加拿大資料隱私權

概觀

AWS 客戶可設計和實作 AWS 環境，並以符合加拿大聯邦、省和地區隱私權法規的方式使用 AWS 服務。

客戶永遠可決定如何管理和存取其存放在 AWS 的內容。AWS 無法得知客戶上傳至其服務的內容，也無法得知該資料是否需受加拿大隱私權法規的規範，因此客戶需負責確保其本身符合加拿大隱私權法規的規範。

AWS 資料處理增補合約 (AWS Data Processing Addendum, AWS DPA)，也稱為資料傳輸合約，該增補合約適用於全球，且包括具體的合約承諾，以在個人資料的隱私權和安全方面，充分解決各方的角色和義務。

加拿大有多部個人資訊保護相關法律。這些法律由聯邦、省和地區各級政府組織和機構負責執行。

在聯邦層面，《個人資訊保護和電子文件法》(Personal Information Protection and Electronic Documents Act, PIPEDA) 可適用於私部門的個人資訊收集、使用和披露，《隱私法》可適用於公部門。加拿大個人資料私隱專員公署 (Office of the Privacy Commissioner of Canada, OPC) 負責監督這兩部法律的執行。

加拿大省分和領地也會針對公部門和私部門採用專屬的隱私權法規，以及特定類型資訊專屬的隱私權法規，例如個人健康資訊。這些省和地區的法律和授權可於 OPC 網站查詢概述。

對於希望在加拿大處理其資料的客戶，可選擇蒙特羅附近的 AWS 加拿大 (中部) 地區和卡加利附近的加拿大 (西部) 地區。如需 AWS 區域和服務的完整清單，請瀏覽全球基礎架構頁面。

常見問答集

• 客戶如何判斷哪些加拿大隱私權法規適用於他們的使用案例？

  AWS 客戶是否受 PIPEDA、《隱私法》或任何其他加拿大隱私權法規規範，以及規範的範圍為何，可能因客戶的業務和使用案例而異。客戶應向其法律顧問諮詢，以了解自身需遵循的隱私權法規。

• 客戶如何在 AWS 上遵守加拿大隱私權法規？

  受加拿大隱私權法規規範的客戶可能必須遵守與個人資訊之收集、存取、使用、披露和保護有關的各項規定。AWS 讓客戶自行控制使用 AWS 服務時其內容的存放或處理方式，包括控制保護內容安全的方式以及可存取該內容的對象。客戶可設定和使用 AWS 提供的服務來協助保護其存放在 AWS 中的個人資訊安全，並且應自行負責設計符合適用隱私權法規的解決方案架構。

  AWS 在 AWS 合規資源頁面中提供工作手冊、白皮書和最佳實務指南，而且客戶可隨需存取 AWS Artifact 的 AWS 第三方稽核報告。

• 是否有加拿大隱私權法規禁止 AWS 客戶在加拿大以外地方傳輸或儲存個人資料？

  客戶應自行諮詢法律顧問，以確定適用於其組織和使用案例的加拿大隱私權法規或其他義務。

• 是否有加拿大隱私權法規要求個人資訊必須受到加密？

  受加拿大隱私權法規規範的實體必須採取各項措施以保護個人資訊，每位客戶都有責任確定為了履行其安全義務，加密是否為必要。

  AWS 建議最好的做法是，由客戶加密靜態資料和傳輸中的資料。如需其他指引，請參閱加密靜態資料和傳輸中資料。

• 在保護客戶 AWS 上的內容方面，客戶所扮演的角色為何？

  當評估雲端解決方案的安全時，客戶需要特別了解下列項目並分辨其中的差別：

  • AWS 實作和操作的安全措施 –「雲端本身的安全」；以及
  • 客戶實作和操作的安全方法，這與利用 AWS 服務的內容與應用程式安全有關 –「雲端內部的安全」。

  

