關於共享某些健康資訊的法案 (魁北克)
概觀
CQLR, c P-9.0001 (「魁北克法案」) 是關於共享某些健康資訊的法案,這是魁北克省有關收集、使用和披露魁北克省提供醫療保健服務涉及之健康資訊的最相關法律。《魁北克法案》旨在建立資訊資產,以便共享被認為對初級照護服務和持續照護至關重要的健康資訊,從而提高保健服務和社會服務的品質和安全性,以及享受這些服務的便捷性,並透過允許對健康和社會資訊使用的管理和控制,進一步提高魁北克衛生系統的品質、效率和效能。在本頁的資訊中,將會重點關注《魁北克法案》的以下內容︰魁北克關於對公共機構持有文件的存取和個人資訊的保護的法案 CQLR, c.A-2.1,其還延伸至衛生機構和社會機構;以及魁北克關於保護私營部門中個人資訊的法案 CQLR, c P-39.1,其建立了收集、使用和披露私營部門中個人資訊的規則。
客戶始終能夠決定如何管理和存取其儲存在 AWS 的內容。AWS 無法得知客戶上傳至其網路的內容,包含該資料是否需受《魁北克法案》立法規範,因此客戶需負責確保本身的《魁北克法案》合規。AWS 客戶可設計和實作 AWS 環境,並以可履行其《魁北克法案》義務的方式使用 AWS 服務。
AWS 加拿大 (中部) 區域目前提供多種服務,包含 Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3) 和 Amazon Relational Database Service (Amazon RDS)。如需 AWS 區域和服務的完整清單,請瀏覽全球基礎設施頁面。各項服務的詳細資訊頁面都會提供加拿大區域定價,您可以在我們的產品和服務頁面找到相關資訊。
-
什麼是 PIPEDA 和《魁北克法案》? 這些法律之間有何關係?
個人資訊保護與電子文件法 (以下統稱 PIPEDA) 是適用於在所有加拿大省分進行商業活動期間收集、使用和披露個人資訊的加拿大聯邦法。特定加拿大省分也會針對公共和私人部門採用專屬的一般隱私法,以及個人健康資訊專屬隱私法。魁北克關於共享某些健康資訊的法案 CQLR, c P-9.0001 (《魁北克法案》) 是魁北克省的隱私權立法,旨在建立資訊資產,以便共享被認為對初級照護服務和持續照護至關重要的健康資訊,從而提高保健服務和社會服務的品質和安全性,以及享受這些服務的便捷性,並透過允許對健康和社會資訊使用的管理和控制,進一步提高魁北克衛生系統的品質、效率和效能。《魁北克法案》適用於託管、營運或使用資訊資產 (定義如下) 的任何個人或合夥企業,包括但不限於私人醫師辦公室、藥房、專門醫療中心、保健服務和社會服務提供者,以及在《魁北克法案》第 4 條中規定的其他機構。根據《魁北克法案》,「資訊資產」被定義為「任何資料庫、資訊系統、電信系統、技術基礎架構或其組合,或專業或超專業醫療裝置的任何電腦元件」。
AWS 客戶是否受 PIPEDA、《魁北克法案》或任何其他加拿大省隱私權規定規範,以及規範的範圍為何,可能因客戶的業務而異。
其他機構可能也受 PIPEDA 或其他省隱私法所規範。如需 PIPEDA 的詳細資訊,請瀏覽這裡的 AWS 網站。
客戶應向其法律顧問諮詢,以了解自身需遵循的隱私法。
-
客戶要如何在 AWS 環境遵循《魁北克法案》?
