資料隱私權常見問答集

在 AWS,客戶信任是我們最優先的考量。AWS 持續監控進化的隱私權法規和法律前景,以識別變更並確認客戶為了合規需求可能需要的工具。維持客戶信任是持續不斷的承諾。我們致力於讓您了解我們實行的隱私權及資料安全政策、實務和技術。我們的承諾包括:

  • 存取:身為客戶的您,可完全控制上傳至 AWS 服務中您的 AWS 帳戶下的內容,且負責設定 AWS 服務和資源的存取權。我們提供一組進階的存取權、加密和記錄功能,可協助您有效地管理 (例如:AWS Identity and Access ManagementAWS OrganizationsAWS CloudTrail)。我們提供 API,讓您對所有在 AWS 環境中開發或部署的服務設定控制權限。未經您的同意,我們不會出於任何目的存取或使用您的內容。我們絕不會將您的內容或從中衍生的資訊用於行銷或廣告。
  • 儲存:由您選擇要存放內容的 AWS 區域。您可在一個以上 AWS 區域複寫和備份內容。除非在為遵守法律或政府機構具有約束力的指令所需,否則未經您同意,我們不會將您的內容移出或複寫到您所選擇的 AWS 區域以外的的地方。
  • 安全性:由您選擇保護內容的方式。我們提供產業領先的加密功能來保護您傳輸中和靜態的內容,並提供讓您管理自己加密金鑰的選項。這些資料保護功能包括:
  • 客戶內容的披露:除非為遵守法律或具有法律約束力的政府機構命令所需,否則我們不會披露客戶內容。若政府機構向 AWS 傳送客戶內容需求,我們會嘗試重新導向該政府機構以直接向客戶請求該資料。若強制要求向政府機構披露客戶內容,我們會向客戶提供合理的需求通知,以允許客戶尋求保護令或其他適當的補救措施,除非法律上禁止 AWS 這樣做。
  • 安全保證:我們開發了採用全球隱私權和資料保護最佳實務的安全保證計劃,協助您在 AWS 中安全地運作,並善加利用我們的安全控制環境。這些安全防護與控制程序是經由多重的第三方獨立評估進行獨立驗證。
  • AWS 如何將客戶資訊分類?

    AWS 將客戶資訊分為兩類:客戶內容帳戶資訊

    我們將客戶內容定義為客戶或任何最終使用者傳送給我們以交由 AWS 服務處理、儲存或託管的軟體 (包括機器映像)、資料、文字、音訊、視訊或影像,以及客戶或任何最終使用者經由使用 AWS 服務而從前述項目衍生的客戶帳戶及任何計算結果。例如,客戶內容包含客戶或任何最終使用者存放在 Amazon Simple Storage Service (S3) 中的內容。客戶內容不包含以下描述的帳戶資訊。AWS 客戶協議AWS 服務條款的條款適用於您的客戶內容。

    我們將帳戶資訊定義為客戶提供給我方與建立或管理客戶帳戶相關的客戶資訊。例如,帳戶資訊包含與客戶帳戶相關的名稱、使用者名稱、電話號碼、電子郵件地址及帳單資訊。AWS 隱私權聲明中描述的資訊實務適用於帳戶資訊。

  • 誰擁有客戶內容?

    身為客戶,您保有自己內容的擁有權,由您選擇可處理、存放及託管內容的 AWS 服務。未經您的同意,我們不會出於任何目的存取或使用您的內容。我們絕不會將客戶內容或從中衍生的資訊使用在行銷或廣告用途。

  • 誰負責控制客戶內容?

    客戶內容由客戶自行控制。

    • 您內容的存放位置由您決定,包括儲存的類型與該儲存的地理區域。

    • 您內容的保護狀態由您選擇。我們為客戶提供產業領先的加密功能來保護您傳輸中和靜態的內容,並提供讓您管理自己加密金鑰的選項。

    • 由您管理對您內容的存取,以及透過您控管的使用者、群組、許可和登入資料對 AWS 服務和資源的存取。

  • 您如何使用我的帳戶資訊?

    AWS 隱私權聲明描述我們如何收集和使用帳戶資訊。我們知道您在乎帳戶資訊的使用方式,並且感謝您信任我們將會謹慎且明智地使用。

  • 我們極為重視客戶的隱私權。除非為遵守法律或具有法律約束力的政府機構命令所需,否則我們不會披露客戶內容。若政府機構向 AWS 傳送客戶內容需求,我們會嘗試重新導向該政府機構以直接向客戶請求該資料。政府和法規團體需要按照相關法律程序取得法律效力和法律約束力。我們審視並且反對所有法律命令的濫用或其他不適當的用途。若強制要求向政府機構披露客戶內容,我們會向客戶提供合理的需求通知,以允許客戶尋求保護令或其他適當的補救措施,除非法律上禁止 AWS 這樣做。值得一提的是,客戶可以加密自己的客戶內容,而且我們為客戶提供管理自己的加密金鑰選項。

    我們深知客戶在乎公開透明,因此會定期在 Amazon 資訊申請網頁發布關於收到的資訊申請類型和數量報告。

  • 客戶內容存放在哪裡?

