的功能。您必須簽署 Google 的 BAA 並透過 Google Workspace Business 或 Enterprise 部署;消費者版 Gemini 產品明確不符合 HIPAA 資格。
Canva 在企業級方案中應要求提供 BAA,但僅限特定配置。Canva 擁有 SOC 2 Type II 和 ISO 27001 認證,且 Canva Enterprise 不使用團隊內容來訓練 AI。然而,預設的 Canva 產品——包括免費版、Pro 和 Teams 方案——不符合 HIPAA 規範。在上傳 PHI 之前,請先向 Canva 的企業銷售團隊確認 BAA 涵蓋範圍。
其他所有供應商——Gamma、Beautiful.ai、Plus AI、Tome、Pitch——截至 2026 年 4 月,都沒有公開記錄 AI 簡報工作流程的 BAA。這意味著無論它們有何種其他安全認證,都不得用於處理 PHI。
**重點提示:**如果您的簡報涉及 PHI,候選名單只有 Microsoft 365 Copilot、Google Gemini for Workspace(需簽署 BAA)和 Canva Enterprise(應要求提供 BAA)。其他所有選項都存在合規風險。
GDPR:資料處理與資料駐留
GDPR 適用於任何處理歐盟或英國資料當事人個人資料的情況。對於簡報工具而言,這包括您上傳的投影片內容(若其中包含個人資料)、關於誰建立了簡報的後設資料,以及工具使用情況的遙測資料。
供應商的 GDPR 合規性有兩個不同層面,買家經常將其混淆:
1. 符合 GDPR 的資料處理附錄(DPA)。 這是您(控制者)與供應商(處理者)之間的法律合約。它必須包括國際傳輸的標準合約條款(SCC)、次級處理者清單、處理活動記錄,以及技術和組織措施(TOM)。大多數企業級 SaaS 供應商都會發布 DPA。
2. 歐盟資料駐留。 這是一項技術承諾,確保資料永遠不會離開歐盟基礎設施進行儲存或處理。極少數 AI 簡報供應商提供此選項,因為底層的大型語言模型(LLM)通常託管於美國。
供應商可以擁有優秀的 DPA 和 SCC,但仍在美國處理您的資料。如果有 SCC 和補充措施,這種傳輸在 GDPR 下是合法的——但對於公共部門買家、對 Schrems II 判決敏感的產業,或要求僅在歐盟處理的內部政策組織而言,這可能會被取消資格。
提供真正歐盟資料駐留選項的工具
Microsoft 365 Copilot 是歐盟資料邊界服務。靜態的客戶資料持續駐留在歐盟資料邊界內。然而,Microsoft 自 2026 年 4 月 17 日起為所有歐盟/EFTA 租戶啟用了「彈性路由」,允許 Copilot LLM 推論在需求高峰期於歐盟資料邊界之外進行。靜態資料保留在歐盟;即時推論可能不會。需要嚴格僅在歐盟處理的組織必須明確停用彈性路由。此外,透過 Microsoft 路由的 Anthropic 模型不在歐盟資料邊界的範圍內。
Google Gemini for Workspace 支援 Business Plus 及以上版本的 Workspace 客戶使用資料區域功能,允許涵蓋的資料儲存在歐盟區域。應根據您所在區域當前的 Google Workspace HIPAA/DPA 文件驗證即時 Gemini 推論行為。
其他所有主要的 AI 簡報工具在 2026 年 4 月預設都在美國處理和儲存資料。這包括 Gamma、Beautiful.ai、Canva(資料儲存於美國,並使用 SCC 進行傳輸)、Plus AI 和 Tome。
合規性工具對照矩陣
| 工具 | HIPAA BAA | 歐盟數據駐留 | GDPR DPA | SCCs | 次處理者透明度 | 預設數據保留期限 | 訓練退出選項 |
|---|---|---|---|---|---|---|---|
| Microsoft 365 Copilot (Enterprise) | 是,透過 Microsoft Online Services DPA | 歐盟數據在靜態時保留於邊界內;Flex Routing 可能將推理移至歐盟外 | 是 | 是 (2021/914) | 是,已公布 | 依租戶政策 | 是,預設不用於訓練 |
| Google Gemini for Workspace (Business/Enterprise) | 是,自 2025 年 9 月 30 日起提供 BAA | 提供歐盟數據區域 (Business Plus+) | 是 | 是 | 是,已公布 | 依 Workspace 政策 | 是,預設不用於訓練 |
| Canva Enterprise | 可申請,僅限企業方案 | 未公開說明(託管於美國) | 是 | 是 (2021/914, Module 2) | 是,於 DPA 中公布 | 未公開說明 | 是(僅限 Teams/Enterprise) |
| Gamma | 未公開說明 | 否(託管於美國) | 是 | 是 | 是,已公布 | 未公開說明 | 僅限企業方案 |
| Beautiful.ai | 未公開說明 | 否(託管於美國) | 是(聲稱已取得 GDPR 認證) | 是 | 可申請 | AI 處理數據最長 30 天 | 是,不用於訓練公開 LLMs |
| Plus AI | 未公開說明 | 未公開說明 | 是 | 未公開說明 | 未公開說明 | 未公開說明 | 企業方案 |
| Tome | 未公開說明 | 未公開說明 | 是 | 未公開說明 | 未公開說明 | 未公開說明 | 未公開說明 |
| Pitch | 未公開說明 | 總部位於德國;歐盟數據駐留可能性高 | 是 | 是 | 是 | 未公開說明 | 未公開說明 |
「未公開說明」表示截至我們 2026 年 4 月的研究,供應商未以書面形式公開承諾該特定控制措施。請勿將缺乏聲明視為合規或不合規——這是採購過程中應提出的問題。
針對醫療保健產業(美國):您實際上應該使用什麼?
