一般資料保護規範 (GDPR) 中心

2020 年 7 月 16 日，歐盟法院 (CJEU) 發佈了一項關於將歐盟個人的個人資料傳輸到歐洲經濟區 (Schrems II) 以外的裁決。在 Schrems II 中，CJEU 裁定歐美隱私屏障不再是將個人資料從 EEA 傳輸到美國的有效機制。然而，在同一裁決中，歐盟法院確認公司可以 (在需要時實施補充措施) 繼續使用標準合約條款作為將個人資料傳輸到歐洲經濟區以外的有效機制。歐洲資料保護委員會 (EDPB) 是一個由國家資料保護機構的代表組成的歐洲機構，此後在其「關於補充傳輸工具以確保符合歐盟對個人資料保護程度的相關措施的 01/2020 建議 」(EDPB 建議) 中提供了一份非詳盡的補充措施清單。

EDPB 建議為資料匯出者提供可實施的補充措施範例。如需有關 AWS 資料傳輸資源的詳細資訊，請參閱下方的常見問題集「根據 Schrems II 判決，我可以繼續使用 AWS 服務嗎？」。

是，AWS 客戶可以繼續使用 AWS 服務將客戶資料從歐洲傳輸到尚未收到歐盟委員會做出充分決定的非 EEA 國家/地區。Schrems II 的裁決驗證了使用標準合約條款 (SCC) 作為將客戶資料傳輸到 EEA 之外的機制，並且 AWS 客戶可以繼續按 SCC，依據 GDPR 將客戶資料傳輸到 EEA 之外。

• 處理位置。 客戶選擇將儲存其客戶資料的 AWS 區域。可以在區域和可用區域下找到可用 AWS 區域的概觀。AWS 不會在客戶選定的 AWS 區域之外的地區處理客戶資料，除非是為了提供客戶起始的 AWS 服務所必需的，或者是為了遵守法律或政府機構的約束性命令所必需的。請參閱我們的隱私權功能網頁以了解作為 AWS 服務一部分的資料傳輸的更多資訊。
• 子處理者。AWS 可能會使用轉包處理業者 (例如 AWS 關係企業或第三方) 來協助處理客戶資料、按照 AWS DPA 履行我們對客戶的義務，或代表我們提供服務。如需詳細資訊，請參閱下方的常見問題集「AWS 是否會使用子處理者來處理客戶資料？」。
• 傳輸工具。 由於 Schrems II 裁決已驗證使用 SCC 作為在未收到歐盟委員會充分決定的 EEA 境外國家傳輸資料的機制。因此，如果我們的客戶選擇將資料傳輸到符合 GDPR 的 EEA 以外地區，則可以繼續依賴 AWS DPA 中所含的 SCC。
• 補充措施。
  • 客戶控制。 客戶可以透過簡單而強大的工具始終擁有並控制其客戶資料，這些工具可讓他們確定客戶資料的儲存位置、保護傳輸中和靜態的客戶資料、管理使用者對其 AWS 資源的存取，以及修改、刪除和擷取客戶資料。
  • 技術和組織措施。 AWS 實作可信賴和複雜的技術與實體控制和流程，旨在防止未經授權的存取或揭露客戶資料 (如需詳細資訊，請造訪 AWS 合規網頁)。我們還提供多種進階加密與金鑰管理服務 (包括可讓客戶管理其自己金鑰的服務)，客戶可用來保護其傳輸中和靜態資料，如果沒有適用的解密金鑰，加密的客戶資料將無法存取。無論客戶資料已加密還是解密，我們將始終在工作中保持警惕，以保護客戶資料免遭未經授權的任何存取。
  • 執法部門請求。 AWS 擁有應對執法部門請求的內部程序。當我們收到執法部門有關客戶資料的請求時，會仔細檢查以驗證準確性，並確認其是否適當和遵守所有適用法律。除非法律禁止，否則 AWS 會在揭露客戶資料前先通知客戶，使他們能在揭露前採取進一步的動作來尋求保護措施。在 AWS DPA 的補充附錄 (以下簡稱補充附錄) 中，AWS 加強了與處理政府對客戶資料的請求相關的合約承諾，包括承諾 (i) 盡一切合理努力將任何請求客戶資料的政府機構轉向相關客戶，(ii) 在法律允許的情況下立即將請求通知客戶 (包括在必要時採取一切合理合法的努力來獲得禁令的豁免權)，(iii) 質疑任何過於寬泛或不當的請求，包括在該請求與歐盟法律相衝突，並且 (iv) 如果在用盡上述步驟後，AWS 仍然被迫根據政府要求披露客戶資料，則僅披露滿足請求所需的最少量客戶資料。
  • 合約措施。 AWS 對上述措施做出多項合約承諾，這些承諾在 AWS DPA 和補充附錄中均有所反映。AWS DPA 和補充附錄包括 AWS 的合約承諾，涉及 (1) 客戶選擇儲存和處理客戶資料的 AWS 區域，(2) AWS 為保護 AWS 基礎設施而實施的技術和組織措施，以及客戶可選擇用於保護其客戶資料的技術組織措施，(3) AWS 保護客戶資料的措施，並在政府機構提出資料揭露請求時通知客戶，以及 (4) AWS 依據處理客戶資料的第三國的適用法律履行 AWS DPA 中規定的相關義務的能力。補充附錄還涉及 (5) 個人在 GDPR 授予的權利受到侵犯時索要賠償的法定權利。

