有关如何理解 2019 年《数据保护法》要求的指南

是。公共部门客户通常可以使用云服务。但前提是，公共部门客户必须遵守用来治理云服务各种使用情况的法律要求和法规要求。

作为肯尼亚 2030 年愿景项目的一部分，肯尼亚政府会帮助发展和采用新的技术。希望使用云服务的公共部门客户必须遵守 2019 年的《ICT 管理局云计算标准》、2019 年的《数据保护法案》（“DPA”）以及其他的适用法律。

否。不过，如果使用云服务时需要处理个人数据，DPA 规定了个人数据处理法规，并规定了数据主体的权利以及数据控制者和数据处理者的义务。2021 年的 DPA 总则（《总则》）规定了行使数据主体权利的程序，并对数据控制者和数据处理者的责任和义务提出了具体要求。DPA 和《总则》还说明了公共部门客户在处理个人数据时需要部署和实施的安全控制措施的类型。

以下是《总则》中适用于个人数据处理的部分具体条款。这不是一份《总则》摘要，也无意取代对总则的全面审查。公共部门客户必须全面了解《总则》和 DPA 的要求，并在必要时征求法律建议。

数据政策和数据留存

数据控制者或数据处理者需要制定并持续维护数据保护政策。这一政策应当概述应由数据控制者或数据处理者实施的数据处理流程。这可能包括有关所收集和保留个人数据的性质信息，以及数据主体用来访问个人数据和行使与所保留个人数据相关的权利的流程。

数据控制者或数据处理者还必须制定并持续实施数据留存计划，该计划将决定个人数据在最终被删除之前应当保留多长时间。该计划将构成数据保护政策的一部分。

跨境数据流动

只有在以下任一种情况下，才能向肯尼亚境外传输个人数据：

• 数据控制者或数据处理者已向数据专员证明在个人数据的安全和保护方面采取了适当的保护措施，包括向具有相应数据保护法律的司法管辖区传输数据；
• 由于履行因以下原因产生的合法权利或义务而需要进行传输：合同；公共利益问题；提出、辩护或行使法律诉求；保护数据主体或其他人员的重大利益；数据控制者或数据处理者为了追求合法权益，但数据主体的权益不能凌驾于这一权益之上；或者
• 数据主体同意传输个人数据。

此外，如果任何个人数据对国家利益具有战略意义，则必须通过肯尼亚的服务器和数据中心进行处理，而且必须将个人数据的至少一份有效副本存储在位于肯尼亚的数据中心。

AWS 可以提供由第三方审计机构出具的多种合规性报告，这些审计机构已经测试并确认我们符合各种安全标准和法规。我们的 ISO 27018 认证、我们的 ISMS 标准、安全控制措施和服务以及我们的 ISO 27001 和 ISO 27002 认证可以证明这一点。

在责任共担模式下，AWS 提供经过认证的必要服务来保障云服务的安全性，公共部门客户可以利用和配置这些服务，以便满足对云安全性的要求。使用 Well Architected Framework，可以帮助公共部门客户满足对于安全部署的设计要求。

有关从哪里索取报告的全部信息都可以在合规性报告和认证中找到。这还包括指向有关各项合规性计划的内部常见问题的链接。

AWS 致力于为公共部门客户提供强大的合规性框架以及一些高级工具和安全措施，客户可以使用它们来评估、满足和展示对适用法律和法规要求的合规性。

正在使用或计划使用 AWS 服务的潜在公共部门客户可以采取以下步骤来更好地了解自己的合规需求：

• 考虑正在考虑的工作负载的目的和相关的数据类别，以预测可能适用的法律和法规要求。
• 根据当地要求评测相关工作负载的重要性或关键性。例如，特定于健康的数据受到 2017 年的《肯尼亚卫生系统标准和指南》、《健康信息系统政策》以及 2019 年的《肯尼亚数据保护法案》的保护。客户自己的法律部门需要执行分析和指导，以便评测哪些工作负载和数据可以迁移到 AWS。
• 查看 AWS 责任共担模式，并根据将要使用的每项 AWS 服务映射 AWS 责任和客户责任。客户还可以使用 AWS Artifact 来访问 AWS 的审计报告，并对控制责任执行评估。