一般資料保護規範 (GDPR) 中心
使用 AWS 服務時的 GDPR 合規
歐盟的一般資料保護規範 (GDPR) 可保護歐盟 (EU) 個人的基本隱私權及個人資料。GDPR 包含健全的要求,將提高並統一相關標準,以達到資料保護、安全性與合規性。如需詳細資訊,請檢閱下方我們的 GDPR 常見問題集。
AWS 客戶可使用所有 AWS 服務來依據 GDPR 規範處理上傳至 AWS 服務中他們的 AWS 帳戶 (客戶資料) 下的個人資料 (如 GDPR 中所定義)。除了自己本身遵循法規之外,AWS 也致力於為客戶提供服務和資源,協助客戶針對其營業活動適用的 GDPR 規範達到合規的要求。AWS 定期推出新功能,目前已提供超過 500 種功能和服務,著重於安全性與合規性。如需 AWS 功能的詳細資訊,請閱讀我們的部落格 AWS 如何協助 EU 客戶導覽資料保護的新規範。
重點
客戶控制
客戶可控制其客戶資料。藉由 AWS,客戶可:
- 決定存放其客戶資料的位置,包括儲存的類型與該儲存的地理區域。
- 選擇其客戶資料的安全狀態。針對傳輸中或靜態的客戶資料,我們為客戶提供強式加密,並提供讓他們管理自己加密金鑰的選項。
- 透過客戶控制的使用者、群組、許可及憑證,管理對客戶資料、AWS 服務與資源的存取。
歐洲經濟區 (EEA) 以外的傳輸
AWS 客戶可以繼續使用 AWS 服務將客戶資料從 EEA 傳輸到尚未收到歐盟委員會 (包括美國) 根據 GDPR 做出充分決定的非 EEA 國家/地區。在 AWS,我們的首要任務是保護客戶的資料,無論客戶選擇的是哪個 AWS 區域,我們都實施嚴格的技術和組織措施,來保護其保密性、完整性和可用性。我們知道透明度對我們的客戶很重要。我們在隱私權功能網頁上列出了涉及客戶資料傳輸的 AWS 服務。
隨著監管和立法環境的發展,我們將始終努力確保客戶無論在何處營運,都能繼續享受 AWS 服務的好處。如需更多資訊,請參閱我們關於歐盟-美國隱私盾的客戶更新,以及關於 AWS 資料處理附錄的補充附錄和 CISPE 資料保護行為準則的部落格文章。
概觀與 GDPR 基礎知識
全部開啟-
一般資料保護規則 (GDPR) 是歐洲隱私法,已在 2018 年 5 月 25 日施行。GDPR 取代歐盟資料保護行政命令 (也稱為 95/46/EC 行政命令),它旨在協調整個歐盟 (EU) 的資料保護法,透過實施單一資料保護法來約束每個成員國。
-
所有在歐盟成立的組織皆適用 GDPR。此外,那些無論是否在歐盟成立的組織,但其經手的歐盟個人的個人資料,只要涉及向歐盟的資料當事人提供商品或服務,或與監控歐盟範圍內發生的行為有關時,同樣適用 GDPR。個人資料是與已識別或可識別自然人相關的任何資訊,包括姓名、電子郵件地址和電話號碼。
-
AWS 在 GDPR 下既是資料處理者也是資料控制者。
-
SCC 是根據 GDPR 預先核准的資料傳輸機制,適用於所有歐盟成員國,允許將個人資料合法傳輸至歐洲經濟區以外且尚未收到歐盟委員會做出充分决定的國家/地區 (第三國)。
-
AWS 服務條款包括歐盟委員會 (EC) 於 2021 年 6 月採用的 SCC,AWS DPA 確認每當 AWS 客戶使用 AWS 服務將客戶資料傳輸至歐洲經濟區以外且尚未收到歐盟委員會做出充分決定的國家/地區 (第三國) 時,SCC 將自動適用。作為 AWS 服務條款的一部分,每當客戶使用 AWS 服務將客戶資料傳輸至第三國時,新 SCC 將自動適用。已簽署 AWS DPA 的少數客戶可以繼續依賴該 AWS DPA,因為 AWS 服務條款中的新 SCC 取代了先前版本的 SCC。因此,客戶可以放心,他們使用 AWS 服務傳輸至第三國的任何客戶資料都受到與在歐洲經濟區接收的客戶資料相同的高級別保護。如需詳細資訊,請參閱有關新標準合約條款實施的部落格文章。
