阿根廷数据隐私
概览
阿根廷个人数据保护法 (“PDPL”) 第 25326 条(包括第 1558/2001 号行政令和补充法规)是阿根廷联邦法律,适用于保护阿根廷境内的个人数据以及个人数据在国际间的转移处理。2018 年 7 月,阿根廷数据保护局(Agencia de Acceso a la Información Pública,“ADPA”)根据 PDPL 发布了 47/2018 号决议(“第 47 号决议”),该决议废除了数据控制者(即 AWS 客户)在处理个人数据时需要考虑的与安全措施相关的第 11/2006 号处置条例。第 47 号决议描述了新的建议安全措施,这些措施与国际最佳实践和标准相一致,旨在保护从数据收集到数据删除的个人数据处理过程中的机密性和完整性。尤其是,这项新决议更新了在处理个人数据时管理、计划、控制和改进安全性的建议措施和控制的清单。这些建议的安全措施按处理相关活动的类别进行划分,包括数据收集、访问控制、变更控制、备份和恢复、漏洞管理、数据移除或删除、安全事件和开发环境。此外,第 47 号决议包括一份适用于“敏感数据”(见 PDPL 中的定义)的安全措施清单。
AWS 对您的隐私和数据安全保持警惕。AWS 的安全性始于我们的核心基础设施。我们的基础设施针对云定制,旨在满足全球最严格的安全要求,处于全天候监控之下,从而确保客户数据的机密性、完整性和可用性。世界级安全专家不但监控此基础设施,还构建并维护我们丰富多样的创新安全服务,这些服务可以帮助您简化满足自己的安全和法规要求。作为 AWS 客户,无论您的规模或位置如何,都能继承我们经验的所有优势,这些优势已经过最严格的第三方保证框架的测试。
根据全球公认的安全保障框架和认证,包括 ISO 27001、ISO 27017、ISO 27018、PCI DSS Level 1 和 SOC 1、2 和 3,AWS 实施并维护适用于 AWS 云基础设施服务的技术和组织安全措施。这些技术和组织安全措施由独立的第三方评估机构验证,旨在防止未经授权访问或泄露客户内容。
例如,ISO 27018 是首个专注于云中个人数据保护的国际行为准则。它基于 ISO 信息安全标准 27002,并针对 ISO 27002 控制体系提供了实施指南,该体系适用于由公有云服务提供商处理的个人可识别信息 (PII)。这向客户表明,AWS 具有适当的控制体系来专门处理其内容的隐私保护。
这些全面的 AWS 技术和组织措施与 PDPL 以及 PDPL 下的第 47 号决议的目标一致,都是为了保护个人数据。使用 AWS 服务的客户可以保持对其内容的控制,并负责根据其特定需求实施额外的安全措施,包括内容分类、加密、访问管理和安全凭据。
由于 AWS 无法有意义地看到客户选择在 AWS 中存储什么类型的内容,包括数据是否被视为受 PDPL 保护,客户最终要对自己遵守 PDPL 和相关法规的情况负责。本页内容补充了现有的数据隐私资源,有助于您在国际数据中心处理个人数据时,将您的要求与 AWS 责任共担模型保持一致。
-
客户在保护其内容方面扮演着什么角色?
在 AWS 责任共担模型下,AWS 客户可以保留控制选择实施哪种安全措施来保护自己的内容、平台、应用程序、系统和网络,如同保护本地数据中心内的应用程序一样。客户可以基于 AWS 提供的技术和组织安全措施以及控制措施管理自己的合规性要求。除了 AWS Identity and Access Management 等 AWS 安全功能之外,客户还可以使用熟悉的措施来保护自己的数据,例如加密和多因素身份验证。
评估云解决方案的安全性时,理解和区分以下内容对客户很重要:
- AWS 实施和运营的安全措施 –“云安全性”,以及
- 客户实施和运营的安全措施,与他们使用 AWS 服务的客户内容和应用程序的安全相关 –“云中的安全性”
-
谁有权访问客户内容?
