資料隱私權常見問答集

概觀

在 AWS,客戶信任是我們最優先的考量。我們提供各種服務給數百萬位有效客戶,包括位於 240 多個國家和地區的企業、教育機構及政府機構。我們的客戶包含金融服務提供者、醫療保健提供者及政府機構,這些客戶信任我們並將一些極敏感資訊交由我們管理。

我們深知客戶非常在乎隱私權與資料安全。這就是為什麼 AWS 透過簡單、強大的工具,允許您決定存放內容的位置、保護傳輸中和靜態內容的安全,以及管理使用者對 AWS 服務和資源的存取,讓您完全擁有及控制您的內容。我們也實作負責且複雜的技術與實體控制措施,旨在防止未經授權的存取或揭露您的內容。

AWS 持續監控進化的隱私權法規和法律前景,以識別變更並確認客戶依據所使用的應用程式,為了合規需求可能需要的工具。我們建議客戶和 APN 合作夥伴如果有關於 AWS 和資料保護法規方面的問題,請先聯繫他們的 AWS 客戶經理。如果客戶已經註冊企業支援,他們也可以聯繫他們的技術客戶經理 (TAM)。TAM 與解決方案架構師合作協助客戶找出潛在的風險和可能的補救措施。TAM 和客戶團隊還可以根據客戶的環境和需求,為客戶和 APN 合作夥伴提供特定的資源。AWS 並沒有提供法律顧問的立場,我們建議客戶,如果有法律方面的問題應諮詢其法律顧問。

維持客戶信任是持續不斷的承諾。我們致力於讓您了解我們實行的隱私權及資料安全政策、實務和技術。這些承諾包括:

  • 存取:身為客戶的您保有內容和責任完全控制,以設定 AWS 服務和資源的存取權。我們提供一組進階的存取權、加密和記錄功能,可協助您有效地管理 (例如:AWS Identity and Access Management、AWS Organizations 和 AWS CloudTrail)。我們提供 API,讓您對所有在 AWS 環境中開發或部署的服務設定控制權限。未經您的同意,我們不會出於任何目的存取或使用您的內容。我們絕不會將您的內容或從中衍生的資訊使用在行銷或廣告用途。
  • 儲存:由您選擇要存放內容的 AWS 區域和儲存類型。您可在一個以上 AWS 區域複寫和備份內容。除非在為遵守法律或政府機構具有約束力的指令所需,否則未經您同意,我們不會將您的內容移出或複寫到您所選擇的 AWS 區域以外的的地方。
  • 安全性:由您選擇保護內容的方式。我們針對傳輸中和靜態內容提供強式加密,並提供讓您管理自己加密金鑰的選項。這些資料保護功能包括:
  • 客戶內容的披露:除非為遵守法律或具有法律約束力的政府機構命令所需,否則我們不會披露客戶內容。若政府機構向 AWS 傳送客戶內容需求,我們會嘗試重新導向該政府機構以直接向客戶請求該資料。若強制要求向政府機構披露客戶內容,我們會向客戶提供合理的需求通知,以允許客戶尋求保護令或其他適當的補救措施,除非法律上禁止 AWS 這樣做。
  • 安全保證:我們開發了採用全球隱私權和資料保護最佳實務的安全保證計劃,協助您在 AWS 中安全地運作,並善加利用我們的安全控制環境。這些安全防護與控制程序是經由多重第三方獨立評估進行獨立驗證。
  • AWS 如何分類客戶資料?

    AWS 將客戶資料分為兩類:客戶內容帳戶資訊

    我們將客戶內容定義為客戶或任何最終使用者傳送給我們以交由 AWS 服務處理、儲存或託管的軟體 (包括機器映像)、資料、文字、音訊、視訊或影像,以及客戶或任何最終使用者經由使用 AWS 服務而從前述項目衍生的客戶帳戶及任何計算結果。例如,客戶內容包含客戶或任何最終使用者存放在 Amazon Simple Storage Service (S3) 中的內容。客戶內容不包含以下描述的帳戶資訊。AWS 客戶協議AWS 服務條款的條款適用於您的客戶內容。

    我們將帳戶資訊定義為客戶提供給我方與建立或管理客戶帳戶相關的客戶資訊。例如,帳戶資訊包含與客戶帳戶相關的名稱、使用者名稱、電話號碼、電子郵件地址及帳單資訊。AWS 隱私權聲明中描述的資訊實務適用於帳戶資訊。

  • 誰擁有客戶內容?

    身為客戶,您保有自己內容的擁有權,由您選擇可處理、存放及託管內容的 AWS 服務。未經您的同意,我們不會出於任何目的存取或使用您的內容。我們絕不會將客戶內容或從中衍生的資訊使用在行銷或廣告用途。

  • 誰負責控制客戶內容?