是，AWS 可以使用以下三種類型的子處理者：(1) 提供 AWS 服務在其中執行的基礎設施的 AWS 實體；(2) 支援可能需要其處理客戶資料的特定 AWS 服務的 AWS 實體；(3) AWS 已與之簽訂合約以為特定 AWS 服務提供處理活動的第三方。AWS 子處理者網頁提供有關 AWS 依據 AWS DPA 提供的子處理者的詳細資訊，以代表客戶提供有關客戶資料的處理活動。與個別客戶相關的子處理者將視客戶選取的 AWS 區域和客戶所使用的特殊 AWS 服務而定。

AWS 白皮書導覽符合歐盟資料傳輸要求提供了有關 AWS 為客戶提供的服務和資源的資訊，以協助客戶根據 Schrems II 裁决和歐洲資料保護委員會的後續建議進行資料傳輸評估。本白皮書還描述 AWS 為保護客戶資料而採取和提供的關鍵補充措施。

AWS 為客戶提供實用的資訊，其中包括來自第三方稽核員的多份合規報告，這些合規報告確認我們已符合各種安全標準和法規，以證明 AWS 在基礎設施方面所實施的嚴格合規標準。這些報告向我們的客戶展現我們正在保護他們選擇在 AWS 上處理的客戶資料。這方面的範例包括 AWS 的 ISO 27001、27017 和 27018 合規。ISO 27018 包含專注於客戶資料保護的安全控制。

AWS 也符合資料保護的 CISPE 行為準則。有關 CISPE 行為準則的更多資訊，請參閱下方的常見問題集「AWS 是否遵守與雲端基礎設施服務相關的 GDPR 核准行為準則？」

是。截至 2023 年 6 月，107 項 AWS 服務皆符合歐洲雲端基礎設施服務供應商聯盟 (CISPE) 資料保護行為準則。CISPE 是雲端運算領導廠商聯盟，負責為數百萬歐洲客戶提供服務。CISPE 資料保護行為準則 (CISPE 準則) 是第一個關注雲端基礎設施服務供應商的泛歐資料保護行為準則。CISPE 準則由歐洲資料保護委員會核准，代表歐洲 27 個資料保護機構行事，並被作為主要監管機構的法國資料保護機構 (CNIL) 正式採用。2017 年，AWS 宣佈其遵守早期版本的 CISPE 準則。

CISPE 準則協助客戶確保其雲端基礎設施服務供應商提供適當的營運保證，以證明符合 GDPR 並保護客戶資料。CISPE 準則的幾項重要好處包括：

• 專注於雲端基礎設施︰釐清 GDPR 下雲端基礎設施服務供應商在處理客戶資料方面的角色，即代表客戶使用雲端基礎設施服務處理的任何個人資料。
• 歐洲資料︰要求雲端基礎設施服務供應商可以讓客戶選擇專門在歐洲經濟區 (EEA) 內存放和處理客戶資料的服務。
• 資料隱私權：CISPE 準則可讓組織保證，其雲端基礎設施服務供應商符合 GDPR 下適用於代表其處理的個人資料 (客戶資料) 的要求。

