我想取得有關歐盟資料保護的資訊 »
  • 概觀

    EUAWSLogo

    在 AWS,客戶信任是我們最優先的考量。我們提供各種服務給數百萬位有效客戶,包括位於 190 多個國家的企業、教育機構及政府機構。我們的客戶包含金融服務提供者、醫療保健提供者及政府機構,這些客戶信任我們並將一些極敏感資訊交由我們管理。

    我們深知客戶非常在乎隱私權與資料安全。這就是為何 AWS 要設計簡單但功能強大的工具,讓客戶能夠決定內容的存放位置、保護傳輸中或靜態的內容,以及管理 AWS 服務和其使用者資源的存取權,藉此提供客戶對其內容的擁有權和控制權。我們也實作可信賴和複雜的技術與實體控制措施,旨在防止未經授權的存取或揭露客戶內容。

    維持客戶信任感是持續不斷的承諾,我們致力於讓客戶了解我們實行的隱私權及資料安全政策、實務和技術。這些承諾包括:

    • 存取:客戶管理其客戶內容與 AWS 服務與資源的存取權限。我們提供一組進階的存取權、加密和記錄功能,可協助您有效地管理 (例如 AWS CloudTrail)。未經客戶的同意,我們不會出於任何目的存取或使用客戶內容。
    • 儲存:客戶選擇要將其客戶內容存放在哪個區域。未經客戶同意,我們不會將客戶內容移出或複寫到客戶指定區域以外的地方。
    • 安全性:客戶選擇保護其客戶內容安全的方式。針對傳輸中或靜態的客戶內容,我們為客戶提供強式加密,並提供讓他們管理自己加密金鑰的選項。
    • 客戶內容揭露:除非為遵守法律或有效及具有法律約束力的政府或監察機構命令所需,否則我們不會揭露客戶內容。除非法條禁止,或有和使用 Amazon 產品或服務相關的明確法律行為指示,否則 Amazon 會在揭露客戶內容前先通知客戶,使他們能在揭露前採取保護措施。
    • 安全保證:我們使用全球隱私權與資料保護最佳實務開發了一個安全保證計劃,目的是協助客戶建立、操作和使用我們的安全控制環境。這些安全防護與控制程序是經由多重的第三方獨立評估進行獨立驗證。

    AWS 將客戶資料分為兩類:客戶內容與帳戶資訊。

    我們將客戶內容定義為客戶或任何最終使用者傳送給我們以交由 AWS 服務處理、儲存或託管的軟體 (包括機器映像)、資料、文字、音訊、視訊或映像,以及客戶或任何最終使用者經由使用 AWS 服務而從前述項目衍生的客戶帳戶及任何計算結果。例如,客戶內容包含客戶或任何最終使用者存放在 Amazon Simple Storage Service 中的內容。客戶內容不包含以下描述的帳戶資訊。AWS 客戶協議或其他與我方簽訂與 AWS 服務使用規範相關的客戶協議條款,均適用於您的客戶內容。

    我們將帳戶資訊定義為客戶提供給我方與建立或管理客戶帳戶相關的客戶資訊。例如,帳戶資訊包含與客戶帳戶相關的名稱、使用者名稱、電話號碼、電子郵件地址及帳單資訊。AWS 隱私權聲明中描述的資訊實務適用於帳戶資訊。

    客戶保有其客戶內容的擁有權,並可選取由哪些 AWS 服務處理、存放和託管其客戶內容。未經客戶的同意,我們不會出於任何目的存取或使用客戶內容。我們絕不會將客戶內容或從中衍生的資訊使用在行銷或廣告用途。

    客戶控制其客戶內容。使用 AWS,客戶可以:

    • 決定存放其客戶內容的位置,包括儲存的類型與該儲存的地理區域。

    • 選擇其客戶內容的安全狀態。針對傳輸中或靜態的客戶內容,我們為客戶提供強式加密,並提供讓他們管理自己加密金鑰的選項。

    • 透過客戶控制的使用者、群組、許可及登入資料,管理其客戶內容、AWS 服務及資源的存取權。

    我們知道客戶在乎帳戶資訊的使用方式,並且感謝客戶信任我們將會謹慎且明智地使用。AWS 隱私權聲明描述我們如何收集和使用帳戶資訊。

    我們極為重視客戶的隱私權。除非為遵守法律或有效及具有法律約束力的政府或監察機構命令所需,否則我們不會揭露客戶內容。政府與監察機構必須遵守適當的法律程序以取得有效和具有法律約束力的命令,而我們會審核所有命令,反對過於廣泛或不恰當的部分。除非法條禁止,或有和使用 Amazon 產品或服務相關的明確法律行為指示,否則 Amazon 會在揭露客戶內容前先通知客戶,使他們能在揭露前採取保護措施。值得一提的是,客戶可以加密自己的客戶內容,而且我們為客戶提供管理自己的加密金鑰選項。

