阿根廷資料隱私權

概觀

阿根廷的個人資料保護法編號 25,326，包括行政令編號 1558/2001 和補充法規 (“PDPL”)，為阿根廷聯邦法律，適用於阿根廷的個人資料保護以及跨國傳輸的個人資料處理。2018 年 7 月，阿根廷資料保護機構 (Agencia de Acceso a la Información Pública, “ADPA”) 根據 PDPL 頒布了第 47/2018 號決議 (「第 47 號決議」)，該決議廢除了與資料控制方 (即 AWS 客戶) 在處理個人資料時需要考慮之安全措施相關的第 11/2006 號決議。第 47 號決議說明了建議的新安全措施，這些措施與國際最佳實務和標準保持一致，旨在保護從資料收集到資料刪除的個人資料的機密性和完整性。尤其是，該新決議更新了建議的措施和控制項，建議在處理個人資料時管理、計劃、控制和提高安全性。這些建議的安全措施按照處理相關活動的類別進行劃分，包括資料收集、存取控制、變更控制、備份和復原、漏洞管理、資料移除或刪除、安全事件及開發環境。此外，第 47 號決議包括適用於「敏感資料」的安全措施清單 (定義見 PDPL)。

AWS 十分重視您的隱私和資料安全。AWS 從核心基礎設施開始便重視安全。我們的基礎設施專為雲端進行客製化且符合全球最嚴格的安全規定，透過全天候的監控以確保客戶資料的機密性、完整性和可用性。監控此基礎設施的同一批世界級安全專家也負責建立和維護我們的各種創新安全服務，這些服務能協助您符合自身安全與監管需求。作為 AWS 客戶，無論您的規模大小或位於何處，都可以延續我們的經驗所帶來的一切優點，並根據最嚴格的第三方保證架構進行測試。

AWS 在全球認可的安全保證架構和認證下，實施和維護適用於 AWS 雲端基礎設施服務的技術和組織安全措施，包括 ISO 27001、ISO 27017、ISO 27018、PCI DSS 第 1 級和 SOC 1、2、3。這些技術和組織安全措施由獨立的第三方評估機構驗證，旨在防止未經授權存取或披露客戶內容。

例如，ISO 27018 是第一個專為保護雲端個人資料而成立的國際性作業標準。它的根據是 ISO 資訊安全標準 27002，並提供公有雲端服務提供者處理的個人身分識別資訊 (PII) 適用的 ISO 27002 控制實作指導。其向客戶展現 AWS 擁有一套控制系統，專門處理其內容的隱私權保護。

這些全面的 AWS 技術和組織措施符合 PDPL 的目標，以及 PDPL 下的第 47 號決議，以保護個人資料。使用 AWS 服務的客戶可以保有其內容的控制權，並負責根據其特定需求而實作其他安全措施，包括內容分類、加密、存取管理和安全登入資料。

由於 AWS 無法實質性查看客戶選擇在 AWS 中存放的內容類型，包括該資料是否需受 PDPL 規範，因此客戶最終要負責遵守 PDPL 和相關法規。當您在國際資料中心處理個人資料時，此頁面的內容可補充現有資料隱私權資源的不足之處，協助您的個人需求與 AWS 共同的責任模型保持一致。

• 在保護客戶內容方面，客戶所扮演的角色為何？

  根據 AWS 共同的責任模型，AWS 客戶可以控制要實作何種安全措施來保護自己的內容、平台、應用程式、系統和網路，這與他們對內部部署資料中心內的應用程式的具體操作並無不同。客戶可以利用 AWS 提供的技術、組織安全措施以及各種控制功能來管理自己的合規需求。除了 AWS Identity and Access Management 等 AWS 安全功能之外，客戶也可使用熟悉的安全措施來保護他們的資料，例如加密和多重因素認證。

  當評估雲端解決方案的安全時，客戶需要特別了解下列項目並分辨其中的差別：

  • AWS 實作和操作的安全措施 –「雲端本身的安全」，以及

  • 客戶實作和操作的安全措施，這與利用 AWS 服務的客戶內容與其應用程式安全有關 -「雲端內部的安全」
    

  

• 誰可以存取客戶內容？

  客戶保有其客戶內容的擁有權和控制權，並可選取由哪些 AWS 服務處理、存放和託管其客戶內容。除了提供客戶選擇的 AWS 服務或者需要遵守法律或具有約束力的法律命令之外，AWS 並無法實質性查看客戶內容，也不會存取或使用客戶內容。