  根據 AWS 共同責任模式，AWS 客戶可以控制要實作何種安全措施來保護自己的內容、平台、應用程式、系統和網路，這與他們對現場資料中心內的應用程式的具體操作並無不同。除了 AWS Identity and Access Management (IAM) 等 AWS 安全服務和功能之外，客戶也可使用熟悉的安全措施來保護他們的資料並遵循合規需要，例如加密和多重因素認證。

• 誰可以存取 AWS 上的客戶內容？

  客戶保有其客戶內容的擁有權和控制權，並可選取由哪些 AWS 服務處理、存放和託管其客戶內容。AWS 不會存取或使用客戶內容，除非需要進行必要維護，或是向客戶提供其選擇的 AWS 服務，或需要遵守法律或政府機構的約束性命令 (例如 AWS 客戶協議中的規定)。

  使用 AWS 服務的客戶可以在 AWS 環境中保有其內容的控制權。他們可以：

  • 決定要放置的位置，例如選取儲存環境的類型和儲存環境所處的地理位置；
  • 控制其內容的格式，例如純文字、遮罩、匿名或加密、使用 AWS 提供的加密或客戶選擇的第三方加密機制；
  • 管理存取控制，例如 AWS Identity and Access Management (IAM) ；以及
  • 控制是否使用加密、虛擬私有雲端 (VPC) 功能和其他網路和資料安全措施來防止未經授權的存取。

  這可讓 AWS 客戶在 AWS 上控制其內容的整個生命週期，並根據特定需求管理其內容，包括內容分類、存取控制、保留和刪除。

• 客戶內容存放在哪裡？

  AWS 全球基礎設施給予您選擇工作負載執行方式和位置的彈性。客戶可以選擇要存放客戶內容的 AWS 區域，根據您的特定需求，在選擇的位置部署 AWS 服務。如果您想要探索我們的靈活儲存選項，請參閱 AWS 區域網頁。

  您可在一個以上 AWS 區域複寫和備份客戶內容。除非在為遵守法律或政府機構具有約束力的指令所需，否則未經您同意，我們不會將您的內容移出到您所選擇的 AWS 區域以外的的地方。但是，有一點需注意的是，並非所有 AWS 區域均提供所有 AWS 服務。如需有關 AWS 區域可用服務的詳細資訊，請參閱 AWS 區域服務網頁。

• AWS 採取了哪些安全措施來保護系統？

  AWS 的架構設計堪稱最安全的全球雲端基礎設施，可用於建置、遷移和管理應用程式和工作負載。這個基礎設施是由執行 AWS 服務的硬體、軟體、網路和設施組成，可為客戶提供強大的控制，包括安全組態控制，以便處理個人資料。

  AWS 提供多個第三方稽核員的合規報告，這些稽核員已測試並驗證我們對於各項安全標準的合規 (包括 SOC 2 Type 2、ISO 27001、ISO 27017 和 ISO 27018)。在加拿大，AWS 服務也會受到加拿大網路安全中心的評估。

  為了對這些措施的有效性提供透明度，我們提供 AWS Artifact 內第三方稽核報告的存取權。這些報告向我們的客戶展現我們充分保護了他們用來存放和處理個人資料的底層基礎設施。如需詳細資訊，請參閱我們的合規資源。

• AWS 如何保護其資料中心？

  AWS 資料中心安全策略與可擴展的安全控制和多層防禦相結合，有助於保護您的資訊。例如，AWS 會謹慎地管理潛在的洪水和地震活動風險。我們使用實體屏障、安全保護、威脅偵測技術和深入篩選流程來限制對資料中心的存取。我們會備份自己的系統、定期測試設備和流程，並持續訓練 AWS 員工為突發事件做好準備。

  為了驗證我們資料中心的安全，外部稽核機構會針對超過 2,600 項的標準和規定進行全年度的測試。這樣的獨立檢查有助於確保持續符合安全標準，甚至超越標準。因此，全世界最高度管制的組織都信任 AWS 可保護他們的資料。

  觀看虛擬教學，進一步了解我們如何有計劃的保護 AWS 資料中心。