遵循 Schrems II 裁決和 EDPB 建議的 AWS 和 GDPR 合規
全部開啟-
2020 年 7 月 16 日,歐盟法院 (CJEU) 發佈了一項關於將歐盟個人的個人資料傳輸到歐洲經濟區 (Schrems II) 以外的裁決。在 Schrems II 中,CJEU 裁定歐美隱私屏障不再是將個人資料從 EEA 傳輸到美國的有效機制。然而,在同一裁決中,歐盟法院確認公司可以 (在需要時實施補充措施) 繼續使用標準合約條款作為將個人資料傳輸到歐洲經濟區以外的有效機制。歐洲資料保護委員會 (EDPB) 是一個由國家資料保護機構的代表組成的歐洲機構,此後在其「關於補充傳輸工具以確保符合歐盟對個人資料保護程度的相關措施的 01/2020 建議 」(EDPB 建議) 中提供了一份非詳盡的補充措施清單。
-
是,AWS 客戶可以繼續使用 AWS 服務將客戶資料從歐洲傳輸到尚未收到歐盟委員會做出充分決定的非 EEA 國家/地區。Schrems II 的裁決驗證了使用標準合約條款 (SCC) 作為將客戶資料傳輸到 EEA 之外的機制,並且 AWS 客戶可以繼續按 SCC,依據 GDPR 將客戶資料傳輸到 EEA 之外。
-
是,AWS 可以使用以下三種類型的子處理者:(1) 提供 AWS 服務在其中執行的基礎結構的 AWS 實體;(2) 支援可能需要其處理客戶資料的特定 AWS 服務的 AWS 實體;(3) AWS 已與之簽訂合約以為特定 AWS 服務提供處理活動的第三方。AWS 子處理者網頁提供有關 AWS 依據 AWS DPA 提供的子處理者的詳細資訊,以代表客戶提供有關客戶資料的處理活動。與個別客戶相關的子處理者將視客戶選取的 AWS 區域和客戶所使用的特殊 AWS 服務而定。
-
AWS 白皮書導覽符合歐盟資料傳輸要求提供了有關 AWS 為客戶提供的服務和資源的資訊,以協助客戶根據 Schrems II 裁决和歐洲資料保護委員會的後續建議進行資料傳輸評估。本白皮書還描述 AWS 為保護客戶資料而採取和提供的關鍵補充措施。
-
AWS 為客戶提供實用的資訊,其中包括來自第三方稽核員的多份合規報告,這些合規報告確認我們已符合各種安全標準和法規,以證明 AWS 在基礎結構方面所實施的嚴格合規標準。這些報告向我們的客戶展現我們正在保護他們選擇在 AWS 上處理的客戶資料。這方面的範例包括 AWS 的 ISO 27001、27017 和 27018 合規。ISO 27018 包含專注於客戶資料保護的安全控制。
是。歐洲雲端基礎結構服務提供商 (CISPE) 資料防護行為準則公開登記冊包含一份遵守該準則的 AWS 服務清單。 CISPE 是雲端運算領導廠商聯盟,負責為數百萬歐洲客戶提供服務。CISPE 資料保護行為準則 (CISPE 準則) 是第一個關注雲端基礎結構服務提供者的泛歐資料保護行為準則。CISPE 準則由歐洲資料保護委員會核准,代表歐洲 27 個資料保護機構行事,並被作為主要監管機構的法國資料保護機構 (CNIL) 正式採用。2017 年,AWS 宣佈其遵守早期版本的 CISPE 準則。
技術和組織措施
全部開啟-
GDPR 不會變更 AWS 共同責任模式,這個模式仍然與客戶有關。共同的責任模型非常適合用來說明 AWS (做為資料處理者或子處理者) 與客戶 (做為資料控制者或資料處理者) 在 GDPR 之下的不同責任。