說明 AWS 合規狀態的合規憑證可在 CISPE 公共註冊處取得。列出的 AWS 服務經過獨立驗證，符合 CISPE 準則。驗證程序由安永認證 (EY CertifyPoint) 進行，該機構是由 CNIL 認可的獨立且全球認可的監控機構。

GDPR 不會變更 AWS 共同責任模式，這個模式仍然與客戶有關。共同的責任模型非常適合用來說明 AWS (做為資料處理者或子處理者) 與客戶 (做為資料控制者或資料處理者) 在 GDPR 之下的不同責任。

在共同責任模式下，AWS 負責保護支援 AWS 服務的基礎設施的安全（即「雲端的安全性」），而客戶作為資料控制者或資料處理者，則負責其上傳到 AWS 服務中的任何個人資料（即「雲端內的安全性」）。

AWS 負責「雲端的安全性」– AWS 負責保護執行所有 AWS 服務的全球基礎設施。這個基礎設施由執行 AWS 服務的硬體、軟體、聯網和設施組成，為客戶提供強大的控制，包括安全組態控制，以處理客戶的內容。AWS 提供多份第三方稽核員合規報告，這些稽核員已確定我們符合各種電腦安全標準和法規 (如需詳細資訊，請造訪 AWS 合規網頁)。這些報告向我們的客戶展現我們正在保護他們的客戶資料。AWS 的 ISO 27001、27017 和 27018 合規都是範例。ISO 27018 包含專注於客戶資料保護的安全控制。

客戶負責「雲端內的安全性」 - AWS 負責架構和保護他們選擇在 AWS 服務上部署的應用程式和解決方案的安全。AWS 客戶還負責以保護客戶機密性、完整性和安全性需求的方式設定 AWS 服務。客戶必須保護其客戶資料安全的特定責任，因客戶選擇使用的 AWS 服務和這些服務整合至客戶 IT 環境的方式而異。AWS 客戶可檢視和控制其客戶資料，且可根據具體客戶資料類型的敏感性實作靈活的安全控制。客戶可以透過使用自己的安全措施和工具，或使用 AWS 或其他供應商提供的安全措施和工具來實現。藉由這種方式，客戶可以為更敏感的客戶資料提供額外的安全保護。

AWS 提供客戶可用來架構和保護其應用程式和解決方案，且可部署來協助應對 GDPR 要求的產品、工具及服務，包括：

• AWS Identity and Access Management (IAM) 可讓組織安全地管理 AWS 服務與資源的存取。使用 IAM，客戶可以建立和管理 AWS 使用者與群組，並使用許可來允許和拒絕存取 AWS 資源。IAM 是 AWS 帳戶的一項功能，並不收取其他費用。
• AWS CloudTrail 允許組織記錄、持續監控並保留與 AWS 動作有關的帳戶活動資訊，藉此簡化安全分析、資源變更追蹤和疑難排解 (預設情況下，所有 AWS 帳戶都會啟用 AWS CloudTrail)。
• Amazon GuardDuty 是一種受管的威脅偵測服務，可持續監控是否有惡意或未經授權的行為，以協助保護 AWS 帳戶和工作負載。它會監控各種表明帳戶已被侵入的活動，例如不尋常的 API 呼叫或可能未經授權的部署。GuardDuty 也會偵測可能受到危害的執行個體或攻擊者進行的偵察活動。
• Amazon Macie – 可協助探索存放在 Amazon S3 中的個人資料並進行分類的機器學習工具。

如需進一步了解有關如何依據 GDPR 使用 AWS 資源的詳細資訊，請參閱我們的白皮書導覽 AWS 上的 GDPR 合規。

是，您可在 AWS Partner Solutions Finder 中搜尋「GDPR」的功能，以協助找出擁有有助於達成 GDPR 合規之產品和服務的 ISV、MSP 和 SI 合作夥伴。客戶也可以在 AWS Marketplace 搜尋「GDPR」解決方案。

是，AWS 安全保證服務團隊有一些活動，可協助客戶達成 GDPR 合規。這支經過行業認證的合規專家團隊透過將適用的合規標準與 AWS 服務的特定功能聯繫起來，協助客戶在雲端中實現、維護和自動化合規。更多詳細資訊，請見此處的 AWS Professional Services 顧問如何協助客戶。

