健康資訊法案 (亞伯達省)
概觀
健康資訊法案 (HIA) 為亞伯達省的隱私立法,適用於收集、使用、揭露和保護監管或受到監管人控制的健康資訊。
客戶始終能夠決定如何管理和存取其儲存在 AWS 的內容。AWS 無法檢視或得知客戶上傳到其網路的內容,包含該資料是否需受 HIA 立法,且客戶必須自行確保本身的 HIA 合規。AWS 客戶可設計和實作 AWS 環境,並以可履行其 HIA 義務的方式使用 AWS 服務。
AWS 加拿大 (中部) 區域目前提供多種服務,包含 Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3) 和 Amazon Relational Database Service (Amazon RDS)。如需 AWS 區域和服務的完整清單,請瀏覽全球基礎設施頁面。各項服務的詳細資訊頁面都會提供加拿大區域定價,您可以在我們的產品和服務頁面找到相關資訊。
-
什麼是 PIPEDA 和 HIA? 這些法律之間的關係為何?
個人資訊保護與電子文件法 (PIPEDA) 是適用於在所有加拿大省分進行商業活動期間收集、使用和揭露個人資訊的加拿大聯邦法。特定加拿大省分也會針對公共和私人部門採用專屬的一般隱私法,以及個人健康資訊專屬隱私法。健康資訊法案 (HIA) 為亞伯達省的隱私法,適用於收集、使用、揭露和保護監管或受到監管人控制的健康資訊。「健康資訊」代表下列其一或兩者:(a) 診斷、治療和照護資訊;及 (b) 註冊資訊。「監管人」一詞包含健康服務供應商、指定的健康專業人士 (例如醫師、護理師等)、醫療保健服務交付機構 (例如醫院、護理之家和救護車營運商) 以及其他政府機構參與的醫療保健部門 (例如省衛生局、區域衛生主管機關和社區衛生委員會)。
AWS 客戶是否受 PIPEDA、HIA 或任何其他加拿大省隱私規定規範,以及規範的範圍為何,可能因客戶的業務而異。
其他機構可能也受 PIPEDA 或省隱私法所規範。如需 PIPEDA 的詳細資訊,請瀏覽這裡的 AWS 網站。
客戶應向其法律顧問諮詢,以了解自身需遵循的隱私法。
-
客戶要如何在 AWS 環境遵循 HIA?
AWS 客戶可設計和實作 AWS 環境,並以可履行其 HIA 義務的方式使用 AWS 服務。
受 HIA 規範的客戶可能必須遵守與收集、使用、揭露和保護健康資訊相關的規定。AWS 讓客戶運用 AWS 服務控制自身內容的儲存和處理方式,包括控制保護內容安全的方式以及可存取內容的對象。客戶可設定和使用 AWS 提供的服務來協助保護其儲存在 AWS 中健康資訊的安全,並且應自行負責設計符合適用隱私規定的解決方案架構。
請注意,與可通過 SOC、PCI 或 FedRAMP 認證或授權的實體不同,HIA 合規沒有官方承認的「認證」。相反地,AWS 為其客戶提供關於 AWS 所建立和奉行的政策、流程和控制的重要資訊。AWS 在 AWS 合規資源頁面中提供工作手冊、白皮書和最佳實務指南,而且客戶可隨需存取 AWS Artifact 的 AWS 第三方稽核報告。
-
AWS 是否會存取客戶儲存於 AWS 的健康資訊?
客戶始終能夠決定如何管理和存取其儲存在 AWS 的內容。AWS 提供了進階的存取、加密和日誌功能組合,以協助客戶管理他們的存取權和內容。除非依照客戶指示,或者政府或具有管轄權之管制機關為了遵守法律或具有法律效力和約束力的命令所需,否則 AWS 不會存取或披露客戶的內容。除非法律禁止或有和使用 AWS 服務相關的明確法律行為指示,否則 AWS 會在披露客戶內容前先通知客戶,使他們能在披露前採取保護措施。如需詳細資訊,請造訪我們的資料隱私權常見問答集。
-
HIA 是否禁止 AWS 客戶在亞伯達省以外地區或加拿大境外傳輸資料或儲存靜態資料?
在尋求遵守隱私法時,客戶應自行諮詢法律顧問。HIA 立法可能需要監管人執行特定措施,以保護其監管的健康資訊,或控制管理、技術和實體保護等措施。在亞伯達省外儲存、使用或揭露的健康資訊可能會受在進行儲存、使用或揭露前所訂定之 HIA 特定義務規範。每個客戶都有責任確定當他們將資料轉移和儲存到亞伯達省外或加拿大境外時,是否履行其在 HIA 的安全和隱私義務。
AWS 客戶應考慮是否適用 PIPEDA 或任何其他加拿大省的法律,並針對任何資料駐留限制審查此類法律。AWS 客戶可選擇要在哪個區域存放其內容。未經客戶同意,AWS 不會將客戶內容移出或複寫到客戶指定區域以外的地方。
-
HIA 是否會要求加密健康資訊?
根據 HIA,在加密健康資訊方面,沒有具體的規定。然而,受 HIA 規範的實體必須採取各項措施以保護健康資訊,每個客戶都有責任確定為了履行其安全義務,加密是否合適。AWS 建議最好的做法是健康資訊在靜止和傳輸過程中一律予以加密。
-
客戶如何獲取資訊以完成與使用 AWS 有關的隱私影響評估?
AWS 提供各種資料,幫助客戶了解 AWS 環境和安全控制措施。AWS 允許客戶隨需存取 AWS Artifact 第三方稽核報告,例如我們的 SOC 1 和 SOC 2 報告。AWS 也在我們的 AWS 合規資源頁面上提供工作簿、白皮書和最佳實務,內容包含如何以安全的方式在 AWS 上執行工作負載。
-
客戶如何在 AWS 的環境中實作稽核和記錄?
此為「共同的責任模型」的一部分,客戶應考慮以足以符合其合規性要求的方式,在其 AWS 環境中實作稽核和記錄。AWS 提供的服務讓可擴充的記錄和日誌分析架構變得更容易實作。AWS 在 AWS Marketplace 還擁有各種合作夥伴,可提供安全記錄解決方案。要進一步了解如何在 AWS 上實作記錄,請參閱 AWS 安全日誌功能頁面。
-
至於加拿大其他使用 AWS 的醫療機構,您能否舉幾個例子?