    借助 AWS 全球基礎設施,您可以靈活選擇執行工作負載的方式和位置,並且這麼做的時候使用的是相同的網路、控制平面、API 和 AWS 服務。如果您想在全球範圍內執行應用程式,則可以從任何 AWS 區域和可用區域中進行選擇。客戶可以選擇要存放客戶內容的 AWS 區域,根據您的特定地理需求,在選擇的位置部署 AWS 服務。例如,如果位於澳大利亞的 AWS 客戶想要僅將其資料放在澳大利亞,可以選擇將 AWS 服務全都部署在亞太區域 (雪梨) AWS 區域。如果您想要探索其他靈活的儲存選項,請參閱 AWS 區域網頁。

    您可在一個以上 AWS 區域複寫和備份客戶內容。除非在為遵守法律或政府機構具有約束力的指令所需,否則未經您同意,我們不會將您的內容移出或複寫到您所選擇的 AWS 區域以外的的地方。但是,有一點需注意的是,並非所有 AWS 區域均提供所有 AWS 服務。如需有關 AWS 區域可用服務的詳細資訊,請參閱 AWS 區域服務網頁。

  • 在保護我的內容方面,我扮演著什麼角色?

    評估雲端解決方案的安全性時,您需要特別了解雲端本身的安全和雲端內部的安全,並分辨其中的差異。雲端本身的安全包含 AWS 實作和操作的安全措施,由我們負責雲端本身的安全。雲端內部的安全包含與使用的 AWS 服務有關所實作和操作的安全措施,雲端內部的安全由您負責。如需詳細資訊,請參閱 AWS 共同的責任網頁。

  • AWS 採取哪些步驟來保護我的隱私權?

    在 AWS,我們的首要任務是保護客戶的資料,無論客戶選擇的是哪個 AWS 區域,我們都實施嚴格的合約技術和組織措施,來保護其保密性、完整性和可用性。

    AWS 符合 ISO 27018,這是一項著重於保護雲端個人資料的作業標準。 它擴展了 ISO 資訊安全標準 27001 以涵蓋公有雲端運算環境的 個人可識別資訊 (PII) 或個人資料保護法規要求,並根據適用於公有雲端服務供應商處理的的 PII ISO 27002 控制規定了實作指導。如需詳細資訊或檢視 AWS ISO 27018 認證,請參閱 AWS ISO 27018 合規網頁。

    此外,AWS 還根據 SOC 2 隱私權信託原則發佈了 SOC 2 隱私權 I 類報告,此原則由美國註冊會計師協會 (AICPA) 制訂,針對個人資料的收集、使用、保留、披露和處置等等,制定各種評估和管控標準,以維護當事人的權益。AWS SOC 2 隱私權 I 類報告為我們的系統以及我們的隱私權控制設計的適用性提供第三方證明,如我們的隱私權聲明所述。隱私權報告的範圍包括我們如何處理您上傳至 AWS 上的內容,以及此內容在最新 AWS SOC 報告範圍內的所有服務和位置中如何受到保護的資訊。您可以透過 AWS 管理主控台中的 AWS Artifact 下載 SOC 2 I 類隱私權報告。

  • 如果我有關於 AWS 和資料保護方面的問題,我應該聯絡誰?

    我們建議客戶如果有關於 AWS 和資料保護方面的問題,請聯繫他們的 AWS 客戶經理。如果客戶已經註冊企業支援,他們也可以聯繫他們的技術客戶經理 (TAM) 尋求支援。AWS 客戶經理和 TAM 與解決方案架構師合作,協助客戶滿足其合規需求。AWS 並沒有提供法律建議給客戶,我們建議客戶,如果有資料保護相關的法律問題,應諮詢其法律顧問。

    我們還擁有企業支援代表團隊、專業服務諮詢師和其他人員,可協助處理與隱私權有關的問題。有疑問請在此處聯絡我們。

compliance-contactus-icon
有問題? 聯絡 AWS 業務代表
探索合規職缺?
立即申請 »
需要 AWS 合規更新?
在 Twitter 上關注我們 »