個人健康資訊隱私權和存取法
(新伯倫瑞克省)
概觀
個人健康資訊隱私權和存取法 (NB PHIPAA) 和一般規定為新不倫瑞克省的隱私權立法,適用於收集、使用、披露和保護監管或受到監管人控制的個人健康資訊。
客戶永遠可決定如何管理和存取其存放在 AWS 的內容。由於 AWS 無法看見或得知客戶上傳到其網路的內容,包括該資料是否需受 NB PHIPAA 規範,因此客戶需負責確保本身的 NB PHIPAA 合規。AWS 客戶可設計和實作 AWS 環境,並以可履行其 NB PHIPAA 義務的方式使用 AWS 服務。
AWS 加拿大 (中部) 區域目前提供多種服務,包含 Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3) 和 Amazon Relational Database Service (Amazon RDS)。如需 AWS 區域和服務的完整清單,請瀏覽全球基礎設施頁面。各項服務的詳細資訊頁面都會提供加拿大區域定價,您可以在我們的產品和服務頁面找到相關資訊。
-
什麼是 PIPEDA 和 NB PHIPAA? 這些法律之間有何關係?
個人資訊保護與電子文件法 (以下統稱「PIPEDA」) 是適用於在所有加拿大省分進行商業活動期間收集、使用和披露個人資訊的加拿大聯邦法。特定加拿大省分也會針對公共和私人部門採用專屬的一般隱私法,以及個人健康資訊專屬隱私法。個人健康資訊隱私權和存取法,S.N.B.2009, c.P-7.05 (以下統稱「NB PHIPAA」) 為新不倫瑞克省 (以下統稱「NB」) 的隱私法,適用於特定組織和個人 (即 NB PHIPAA 底下之「監管人」) 在新不倫瑞克省內收集、使用、披露和保護個人健康資訊之行為,以及保護這類資訊所採取之相關措施。NB PHIPAA 適用的個人健康資訊需符合 NB PHIPAA 底下定義:「以口頭方式或記錄表單記錄之個人識別資訊,且該資訊可以是 (a) 與個人心理或生理健康、家族病史或健康照護史相關,包括與個人有關的基因資訊;(b) 個人註冊資訊,包括個人醫療保險號碼;(c) 與個人健康照護服務提供相關;(d) 與個人健康照護付款或資格,或是個人健康照護涵蓋範圍資格相關;(e) 與個人捐贈任何器官或個人身體物質相關,或從對任何器官或身體物質進行之測試或檢驗取得之資訊;(f) 可識別個人代理決定者身分;或 (g) 可識別個人健康照護服務業者身分之資訊。」 「監管人」即指「收集、維護或使用個人健康資訊,以從事提供或協助提供健康照護、治療或健康照護系統規劃與管理,或實施政府計畫或服務用途之個人或組織」,監管人包含非監管人之代理人或員工的公共部門及健康照護服務業者,以及 NB PHIPAA 定義的其他個人或組織。
AWS 客戶是否受 PIPEDA、NB PHIPAA 或任何其他加拿大省級隱私規範,以及規範的範圍為何,可能因客戶的業務而異。
其他機構可能也受 PIPEDA 或省隱私法所規範。如需 PIPEDA 的詳細資訊,請瀏覽這裡的 AWS 網站。
客戶應向其法律顧問諮詢,以了解自身需遵循的隱私法。
-
客戶要如何在 AWS 環境遵循 NB PHIPAA?
AWS 客戶可設計和實作 AWS 環境,並以可履行其 NB PHIPAA 義務的方式使用 AWS 服務。
受 NB PHIPAA 規範的客戶可能必須遵守與個人健康資訊之收集、存取、使用、披露和保護有關的各項規定。AWS 讓客戶自行控制使用 AWS 服務時其內容的存放或處理方式,包括控制保護內容安全的方式以及可存取該內容的對象。客戶可設定和使用 AWS 提供的服務來協助保護其存放在 AWS 中的個人健康資訊安全,並且應自行負責設計符合適用隱私規定的解決方案架構。
請注意,與實體可能獲得 SOC、PCI 或 FedRAMP 認證或授權的方式不同,NB PHIPAA 合規並沒有官方認可的「認證」。相反地,AWS 為其客戶提供關於 AWS 所建立和奉行的政策、流程和控制的重要資訊。AWS 在 AWS 合規資源頁面中提供工作手冊、白皮書和最佳實務指南,而且客戶可隨需存取 AWS Artifact 的 AWS 第三方稽核報告。
-
AWS 是否會存取客戶儲存於 AWS 的個人健康資訊?
客戶永遠可決定如何管理和存取其存放在 AWS 的內容。AWS 提供了進階的存取、加密和日誌功能組合,以協助客戶管理他們的存取權和內容。除非依照客戶指示,或者政府或具有管轄權之管制機關為了遵守法律或具有法律效力和約束力的命令所需,否則 AWS 不會存取或披露客戶的內容。除非法律禁止或有和使用 AWS 服務相關的明確法律行為指示,否則 AWS 會在披露客戶內容前先通知客戶,使他們能在披露前採取保護措施。如需詳細資訊,請造訪我們的資料隱私權常見問答集。
-
NB PHIPAA 是否禁止 AWS 客戶在新不倫瑞克省以外地方或加拿大境外傳輸資料或擁有靜態資料?
在尋求遵守隱私法時,客戶應自行諮詢法律顧問。NB PHIPAA 立法可能需要監管人執行特定措施,以保護其監管的個人健康資訊,或控制管理、技術和實體保護等措施。在新不倫瑞克省外儲存、存取、使用或披露的個人健康資訊,可能會受在進行儲存、使用或披露前所訂定之 NB PHIPAA 特定義務規範。每位客戶都有責任確定當他們將資料轉移和儲存到新不倫瑞克省外或加拿大境外時,是否履行其在 NB PHIPAA 的安全和隱私義務。
AWS 客戶應考慮是否適用 PIPEDA 或任何其他加拿大省的法律,並針對任何資料駐留限制審查此類法律。AWS 客戶可選擇要在哪個區域存放其內容。未經客戶同意,AWS 不會將客戶內容移出或複製到客戶指定區域以外的地方。
-
NB PHIPAA 是否要求加密個人健康資訊?
根據 NB PHIPAA,在加密個人健康資訊方面,沒有具體的規定。然而,受 NB PHIPAA 規範的實體必須採取各項措施以保護個人健康資訊,每位客戶都有責任確定為了履行其安全義務,加密是否合適。AWS 建議最好的做法是個人健康資訊在靜止和傳輸過程中一律經過加密。
-
客戶如何取得資訊以完成與使用 AWS 有關的隱私影響評估?
AWS 提供各種資料,協助客戶了解 AWS 環境和安全控制措施。AWS 允許客戶隨需存取 AWS Artifact 中的第三方稽核報告,例如我們的 SOC 1 和 SOC 2 報告。AWS 也在我們的 AWS 合規資源頁面上提供工作手冊、白皮書和最佳實務,說明如何以安全的方式在 AWS 上執行工作負載。
-
客戶如何在 AWS 的環境中實作稽核和記錄?
此為「共同的責任模型」的一部分,客戶應考慮以足以符合其合規性要求的方式,在其 AWS 環境實作稽核和記錄。AWS 提供的服務讓可擴充的記錄和日誌分析架構變得更容易實作。AWS 在 AWS Marketplace 還擁有各種合作夥伴,可提供安全記錄解決方案。要進一步了解如何在 AWS 上實作記錄,請參閱此 AWS 安全記錄功能頁面。
-
您能否舉幾個加拿大其他醫療保健機構使用 AWS 的例子?
