澳洲資料隱私權

概觀

1988 年澳洲隱私權法案 (Cth) 中的 澳洲隱私權原則 (APP)，制訂了收集、管理、因應、使用、公開及處理個人資訊的各項規定。APP 制訂資料保護原則以保護個人隱私權。

AWS 十分重視您的隱私和資料安全。AWS 從核心基礎設施開始便重視安全。我們的基礎設施專為雲端進行客製化且符合全球最嚴格的安全規定，透過全天候的監控以確保客戶資料的機密性、完整性和可用性。監控此基礎設施的同一批世界級安全專家也負責建立和維護我們的各種創新安全服務，這些服務能協助您符合自身安全與監管需求。作為 AWS 客戶，無論您的規模大小或位於何處，都可以延續我們的經驗所帶來的一切優點，並根據最嚴格的第三方保證架構進行測試。

AWS 在全球認可的安全保證架構和認證下，實施和維護適用於 AWS 雲端基礎設施服務的技術和組織安全措施，包括 IRAP、ISO 27001、ISO 27017、ISO 27018、PCI DSS 第 1 級 和 SOC 1、2 和 3。這些技術和組織安全措施由獨立的第三方評估機構驗證，旨在防止未經授權存取或披露客戶內容。

例如，ISO 27018 是第一個專為保護雲端個人資料而成立的國際性作業標準。它的根據是 ISO 資訊安全標準 27002，並提供公有雲端服務提供者處理的個人身分識別資訊 (PII) 適用的 ISO 27002 控制實作指導。其向客戶展現 AWS 擁有一套控制系統，專門處理其內容的隱私權保護。

這些全面的 AWS 技術和組織措施符合 APP 保護個人資料的目標。使用 AWS 服務的客戶可以保有其內容的控制權，並負責根據其特定需求而實作其他安全措施，包括內容分類、加密、存取管理和安全登入資料。

由於 AWS 無法看見或得知客戶上傳到其網路的內容，包括該資料是否需受隱私權法案規範，因此客戶須負起遵守隱私權法案和相關法規的最終責任。當您使用 AWS 服務存放和處理個人資料時，此頁面的內容可補充現有資料隱私權資源的不足之處，協助您的個人需求與 AWS 共同的責任模型保持一致。

• 在保護客戶內容方面，客戶所扮演的角色為何？

  根據 AWS 共同的責任模型，AWS 客戶可以控制要實作何種安全措施來保護自己的內容、平台、應用程式、系統和網路，這與他們對現場資料中心內的應用程式的具體操作並無不同。客戶可以利用 AWS 提供的技術、組織安全措施以及各種控制功能來管理自己的合規需求。除了 AWS Identity and Access Management 等 AWS 安全功能之外，客戶也可使用熟悉的安全措施來保護他們的資料，例如加密和多重因素認證。

  當評估雲端解決方案的安全時，客戶需要特別了解下列項目並分辨其中的差別：

  • AWS 實作和操作的安全措施 –「雲端本身的安全」，以及
  • 客戶實作和操作的安全措施，這與利用 AWS 服務的內容與應用程式安全有關 –「雲端內部的安全」

  

• 誰可以存取客戶內容？

  客戶保有其客戶內容的擁有權和控制權，並可選取由哪些 AWS 服務處理、存放和託管其客戶內容。除了提供客戶選擇的 AWS 服務或者需要遵守法律或具有約束力的法律命令之外，AWS 並無法查看客戶內容，也不會存取或使用客戶內容。

  使用 AWS 服務的客戶可以在 AWS 環境中保有其內容的控制權。他們可以：

  • 決定要放置的位置，例如儲存環境的類型和儲存環境所處的地理位置。
  • 控制該內容的格式，例如純文字、遮罩、匿名或加密、使用 AWS 提供的加密或客戶選擇的第三方加密機制。
  • 管理其他存取控制，例如身份與存取管理以及安全登入資料。
  • 控制是否使用 SSL、Virtual Private Cloud 和其他網路安全措施來防止未經授權的存取。

