个人健康资讯保护法(安大略省)

概述

个人健康信息保护法 (PHIPA) 是安大略省的隐私立法,适用于在提供或促进医疗服务过程中的个人健康信息 (PHI) 收集、使用和披露。

对于客户存储在 AWS 的内容的管理和访问方式,客户始终享有控制权。因为 AWS 无法看到或了解客户在其网站上上传的内容,也不确定这些数据是否受 PHIPA 条例约束,所以客户应负责确保自己的 PHIPA 合规性。AWS 客户可以设计和实现 AWS 环境,并以满足相应 PHIPA 义务的方式使用 AWS 服务。

AWS 加拿大(中部)区域目前可以提供多种服务,包括 Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3) 和 Amazon Relational Database Service (Amazon RDS)。有关 AWS 区域和服务的完整列表,请访问全球基础设施页面。各项服务的详情页面上提供了加拿大区域的定价,您可以通过我们的产品与服务页面查找相关服务。

  • 《个人信息保护及电子文档法案》(PIPEDA) 是一项加拿大联邦法案,适用于加拿大各省份中所有商业活动过程中对个人信息的收集、使用和披露。某些加拿大省份还采用了其自己专门的针对公共和私有部门的一般隐私法案,以及特定于个人健康信息的隐私法案。个人健康信息保护法 (PHIPA) 是安大略省的隐私法案,适用于在提供或促进医疗服务过程中的个人健康信息 (PHI) 收集、使用和披露。

    AWS 客户是否受到 PIPEDA、PHIPA 或任何其他加拿大省隐私要求的制约以及程度如何,取决于客户经营的业务。一般来说,安大略省的健康信息管理者及其代理人在涉及个人健康信息时将受 PHIPA 约束(其业务的其他方面可能受其他隐私法约束)。“健康信息管理者”一词包括医疗服务提供者(例如,医生、护士等)、医院、长期护理院、特殊护理院、社区护理访问中心、地区医疗网络 (LHIN)、药房、医学实验室、当地医疗卫生官员、救护车服务、社区精神卫生计划,以及健康及长期护理部。

    其他组织可能需要遵循 PIPEDA 或其他省级隐私法律的要求。如需了解有关 PIPEDA 的更多信息,请访问 AWS PIPEDA 页面

    客户应咨询其法律顾问,了解应该遵守哪些隐私法律。

  • AWS 客户可以设计和实现 AWS 环境,并以满足相应 PHIPA 义务的方式使用 AWS 服务。

    受 PHIPA 约束的客户有责任遵从其关于收集、使用和分发 PHI 的要求。AWS 服务是结构化的,因此客户可以控制使用 AWS 存储或处理其内容的方式,包括管控如何保护该内容以及谁可以访问该内容。AWS 提供客户可以配置和使用的服务,以帮助保护他们存储在 AWS 的任何 PHI,而客户应负责构建符合适用隐私要求的解决方案。

    请注意,没有官方认可的 PHIPA 合规性“认证”,实体无法像获得 SOC、PCI 或 FedRAMP 认证或授权一样获得相应的 PHIPA 认证。相反,AWS 向客户提供大量与政策、流程和管控(由 AWS 建议和实施)有关的信息。AWS 在我们的 AWS 合规资源页面上提供手册、白皮书和最佳实践指南,客户可以根据需要访问 AWS Artifact 中的 AWS 第三方审核报告。客户可以利用这些信息来评估 AWS 是否满足 PHIPA 安全性要求。

  • PHIPA 中不包含要求客户和 AWS 之间存在协议这样的要求(就像 HIPAA 要求美国地区提供业务合作协议一样)。客户应该咨询其客户代表,了解与特定 AWS 合同条款的适用性有关的问题。

  • 对于客户存储在 AWS 的内容的管理和访问方式,客户始终享有控制权。AWS 提供一组先进的访问、加密和日志功能,以帮助客户有效管理和访问其内容。AWS 不会访问或披露客户内容,除非收到客户指示,或者是为了遵守法律或具有管辖权的政府或监管机构的有效且有约束力的指令。除非法律禁止或有明确的迹象表明 AWS 服务的使用中存在非法行为,否则 AWS 会在披露客户内容之前通知客户,以便客户寻求保护。有关更多信息,请访问数据隐私常见问题

  • 客户应就遵守隐私法律问题咨询其法律顾问。一般来说,PHIPA 中没有明确限制个人或组织在安大略或加拿大以外传输或存储数据的能力的要求。但是,PHIPA 要求实体机构采取措施来保护 PHI。每个客户都有责任确定在加拿大境外传输和存储数据是否满足其安全义务。

    AWS 客户应考虑加拿大其他省份的法律是否适用,并查看这些法律,了解数据存储限制。AWS 客户选择存储其客户内容的区域。未经客户同意,AWS 不会将客户内容移动或复制到客户所选区域之外。

  • PHIPA 中没有与加密 PHI 有关的特定要求。但是,受 PHIPA 约束的实体必须采取措施保护 PHI,且每个客户都有责任确定加密是否适合满足其安全义务。作为一种最佳实践,AWS 建议始终对处于静止和传输中的 PHI 实施加密。

  • AWS 提供大量材料,帮助客户了解 AWS 环境和安全控制。AWS 为客户提供按需访问 AWS Artifact 中的第三方审核报告的权限(例如 SOC 1 和 SOC 2 报告)。AWS 也在我们的 AWS 合规资源页面,提供有关以安全方式在 AWS 上运行工作负载的手册、白皮书和最佳实践。

  • 与责任共担模型一致,客户应该考虑以符合合规性要求的方式,在 AWS 环境中实施审核和记录。AWS 提供的服务可以帮助简化可扩展记录和日志分析架构的实施。在 AWS Marketplace 中,AWS 也拥有众多提供安全日志记录解决方案的合作伙伴。请参考AWS 安全记录功能页面,获得更多与如何在 AWS 上实施记录有关的信息。

  • 您可以阅读我们最新的博客,了解加拿大医疗保健的趋势。您可以在此处查看与在 AWS 云上保持医疗保健合规的信息。

有问题? 联系 AWS 业务代表
想要提供合规性服务?
立即申请 »
想要了解 AWS 合规性动态?
在 Twitter 上关注我们 »