資料隱私權常見問答集
在 AWS,客戶信任是我們最優先的考量。AWS 持續監控進化的隱私權法規和法律前景,以識別變更並確認客戶為了合規需求可能需要的工具。維持客戶信任是持續不斷的承諾。我們致力於讓您了解我們實行的隱私權及資料安全政策、實務和技術。我們的承諾包括:
- 存取:身為客戶的您,可完全控制上傳至 AWS 服務中您的 AWS 帳戶下的內容,且負責設定 AWS 服務和資源的存取權。我們提供一組進階的存取權、加密和記錄功能,可協助您有效地管理 (例如:AWS Identity and Access Management、AWS Organizations 和 AWS CloudTrail)。我們提供 API,讓您對所有在 AWS 環境中開發或部署的服務設定控制權限。未經您的同意,我們不會出於任何目的存取或使用您的內容。我們絕不會將您的內容或從中衍生的資訊用於行銷或廣告。
- 儲存:由您選擇要存放內容的 AWS 區域。您可在一個以上 AWS 區域複寫和備份內容。除非取得您的同意,否則我們不會將您的內容移動或複寫到您選擇的 AWS 區域之外。
- 安全性:由您選擇保護內容的方式。我們提供產業領先的加密功能來保護您傳輸中和靜態的內容,並提供讓您管理自己加密金鑰的選項。這些資料保護功能包括:
- 在 100 多種 AWS 服務中可用的資料加密功能。
- 使用 AWS Key Management Service (KMS) 的彈性金鑰管理選項,可讓客戶選擇 AWS 管理加密金鑰或由客戶完全自行控管自己的金鑰。
- 客戶內容的披露:除非為遵守法律或具有法律約束力的政府機構命令所需,否則我們不會披露客戶內容 (請參閱下面的「AWS 如何將客戶資訊分類?」部分)。若政府機構向 AWS 索要您的客戶內容,我們會嘗試讓該政府機構直接向您索要相關資料。若政府機構強制要求我們披露您的客戶內容,我們會就此向您提供合理的通知,以讓您能夠尋求保護令或其他適當的補救措施,除非法律上禁止 AWS 這樣做。
- 安全保證:我們開發了採用全球隱私權和資料保護最佳實務的安全保證計劃,協助您在 AWS 中安全地運作,並善加利用我們的安全控制環境。這些安全防護與控制程序是經由多重的第三方獨立評估進行獨立驗證。
-
什麼是客戶內容?
-
什麼是帳戶資訊?
我們將帳戶資訊定義為客戶提供給我方與建立或管理客戶帳戶相關的客戶資訊。例如,帳戶資訊包含與客戶帳戶相關的名稱、使用者名稱、電話號碼、電子郵件地址及帳單資訊。AWS 隱私權聲明中描述的資訊實務適用於帳戶資訊。
-
誰擁有客戶內容?
身為客戶,您的客戶內容由您擁有,由您選擇可處理、存放及託管客戶內容的 AWS 服務。未經您的同意,我們不會出於任何目的存取或使用您的客戶內容。我們不會將客戶內容或從中衍生的資訊使用在行銷或廣告用途。
-
誰負責控制客戶內容?
身為客戶,您的內容由您擁有:
- 您的客戶內容的存放位置由您決定,包括儲存的類型與該儲存的地理區域。
- 您的客戶內容的保護狀態由您選擇。我們為客戶提供產業領先的加密功能來保護您傳輸中和靜態的內容,並提供讓您管理自己加密金鑰的選項。
- 由您管理對您的客戶內容的存取,以及透過您控管的使用者、群組、許可和憑證對 AWS 服務和資源的存取。
-
你們如何使用我的帳戶資訊?
AWS 隱私權聲明描述我們如何收集和使用帳戶資訊。我們知道您在乎帳戶資訊的使用方式,並且感謝您信任我們將會謹慎且明智地使用。
-
AWS 收到關於客戶內容的法律要求時,會發生什麼情況?
我們極為重視客戶的隱私權。除非為遵守法律或具有法律約束力的政府機構命令所需,否則我們不會披露客戶內容。若政府機構向 AWS 傳送客戶內容需求,我們會嘗試重新導向該政府機構以直接向客戶請求該資料。政府和法規團體需要按照相關法律程序取得法律效力和法律約束力。我們審視並且反對所有法律命令的濫用或其他不適當的用途。若強制要求向政府機構披露客戶內容,我們會向客戶提供合理的需求通知,以允許客戶尋求保護令或其他適當的補救措施,除非法律上禁止 AWS 這樣做。值得一提的是,客戶可以加密自己的客戶內容,而且我們為客戶提供管理自己的加密金鑰選項。
我們深知客戶在乎公開透明,因此會定期在 Amazon 資訊申請網頁發布關於收到的資訊申請類型和數量報告。
-
客戶內容存放在哪裡?