客戶可使用 AWS Support 來接收技術指引，協助他們達成 GDPR 合規。在這個活動中，我們擁有訓練有素的雲端支援工程師和技術客戶經理 (TAM) 團隊，能夠協助識別並降低合規風險。AWS 提供的支援層級視客戶選擇的 AWS Support 計劃而定。想要了解 AWS Premium Support 可提供哪些協助的客戶，可以使用與 AWS 簽署之企業支援合約中指定的聯絡詳細資訊，或透過瀏覽 AWS Support 頁面，透過 AWS 管理主控台在 AWS Support Center 取得更多資訊。參加企業支援的客戶應該向他們的 TAM 請教有關 GDPR 方面的問題。

客戶在追求 GDPR 合規時，可能會發現以下兩個很實用的計劃：

• 雲端操作審閱 – 適用於 AWS Enterprise Support 客戶，這個計劃旨在協助識別雲端操作方法的缺陷。這個計劃從 AWS 與大量代表性客戶的經驗中擷取操作最佳實務，並審閱雲端操作及其相關管理實務，協助組織達成 GDPR 合規。這個計劃採用四個支柱方法，專注於準備、監控、操作和優化雲端系統，以追求最佳操作效能。
• Well-Architected 審閱 – 這個計劃可讓組織根據 AWS 最佳實務來衡量其架構，並建構安全、可靠、高效能和符合經濟效益的架構。Well-Architected 審閱還能讓客戶了解架構中何處存在風險，並在應用程式投入生產之前解決它們。

AWS 制定了安全事件監控和資料違規通知流程，並將根據 AWS DPA 及時通知客戶 AWS 的安全漏洞。AWS 也為客戶提供多種工具，以了解誰能在何時、何地使用他們的資源。其中一種工具是 AWS CloudTrail，它可以啟用 AWS 帳戶的管理、合規、操作稽核和風險稽核等功能。客戶可以使用 AWS CloudTrail 記錄、持續監控和保留其 AWS 基礎設施中與動作相關的帳戶活動資訊。這有助於組織了解他們的 AWS 基礎設施目前狀況，並立即對任何不尋常的活動採取行動。如需 AWS 提供給客戶的其他安全工具以幫助他們履行作為資料控制者在 GDPR 下應盡的義務的詳細資訊，請瀏覽 AWS 雲端安全網頁。

AWS 為客戶和 APN 合作夥伴提供許多工具，用來保護他們的客戶資料並協助防範網路攻擊。AWS Shield 就是這樣的工具。這是一種受管的分散式拒絕服務 (DDoS) 保護服務，用於保護在 AWS 上執行的網站和應用程式。使用 AWS Shield Standard 無須額外付費，它提供永遠啟用的偵測和自動化內嵌防禦功能，可最大限度地減少應用程式停機時間和延遲。如果需要針對在 AWS 上執行以及使用 ELB、Amazon CloudFront 和 Amazon Route 53 資源的 Web 應用程式提供更高一層的攻擊防護，客戶和 APN 合作夥伴可訂閱 AWS Shield Advanced。AWS 也發布並定期更新「AWS 的 DDoS 彈性最佳實務」，可幫助客戶使用 AWS 建立可對抗 DDoS 攻擊的應用程式。

AWS 其他可用來協助保護客戶資料免受網路攻擊的工具包括：

• AWS Identity and Access Management (IAM) 可讓組織安全地管理 AWS 服務與資源的存取。使用 IAM，客戶及 APN 合作夥伴可以建立和管理 AWS 使用者與群組，並使用許可來允許和拒絕存取 AWS 資源。IAM 是 AWS 帳戶的一項功能，並不收取其他費用。
• AWS Config 允許客戶和 APN 合作夥伴啟用預先封裝的規則，協助確認其 AWS 資源已正確設定並合規。
• AWS CloudTrail 允許組織記錄、持續監控並保留與 AWS 動作有關的帳戶活動資訊，藉此簡化安全分析、資源變更追蹤和疑難排解 (預設情況下，所有 AWS 帳戶都會啟用 AWS CloudTrail)。
• Amazon GuardDuty 是一種受管的威脅偵測服務，可持續監控是否有惡意或未經授權的行為，以協助保護 AWS 帳戶和工作負載。它會監控各種表明帳戶已被侵入的活動，例如不尋常的 API 呼叫或可能未經授權的部署。GuardDuty 也會偵測可能受到危害的執行個體或攻擊者進行的偵察活動。