-
是,您可在 AWS Partner Solutions Finder 中搜尋「GDPR」的功能,以協助找出擁有有助於達成 GDPR 合規之產品和服務的 ISV、MSP 和 SI 合作夥伴。客戶也可以在 AWS Marketplace 搜尋「GDPR」解決方案。
-
是,AWS 安全保證服務團隊有一些活動,可協助客戶達成 GDPR 合規。這支經過行業認證的合規專家團隊透過將適用的合規標準與 AWS 服務的特定功能聯繫起來,協助客戶在雲端中實現、維護和自動化合規。更多詳細資訊,請見此處的 AWS Professional Services 顧問如何協助客戶。
-
客戶可使用 AWS Support 來接收技術指引,協助他們達成 GDPR 合規。在這個活動中,我們擁有訓練有素的雲端支援工程師和技術客戶經理 (TAM) 團隊,能夠協助識別並降低合規風險。AWS 提供的支援層級視客戶選擇的 AWS Support 計劃而定。想要了解 AWS Premium Support 可提供哪些協助的客戶,可以使用與 AWS 簽署之企業支援合約中指定的聯絡詳細資訊,或透過瀏覽 AWS Support 頁面,透過 AWS 管理主控台在 AWS Support Center 取得更多資訊。參加企業支援的客戶應該向他們的 TAM 請教有關 GDPR 方面的問題。
-
AWS 制定了安全事件監控和資料違規通知流程,並將根據 AWS DPA 及時通知客戶 AWS 的安全漏洞。AWS 也為客戶提供多種工具,以了解誰能在何時、何地使用他們的資源。其中一種工具是 AWS CloudTrail,它可以啟用 AWS 帳戶的管理、合規、操作稽核和風險稽核等功能。客戶可以使用 AWS CloudTrail 記錄、持續監控和保留其 AWS 基礎結構中與動作相關的帳戶活動資訊。這有助於組織了解他們的 AWS 基礎結構目前狀況,並立即對任何不尋常的活動採取行動。如需 AWS 提供給客戶的其他安全工具以幫助他們履行作為資料控制者在 GDPR 下應盡的義務的詳細資訊,請瀏覽 AWS 雲端安全網頁。
-
AWS 為客戶和 APN 合作夥伴提供許多工具,用來保護他們的客戶資料並協助防範網路攻擊。AWS Shield 就是這樣的工具。這是一種受管的分散式阻斷服務 (DDoS) 保護服務,用於保護在 AWS 上執行的網站和應用程式。使用 AWS Shield Standard 無須額外付費,它提供永遠啟用的偵測和自動化內嵌防禦功能,可最大限度地減少應用程式停機時間和延遲。如果需要針對在 AWS 上執行以及使用 ELB、Amazon CloudFront 和 Amazon Route 53 資源的 Web 應用程式提供更高一層的攻擊防護,客戶和 APN 合作夥伴可訂閱 AWS Shield Advanced。AWS 也發布並定期更新「AWS 的 DDoS 彈性最佳實務」,可幫助客戶使用 AWS 建立可對抗 DDoS 攻擊的應用程式。
-
Amazon Macie 是一個全受管資料安全和資料隱私服務,利用機器學習和模式比對來探索和保護 AWS 中的個人資料。隨著組織管理的資料量越來越多,大規模識別和保護組織的個人資料也會變得越來越複雜、昂貴且耗時。Amazon Macie 不僅可以大規模自動探索個人資料,還能降低資料保護成本。Macie 會自動提供 Amazon S3 儲存貯體的清單,包括列出未加密的儲存貯體、可公開存取的儲存貯體,以及與 AWS Organizations 中未定義的 AWS 帳戶共用的儲存貯體。Macie 接著會將機器學習和模式比對技術套用至您選取的儲存貯體,以識別個人資料並提醒您。