    我們深知客戶在乎公開透明,因此會定期在此發佈關於收到的資訊要求類型和數量報告。

    客戶可選擇存放其客戶內容的區域,能夠根據其特定的地理需求,在其選擇的位置部署 AWS 服務。AWS 資料中心建置於全球多個區域的叢集中。

    例如,英國的 AWS 客戶可以選擇只將 AWS 服務部署在歐洲 (倫敦) 區域,並將其內容存放在英國境內。如果客戶這樣選擇,其客戶內容將位於英國。客戶可以在多個區域複寫和備份客戶內容,同時未經客戶同意,我們不會將客戶內容移到或複寫到客戶所選區域以外的地方。

    *並非所有區域均提供所有 AWS 服務。

    當評估雲端解決方案的安全時,客戶需要特別了解下列項目並分辨其中的差別:

    • AWS 實作和操作的安全方法 –「雲端本身的安全」


    • 客戶實作和操作的安全方法,這與利用 AWS 服務的內容與應用程式安全有關 –「雲端內部安全」

    共同的責任模型

    有關核心 AWS 雲端基礎設施、平台和服務內建的所有安全措施的完整清單,請參閱我們的安全程序概觀白皮書

    我們使用額外的全球隱私權與資料保護最佳實務開發了一個安全保證計劃,目的是協助客戶建立、操作和使用我們的安全控制環境。這些安全防護與控制程序是經由多重的第三方獨立評估進行獨立驗證。

    AWS 經獨立的第三方評估機構驗證為符合 ISO 27018。ISO 27018 是第一個專門保護雲端個人資料的國際作業標準。它的根據是 ISO 資訊安全標準 27002,並提供公有雲端服務提供者處理的個人識別資訊 (PII) 適用的 ISO 27002 控制實作指導。其向客戶展現 AWS 擁有一套控制系統,專門處理其內容的隱私權保護。如需詳細資訊,請瀏覽 AWS ISO 27018 常見問答集

    AWS 資料中心是建置在全球不同國家的叢集中。我們將位於特定國家的每個資料中心叢集稱為「區域」。客戶可以存取全球 18 個 AWS 區域,包含歐洲的 4 個區域:愛爾蘭 (都柏林)、英國 (倫敦)、德國 (法蘭克福) 以及法國 (巴黎)。客戶可以選擇使用一個區域、所有區域或是任意區域組合。

    AWS 客戶選擇要將內容存放在哪個 AWS 區域。這讓有特定地理位置需求的客戶將環境建立在自己選擇的位置。例如,歐洲的 AWS 客戶可以選擇只將 AWS 服務部署在歐洲的其中一個區域 (德國、法國、英國或愛爾蘭)。如果客戶選擇這樣做,內容將依照他們的選擇存放在德國、法國、英國或愛爾蘭,除非客戶明確選擇要將內容移動或複寫到不同的 AWS 區域。

    客戶可以在多個區域複寫或備份內容,但 AWS 不會將客戶內容移動到客戶所選區域之外,除非根據客戶要求提供服務或是為了遵守適用的法律。

    AWS 保有與穩健安全標準相關的多項認證,例如 ISO 27001SOC 1/2/3 以及 PCI DSS 第 1 級。我們在雲端操作共同的責任模型,AWS 根據此模型負責基礎雲端基礎設施的安全 (雲端本身的安全),而客戶負責其資料與應用程式的安全 (雲端內部的安全)。AWS 擁有由歐盟針對雲端安全與合規特別訓練的解決方案架構師、客戶經理、顧問、訓練人員及其他成員所組成的團隊,以協助 AWS 客戶按照雲端安全最佳實務在雲端達成高度的安全與合規。AWS 也協助客戶符合當地安全標準。例如,AWS 連同 TÜV TRUST IT 稽核者已經發佈客戶認證工作手冊,以提供如何在雲端達成德國 BSI IT Grundschutz 合規的指導。