推薦工具
對於任何可能在投影片、AI 提示或資料連接視覺化中出現 PHI(受保護健康資訊)的工作流程:
-
Microsoft 365 Copilot(企業版 E3/E5 搭配 Copilot 授權)。 最成熟的選項,具備 BAA(商業夥伴協議)支援的 PowerPoint 生成功能、Teams 整合及租戶層級控制。客戶資料不會用於訓練基礎模型。
-
Google Workspace 商業版/企業版搭配 Gemini。 自 2025 年 9 月起符合 HIPAA 資格。一旦執行 HIPAA BAA,Google Slides 與 Gemini 的「協助我建立」及側面板功能即受保障。需在管理控制台明確接受 BAA。
-
Canva 企業版並簽署 BAA。 若已執行 BAA 且配置鎖定於企業層級,可用於行銷和病患教育材料。不建議用於臨床簡報或營運儀表板。
工作流程注意事項
- 盡可能去識別化。 HIPAA 安全港去識別化標準(45 CFR §164.514(b)(2))可完全免除 HIPAA 規範。如果您的投影片能顯示彙總數據或去識別化案例摘要,這是風險較低的路徑。
- 配置租戶層級的訓練退出選項。 即使有 BAA,也需驗證管理控制台設定,確保不會對租戶資料進行任何微調或個人化處理。
- 稽核員工使用消費級 AI 工具的情況。 2024-2025 年 HIPAA 違規的頭號源頭是臨床醫師將筆記貼入消費級 ChatGPT 或 Gemini 進行摘要。部署具備 BAA 的企業工具,並在防火牆封鎖消費級版本。
- 驗證日誌記錄功能。 HIPAA §164.312(b)要求稽核控制。確認您的租戶能以合規計畫要求的層級記錄 AI 互動。
針對臨床和營運簡報工作流程的具體說明,請參閱我們的配套文章:醫療保健和醫學投影片的 AI 簡報。
歐盟 / GDPR:部署選項
歐盟組織面臨分層決策樹:
如果您需要僅限歐盟處理(最嚴格標準)
- Microsoft 365 Copilot 並停用 Flex Routing。 這是最接近大規模僅限歐盟 AI 簡報選項的方案。您必須在 2026 年 4 月截止日期前,於 Microsoft 365 管理中心明確選擇退出 Flex Routing,並接受某些 Copilot 功能在尖峰需求期間可能降級。
- Google Workspace 搭配歐盟資料區域。 Business Plus 及以上方案允許配置歐盟資料區域。請驗證您依賴的特定 Gemini 功能是否包含在您的區域範圍內。
- 自主託管或歐盟原生替代方案。 對於最高保證要求的案例(例如歐洲公共部門),請考慮歐盟託管的生成管道或本地端 PowerPoint 生成。2Slides 提供企業部署,可配置資料處理區域。
如果您需要附帶標準合約條款(SCC)的資料處理協議(DPA)(大多數企業案例)
幾乎每個主要 AI 簡報供應商 — Gamma、Beautiful.ai、Canva、Plus AI、Pitch — 都發布符合 GDPR 的 DPA 並附帶 SCC。從法律角度來看,如果傳輸影響評估(TIA)支持,這對於大多數 GDPR 義務來說已經足夠。請審查供應商的次處理者清單、保留預設值和歐盟-美國資料隱私框架狀態,並記錄您的 TIA。
如果您的風險承受度允許附帶保障措施的美國處理
任何發布 DPA 的主要工具都可行。實際風險在於聲譽(美國處理者使合規稽核更加複雜)和技術(次處理者可能變更,供應鏈不透明)。監控次處理者變更通知並建立應變計畫。
要點: GDPR 合規是一個範圍,而非二元選擇。正確的工具取決於您的組織是否要求歐盟駐留、接受附帶 SCC 的美國傳輸,或有更嚴格的主權要求(例如德國 BSI、法國 SecNumCloud 或歐盟 Schrems II 補充措施)。
法律和金融服務的相關法規
法律(美國和英國)
