歐洲、中東和非洲地區 | 健康照護與生命科學
HDS v2.0
依據法國公共衛生法 (Public Health Code) 第 L.1111-8 條的規定,特定類型個人健康資訊 (PHI) 的託管服務供應商必須取得 HDS (Hébergeur de Données de Santé) 認證。HDS 由法國的衛生主管機關 ASIP Santé (Agence Fraçaise de la Santé Numérique) 推行,當中提供了可強化 PHI 安全性和保護機制的架構。
HDS v2.0 以這個架構為基礎建構而成,引進多項強化措施,將更多重心放在資料主權上。Google 已成功從 HDS 轉換至 HDS v2.0,也因而成為最早通過 HDS v2.0 認證的超大規模雲端供應商之一。
如要取得 HDS v2.0 認證,供應商必須滿足一系列詳細的要求,主要涵蓋以下面向:保護個人健康資訊並維護機密性的安全防護措施、強制性的合約條款,以及特定主權和資訊公開義務。無論資料儲存於何處,都適用這些規定。Google 取得的認證 (包含 Google Cloud 和 Google Workspace) 涵蓋下列所有範圍,這些範圍在法國《公共衛生法》和 HDS 架構中稱為「活動」:
- 針對用來處理健康資料的資訊系統硬體基礎架構,其負責託管的實體據點必須正常執行佈建與維護作業;
- 用來處理健康資料的資訊系統硬體基礎架構,必須正常執行佈建與維護作業;
- 用來處理健康資料的資訊系統虛擬基礎架構,必須正常執行佈建與維護作業;
- 用於託管資訊系統應用程式的平台,必須正常執行佈建與維護作業;
- 含有健康資料的資訊系統相關管理與操作工作。
請注意,與其他活動相比,活動 5 適用範圍內的產品較有限,詳情如下。
這些產品的服務範圍與 Google Cloud 和 Google Workspace 各項產品的資料位置功能一致,可將靜態資料儲存在歐洲經濟區內。請注意,這項 HDS v2.0 認證的範圍僅限於企業客戶。
請注意,由於以下所述範圍未採用外包備份,因此活動 6 不在 Google 的 HDS v2.0 認證範圍內。
詳情請參閱下方的「HDS 常見問題」一節。
ASIP 網站已將 Google Cloud 列為 HDS 認證的託管服務,這代表在遵守法國《健康資訊系統通用安全性政策》(General Security Policy for Health Information Systems,簡稱「PGSSI-S」) 的情況下,法國醫療照護產業的公司及其合作夥伴可以在 Google Cloud Platform 和 Google Workspace 中安心地交換及儲存資料,並處理與法國個人健康資訊有關的工作負載。
Enhanced 和 Premium 支援服務的客戶 (必須遵守 HDS 規定) 可以透過 Google Cloud 控制台以法文提交技術支援客服案件。
潛在客戶如想取得詳細資料,可以與業務人員聯絡。
適用範圍內的產品 (活動 1 至 4)
屬於活動 1 至 4 適用範圍的 Google Cloud Platform 產品:
屬於活動 1 至 4 適用範圍的 Google Workspace 產品:
適用範圍內的產品 (活動 1 至 5)
屬於活動 1 至 5 適用範圍的 Google Cloud Platform 產品:
屬於活動 1 至 5 適用範圍的 Google Workspace 產品:
HDS 常見問題
什麼是 HDS v2.0?
HDS v2.0 是法國針對健康資料安全性、機密性和完整性所制定的強制性認證,適用於託管個人健康資訊 (PHI) 的組織。HDS v2.0 架構於 2024 年 5 月發布,取代 2018 年建立的舊版 HDS 架構。
HDS v2.0 的主要變更有哪些?
HDS v2.0 引進多項強化措施,其中最值得注意的是,將更多重心放在資料主權上。主要變更包括:強制規定將資料儲存在歐洲經濟區、提升資訊透明度,有效掌握資料跨國家/地區移轉,以及採用 ISO 27001:2022 標準,打造完善的資訊安全管理系統。
Google Cloud 是否已通過 HDS v2.0 認證?
是的,Google Cloud 已於 2025 年 7 月成功從 HDS 轉換至 HDS v2.0,我們也因而成為最早通過 HDS v2.0 認證的超大規模雲端供應商之一,這充分反映出我們致力於提供以最高信任、安全和法規遵循原則為核心的平台。
哪裡可以找到證書?
證書上會顯示哪些資訊?
我們的證書上會載明認證的核發和資格延續日期、涵蓋的活動和屬於活動適用範圍的產品。
那歐洲經濟區資料儲存的部分呢?
HDS v2.0 引進新的主權規定,提供更有力的資料保護保證,其中最值得注意的一點是,規定個人健康資料只能儲存在歐洲經濟區內。
我們的認證範圍與 Google Cloud 和 Google Workspace 在歐洲經濟區內儲存資料的能力保持一致。客戶應注意,在考量上述規定的情況下,只有特定產品通過認證,可在歐洲經濟區儲存個人健康資訊。如要確認哪些產品提供這項認證,請參閱本網頁的「適用範圍內的產品」部分。這些部分列出活動適用範圍內的所有產品 (根據認證文件中的原始清單)。客戶也應注意,對於列出的產品,必須按照 Cloud 據點頁面的說明,選擇特定區域或多區域。
如要瞭解資料處理位置的具體細節,以及 Google Cloud 在資料在地化方面的義務 (包括區域法律和法規要求的相關部分),請參閱《Cloud 資料處理附加條款》和適用的《服務專屬條款》。
哪裡可以找到保證聲明表?
哪裡可以找到 ISO 27001:2022 的相關資訊?
HDS v2.0 整合了國際 ISO 27001 標準的最新修訂內容,確保這項認證不僅符合法國法規,同時也與全球資安最佳做法一致。
如要全面瞭解我們的資安與資料保護措施 (包括組織和技術層面的控管機制),請前往 Google 安全性頁面。
準備好運用 HDS v2.0 了嗎?
Google Cloud 致力於協助受法國《公共衛生法》規範的客戶,確保個人健康資訊安全與保護措施全面到位。
請注意,遵守這些規範是客戶與 Google 雙方共同的責任。具體來說,Google Cloud 提供安全的基礎架構來儲存及處理個人健康資訊,而客戶須確保在 Google Cloud 上建構的環境和應用程式,皆已按照自身的法規遵循義務妥善設定且受到保護。客戶主要應負責的工作包括判斷自己是否需要將資料儲存在歐洲經濟區。如上文所述,Google Cloud 提供歐洲經濟區儲存選項,但客戶須自行為工作負載選擇適用的區域或多區域。
此外,在 Google Cloud (主機端) 代醫療服務提供者、生命科學組織或軟體供應商 (客戶端) 託管個人健康資料的合約中,必須包含強制性的合約條款。Google Cloud 提供 Google Cloud 和 Google Workspace 的合約條款,以因應這些要求,但客戶最終仍須自行評估是否符合規範。
合約條款包含 HDS 附加條款,如果客戶認為需要與 Google Cloud 簽訂這類合約條款來達成遵循法規的目的,可透過 Google Cloud 控制台接受此附加條款。
詳情請洽詢 Google Cloud 代表。
瞭解安全性最佳做法
查看最佳做法解決常見的問題
觀看安全性產品應用實例影片與夥伴攜手合作
查看我們的安全性合作夥伴