- 預設的安全表示 AWS 服務本身的設計就重視安全。如果使用預設組態,則對資源的存取權限僅限於帳戶擁有者和根管理員。
- AWS Identity and Access Management (IAM) 可讓客戶安全地管理對 AWS 服務與資源的存取。組織可以使用 IAM 建立和管理 AWS 使用者和群組,並使用各種許可允許和拒絕存取 AWS 資源。IAM 是 AWS 帳戶的一項功能,並不收取其他費用。
- AWS Multi-Factor Authentication 在 AWS 帳戶的使用者名稱和密碼之上,增加了一層額外的保護。AWS 為客戶提供虛擬和硬體 MFA 裝置選項。
- AWS Directory Service 可讓客戶整合公司目錄並與其聯合,以降低管理費用和改善最終使用者體驗。
- AWS Config 允許客戶啟用預先封裝的規則,協助確認其 AWS 資源已正確設定並合規。
- AWS CloudTrail 允許客戶記錄、持續監控並保留與跨 AWS 基礎結構的動作有關的帳戶活動資訊,藉此簡化安全分析、資源變更追蹤和疑難排解 (預設情況下,所有 AWS 帳戶都會啟用 AWS CloudTrail)。
- Amazon Macie 使用機器學習並透過自動探索、分類和保護 AWS 中的敏感資料,協助客戶防止資料遺失。這種全受管服務會持續監控異常的資料存取活動,並在偵測到未經授權的存取或意外資料洩露的危險時產生詳細的提醒 – 例如客戶意外設定為可在外部存取的敏感資料。
為了協助客戶符合 GDPR 規定,AWS 提供許多工具來控制存取他們在 AWS 內容中包含的個人資料。這些工具包括:
- 例如 Amazon Elastic Block Store、Amazon S3、Amazon Glacier、Amazon DynamoDB、Oracle RDS、SQL Server RDS 和 Redshift 等 AWS 儲存和資料庫服務中的資料加密功能
- 彈性的金鑰管理選項,包括 AWS Key Management Service,可選擇讓 AWS 管理加密金鑰或由客戶完全自行控管金鑰
- Amazon SQS 使用伺服器端加密 (SSE),在傳輸敏感資料時加密訊息佇列
- 使用 AWS CloudHSM 的專屬硬體加密金鑰儲存,可讓客戶滿足合規要求
AWS 讓客戶和 APN 合作夥伴可以針對雲端中的客戶靜態資料增加多一層安全,並幫助他們符合 GDPR 針對資料控制者規定的各種處理安全責任。AWS 上提供的加密工具包括:
此外,AWS 還提供 API 讓客戶和 APN 合作夥伴將加密和資料保護整合到他們在 AWS 環境中開發或部署的任何服務。
- Multi-Factor-Authentication (MFA)
- 對 Amazon S3 儲存貯體/ Amazon SQS/ Amazon SNS 等等中的物件進行精細存取
- API 請求身份驗證
- 地理限制
- 透過 AWS Security Token Service 取得臨時存取字符
- 使用 AWS Config 進行資產管理和組態
- 利用 AWS CloudTrail 執行合規稽核和安全性分析
- 透過 AWS Trusted Advisor 識別組態的挑戰
- 精細記錄對 Amazon S3 物件的存取
- 透過 Amazon VPC-Flow Logs 了解網路流量的詳細資訊