Amazon Macie 是一個全受管資料安全和資料隱私服務，利用機器學習和模式比對來探索和保護 AWS 中的個人資料。隨著組織管理的資料量越來越多，大規模識別和保護組織的個人資料也會變得越來越複雜、昂貴且耗時。Amazon Macie 不僅可以大規模自動探索個人資料，還能降低資料保護成本。Macie 會自動提供 Amazon S3 儲存貯體的清單，包括列出未加密的儲存貯體、可公開存取的儲存貯體，以及與 AWS Organizations 中未定義的 AWS 帳戶共用的儲存貯體。Macie 接著會將機器學習和模式比對技術套用至您選取的儲存貯體，以識別個人資料並提醒您。

Amazon Macie 已通過國際認可的標準認證，例如雲端安全的 ISO 27017、雲端隱私的 ISO 27018，客戶和 APN 合作夥伴也可以使用 Macie 持續監控資料的存取，以便根據存取模式來偵測可疑的活動。

為了協助客戶符合 GDPR 規定，AWS 提供許多工具來控制存取他們在 AWS 內容中包含的個人資料。這些工具包括：

• 預設的安全表示 AWS 服務本身的設計就重視安全。如果使用預設組態，則對資源的存取權限僅限於帳戶擁有者和根管理員。
• AWS Identity and Access Management (IAM) 可讓客戶安全地管理對 AWS 服務與資源的存取。組織可以使用 IAM 建立和管理 AWS 使用者和群組，並使用各種許可允許和拒絕存取 AWS 資源。IAM 是 AWS 帳戶的一項功能，並不收取其他費用。
• AWS Multi-Factor Authentication 在 AWS 帳戶的使用者名稱和密碼之上，增加了一層額外的保護。AWS 為客戶提供虛擬和硬體 MFA 裝置選項。
• AWS Directory Service 可讓客戶整合公司目錄並與其聯合，以降低管理費用和改善最終使用者體驗。
• AWS Config 允許客戶啟用預先封裝的規則，協助確認其 AWS 資源已正確設定並合規。
• AWS CloudTrail 允許客戶記錄、持續監控並保留與跨 AWS 基礎設施的動作有關的帳戶活動資訊，藉此簡化安全分析、資源變更追蹤和疑難排解 (預設情況下，所有 AWS 帳戶都會啟用 AWS CloudTrail)。
• Amazon Macie 使用機器學習並透過自動探索、分類和保護 AWS 中的敏感資料，協助客戶防止資料遺失。這種全受管服務會持續監控異常的資料存取活動，並在偵測到未經授權的存取或意外資料洩露的危險時產生詳細的提醒 – 例如客戶意外設定為可在外部存取的敏感資料。

AWS 讓客戶和 APN 合作夥伴可以針對雲端中的客戶靜態資料增加多一層安全，並幫助他們符合 GDPR 針對資料控制者規定的各種處理安全責任。AWS 上提供的加密工具包括：

• 例如 Amazon Elastic Block Store、Amazon S3、Amazon Glacier、Amazon DynamoDB、Oracle RDS、SQL Server RDS 和 Redshift 等 AWS 儲存和資料庫服務中的資料加密功能
• 彈性的金鑰管理選項，包括 AWS Key Management Service，可選擇讓 AWS 管理加密金鑰或由客戶完全自行控管金鑰
• Amazon SQS 使用伺服器端加密 (SSE)，在傳輸敏感資料時加密訊息佇列
• 使用 AWS CloudHSM 的專屬硬體加密金鑰儲存，可讓客戶滿足合規要求

此外，AWS 還提供 API 讓客戶和 APN 合作夥伴將加密和資料保護整合到他們在 AWS 環境中開發或部署的任何服務，

AWS 提供特定功能和服務來幫助客戶達到 GDPR 的要求：

存取控制：只允許已授權的管理員、使用者和應用程式存取 AWS 資源

• Multi-Factor-Authentication (MFA)
• 對 Amazon S3 儲存貯體/ Amazon SQS/ Amazon SNS 等等中的物件進行精細存取
• API 請求身份驗證
• 地理限制
• 透過 AWS Security Token Service 取得臨時存取字符

