一般数据保护条例(GDPR)中心
使用 AWS 服务时的 GDPR 合规性
欧盟的通用数据保护条例(GDPR)旨在保护欧盟(EU)人士的基本隐私权和个人数据。GDPR 包含强有力的要求,可提高和协调数据保护、安全性和合规性标准。请查看下面的 GDPR 常见问题以了解更多信息。
AWS 客户可以根据 GDPR 的规定,使用所有 AWS 服务来处理上传到其 AWS 账户下的 AWS 服务的个人数据(定义见 GDPR),即客户数据。除了确保我们自己的合规性,AWS 还致力于为客户提供服务和资源,帮助他们遵守可能适用于其活动的 GDPR 要求。AWS 定期推出新功能,目前已拥有 500 多项功能和服务,重点关注安全性和合规性。有关 AWS 正在做什么的更多信息,请阅读我们的博客 AWS 如何帮助欧盟客户适应数据保护的新常态。
重点
客户控制
客户可以控制其客户数据。通过 AWS,客户可以:
- 确定将存储其客户数据的位置,包括存储类型和存储所在的地理区域。
- 选择客户数据的安全状态。我们为动态或静态的客户数据提供强加密功能,并支持客户选择自行管理其加密密钥。
- 通过由客户控制的用户、组、权限和凭证管理对客户数据、AWS 服务与资源的访问权限。
在欧洲经济区(EEA)以外传输
AWS 客户可以继续使用 AWS 服务将客户数据从 EEA 传输到尚未收到欧盟委员会(包括美国)根据 GDPR 做出充分性认定的非 EEA 国家/地区。在 AWS,我们的首要任务是确保客户数据的安全,无论客户选择哪个 AWS 区域,我们都会采取严格的技术和组织措施来保护数据的保密性、完整性和可用性。我们知道,透明度对我们的客户很重要。我们在我们的隐私功能网页上列出了涉及客户数据传输的 AWS 服务。
随着监管和立法环境的发展,我们将始终努力确保我们的客户无论在何处运营,都能继续享受 AWS 服务的益处。有关更多信息,请参阅我们关于欧盟-美国隐私盾的客户更新以及我们关于 AWS 数据处理附录补充附录和 CISPE 数据保护行为准则的博客文章。
概述和 GDPR 基础知识
全部打开-
《通用数据保护条例》(GDPR)是一项欧洲隐私法,已于 2018 年 5 月 25 日生效。GDPR 已取代《欧盟数据保护指令》(也称为指令 95/46/EC),旨在通过实施一个可约束每个成员国的数据保护法,来协调整个欧盟(EU)的数据保护法律。
-
GDPR 适用于在欧盟成立的所有组织,以及处理欧盟人士个人数据的组织(不论这些组织是否是在欧盟成立的),这些数据与向欧盟数据主体提供商品或服务或者监控在欧盟发生的行为有关。个人数据指的是与已确定或可确定的自然人相关的所有信息,包括姓名、电子邮件地址和电话号码。
-
按照 GDPR 的规定,AWS 既是数据处理者也是数据控制者。
-
SCC 是根据 GDPR 预先批准的数据传输机制,适用于所有欧盟成员国,允许将个人数据合法传输到欧洲经济区以外且尚未收到欧盟委员会做出充分性认定的国家/地区(第三国)。
-
AWS 服务条款包括欧盟委员会(EC)在 2021 年 6 月采用的 SCC,AWS DPA 确认每当 AWS 客户使用 AWS 服务将客户数据传输到欧洲经济区以外且尚未收到欧盟委员会充分认定的国家/地区(第三国)时,SCC 将自动适用。作为 AWS 服务条款的一部分,每当客户使用 AWS 服务将客户数据传输到第三国时,新 SCC 将自动适用。已签署 AWS DPA 的少数客户可以继续依赖该 AWS DPA,因为 AWS 服务条款中的新 SCC 替换了先前版本的 SCC。因此,客户可以放心,他们使用 AWS 服务传输到第三国的任何客户数据都受到与在欧洲经济区接收的客户数据相同的高级别保护。有关更多信息,请参阅有关实施新标准合同条款的博客文章。
遵循 Schrems II 裁决和 EDPB 建议的 AWS 和 GDPR 合规性
全部打开-
2020 年 7 月 16 日,欧盟法院(CJEU)发布了关于在欧洲经济区以外传输欧盟人士个人数据的裁决(Schrems II)。在 Schrems II 中,CJEU 裁定欧盟-美国隐私盾不再作为将个人数据从 EEA 传输到美国的有效机制。然而,在同一裁决中,欧洲法院确认公司可以(需根据需要实施补充措施)继续使用标准合同条款作为在欧洲经济区以外传输个人数据的一种有效机制。欧洲数据保护委员会(EDPB,一个由国家数据保护机构代表组成的欧洲机构)此后在其“2020 年 1 月关于补充传输工具以确保符合欧盟个人数据保护水平的措施建议”(EDPB 建议)中提供了补充措施的非详尽清单。