  使用 AWS 服務的客戶可以在 AWS 環境中保有其內容的控制權。他們可以：

  • 決定要放置的位置，例如儲存環境的類型和儲存環境所處的地理位置。 
  • 控制該內容的格式，例如純文字、遮罩、匿名或加密、使用 AWS 提供的加密或客戶選擇的第三方加密機制。 
  • 管理其他存取控制，例如身份與存取管理以及安全登入資料。 
  • 控制是否使用 SSL、Virtual Private Cloud 和其他網路安全措施來防止未經授權的存取。

  這可讓 AWS 客戶在 AWS 上控制其內容的整個生命週期，並根據自己的特定需求管理其內容，包括內容分類、存取控制、保留和刪除。
  

• 客戶內容存放在哪裡？

  借助 AWS 全球基礎設施，您可以靈活選擇執行工作負載的方式和位置，並且這麼做的時候使用的是相同的網路、控制平面、API 和 AWS 服務。如果您想在全球範圍內執行應用程式，則可以從任何 AWS 區域和可用區域中進行選擇。客戶可以選擇要存放客戶內容的 AWS 區域，根據您的特定地理需求，在選擇的位置部署 AWS 服務。例如，如果位於澳大利亞的 AWS 客戶想要僅將其資料放在澳大利亞，可以選擇將 AWS 服務全都部署在亞太區域 (雪梨) AWS 區域。如果您想要探索其他靈活的儲存選項，請參閱 AWS 區域網頁。
  

  您可在一個以上 AWS 區域複寫和備份客戶內容。除非在為遵守法律或政府機構具有約束力的指令所需，否則未經您同意，我們不會將您的內容移出或複寫到您所選擇的 AWS 區域以外的的地方。但是，有一點需注意的是，並非所有 AWS 區域均提供所有 AWS 服務。如需有關 AWS 區域可用服務的詳細資訊，請參閱 AWS 區域服務網頁。
  

• AWS 如何保護其資料中心？

  AWS 資料中心安全策略與可擴展的安全控制和多層防禦相結合，有助於保護您的資訊。例如，AWS 會謹慎地管理潛在的洪水和地震活動風險。我們使用實體屏障、安全保護、威脅偵測技術和深入篩選流程來限制對資料中心的存取。我們會備份自己的系統、定期測試設備和流程，並持續訓練 AWS 員工為突發事件做好準備。

  為了驗證我們資料中心的安全，外部稽核機構會針對超過 2,600 項的標準和規定進行全年度的測試。這種獨立檢查有助於確保持續符合安全標準，甚至超越標準。因此，全世界最高度管制的組織都信任 AWS 可保護他們的資料。
  

  觀看虛擬教學 » ，進一步了解我們如何有計劃的保護 AWS 資料中心
  

• 我可以使用哪些 AWS 區域？

  客戶可以選擇使用任一區域、所有區域或任意區域組合，包括巴西和美國的區域。如需 AWS 區域的完整清單，請瀏覽 AWS 全球基礎設施頁面。

• 阿根廷資料保護機構已確定某些國家/地區為個人資料提供「充分保護等級」。AWS 是否在這些國家/地區中擁有區域？

  根據 PDPL，資料控制者 (即 AWS 客戶) 可以將個人資料傳輸到已經為個人資料提供「充分保護等級」的管轄區域 (由 ADPA 認定)。根據 ADPA 頒佈的處分 60-E/2016，歐盟 (EU) 和歐洲經濟共同體 (EEC) 的成員國被認定為已經為個人資料提供充分保護等級。

  AWS 在 ADPA 已判定根據 PDPL 提供「充分保護等級」的許多國家/地區都設有區域，例如歐盟的德國、法國、英國和愛爾蘭。如需 AWS 區域的完整清單，請瀏覽 AWS 全球基礎設施頁面。

  無論您選擇哪個區域，AWS 都會將相同的安全標準套用至其資料中心。
  

• AWS 提供哪些國際性資料傳輸協議來保護傳輸至任何國家/地區 (包括巴西和美國) 的個人資料？

  AWS 在與客戶簽訂的協議中做出具體的安全和隱私承諾，全面適用於客戶選擇存放其資料的每個區域中的客戶內容。AWS 所做的承諾與 PDPL、處分 60-E/2016 和 PDPL 下的第 47/2018 號決議的目標一致，都是在保護個人資料。

  AWS 也提供一份國際性資料處理增補合約 (DPA)，也稱為資料傳輸合約，該增補合約適用於全球，且包括具體的合約承諾，以在個人資料的隱私和安全方面，充分解決各方的角色和義務。

  客戶還可以選擇與 AWS 簽訂企業合約，該合約可進一步量身設計以滿足特定客戶的需求。如需 AWS 企業合約或 DPA 的其他資訊，請聯絡您的 AWS 銷售代表。