  • 歐盟行政命令

    歐盟資料保護行政命令 (也稱為 95/46/EC 行政命令) 係指有關個人資料處理及此類資料移動的法規。此行政命令概括規定了在處理個人資料時需要遵守的一些資料保護需求。

    是。如需客戶如何簽訂 AWS 資料處理增補合約的詳細資訊,請瀏覽這裡 (需要登入)。

    第二十九條資料保護工作小組已經核准包含示範條款的 AWS 資料處理增補合約。第二十九條資料保護工作小組已經確認 AWS 資料處理增補合約符合關於示範條款的行政命令需求。這表示 AWS 資料處理增補合約不被視為是「特設」。有關第二十九條資料保護工作小組對於 AWS 資料處理增補合約之核准的詳細資訊,請瀏覽:https://cnpd.public.lu/en/actualites/international/2015/03/AWS.html

    盧森堡資料保護機構 (CNPD) 根據第二十九條資料保護工作小組授權,代表第二十九條資料保護工作小組作為領導機構。

    如需客戶如何簽訂 AWS 資料處理增補合約的詳細資訊,請瀏覽這裡 (需要登入)。

    根據 95/46/EC 行政命令,收集個人資料並將資料存放在雲端的 AWS 客戶為資料控制者。

    關於客戶與 AWS 角色的更多資訊,請參閱 AWS「歐盟資料保護白皮書」中的「歐盟的資料保護行政命令」章節。

    標準合約條款 (也稱為「示範條款」) 是由歐盟委員會定義和核准的一套標準條款,可用於讓資料控制者以合規方式將個人資料傳輸到歐盟經濟體之外的資料處理者。

    第二十九條資料保護工作小組是根據歐盟議會和歐盟理事會的歐盟資料保護行政命令所設立的單位。此小組由所有歐盟會員國各資料保護機構及歐盟委員會的代表所組成。第二十九條資料保護工作小組的工作,除了協調全歐盟的資料保護規則運用,也會對有關非歐盟國家的適當資料保護標準向歐盟委員會提供建議。

    客戶資料的安全是我們的首要目標,AWS 已從歐盟資料保護機構 (稱為第二十九條資料保護工作小組) 取得 AWS 資料處理增補合約與示範條款的核准,可在歐洲以外啟用資料傳輸,包括傳輸到美國。根據歐盟核准的資料處理增補合約與示範條款,AWS 客戶可繼續使用 AWS,在完全遵守歐盟法律的情況下繼續執行其全球營運。AWS 資料處理增補合約適用於處理個人資料的所有 AWS 客戶 (無論是設立於歐洲或在歐盟經濟體運作的全球公司)。

    如需客戶如何簽訂 AWS 資料處理增補合約的詳細資訊,請瀏覽這裡 (需要登入)。

    是。Amazon.com, Inc. 已獲得歐美隱私屏障的認證,且 AWS 涵蓋於此認證內。這有助於選擇將個人資料轉移至美國的客戶遵守其資料保護義務。Amazon.com Inc 的認證可在歐美隱私屏障網站上找到,網址為:https://www.privacyshield.gov/list

    要進一步了解此主題與 AWS 之間的關聯,請瀏覽我們的歐美隱私屏障頁面。 

  • GDPR

    CISPEAWS

    在 2016 年,歐盟委員會已核准並採用新的一般資料保護規則 (GDPR)。GDPR 是歐洲自 1995 年頒布歐盟資料保護行政命令 (也稱為 95/46/EC 行政命令) 以來,在資料保護法上最重大的變革。GDPR 的目標是增強歐盟的個人資料安全和保護,並協調歐盟資料保護法。GDPR 將取代歐盟資料保護行政命令及其相關的所有當地法律。

    AWS 歡迎 GDPR 的制定。它可保護歐洲公民個人資料隱私和保護的基本權利。它納入了健全的要求,藉此提高資料保護、安全和合規的標準,而且能夠迫使產業實行嚴格控管。我們確認在 2018 年 5 月 25 日 GDPR 施行之日,所有的 AWS 服務都將符合 GDPR 的規範。

    除了我們自己的規範之外,AWS 還致力於為我們的客戶提供各項服務與資源,協助其客戶符合營運適用的各項 GDPR 要求。

    如需詳細資訊,請參閱 AWS GDPR 中心 »