-
是的,AWS 客户可以继续使用 AWS 服务将客户数据从欧洲传输到欧洲经济区以外尚未收到欧盟委员会充分性认定的国家/地区。Schrems II 的裁定确认了使用标准合同条款 (SCC) 作为在 EEA 以外传输客户数据的一种机制,并且 AWS 客户可以依据 欧盟《一般数据保护条例(GDPR)》,继续依靠 SCC 将客户数据传输到 EEA 以外。
-
是的,AWS 可能会使用三种类型的从处理者:(1) 提供 AWS 服务在其上运行的基础设施的 AWS 实体;(2) 支持需要其处理客户数据的特定 AWS 服务的 AWS 实体;以及 (3) AWS 与其签订合同以提供特定 AWS 服务处理活动的第三方。AWS 从处理者网页提供有关 AWS 根据 AWS DPA 聘用,以代表客户提供对客户数据处理活动的次级处理者的更多信息。与单个客户相关的从处理者将取决于客户选择的 AWS 区域和客户使用的特定 AWS 服务。
-
AWS 白皮书浏览欧盟数据传输合规性要求提供了与 AWS 为客户提供的服务和资源相关的信息,以帮助他们根据“Schrems II”规定以及后续的欧洲数据保护委员会建议执行数据传输评测。该白皮书还介绍了 AWS 为保护客户数据而采取和提供的主要配套措施。
-
AWS 可以为客户提供有用的信息,其中包括由第三方审计师出具的合规性报告,这些审计师已经审核过我们是否符合各种安全标准和法规,可以证明 AWS 的基础设施具有非常高的合规性级别。这些报告可以向客户证明,我们在保护他们选择在 AWS 上处理的个人数据。这方面的示例包括 AWS 符合 ISO 27001、27017 和 27018 的规定。ISO 27018 包含专注于保护客户数据的安全控制。
是的。欧洲云基础设施服务提供商协会(CISPE)《数据保护行为准则》公共登记册包含合规采纳该准则的 AWS 服务的列表。 CISPE 是一个由领先的云计算服务提供商组成的联盟,服务数以百万计的欧洲客户。CISPE 数据保护行为准则(CISPE 准则)是欧洲首个专注于云基础设施服务提供商的数据保护行为准则。CISPE 准则经过代表欧洲 27 个数据保护机构的欧洲数据保护委员会认可,并由担任主要监督机构的法国数据保护机关(CNIL)正式采用。2017 年,AWS 宣布其符合 CISPE 准则的较早版本。
技术和组织措施
全部打开-
GDPR 不会改变 AWS 责任共担模式,该模式仍然与客户相关。责任共担模式是一种阐明 AWS(作为数据处理者或从处理者)以及客户(作为数据控制者或数据处理者)在 GDPR 下的不同责任的有效途径。
-
是的,您可以在 AWS Partner Solutions Finder 中搜索“GDPR”的功能,以帮助查找拥有有助于实现 GDPR 合规性的产品和服务的 ISV、MSP 和 SI 合作伙伴。客户还可以在 AWS Marketplace 上搜索“GDPR”解决方案。
-
是的,AWS 安全保障服务团队会开展许多活动,帮助客户实现 GDPR 合规性。这支经过行业认证的合规专家团队通过将适用的合规标准与 AWS 服务的特定特性与功能联系起来,帮助客户在云中实现、维护和自动化合规。可以在此处找到有关 AWS 专业服务团队顾问如何帮助客户的更多详细信息。
-
客户可以使用 AWS Support 获得技术指导,帮助其走上 GDPR 合规之路。作为这项工作的一部分,我们设立了云支持工程师团队和技术客户经理(TAM)团队,帮助客户识别和缓解合规性方面的风险。AWS 提供的支持级别取决于客户选择的 AWS Support 计划。要了解 AWS Premium Support 如何为自己提供帮助,客户可以通过 AWS 管理控制台在 AWS Support Center 查看更多信息,可以按照与 AWS 签订的《企业支持协议》中的联系信息联系相关人员,也可以访问 AWS Support 网页。购买了 Enterprise Support 的客户应该联系自己的 TAM 询问 GDPR 相关问题。
-
AWS 制定了安全事件监控和数据泄露通知流程,并将根据 AWS DPA 及时向客户通知 AWS 安全漏洞。AWS 还为客户提供了多种工具,用于了解谁在什么时候从哪里访问了自己的资源。AWS CloudTrail 就是其中一种工具,让用户可以对 AWS 账户进行管理审核、合规性审核、操作审核和风险审核。借助 AWS CloudTrail,客户可以针对与整个 AWS 基础设施中的操作相关的账户活动进行日志记录、持续监控并保留相关信息。这可以帮助组织了解自己的 AWS 基础设施的状态,并在出现任何异常活动时立即采取措施。要详细了解 AWS 为客户提供哪些其他安全工具来帮助其依据 GDPR 履行作为数据控制者的义务,请访问 AWS 云安全性网页。