- 使用 AWS Config 規則執行以規則為基礎的組態檢查和動作
- 利用 AWS CloudFront 中的 AWS WAF 功能,來篩選並監控應用程式的 HTTP 存取
- 使用 AES256 (EBS/S3/Glacier/RDS) 加密靜態資料
- 集中管理的金鑰管理 (依 AWS 區域)
- 透過 VPN 閘道經由 IPsec 通道連入 AWS
- 使用 AWS CloudHSM 的雲端專用 HSM 模組
- ISO 27001 適用於技術措施
- ISO 27017 適用於雲端安全
- ISO 27018 適用於雲端隱私權
- SOC 1、SOC 2 和 SOC 3、PCI DSS Level 1、
- BSI 的 Common Cloud Computing Controls Catalogue (C5)
- ENS 高級
AWS 提供特定功能和服務來幫助客戶達到 GDPR 的要求:
存取控制︰只允許已授權的管理員、使用者和應用程式存取 AWS 資源
監控和記錄:取得 AWS 資源活動概觀
加密:在 AWS 上加密資料
強大的合規框架和安全標準:我們證明遵守嚴格的國際標準,例如:
AWS 和英國 GDPR
全部開啟-
GDPR 是一項歐盟法規,脫歐後不再適用於英國。 英國政府將 GDPR 的要求納入英國法律,稱為「英國 GDPR」。
-
AWS 替 AWS DPA 提供符合英國 GDPR 標準的英國 GDPR 附錄,當中根據英國 GDPR 納入了 AWS 作為資料處理者的承諾。英國 GDPR 附錄是 AWS 服務條款的一部分,其自動適用於需要資料處理協議以遵守英國 GDPR 的所有客戶。
英國 GDPR 附錄是 AWS 服務條款的一部分,其中包括 EC 通過的 SCC 與英國資料保護監管機構 (資訊專員辦公室) 採用的國際資料傳輸增補合約 (IDTA)。 IDTA 修改了 SCC,確保其可組成英國 GDPR 的安全保障,作為向無法確認提供足夠個人資料保護等級且非英國之國家 (英國第三國) 進行國際資料傳輸的保障。英國 GDPR 附錄中已確認,只要客戶使用 AWS 服務將受英國 GDPR 管轄的客戶資料 (英國客戶資料) 轉移至英國第三國,SCC (由 IDTA 修訂) 將自動適用。 作為 AWS 服務條款中英國 GDPR 附錄的一部分,當客戶使用 AWS 服務將英國客戶資料傳輸至英國第三國時,由 IDTA 修改之 SCC 將自動適用。
AWS 與瑞士聯邦資料保護法
全部開啟-
AWS 提供 AWS 資料處理附錄的瑞士附錄 (簡稱「瑞士附錄」),該附錄內含 AWS 作為瑞士聯邦資料保護法 (簡稱「FDPA」) 下的資料處理者承諾。瑞士附錄是 AWS 服務條款的一部分 (參閱第 1.14.4 節),且在 FDPA 適用於客戶使用 AWS 服務來處理客戶資料時自動適用。
-
AWS 資料處理附錄的瑞士附錄,是 AWS 服務條款的一部分 (參閱第 1.14.4 節),包括歐洲委員會所採用的標準合約條款 (簡稱「SCC」),並根據瑞士聯邦資料保護和資訊委員會的要求修改。瑞士附錄確認,只要客戶使用 AWS 服務將受 FDPA 管轄的客戶資料傳輸至第三國,SCC (由瑞士附錄修訂) 將自動適用。
聯絡
全部開啟-
如果客戶有關於 GDPR 方面的問題,我們建議先聯繫 AWS 客戶經理。如果客戶已經註冊企業支援,他們也可以聯繫他們的技術客戶經理 (TAM)。TAM 與解決方案架構師合作協助客戶找出潛在的風險和可能的補救措施。TAM 和客戶團隊還可以根據客戶的環境和需求,為客戶和 APN 合作夥伴提供特定的資源。