    客戶內容由客戶自行控制。

    • 您內容的存放位置由您決定,包括儲存的類型與該儲存的地理區域。

    • 您內容的保護狀態由您選擇。我們針對傳輸中和靜態內容為客戶提供強式加密,並提供讓您管理自己加密金鑰的選項。

    • 由您管理對您內容的存取,以及透過您控管的使用者、群組、許可和登入資料對 AWS 服務和資源的存取。

  • 在我的帳戶資訊方面呢?

    AWS 隱私權聲明描述我們如何收集和使用帳戶資訊。我們知道您在乎帳戶資訊的使用方式,並且感謝您信任我們將會謹慎且明智地使用。

  • 我們極為重視客戶的隱私權。除非為遵守法律或具有法律約束力的政府機構命令所需,否則我們不會披露客戶內容。若政府機構向 AWS 傳送客戶內容需求,我們會嘗試重新導向該政府機構以直接向客戶請求該資料。若強制要求向政府機構披露客戶內容,我們會向客戶提供合理的需求通知,以允許客戶尋求保護令或其他適當的補救措施,除非法律上禁止 AWS 這樣做。政府和法規團體需要按照相關法律程序取得法律效力和法律約束力。我們審視並且反對所有法律命令的濫用或其他不適當的用途。除非法律禁止,否則 AWS 會在揭露客戶內容前先通知客戶,使他們能在揭露前採取保護措施。值得一提的是,客戶可以加密自己的客戶內容,而且我們為客戶提供管理自己的加密金鑰選項。

    我們深知客戶在乎公開透明,因此會定期在 Amazon 資訊申請網頁發布關於收到的資訊申請類型和數量報告。

  • 客戶內容存放在哪裡?

    AWS 資料中心建置於全球多個 AWS 區域的叢集中。客戶可以選擇要存放客戶內容的 AWS 區域,根據您的特定地理需求,在選擇的位置部署 AWS 服務。例如,如果位於澳大利亞的 AWS 客戶想要確保其資料只會放在澳大利亞,可以選擇將 AWS 服務全都部署在亞太區域 (雪梨) AWS 區域。

    您可以將客戶內容在一個以上的 AWS 區域進行複寫與備份,除非您變更 AWS 區域選擇,否則我們不會將您的客戶內容移動或複寫到您所選的 AWS 區域以外。但是,有一點需注意的是,並非所有 AWS 區域均提供所有 AWS 服務。如需有關 AWS 區域的詳細資訊,請參閱 AWS 全球基礎設施網頁。如需有關 AWS 區域可用服務的詳細資訊,請參閱 AWS 區域網頁。

  • 在保護我的內容方面,我扮演著什麼角色?

    評估雲端解決方案的安全性時,您需要特別了解雲端本身的安全和雲端內部的安全,並分辨其中的差異。雲端本身的安全包含 AWS 實作和操作的安全措施,由我們負責雲端本身的安全。雲端內部的安全包含與使用的 AWS 服務有關所實作和操作的安全措施,雲端內部的安全由您負責。

    Shared_Responsibility_Model_V2
  • AWS 採取哪些步驟來保護我的隱私權?

    AWS 符合 ISO 27018,這是一項著重於保護雲端個人資料的作業標準。 它擴展了 ISO 資訊安全標準 27001 以涵蓋公有雲端運算環境的 PII 保護法規要求,並根據適用於公有雲端服務供應商處理的個人可識別資訊 (PII) 的 ISO 27002 控制規定了實作指導。如需詳細資訊或檢視 AWS ISO 27018 認證,請參閱 AWS ISO 27018 合規網頁。

    此外,AWS 還根據 SOC 2 隱私權信託原則發佈了 SOC 2 隱私權 I 類報告,此原則由美國註冊會計師協會 (AICPA) 制訂,針對個人資訊的收集、使用、保留、披露和處置等等,制定各種評估和管控標準,以維護當事人的權益。AWS SOC 2 隱私權 I 類報告為我們的系統以及我們的隱私權控制設計的適用性提供第三方證明,如我們的隱私權聲明所述。隱私權報告的範圍包括我們如何處理您上傳至 AWS 上的內容,以及此內容在最新 AWS SOC 報告範圍內的所有服務和位置中如何受到保護的資訊。您可以透過 AWS 管理主控台中的 AWS Artifact 下載 SOC 2 I 類隱私權報告。

compliance-contactus-icon
有問題? 聯絡 AWS 業務代表
探索合規職缺?
立即申請 »
需要 AWS 合規更新?
在 Twitter 上關注我們 »