    一般資料保護規則 (GDPR) 是新的歐洲隱私法,將在 2018 年 5 月 25 日施行。GDPR 將取代歐盟資料保護行政命令 (也稱為 95/46/EC 行政命令),它旨在協調整個歐盟 (EU) 的資料保護法,透過實施單一資料保護法來約束每個成員國。

    所有在歐盟成立的組織皆適用 GDPR。此外,那些無論是否在歐盟成立的組織,但其經手的歐盟資料當事人的個人資料,只要涉及向歐盟的資料當事人提供商品或服務,或與監控歐盟範圍內發生的行為有關時,同樣適用 GDPR。個人資料是與已識別或可識別自然人相關的任何資訊。

    GDPR 將取代現行的資料保護行政命令 (歐洲 95/46/EC 行政命令)。自 2018 年 5 月 25 日起,現行的資料保護行政命令及其相關的法律將不再適用。

    AWS 合規、資料保護和安全專家與全世界的客戶密切合作,回答他們的問題,以及協助他們做好 GDPR 施行之後在 AWS 雲端執行工作負載的各項因應準備工作。這些團隊也持續地審視 AWS 已經完成的每個項目,以確保符合新的 GDPR 要求。我們確認在 2018 年 5 月 GDPR 施行之時,所有的 AWS 服務都將符合 GDPR 的規範。

    此外,我們制定了新的資料處理合約 (GDPR DPA),它將符合 GDPR 的各項要求。這份 GDPR DPA 現已提供給所有 AWS 客戶,協助他們在 2018 年 5 月之前做好準備。如需 GDPR DPA 的詳細資訊或需要取得這份合約,請聯絡您的 AWS 客戶經理。

    最近,AWS 也宣佈符合 CISPE 行為準則。CISPE 行為準則可協助雲端客戶評估他們的雲端基礎設施供應商是否遵守 GDPR 的資料保護義務。AWS 已宣佈 Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3)、Amazon Relational Database Service (Amazon RDS)、AWS Identity and Access Management (IAM)、AWS CloudTrailAmazon Elastic Block Storage (Amazon EBS) 完全遵守 CISPE 準則。這可為客戶提供額外的保證,讓他們在使用 AWS 時更有信心能夠在安全、可靠且合規的環境中完全控制資料。更多有關 AWS 合規與 CISPE 行為準則的詳細資訊可在下列網站中找到,網址為:https://cispe.cloud/

    AWS 持續為所有全球營運提供高標準的安全性和合規。安全性一直是我們的第一優先,也是真正的首要目標。領先業界的安全性為我們多項國際公認的認證和鑑定奠定了基礎,證明我們符合各種嚴格的國際標準,包括:雲端安全的 ISO 27017、雲端隱私的 ISO 27018、SOC 1、SOC 2 和 SOC 3、PCI DSS 第 1 級等等。AWS 也協助客戶達到當地的安全標準,如德國很重要的 BSI Common Cloud Computing Controls Catalogue (C5)。

    AWS 已宣布符合 CISPE 資料保護行為準則。CISPE 是雲端基礎設施 (也稱為基礎設施即服務) 供應商聯盟,這些供應商為歐洲的客戶提供雲端服務。CISPE 行為準則可協助雲端客戶確保其雲端基礎設施供應商依照 GDPR 使用適當的資料保護標準來保護他們的資料。準則的幾項重要好處包括:

    • 釐清就資料保護而言誰該負責哪些項目:行為準則依照 GDPR 解釋雲端基礎設施服務中供應商客戶兩者的具體角色。
    • 行為準則列出供應商應當遵循的原則:行為準則概述供應商應該採取的行動和承諾以遵守 GDPR 且協助客戶遵守該規則。
    • 行為準則為客戶提供制定資料保護和資料安全合規等決策時的必要資訊:行為準則要求供應商透明地公開他們履行安全承諾時所採取的步驟。這些步驟包括資料洩露、資料刪除、第三方子流程以及執法機關和政府機關要求的相關通知。客戶可以使用這些資訊完全地了解提供的高標準安全防護

    GDPR 其中一個要素是為歐盟會員國在安全地處理、使用、交換個人資料方面制定一致的規則。組織需要實施穩健的技術和組織化措施以及合規政策並定期檢閱,以持續證明資料處理的安全性以及 GDPR 的合規性。

    AWS 已經提供特定功能和服務來幫助客戶達到 GDPR 的要求:
     

