個人健康資訊保護法 (新斯科細亞)
概觀
個人健康資訊保護法 (PHIA) 是新斯科細亞的省隱私法,適用於個人健康資訊的收集、使用、披露、保留、處置和銷毀。PHIA 承認個人保護其個人健康資訊的權利,以及保管人收集、使用和披露個人健康資訊以提供、支援和管理醫療保健的需要。
客戶永遠可決定如何管理和存取其存放在 AWS 的內容。AWS 無法得知客戶上傳到其網路的內容,包含該資料是否需受 PHIA 立法規範,因此客戶需負責確保自己的 PHIA 合規。AWS 客戶可設計和實作 AWS 環境,並以可履行其 PHIA 義務的方式使用 AWS 服務。
AWS 加拿大 (中部) 區域目前提供多種服務,包含 Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3) 和 Amazon Relational Database Service (Amazon RDS)。如需 AWS 區域和服務的完整清單,請瀏覽全球基礎設施頁面。各項服務的詳細資訊頁面都會提供加拿大區域定價,您可以在我們的產品和服務頁面找到相關資訊。
-
PIPEDA、PIIDPA 以及 PHIA 分別是什麼? 這些法律之間的關係為何?
個人資訊保護與電子文件法 (PIPEDA) 是適用於在所有加拿大省分進行商業活動期間收集、使用和披露個人資訊的加拿大聯邦法。特定加拿大省分也會針對公共和私人部門採用專屬的一般隱私法,以及個人健康資訊專屬隱私法。個人資訊國際披露保護法 (PIIDPA) 是為保護新斯科細亞省的個人資訊不在加拿大境外披露而制訂的隱私法。個人健康資訊 (PHI) 是根據 PIIDPA 所識別的一部分個人資訊。個人健康資訊保護法 (PHIA) 是新斯科細亞的省隱私法,適用於保管人保管或控制下的個人健康資訊之收集、使用、披露、保留、處置和銷毀。
根據 PHIA 中的進一步定義,個人健康資訊是指涉及個人 (無論存活或死亡) 健康歷史、資格或註冊資訊,並以記錄和未記錄形式存在的識別資訊。根據 PHIA 中的進一步定義,「保管人」一詞是指因執行個人或組織之權力或職責,而得以擁有或控制個人健康資訊的個人或組織。保管人包括受監管的衛生專業人員和團體機構、衛生當局、衛生中心、審查委員會、藥局和加拿大血液服務機構,以及 PHIA 中規定的持續護理設施。
AWS 客戶是否受 PIIDPA、PHIA 或任何其他加拿大省級隱私規定的規範,以及規範的範圍為何,可能因客戶的業務而異。
其他機構可能也受 PIPEDA 或省隱私法所規範。如需 PIPEDA 的詳細資訊,請瀏覽這裡的 AWS 網站。
客戶應向其法律顧問諮詢,以了解自身需遵循的隱私法。
-
客戶要如何在 AWS 環境遵循 PHIA?
AWS 客戶可設計和實作 AWS 環境,並以可履行其 PHIA 義務的方式使用 AWS 服務。
受 PHIA 規範的客戶可能必須遵守與個人健康資訊之收集,使用、披露、保留、處置和銷毀有關的各項規定。AWS 讓客戶自行控制使用 AWS 服務時其內容的存放或處理方式,包括控制保護內容安全的方式以及可存取該內容的對象。客戶可設定和使用 AWS 提供的服務來協助保護其存放在 AWS 中的個人健康資訊安全,並且應自行負責設計符合適用隱私規定的解決方案架構。
請注意,不同於實體可獲得 SOC、PCI 或 FedRAMP 認證或授權,PHIA 合規沒有任何官方承認的「認證」。相反地,AWS 為其客戶提供關於 AWS 所建立和奉行的政策、流程和控制的重要資訊。AWS 在 AWS 合規資源頁面中提供工作手冊、白皮書和最佳實務指南,而且客戶可隨需存取 AWS Artifact 的 AWS 第三方稽核報告。
-
AWS 是否會存取客戶儲存於 AWS 的健康資訊?
客戶始終能夠決定如何管理和存取其儲存在 AWS 的內容。AWS 提供了進階的存取、加密和日誌功能組合,以協助客戶管理他們的存取權和內容。除非依照客戶指示,或者政府或具有管轄權之管制機關為了遵守法律或具有法律效力和約束力的命令所需,否則 AWS 不會存取或披露客戶的內容。除非法律禁止或有和使用 AWS 服務相關的明確法律行為指示,否則 AWS 會在披露客戶內容前先通知客戶,使他們能在披露前採取保護措施。如需詳細資訊,請造訪我們的資料隱私權常見問答集。
-
PHIA 是否禁止 AWS 客戶在新斯科細亞省以外地方或加拿大境外傳輸資料或擁有靜態資料?
在尋求遵守隱私法時,客戶應自行諮詢法律顧問。根據某些規定,PHIA 法規可允許保管人在新斯科細亞省以外的地方存放或披露個人健康資訊。根據 PIIDPA,公共機構可能必須在加拿大境內存放和存取個人資訊。每個客戶都有責任確定當他們將資料轉移和存放到新斯科細亞省外或加拿大境外時,是否履行其在 PHIA 或 PIIDPA 的安全和隱私義務。
AWS 客戶應考慮是否適用 PIPEDA 或任何其他加拿大省的法律,並針對任何資料駐留限制審查此類法律。AWS 客戶可選擇要在哪個區域存放其內容。未經客戶同意,AWS 不會將客戶內容移出或複寫到客戶指定區域以外的地方。
-
PHIA 是否要求加密健康資訊?
根據 PHIA,在加密健康資訊方面,沒有具體的規定。然而,受 PHIA 規範的實體必須採取各項措施以保護健康資訊,每個客戶都有責任確定為了履行其安全義務,加密是否合適。AWS 建議最好的做法是健康資訊在靜止和傳輸過程中一律予以加密。
-
客戶如何取得資訊以完成與使用 AWS 有關的隱私影響評估?
AWS 提供各種材料協助客戶了解 AWS 環境和安全控制。AWS 允許客戶隨需存取 AWS Artifact 中的第三方稽核報告 (例如我們的 SOC 1 和 SOC 2 報告)。AWS 也在我們的 AWS 合規資源頁面上提供工作手冊、白皮書和最佳實務,說明如何以安全的方式在 AWS 上執行工作負載。
-
客戶如何在 AWS 的環境中實作稽核和記錄?
此為「共同的責任模型」的一部分,客戶應考慮以足以符合其合規性要求的方式,在其 AWS 環境實作稽核和記錄。AWS 提供的服務讓可擴充的記錄和日誌分析架構變得更容易實作。AWS 在 AWS Marketplace 還擁有各種合作夥伴,可提供安全記錄解決方案。要進一步了解如何在 AWS 上實作記錄,請參閱 AWS 安全記錄功能頁面。
-
您能否舉幾個加拿大其他醫療保健機構使用 AWS 的例子?