  這可讓 AWS 客戶在 AWS 上控制其內容的整個生命週期，並根據自己的特定需求管理其內容，包括內容分類、存取控制、保留和刪除。

• 客戶內容存放在哪裡？

  借助 AWS 全球基礎設施，您可以靈活選擇執行工作負載的方式和位置，並且這麼做的時候使用的是相同的網路、控制平面、API 和 AWS 服務。如果您想在全球範圍內執行應用程式，則可以從任何 AWS 區域和可用區域中進行選擇。客戶可以選擇要存放客戶內容的 AWS 區域，根據您的特定地理需求，在選擇的位置部署 AWS 服務。例如，如果位於澳大利亞的 AWS 客戶想要僅將其資料放在澳大利亞，可以選擇將 AWS 服務全都部署在亞太區域 (雪梨) AWS 區域。如果您想要探索其他靈活的儲存選項，請參閱 AWS 區域網頁。
  

  您可在一個以上 AWS 區域複寫和備份客戶內容。除非在為遵守法律或政府機構具有約束力的指令所需，否則未經您同意，我們不會將您的內容移出或複寫到您所選擇的 AWS 區域以外的的地方。但是，有一點需注意的是，並非所有 AWS 區域均提供所有 AWS 服務。如需有關 AWS 區域可用服務的詳細資訊，請參閱 AWS 區域服務網頁。
  

• AWS 如何保護其資料中心？

  AWS 資料中心安全策略與可擴展的安全控制和多層防禦相結合，有助於保護您的資訊。例如，AWS 會謹慎地管理潛在的洪水和地震活動風險。我們使用實體屏障、安全保護、威脅偵測技術和深入篩選流程來限制對資料中心的存取。我們會備份自己的系統、定期測試設備和流程，並持續訓練 AWS 員工為突發事件做好準備。

  為了驗證我們資料中心的安全，外部稽核機構會針對超過 2,600 項的標準和規定進行全年度的測試。這種獨立檢查有助於確保持續符合安全標準，甚至超越標準。因此，全世界最高度管制的組織都信任 AWS 可保護他們的資料。

  觀看虛擬教學 » ，進一步了解我們如何有計劃的保護 AWS 資料中心

• 我可以使用哪些 AWS 區域？

  客戶可以選擇使用任何一個區域、所有區域或是任意區域組合。如需 AWS 區域的完整清單，請瀏覽 AWS 全球基礎設施頁面。

• AWS 採取了哪些安全措施來保護系統？

  AWS 雲端基礎設施旨在建構現今最靈活且最安全的雲端運算環境。以 Amazon 的規模，在安全政策和對策方面所投入的資金遠高於幾乎任何其他大公司可自行負擔的程度。這個基礎設施是由執行 AWS 服務的硬體、軟體、網路和設施組成，可為客戶和 APN 合作夥伴提供強大的控制，包括安全組態控制，以便處理個人資料。 

  AWS 也提供多個第三方稽核員的合規報告，這些稽核員已測試並驗證我們對於各項安全標準和法規的合規 (包括 ISO 27001、ISO 27017 和 ISO 27018)。為了對這些措施的有效性提供透明度，我們提供 AWS Artifact 內第三方稽核報告的存取權。這些報告向我們的客戶和可能做為資料控制者或資料處理者的 APN 合作夥伴，展現我們正在保護他們用來存放和處理個人資料的底層基礎設施。如需詳細資訊，請參閱我們的合規資源。
  

• 澳洲的資料洩露通報 (NDB) 制度是怎樣的？

  AWS 向受《1988 年澳洲隱私權法》(Cth) 約束，並使用 AWS 來存放和處理 NDB 制度所涵蓋個人資料的客戶提供兩種類型的澳洲資料洩露通報 (ANDB) 附錄。如果安全事件影響客戶的資料，ANDB 附錄可滿足客戶的通報需求。AWS 已將兩種類型的 ANDB 附錄作為 AWS Artifact (可從 AWS 管理主控台存取的、面向客戶的稽核與合規入口網站) 中的點擊式協議在線上提供。第一種類型，即帳戶 ANDB 附錄，僅適用於接受帳戶 ANDB 附錄的特定個人帳戶。針對客戶需要涵蓋的每個 AWS 帳戶，必須單獨接受帳戶 ANDB 附錄。第二種類型，即組織 ANDB 附錄，一旦被 AWS Organizations 中的主帳戶接受，則適用於該主帳戶及該 AWS Organization 中的所有成員帳戶。如果客戶不需要或不想利用組織 ANDB 附錄，則他們仍然可以接受個別帳戶的帳戶 ANDB 附錄。可前往 AWS Artifact 常見問答集，在線上瀏覽 ANDB 附錄常見問答集。