    存取控制:只允許已授權的管理員、使用者和應用程式存取 AWS 資源

    • Multi-Factor-Authentication (MFA)
    • 對 Amazon S3 儲存貯體/ Amazon SQS/ Amazon SNS 等等中的物件進行精細存取
    • API 請求身份驗證
    • 地理限制
    • 透過 AWS Security Token Service 取得臨時存取字符

     

    監控和記錄:取得 AWS 資源活動概觀

    • 使用 AWS Config 進行資產管理和組態
    • 利用 AWS CloudTrail 執行合規稽核和安全性分析
    • 透過 AWS Trusted Advisor 識別組態的挑戰
    • 精細記錄對 Amazon S3 物件的存取
    • 透過 Amazon VPC-FlowLogs 了解網路流量的詳細資訊
    • 使用 AWS Config Rules 執行以規則為基礎的組態檢查和動作
    • 利用 AWS CloudFront 中的 WAF 功能過濾和監控 HTTP 存取應用程式

     

    加密:在 AWS 上加密資料

    • 使用 AES256 (EBS/S3/Glacier/RDS) 加密靜態資料
    • 集中管理的金鑰管理 (依 AWS 區域)
    • 透過 VPN 閘道經由 IPsec 通道連入 AWS
    • 使用 AWS CloudHSM 的雲端專用 HSM 模組

     

    完備的合規架構和安全標準:

    • 已經過 ISO 27001/9001 認證
    • 已經過 ISO 27017/27018 認證
    • Cloud Computing Compliance Controls Catalog (C5 – 德國政府支持的鑑定機制)
    • AWS 與 TÜV TRUST IT 稽核者合作發佈客戶認證工作手冊,提供如何在雲端達到德國 BSI IT Grundschutz 合規的指導。

    雖然 GDPR 直到 2018 年 5 月才會正式實施,但是我們還是鼓勵客戶和合作夥伴現在就開始做好因應 GDPR 的準備。對於早已實施高標準合規、安全和資料隱私的客戶和合作夥伴,轉移到 GDPR 應該非常簡單。對於才剛開始進行 GDPR 合規的客戶和合作夥伴,我們敦促您立即開始審視您的安全性、合規性和資料保護流程,以確保 2018 年 5 月能夠順暢的進行轉移。以下是對於 GDPR 合規應當考慮的幾項要點:

    地域範圍:確定 GDPR 是否適用於組織的活動對於確保組織能否履行合規義務至關重要。GDPR 適用於在歐盟設立的所有組織。不過,根據您的活動,即使您在歐盟以外的地區設立,GDPR 也可能適用。

    資料主體權利:GDPR 以數種方式加強了資料主體的權利。例如,資料主體有權反對其資料的處理,而且他們擁有資料流通的權利。如果您要處理資料主體的個人資料,必須確定您得到資料主體的授權。

    資料洩漏通知:如果您是資料控制者,則必須立即將資料洩漏的情況呈報給資料保護機構。使用 AWS 能讓您控制個人資料的處理及保護的方式。這樣能讓您監控自己的環境是否有侵害隱私權的問題,並根據 GDPR 的規定通知執法機關及受影響的個人。此外,如果我們發現違反 AWS 網路安全標準的情形,AWS 將會立即通知您。

    資料保護員 (DPO):您可能需要指派一位 DPO,他將需要管理資料安全以及有關於處理個人資料的其他問題。

    資料保護影響評估 (DPIA):您可能需要為處理的活動進行 DPIA,在某些情況下可能需要提交一份 DPIA 至監管機構。這將需要識別您的資料處理程序和流程以及保護個人資料的控管措施。

    資料處理合約 (DPA):您可能需要一份符合 GDPR 要求的 DPA,尤其是當您將個人資料傳輸至歐盟經濟體 (EEA) 以外的地方時。AWS 可根據客戶的要求提供一份 GDPR DPA,以協助客戶為來年 5 月做好準備。

    AWS 為客戶提供各式各樣的服務和特定服務功能,協助他們符合 GDPR 的要求,包括存取控制、監控、記錄和加密等服務。如需詳細資訊,可參閱上方的「AWS 為客戶提供哪些服務以協助遵守 GDPR?」一節。

    我們還有合規、資料保護和安全專業團隊以及 AWS 合作夥伴網路中的合作夥伴,他們與歐洲各地的客戶密切合作,回答客戶的各種問題,並協助他們做好 GDPR 施行後在雲端執行工作負載的相關因應準備工作。如需相關的詳細資訊,請聯絡您的 AWS 客戶經理。

 

聯絡我們