AWS 客戶可設計和實作 AWS 環境,並以可履行其《魁北克法案》義務的方式使用 AWS 服務。
受《魁北克法案》規範的客戶可能必須遵守與個人健康資訊之收集、存取、使用、披露和保護有關的各項規定。AWS 讓客戶自行控制使用 AWS 服務時其內容的存放或處理方式,包括控制保護內容安全的方式以及可存取該內容的對象。客戶可設定和使用 AWS 提供的服務來協助保護其儲存在 AWS 中健康資訊的安全,並且應自行負責設計符合適用隱私權規定的解決方案架構。
請注意,不同於實體可獲得 SOC、PCI 或 FedRAMP 認證或授權,《魁北克法案》合規沒有任何官方承認的「認證」。相反地,AWS 為其客戶提供關於 AWS 所建立和奉行的政策、流程和控制的重要資訊。AWS 在 AWS 合規資源頁面中提供工作手冊、白皮書和最佳實務指南,而且客戶可隨需存取 AWS Artifact 的 AWS 第三方稽核報告。
-
AWS 是否會存取客戶儲存於 AWS 的健康資訊?
客戶始終能夠決定如何管理和存取其儲存在 AWS 的內容。AWS 提供了進階的存取、加密和日誌功能組合,以協助客戶管理他們的存取權和內容。除非依照客戶指示,或者政府或具有管轄權之管制機關為了遵守法律或具有法律效力和約束力的命令所需,否則 AWS 不會存取或披露客戶的內容。除非法律禁止或有和使用 AWS 服務相關的明確法律行為指示,否則 AWS 會在披露客戶內容前先通知客戶,使他們能在披露前採取保護措施。如需詳細資訊,請造訪我們的資料隱私權常見問答集。
-
《魁北克法案》是否禁止 AWS 客戶在魁北克以外地區或加拿大境外傳輸資料或儲存靜態資料?
在尋求遵守隱私法時,客戶應自行諮詢法律顧問。《魁北克法案》可能需要相應人員執行特定措施,以保護其監管的健康資訊,或控制管理、技術和實體保護等措施。在魁北克以外地區或加拿大境外存放、存取、使用或披露的健康資訊可能會受在魁北克以外地區或加拿大境外進行存放、存取、使用或披露前所訂定之《魁北克法案》特定義務規範的約束。每個客戶都有責任確定當他們將資料轉移和儲存到魁北克以外地區或加拿大境外時,是否履行其在《魁北克法案》的安全和隱私權義務。
AWS 客戶應考慮是否適用 PIPEDA 或任何其他加拿大省的法律,並針對任何資料駐留限制審查此類法律。AWS 客戶可選擇要在哪個區域存放其內容。未經客戶同意,AWS 不會將客戶內容移出或複製到客戶指定區域以外的地方。
-
《魁北克法案》是否會要求加密健康資訊?
根據《魁北克法案》可,在加密健康資訊方面,沒有具體的規定。然而,受《魁北克法案》可規範的實體必須採取各項措施以保護健康資訊,每個客戶都有責任確定加密是否合適,以履行其安全義務。AWS 建議最好的做法是健康資訊在靜止和傳輸過程中一律予以加密。
-
客戶如何取得資訊以完成與使用 AWS 有關的隱私權影響評定?
AWS 提供各種資料,幫助客戶了解 AWS 環境和安全控制措施。AWS 允許客戶隨需存取 AWS Artifact 中的第三方稽核報告,例如我們的 SOC 1 和 SOC 2 報告。AWS 也在我們的 AWS 合規資源頁面上提供工作手冊、白皮書和最佳實務,說明如何以安全的方式在 AWS 上執行工作負載。
-
客戶如何在 AWS 的環境中實作稽核?
此為共同的責任模型的一部分,客戶應考慮以足以符合其合規性要求的方式,在其 AWS 環境實作稽核和記錄。AWS 提供的服務讓可擴充的記錄和日誌分析架構變得更容易實作。AWS 在 AWS Marketplace 還擁有各種合作夥伴,可提供安全記錄解決方案。若要進一步了解如何在 AWS 上實作記錄,請參閱此 AWS 安全記錄功能頁面。
-
您能否舉幾個加拿大其他醫療保健機構使用 AWS 的例子?