處理客戶資料的律師事務所面臨律師-客戶特權義務和州律師公會道德規範(在美國,ABA Model Rule 1.6 關於保密性)。這些並非 SOC 2 意義上的「合規框架」,但實際上需要相同的控制措施:不得使用客戶資料進行訓練、租戶隔離、審計日誌,以及供應商合約中的保密條款。Microsoft 365 Copilot 和 Google Gemini for Workspace 是主流的安全選擇。對於訴訟和面向客戶的簡報,請參閱我們的指南:法律團隊的 AI 簡報:案情摘要和客戶提案
金融服務
GLBA(Gramm-Leach-Bliley Act,金融服務現代化法案)規範美國金融機構的非公開個人資訊(NPI)。FINRA 規則適用於經紀商-交易商的通訊。SOX(Sarbanes-Oxley Act,沙賓法案)影響上市公司財務報告。PCI-DSS 涵蓋持卡人資料。
這些法規都沒有直接對應 HIPAA 的 BAA 模式,但都需要類似的控制措施:資料處理協議、次級處理者透明度、保留期限限制和審計軌跡。Microsoft 365 Copilot 已獲得美國政府客戶的 FedRAMP High 授權,這是金融服務嚴格性的有力證明。Google Workspace 同樣擁有 FedRAMP High 認證。
教育(FERPA)
FERPA 規範接受聯邦資助的美國學校的學生教育記錄。與 HIPAA 不同,FERPA 不使用 BAA 機制;它使用「學校官員」例外條款和與供應商的書面協議。Microsoft 和 Google 都為其教育版 SKU 發布了專門的 FERPA 條款。在工具選擇方面,將 FERPA 視為與 HIPAA 類似的要求 —— 堅持使用 Microsoft 365 Education、Google Workspace for Education,或具備適當條款的 Canva for Education。
常見的合規陷阱
1. 假設「企業版」就等於「符合 HIPAA 規範」。 Canva Enterprise 並非自動納入 BAA 保障——您必須主動申請。Beautiful.ai、Gamma 和 Plus AI 的企業方案根本沒有公開提供 BAA。企業版方案會提升安全控制;但並不會自動承擔 HIPAA 責任。
2. 將符合 GDPR 的 DPA 與歐盟資料駐留混為一談。 每個主要 SaaS 供應商都有 GDPR DPA。但只有少數真正在歐盟儲存和處理資料。請詢問具體問題:「我的資料處理——包括即時 LLM 推論——是否完全在歐盟境內進行?」
3. 忽略子處理商擴散問題。 一個 AI 簡報工具可能使用 OpenAI 處理文字、Anthropic 進行推理、ElevenLabs 生成語音,以及 Cloudflare 提供 CDN。每個都是子處理商,各自有自己的資料政策,而且任何一個都可能變更條款。請審查已發布的子處理商清單並訂閱變更通知。
4. 忘記訓練資料的預設設定。 供應商的 DPA 可能聲明「我們不使用客戶資料進行訓練」——但請確認這適用於您使用的特定 AI 功能,而不僅是基礎產品。Beautiful.ai 會保留 AI 處理的資料 30 天;Gamma 企業版提供訓練退出選項,但預設的消費者方案則沒有。
5. 將消費者 AI 工具用於企業工作。 ChatGPT Free 和 Google Gemini(消費者版)永遠不會被 BAA 或企業 DPA 涵蓋。請透過防火牆或 DLP 政策封鎖它們,並提供經認可的企業替代方案。
6. 假設 Microsoft Copilot 的 BAA 涵蓋所有 Copilot 產品。 Microsoft 365 Copilot(在 Word、Excel、PowerPoint 中)有 BAA。但獨立的 Copilot 體驗、Copilot Studio 代理程式和 Copilot Pro(消費者版)有不同的涵蓋範圍。請在 Microsoft Service Trust Portal 中驗證特定的 SKU 和服務名稱。
常見問題
ChatGPT 是否符合 HIPAA 規範來製作簡報?
