個人醫療資訊保護法案 (安大略省)

概觀

compliance-privacy-pipeda-canada
compliance-privacy-ontario

個人醫療資訊保護法案 (PHIPA) 是安大略省的隱私法,適用於在提供或促進醫療保健服務期間收集、使用和披露個人醫療資訊 (PHI)。

客戶永遠可決定如何管理和存取其存放在 AWS 的內容。由於 AWS 無法看見或得知客戶上傳到其網路的內容,包括該資料是否需受 PHIPA 規範,因此客戶需負責確保本身的 PHIPA 合規。AWS 客戶可設計和實作 AWS 環境,並以可履行其 PHIPA 義務的方式使用 AWS 服務。

AWS 加拿大 (中部) 區域目前提供多種服務,包含 Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3) 和 Amazon Relational Database Service (Amazon RDS)。如需 AWS 區域和服務的完整清單,請瀏覽全球基礎設施頁面。各項服務的詳細資訊頁面都會提供加拿大區域定價,您可以在我們的產品和服務頁面找到相關資訊。

  • 什麼是 PIPEDA 和 PHIPA? 這些法律之間的關係為何?

    個人資訊保護與電子文件法 (PIPEDA) 是適用於在所有加拿大省分進行商業活動期間收集、使用和揭露個人資訊的加拿大聯邦法。特定加拿大省分也會針對公共和私人部門採用自己的一般隱私法,以及個人醫療資訊專屬隱私法。個人醫療資訊保護法案 (PHIPA) 是適用於在提供或促進醫療保健服務期間收集、使用和披露個人醫療資訊 (PHI) 的安大略省隱私法。

    AWS 客戶是否受 PIPEDA、PHIPA 或任何其他加拿大省級隱私規範,以及規範的範圍為何,可能因客戶的業務而異。一般而言,涉及個人醫療資訊的安大略省醫療資訊保管人及其代理人將受 PHIPA 的規範 (其業務的其他方面可能受其他隱私法的規範)。「醫療資訊保管人」一詞包括醫療保健提供者 (如醫師、護理人員等)、醫院、長照中心、特殊照護中心、社區照護中心、地方醫療整合網路 (LHIN)、藥局、醫事檢驗所、當地醫務官員、救護車服務、社區心理健康計劃、衛生和長期護理部。

    其他機構可能也受 PIPEDA 或省隱私法所規範。如需 PIPEDA 的詳細資訊,請瀏覽 AWS PIPEDA 頁面

    客戶應向其法律顧問諮詢,以了解自己需遵守的隱私法。

  • AWS 是否符合 PHIPA 規範?

    AWS 客戶可設計和實作 AWS 環境,並以可履行其 PHIPA 義務的方式使用 AWS 服務。

    受 PHIPA 規範的客戶有責任遵守其針對收集、使用和披露 PHI 所設立的各種規定。AWS 服務的架構讓客戶能自行控制如何利用 AWS 存放或處理內容,包括內容的保護方式以及誰可以存取內容。AWS 提供客戶可設定和用來協助保護存放在 AWS 中任何 PHI 的服務,而客戶有責任建構符合適用隱私規定的解決方案架構。

    請注意,與實體可能獲得 SOC、PCI 或 FedRAMP 認證或授權的方式不同,PHIPA 合規並沒有官方認可的「認證」。相反地,AWS 為其客戶提供關於 AWS 所建立和遵循的政策、流程和控制的重要資訊。AWS 在我們的 AWS 合規資源頁面提供工作手冊、白皮書和最佳實務指南,客戶可隨需存取 AWS Artifact 的 AWS 第三方稽核報告。客戶可以利用此資訊評估 AWS 是否符合 PHIPA 規定的安全要求。

  • 是否需要根據 PHIPA 與 AWS 簽訂單獨的合約或修訂合約,類似於美國 HIPAA 規定的商業夥伴協議各項要求?

    PHIPA 目前並無同等規定,要求客戶和 AWS 之間必須按照 HIPAA 在美國商業夥伴協議規定的方式簽署合約。如果對特定 AWS 合約條款的適用性有任何問題,客戶應諮詢其客戶代表

  • AWS 是否會存取客戶儲存於 AWS 的 PHI?

    客戶永遠可決定如何管理和存取其存放在 AWS 的內容。AWS 提供一套進階的存取、加密和記錄功能,可協助客戶有效地管理以及存取內容。除非依照客戶指示,或者政府或具有管轄權之管制機關為了遵守法律或具有效力和約束力的命令所需,否則 AWS 不會存取或揭露客戶的內容。除非法律禁止,或有和使用 AWS 服務相關的明確法律行為指示,否則 AWS 會在揭露客戶內容前先通知客戶,使他們能在揭露前採取保護措施。如需詳細資訊,請造訪我們的資料隱私權常見問答集

  • PHIPA 是否禁止 AWS 客戶在安大略省以外地方或加拿大境外傳輸資料或擁有靜態資料?

    在尋求遵守隱私法時,客戶應諮詢自己的法律顧問。一般而言,PHIPA 並無任何規定會明確限制個人或組織將資料轉移或存放在安大略省或加拿大以外的地方。然而,PHIPA 確實會要求各實體應採取措施來保護 PHI。每個客戶都有責任確定當他們將資料轉移和存放在加拿大境外時,是否滿足其安全義務。

    AWS 客戶應考慮是否適用任何其他加拿大省分的法律,並檢閱此類法律對任何資料駐留的限制。AWS 客戶選擇要存放其內容的區域。未經客戶同意,AWS 不會將客戶內容移出或複寫到客戶指定區域以外的地方。

  • PHIPA 是否要求加密 PHI?

    根據 PHIPA,在 PHI 加密方面沒有具體的規定。但是,受 PHIPA 規範的實體需要採取措施來保護 PHI,每個客戶都有責任確定加密是否合適以履行其安全義務。AWS 建議最好的做法是永遠加密靜態和傳輸中的 PHI。

  • 客戶如何取得資訊以完成與使用 AWS 有關的隱私影響評估?

    AWS 提供各種材料協助客戶了解 AWS 環境和安全控制。AWS 允許客戶隨需存取 AWS Artifact 中的第三方稽核報告,例如我們的 SOC 1 和 SOC 2 報告。AWS 也在我們的 AWS 合規資源頁面上提供工作手冊、白皮書和最佳實務,說明如何以安全的方式在 AWS 上執行工作負載。

  • 客戶如何在 AWS 中實作稽核和記錄?

    與共同的責任模型一致,客戶應考慮透過可充分符合其合規要求的方式,在其 AWS 環境實作稽核和記錄。AWS 提供的服務讓可擴展的記錄和記錄分析架構變得更容易實作。AWS 在 AWS Marketplace 還擁有各種合作夥伴,可提供安全記錄解決方案。要進一步了解如何在 AWS 上實作記錄,請參閱 AWS 安全記錄功能頁面

  • 您能否舉幾個加拿大其他醫療保健機構使用 AWS 的例子?

    您可以閱讀我們有關加拿大醫療保健趨勢的最新部落格文章。有關 AWS 雲端上的醫療保健合規資訊,請參閱此處

compliance-contactus-icon
有問題? 聯絡 AWS 業務代表
探索合規職缺?
立即申請 »
需要 AWS 合規更新?
在 Twitter 上關注我們 »