-
AWS 为客户和 APN 合作伙伴提供了多种工具,用于保护数据并防范网络攻击。AWS Shield 就是一种这样的工具。AWS Shield 是一种托管的分布式阻断服务(DDoS)攻击防护服务,可以保护 AWS 上运行的网站和应用程序。AWS Shield Standard 不额外收取费用,支持持续检测和自动内联缓解功能,可以最大限度地缩短应用程序停机时间和延迟。要针对以在 AWS 上运行并使用 ELB、Amazon CloudFront 和 Amazon Route 53 资源的 Web 应用程序为目标的攻击实现更高级别的防护,客户和 AWS 合作伙伴可以购买 AWS Shield Advanced。AWS 还会发布并定期更新应对 DDoS 的 AWS 最佳实践,帮助客户使用 AWS 构建可以应对 DDoS 攻击的应用程序。
-
Amazon Macie 是一项完全托管的数据安全和数据隐私服务,它利用机器学习和模式匹配来发现和保护 AWS 中的个人数据。随着组织管理越来越多的数据,大规模地识别和保护它们的个人数据会变得越来越复杂、昂贵和耗时。Amazon Macie 可以大规模自动发现个人数据,同时降低保护数据的成本。Macie 会自动提供 Amazon S3 存储桶的清单,包括未加密的存储桶、可公开访问的存储桶以及与 AWS 账户共享的存储桶的列表,其中这些账户不属于您在 AWS Organizations 中定义的账户。然后,Macie 将机器学习和模式匹配技术应用于您选择的存储桶,以识别个人数据并向您发出警报。
- 默认安全意味着 AWS 服务通过设计来实现默认安全性。如果使用默认配置,那么对资源的访问权限就会锁定到账户所有者和根管理员。
- AWS Identity and Access Management(IAM),使客户能够安全地管理对 AWS 服务和资源的访问。组织可以使用 IAM 创建和管理 AWS 用户和组,并使用各种权限来允许或拒绝他们访问 AWS 资源。IAM 是 AWS 账户提供的一项功能,不额外收取费用。
- AWS Multi-Factor Authentication,可以为 AWS 账户的用户名和密码提供一层额外的防护。AWS 允许客户选择虚拟和硬件 MFA 设备。
- AWS Directory Service,让客户可以与企业目录集成和联合,以便减少管理开销并提升最终用户体验。
- AWS Config,让客户能够使用预先打包的规则,帮助确保其 AWS 资源处于正确的配置状态和合规状态。
- AWS CloudTrail,让客户能够针对与整个 AWS 基础设施中的操作相关的账户活动进行日志记录、持续监控并保留相关信息记录,从而简化安全分析、资源更改跟踪和故障排除工作(所有 AWS 账户均默认启用 AWS CloudTrail)。
- Amazon Macie,可以自动发现、分类和保护 AWS 中的敏感数据,利用机器学习帮助客户避免数据丢失。这种完全托管式服务会持续监控数据访问活动是否存在异常,并在检测到未经授权访问或意外数据泄露风险(例如客户意外向外部开放敏感数据)时生成详细的警报。
为了帮助客户符合 GDPR 规定,AWS 提供了多种工具来控制对其 AWS 内容中包含的个人数据的访问。这些工具包括:
- 可在 AWS 存储和数据库服务(如 Amazon Elastic Block Store、Amazon S3、Amazon Glacier、Amazon DynamoDB、Oracle RDS、SQL Server RDS 和 Redshift)中使用的数据加密功能
- 灵活的密钥管理选项(包括 AWS Key Management Service),让客户能够选择是让 AWS 管理加密密钥还是自行完全控制密钥
- 加密消息队列,用于针对 Amazon SQS 使用服务器端加密(SSE)来传输敏感数据
- 使用 AWS CloudHSM 的基于硬件的专用加密密钥存储,让客户可以满足合规性要求
AWS 让客户和 APN 合作伙伴能够为云中的静态客户数据增加一层额外的安全防护,并帮助他们履行自己在 GDPR 下作为数据控制者在安全处理数据方面的义务。AWS 上提供的加密工具包括:
