個人健康資訊保護法 (紐芬蘭與拉布拉多省)

概觀

個人健康資訊保護法 (SNL 2008, c P-7.01 (NL PHIA)) 是紐芬蘭與拉布拉多省衛生部門的特定隱私權立法，適用於在紐芬蘭與拉布拉多省提供醫療保健服務時對個人健康資訊 (PHI) 的收集、使用和披露。

客戶永遠可決定如何管理和存取其存放在 AWS 的內容。AWS 無法檢視或得知客戶上傳到其網路的內容，包含該資料是否需受 NL PHIA 立法，且客戶必須自行確保本身的 NL PHIA 合規。AWS 客戶可設計和實作 AWS 環境，並以可履行其 NL PHIA 義務的方式使用 AWS 服務。

AWS 加拿大 (中部) 區域目前提供多種服務，包含 Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3) 和 Amazon Relational Database Service (Amazon RDS)。如需 AWS 區域和服務的完整清單，請瀏覽全球基礎架構頁面。各項服務的詳細資訊頁面都會提供加拿大區域定價，您可以在我們的產品和服務頁面找到相關資訊。

• 什麼是 PIPEDA 和 NL PHIA？ 這些法律之間有何關係？

  個人資訊保護與電子文件法 (PIPEDA) 是適用於在所有加拿大省分進行商業活動期間收集、使用和揭露個人資訊的加拿大聯邦法。特定加拿大省分也會針對公共和私人部門採用專屬的一般隱私法，以及個人健康資訊專屬隱私法。個人健康資訊保護法 (SNL 2008, c P-7.01 (NL PHIA)) 是紐芬蘭與拉布拉多省 (NL) 的隱私權立法，管轄在 NL 提供醫療服務對個人健康資訊 (PHI) 的收集、使用和披露。NL PHIA 管轄法規中定義的個人健康資訊監管人持有的資訊，例如藥劑師或救護車服務。當向個人提供醫療保健或履行向個人提供醫療保健相關的必要職能時，「監管人」包括但不限於醫療保健專業人員。

  AWS 客戶是否受 PIPEDA、NL PHIA 或任何其他加拿大省隱私規定規範，以及規範的範圍為何，可能因客戶的業務而異。

  其他機構可能也受 PIPEDA 或省隱私法所規範。如需 PIPEDA 的詳細資訊，請瀏覽這裡的 AWS 網站。

  客戶應向其法律顧問諮詢，以了解自身需遵循的隱私法。
  

• 客戶要如何在 AWS 環境遵循 NL PHIA？

  AWS 客戶可設計和實作 AWS 環境，並以可履行其 NL PHIA 義務的方式使用 AWS 服務。

  受 NL PHIA 規範的客戶可能必須遵守與個人健康資訊之收集、存取、使用、披露和保護有關的各項規定。AWS 讓客戶自行控制使用 AWS 服務時其內容的存放或處理方式，包括控制保護內容安全的方式以及可存取該內容的對象。客戶可設定和使用 AWS 提供的服務來協助保護其存放在 AWS 中的個人健康資訊安全，並且應自行負責設計符合適用隱私規定的解決方案架構。

  請注意，不同於實體可獲得 SOC、PCI 或 FedRAMP 認證或授權，NL PHIA 合規沒有任何官方承認的「認證」。相反地，AWS 為其客戶提供關於 AWS 所建立和奉行的政策、流程和控制的重要資訊。AWS 在 AWS 合規資源頁面中提供工作手冊、白皮書和最佳實務指南，而且客戶可隨需存取 AWS 成品的 AWS 第三方稽核報告。
  

• AWS 是否會存取客戶儲存於 AWS 的個人健康資訊？

  客戶永遠可決定如何管理和存取其存放在 AWS 的內容。AWS 提供了進階的存取、加密和日誌功能組合，以協助客戶管理他們的存取權和內容。除非依照客戶指示，或者政府或具有管轄權之管制機關為了遵守法律或具有法律效力和約束力的命令所需，否則 AWS 不會存取或披露客戶的內容。除非法律禁止或有和使用 AWS 服務相關的明確法律行為指示，否則 AWS 會在披露客戶內容前先通知客戶，使他們能在披露前採取保護措施。如需詳細資訊，請造訪資料隱私權常見問答集。 

• NL PHIA 是否禁止 AWS 客戶在 NL 以外地區或加拿大境外傳輸資料或儲存靜態資料？

  在尋求遵守隱私法時，客戶應自行諮詢法律顧問。NL PHIA 立法可能需要監管人執行特定措施，以保護其監管的個人健康資訊，或控制管理、技術和實體保護等措施。在 NL 以外地區或加拿大境外儲存、存取、使用或披露的個人健康資訊可能會受在 NL 以外地區或加拿大境外進行儲存、存取、使用或披露前所訂定之 NL PHIA 特定義務規範的約束。每個客戶都有責任確定當他們將資料轉移和儲存到 NL 以外地區或加拿大境外時，是否履行其在 NL PHIA 的安全和隱私義務。

  AWS 客戶應考慮是否適用 PIPEDA 或任何其他加拿大省的法律，並針對任何資料駐留限制審查此類法律。AWS 客戶可選擇要在哪個區域存放其內容。未經客戶同意，AWS 不會將客戶內容移出或複製到客戶指定區域以外的地方。
  

• NL PHIA 是否要求加密個人資訊？

  根據 NL PHIA，在加密個人資訊方面，沒有具體的規定。然而，受 NL PHIA 規範的實體必須採取各項措施以保護個人健康資訊，每個客戶都有責任確定為了履行其安全義務，加密是否合適。AWS 建議最好的做法是永遠加密靜態和傳輸中的個人健康資訊。
  

• 客戶如何取得資訊以完成與使用 AWS 有關的隱私影響評定？

  AWS 提供各種資料，協助客戶了解 AWS 環境和安全控制措施。AWS 允許客戶隨需存取 AWS 成品中的第三方稽核報告，例如我們的 SOC 1 和 SOC 2 報告。AWS 也在我們的 AWS 合規資源頁面上提供工作手冊、白皮書和最佳實務，說明如何以安全的方式在 AWS 上執行工作負載。
  

• 客戶如何在 AWS 的環境中實作稽核？

  此為共同的責任模型的一部分，客戶應考慮以足以符合其合規性要求的方式，在其 AWS 環境實作稽核和記錄。AWS 提供的服務讓可擴充的記錄和日誌分析架構變得更容易實作。AWS 在 AWS Marketplace 還擁有各種合作夥伴，可提供安全記錄解決方案。若要進一步了解如何在 AWS 上實作記錄，請參閱此 AWS 安全記錄功能頁面。
  

• 您能否舉幾個加拿大其他醫療保健機構使用 AWS 的例子？

  您可以閱讀我們有關加拿大醫療保健趨勢的最新部落格文章。如需有關 AWS 雲端上的其他醫療保健合規資訊，請參閱這裡。