借助 AWS 全球基礎設施,您可以靈活選擇執行工作負載的方式和位置,並且這麼做的時候使用的是相同的網路、控制平面、API 和 AWS 服務。如果您想在全球範圍內執行應用程式,則可以從任何 AWS 區域和可用區域中進行選擇。客戶可以選擇要存放客戶內容的 AWS 區域,根據您的特定地理需求,在選擇的位置部署 AWS 服務。例如,如果位於澳大利亞的 AWS 客戶想要僅將其資料放在澳大利亞,可以選擇將 AWS 服務全都部署在亞太區域 (雪梨) AWS 區域。如果您想要探索其他靈活的儲存選項,請參閱 AWS 區域網頁。
您可在一個以上 AWS 區域複寫和備份客戶內容。除非在為遵守法律或政府機構具有約束力的指令所需,否則未經您同意,我們不會將您的內容移出或複寫到您所選擇的 AWS 區域以外的的地方。但是,有一點需注意的是,並非所有 AWS 區域均提供所有 AWS 服務。如需有關 AWS 區域可用服務的詳細資訊,請參閱 AWS 區域服務網頁。
-
在保護我的內容方面,我扮演著什麼角色?
評估雲端解決方案的安全性時,您需要特別了解雲端本身的安全和雲端內部的安全,並分辨其中的差異。雲端本身的安全包含 AWS 實作和操作的安全措施,由我們負責雲端本身的安全。雲端內部的安全包含與使用的 AWS 服務有關所實作和操作的安全措施,雲端內部的安全由您負責。如需詳細資訊,請參閱 AWS 共同的責任網頁。
-
AWS 採取哪些步驟來保護我的隱私權?
在 AWS,我們的首要任務是保護客戶的資料,無論客戶選擇的是哪個 AWS 區域,我們都實施嚴格的合約技術和組織措施,來保護其保密性、完整性和可用性。
AWS 符合 ISO 27018,這是一項著重於保護雲端個人資料的作業標準。 它擴展了 ISO 資訊安全標準 27001 以涵蓋公有雲端運算環境的 個人可識別資訊 (PII) 或個人資料保護法規要求,並根據適用於公有雲端服務供應商處理的的 PII ISO 27002 控制規定了實作指導。如需詳細資訊或檢視 AWS ISO 27018 認證,請參閱 AWS ISO 27018 合規網頁。
此外,AWS 還根據 SOC 2 隱私權信任標準發佈了 SOC 2 隱私權 II 類報告,此原則由美國註冊會計師協會 (AICPA) 制訂,針對個人資料的收集、使用、保留、披露和處置等等,制定各種評估和管控標準,以維護當事人的權益。AWS SOC 2 隱私權 II 類報告為我們的系統以及我們的隱私權控制設計的適用性提供第三方證明,如我們的隱私權聲明所述。隱私權報告的範圍包括我們如何處理您上傳至 AWS 上的內容,以及此內容在最新 AWS SOC 報告範圍內的所有服務和位置中如何受到保護的資訊。您可以透過 AWS 管理主控台中的 AWS Artifact 下載 SOC 2 II 類隱私權報告。
-
如果我有關於 AWS 和資料保護方面的問題,我應該聯絡誰?
我們建議客戶如果有關於 AWS 和資料保護方面的問題,請聯繫他們的 AWS 客戶經理。如果客戶已經註冊企業支援,他們也可以聯繫他們的技術客戶經理 (TAM) 尋求支援。AWS 客戶經理和 TAM 與解決方案架構師合作,協助客戶滿足其合規需求。AWS 並沒有提供法律建議給客戶,我們建議客戶,如果有資料保護相關的法律問題,應諮詢其法律顧問。
我們還擁有企業支援代表團隊、專業服務諮詢師和其他人員,可協助處理與隱私權有關的問題。有疑問請在此處聯絡我們。
-
AWS 如何使用資源識別符中包含的資訊,以及與 AWS 資源管理相關的其他項目?
AWS 使用該資訊來提供 AWS 服務,並保護和改善客戶體驗。例如,AWS 使用資源識別符來協助客戶產生成本和用量報告,該報告可用於依成本中心細分 AWS 支出,並使用 IAM 許可來確定特定使用者是否可以購買預留執行個體。在客戶聯絡 AWS 尋求技術協助時,AWS 還可透過分析資源識別符和許可來協助解決他們的問題。