監控和記錄：取得 AWS 資源活動概觀

• 使用 AWS Config 進行資產管理和組態
• 利用 AWS CloudTrail 執行合規稽核和安全性分析
• 透過 AWS Trusted Advisor 識別組態的挑戰
• 精細記錄對 Amazon S3 物件的存取
• 透過 Amazon VPC-Flow Logs 了解網路流量的詳細資訊
• 使用 AWS Config 規則執行以規則為基礎的組態檢查和動作
• 利用 AWS CloudFront 中的 AWS WAF 功能，來篩選並監控應用程式的 HTTP 存取

加密：在 AWS 上加密資料

• 使用 AES256 (EBS/S3/Glacier/RDS) 加密靜態資料
• 集中管理的金鑰管理 (依 AWS 區域)
• 透過 VPN 閘道經由 IPsec 通道連入 AWS
• 使用 AWS CloudHSM 的雲端專用 HSM 模組

強大的合規框架和安全標準：我們證明遵守嚴格的國際標準，例如：

• ISO 27001 適用於技術措施
• ISO 27017 適用於雲端安全
• ISO 27018 適用於雲端隱私權
• SOC 1、SOC 2 和 SOC 3、PCI DSS Level 1、
• BSI 的 Common Cloud Computing Controls Catalogue (C5)
• ENS 高級

GDPR 是一項歐盟法規，脫歐後不再適用於英國。 英國政府將 GDPR 的要求納入英國法律，稱為「英國 GDPR」。

AWS 替 AWS DPA 提供符合英國 GDPR 標準的英國 GDPR 附錄，當中根據英國 GDPR 納入了 AWS 作為資料處理者的承諾。英國 GDPR 附錄是 AWS 服務條款的一部分，其自動適用於需要資料處理協議以遵守英國 GDPR 的所有客戶。

英國 GDPR 附錄是 AWS 服務條款的一部分，其中包括 EC 通過的 SCC 與英國資料保護監管機構 (資訊專員辦公室) 採用的國際資料傳輸增補合約 (IDTA)。 IDTA 修改了 SCC，確保其可組成英國 GDPR 的安全保障，作為向無法確認提供足夠個人資料保護等級且非英國之國家 (英國第三國) 進行國際資料傳輸的保障。英國 GDPR 附錄中已確認，只要客戶使用 AWS 服務將受英國 GDPR 管轄的客戶資料 (英國客戶資料) 轉移至英國第三國，SCC (由 IDTA 修訂) 將自動適用。 作為 AWS 服務條款中英國 GDPR 附錄的一部分，當客戶使用 AWS 服務將英國客戶資料傳輸至英國第三國時，由 IDTA 修改之 SCC 將自動適用。

AWS 提供 AWS 資料處理附錄的瑞士附錄 (簡稱「瑞士附錄」)，該附錄內含 AWS 作為瑞士聯邦資料保護法 (簡稱「FDPA」) 下的資料處理者承諾。瑞士附錄是 AWS 服務條款的一部分 (參閱第 1.14.4 節)，且在 FDPA 適用於客戶使用 AWS 服務來處理客戶資料時自動適用。

AWS 資料處理附錄的瑞士附錄，是 AWS 服務條款的一部分 (參閱第 1.14.4 節)，包括歐洲委員會所採用的標準合約條款 (簡稱「SCC」)，並根據瑞士聯邦資料保護和資訊委員會的要求修改。瑞士附錄確認，只要客戶使用 AWS 服務將受 FDPA 管轄的客戶資料傳輸至第三國，SCC (由瑞士附錄修訂) 將自動適用。

如果客戶有關於 GDPR 方面的問題，我們建議先聯繫 AWS 客戶經理。如果客戶已經註冊企業支援，他們也可以聯繫他們的技術客戶經理 (TAM)。TAM 與解決方案架構師合作協助客戶找出潛在的風險和可能的補救措施。TAM 和客戶團隊還可以根據客戶的環境和需求，為客戶和 APN 合作夥伴提供特定的資源。

AWS 還擁有企業支援代表團隊、專業服務諮詢師和其他人員，可協助處理與 GDPR 有關的問題。有疑問請在此處聯絡我們。