OpenAI 僅針對 ChatGPT Enterprise 和使用零保留端點的 OpenAI API 提供 BAA(業務夥伴協議)——不包括 ChatGPT Plus 或 ChatGPT Free。如果您使用 ChatGPT 起草投影片內容,您必須使用已簽訂 BAA 的 ChatGPT Enterprise,並且投影片必須在符合 HIPAA 規範的下游工具中呈現。請勿將 PHI(受保護健康資訊)貼入 ChatGPT Free。
使用 Gemini 的 Google Slides 是否符合 HIPAA 規範?
是的,截至 2025 年 9 月 30 日,如果您使用 Google Workspace Business 或 Enterprise 版本,已簽訂 Google 的 BAA,並透過 Workspace 側邊欄或 Google Slides 整合使用 Gemini 功能。消費者版 Gemini 應用程式不在承保範圍內。
如果我有 BAA,可以使用 Canva Pro 處理病患資料嗎?
不可以。Canva 的 BAA 僅適用於 Enterprise 層級,不包括 Pro 版。Canva Pro 缺乏 HIPAA 所需的租戶級別控制,且 BAA 不涵蓋該版本。
SOC 2 Type II 認證是否代表工具符合 HIPAA 規範?
不是。SOC 2 是一個安全稽核框架。HIPAA 要求特定的合約義務(BAA)和特定的控制措施(§164.308、§164.312)。即使工具獲得 SOC 2 認證,如果供應商不願簽署 BAA,仍然不符合 HIPAA 規範。
如果我不小心將 PHI 上傳到不符合 HIPAA 規範的 AI 工具,會發生什麼事?
根據 HIPAA §164.402(違規通知規則),這是需要報告的事件,具體取決於風險評估。您應該有書面的事件應變流程。請聯繫您的 HIPAA 隱私官,如適用,還應聯繫法律顧問。實際的緩解措施是部署 DLP(資料外洩防護)工具,從一開始就防止 PHI 被貼入未經授權的 AI 工具。
總結
AI 簡報工具市場已經成熟到讓重視合規的組織終於有了真正的選擇——但入選名單遠比行銷頁面所暗示的要窄得多。對於 2026 年 4 月的 HIPAA:Microsoft 365 Copilot、Google Gemini for Workspace 和 Canva Enterprise(附帶簽署的 BAA)是唯一具有明確路徑的主流工具。對於具有真正歐盟居留權的 GDPR:停用 Flex Routing 的 Microsoft 365 Copilot 和具有歐盟資料區域的 Google Workspace 是最明確的選項。其他所有工具——包括一些最受歡迎的 AI 簡報生成器——都在 SCCs 下於美國處理資料,這是合法的,但與主權並不相同。
合規買家的工作是提出精確的問題。「你們支援 HIPAA 嗎?」得到的是行銷答案。「你們會簽署我們的 BAA,涵蓋我們將使用的特定 AI 功能,以及 Service Trust Portal 範圍內包含哪些服務?」得到的是合約答案。同樣適用於 GDPR:「你們支援 GDPR 嗎?」與「我的資料實際儲存在哪裡,即時推論在哪裡進行?」不是同一個問題。提出精確的問題,獲得精確的答案,並記錄兩者。若要更廣泛地了解企業級 AI 簡報工具,請參閱我們的 2026 年企業 AI 簡報工具比較。
對於重視合規的部署——聯繫 2Slides 了解我們的企業級方案,包含不訓練承諾和資料駐留選項。
來源:
- Microsoft 365 Copilot HIPAA/BAA 涵蓋範圍 — Microsoft Learn
- Microsoft Copilot for Security HIPAA BAA 公告 — Microsoft Tech Community
- Microsoft 365 Copilot 歐盟資料邊界與 Flex Routing — Office365 IT Pros
- Google Workspace HIPAA 包含功能(Gemini)— Google
- Google Workspace 符合 HIPAA 嗎?— HIPAA Journal
- Canva 資料處理附錄
- Canva 信任中心 — 隱私
- Canva HIPAA 分析 — Paubox
- Gamma 資料處理附錄
- Beautiful.ai 安全性與隱私
- Microsoft 國內資料處理公告(2025 年 11 月)
About 2Slides
Create stunning AI-powered presentations in seconds. Transform your ideas into professional slides with 2slides AI Agent.
Try For Free