另外,AWS 还为客户和 AWS 合作伙伴提供了相应的 API,用于将加密和数据保护与他们在 AWS 环境中开发或部署的所有服务相集成。
- Multi-Factor-Authentication(MFA)
- 对 Amazon S3 存储桶/Amazon SQS/Amazon SNS 等中的对象的细粒度访问
- API 请求验证
- 地理限制
- 通过 AWS Security Token Service 获取的临时访问令牌
- 通过 AWS Config 执行资产管理和配置
- 通过 AWS CloudTrail 执行合规性审核和安全性分析
- 通过 AWS Trusted Advisor 识别配置方面存在的挑战
- 细粒度记录对 Amazon S3 对象的访问
- 通过 Amazon VPC 流日志获取网络中流量的详细信息
- 通过 AWS Config 规则执行基于规则的配置检查和操作
- 通过 AWS CloudFront 中的 AWS WAF 功能筛选和监视对应用程序的 HTTP 访问
- 使用 AES256(EBS/S3/Glacier/RDS)对静态数据加密
- 集中化托管密钥管理 (按 AWS 地区)
- IPsec 通过 VPN 网关进入 AWS
- 通过 AWS CloudHSM 在云中使用专用 HSM 模块
- ISO 27001,适用于技术措施
- ISO 27017,适用于云安全性
- ISO 27018,适用于云隐私保护
- SOC 1、SOC 2 和 SOC 3、PCI DSS 1 级、
- BSI 的 Common Cloud Computing Controls Catalogue(C5)
- ENS 高级认证
AWS 提供特定的功能和服务,它们将有助于客户符合 GDPR 要求:
访问控制:只允许授权的管理员、用户和应用程序访问 AWS 资源
监控和日志记录:获取 AWS 资源相关活动的概况
加密:在 AWS 上加密数据
强大的合规框架和安全标准:我们证明遵守严格的国际标准,例如:
AWS 与英国 GDPR
全部打开-
GDPR 是一个欧盟规定,英国脱欧后,不再适用于英国。 英国政府将 GDPR 的要求包括在英国法律中,即“英国 GDPR”。
-
AWS 在 AWS DPA 中提供符合英国 GDPR 的英国 GDPR 附录,其中包含 AWS 根据英国 GDPR 作为数据处理者的承诺。英国 GDPR 附录是 AWS 服务条款的一部分,自动适用于需要数据处理协议以遵循英国 GDPR 的所有客户。
英国 GDPR 附录是 AWS 服务条款的一部分,包括 EC 采用的 SCC 和英国数据保护监管机构(信息专员办公室)发布的国际数据传输附录(IDTA)。 IDTA 对 SCC 进行了修正,以确保它们在英国 GDPR 下为向英国以外的国家(英国第三国)的国际数据传输提供适当的保护。英国 GDPR 附录确认,只要客户使用 AWS 服务将受英国 GDPR 约束的客户数据(英国客户数据)传输到除英国以外的第三国,SCC(通过 IDTA 修正)将会自动适用。 作为 AWS 服务条款中的英国 GDPR 附录的一部分,当客户使用 AWS 服务将英国客户数据传输到除英国以外的第三国时,SCC(通过 IDTA 修正)将会自动适用。
AWS 和《瑞士联邦数据保护法》
全部打开-
AWS 提供了 AWS 数据处理附录的瑞士附录(“瑞士附录”),其中纳入了 AWS 作为数据处理者在《瑞士联邦数据保护法》(“FDPA”)下的承诺。瑞士附录是 AWS 服务条款的一部分(参见第 1.14.4 节),当 FDPA 适用于客户使用 AWS 服务处理客户数据时,将自动适用。
-
AWS 数据处理附录的瑞士附录是 AWS 服务条款的一部分(参见第 1.14.4 节),包括欧盟委员会通过并根据瑞士联邦数据保护和信息专员的要求修正的标准合同条款(“SCC”)。瑞士附录确认,只要客户使用 AWS 服务将受 FDPA 约束的客户数据传输到第三国,SCC(通过瑞士附录修正)将会自动适用。
联系信息
全部打开-
建议在 GDPR 方面有问题的客户先联系自己的 AWS 客户经理。注册了 Enterprise Support 的客户也可以联系自己的技术客户经理(TAM)。TAM 会与解决方案架构师合作,帮助客户确定潜在的风险和可能的缓解措施。TAM 和客户团队还可以根据客户和 APN 合作伙伴的环境和需求,为其指明特定资源。