客户保留对其客户内容的所有权和控制,并且可以选择处理、存储和托管其客户内容的 AWS 服务。AWS 无法有意义地看到客户内容,也无法访问或使用客户内容,除非提供由客户选择的 AWS 服务,或者在需要遵守法律或有约束力的法律命令的情况下才可以。
使用 AWS 服务的客户在 AWS 环境中保持对其内容的控制。他们可以:
- 确定内容的存储位置,例如存储环境的类型和存储的地理位置。
- 使用 AWS 提供的加密或客户选择的第三方加密机制来控制内容的格式,例如纯文本、掩码、匿名或加密。
- 管理其他访问控制措施,例如身份和访问管理及安全凭证。
- 控制是否使用 SSL、Virtual Private Cloud 等网络安全措施,防止未授权访问。
这允许 AWS 客户控制其内容在 AWS 上的整个生命周期,并根据他们自己的特定需求管理其内容,包括内容分类、访问控制、保留和删除。
-
客户内容存储在哪里?
AWS 全球基础设施让您能够灵活选择如何以及在何处运行工作负载,并且您始终使用相同的网络、控制层面、API 和 AWS 服务。如果您需要在全球运行应用程序,则可以选择任何 AWS 区域和可用区。作为客户,您可以选择存储您的客户内容的 AWS 区域,这样您就可以根据自己对地理位置的具体要求,在自己选择的地点部署 AWS 服务。例如,如果澳大利亚的 AWS 客户想要确保自己的数据只存储在澳大利亚境内,那么他可以选择将自己的 AWS 服务完全部署在亚太地区(悉尼)AWS 区域。如果您想探索其他灵活的存储选项,请参阅 AWS 区域网页。
您可以在多个 AWS 区域中复制和备份客户内容。未经您同意,我们不会将您的内容移到或复制到您所选择的 AWS 区域之外,除非法律要求或者政府部门发布有约束力的指令要求。但是请注意,并非所有 AWS 服务都可以在所有 AWS 区域中使用。有关哪些 AWS 区域可以使用哪些服务的更多信息,请参阅 AWS 区域服务网页。
-
AWS 如何保护其数据中心的安全?
AWS 数据中心安全策略由可扩展的安全控制和多层防御组成,有助于保护您的信息。例如,AWS 小心地管理潜在的洪水和地震活动风险。我们使用物理屏障、安全警卫、威胁检测技术和深度筛选流程来限制对数据中心的访问。我们备份我们的系统,定期测试设备和流程,并持续培训 AWS 员工为意外做好准备。
为了验证我们数据中心的安全性,外部审核机构全年对 2600 多项标准和要求进行测试。这种独立检查有助于确保始终符合或高于安全标准。因此,世界上监管最严格的组织信任 AWS 来保护他们的数据。
如需详细了解我们如何通过设计保护 AWS 数据中心,请通过虚拟方式参观 AWS 数据中心 »
-
我可以使用哪些 AWS 区域?
客户可以选择使用任何一个区域、所有区域或任何区域的组合,包括巴西和美国的区域。有关 AWS 区域的完整列表,请访问 AWS 全球基础设施页面。
-
阿根廷数据保护局已经确定,某些国家/地区为个人数据提供了“足够的保护”。AWS 在这些国家/地区中有区域吗?
根据 PDPL,允许数据控制者(即 AWS 客户)将个人数据传输到 ADPA 确定的为个人数据提供“足够的保护”的司法管辖区。根据 ADPA 发布的处置条例 60-E/2016,欧盟 (EU) 和欧洲经济共同体 (EEC) 的成员国被认为是为个人数据提供了足够的保护。
ADPA 发现,AWS 在很多国家/地区的区域中,都提供了符合 PDPL 要求的“足够的保护”,例如,欧洲(德国、法国、英国和爱尔兰)。有关 AWS 区域的完整列表,请访问 AWS 全球基础设施页面。
无论您选择哪个区域,AWS 都会为其数据中心提供相同的安全标准。
-
AWS 提供了哪些国际数据传输协议来保护传输到任何国家(包括巴西和美国)的个人数据?
在与客户的协议中,AWS 做出了具体的安全和隐私承诺,广泛适用于客户选择存储其数据的每个区域的客户内容。AWS 所做的承诺与 PDPL、PDPL 下的处置条例 60-E/2016 和第 47/2018 号决议的目标一致,都是为了保护个人数据。
AWS 还提供国际数据处理附录 (DPA)(也称为数据传输协议),全球适用,并包括具体的合同承诺,从而充分解决各方在个人数据隐私和安全性方面承担的角色及义务。
客户也可以选择加入 AWS 的企业协议,该协议允许进一步定制,从而最大程度满足客户的具体需求。有关 AWS 企业协议或 DPA 的更多信息,请联系您的 AWS 销售代表。