数据隐私常见问题
客户的信任是 AWS 的第一要务。
维护客户信任是一项持续的承诺。AWS 持续监控不断变化的隐私监管和立法领域,以识别变更并确定我们的客户可能需要哪些工具来满足其合规性目标。我们力求让您了解我们实施的隐私和数据安全政策、实践和技术。
维护客户信任是一项持续的承诺。AWS 持续监控不断变化的隐私监管和立法领域,以识别变更并确定我们的客户可能需要哪些工具来满足其合规性目标。我们力求让您了解我们实施的隐私和数据安全政策、实践和技术。
我们的承诺包括:
客户内容的定义为:客户或任何终端用户传输给我们以便处理、存储或交由与该客户账户关联的 AWS 服务托管的软件(包括机器映像)、数据、文本、音频、视频或图像;以及客户或其终端用户在使用 AWS 服务过程中通过上述内容得出的任何计算结果。例如,客户或其终端用户存储在 Amazon Simple Storage Service(S3)中的内容就是客户内容。客户内容不包括下文所述的账户信息。客户内容也不包括资源标识符、元数据标签、访问控制、规则、使用策略、权限以及与 AWS 资源管理相关的类似项目中所包含的信息。AWS 建议您不要在这些项目中包含个人身份、机密或敏感信息。AWS 客户协议和 AWS 服务条款中的条款适用于您的客户内容。
账户信息的定义为:客户提供给我们的、与客户账户的创建或管理相关的客户信息。例如,姓名、用户名、电话号码、电子邮件地址以及与客户账户关联的账单信息就是账户信息。AWS 隐私声明中所述的信息实践适用于账户信息。
作为客户,您拥有自己的客户内容,并且您可以选择使用哪些 AWS 服务来处理、存储和托管您的客户内容。未经您同意,我们不会出于任何目的而访问或使用您的客户内容。我们不会出于营销或广告目的而使用客户内容或从中提取信息。
作为客户,您控制自己的内容:
AWS 隐私声明中介绍了我们收集和使用账户信息的方式。
AWS 使用这些信息来提供 AWS 服务,并保护和改善客户体验。例如,AWS 使用资源标识符来帮助客户生成成本和使用报告,这些报告可用于按成本中心分解 AWS 支出,并使用 IAM 权限来确定特定用户是否可以购买预留实例。当客户向 AWS 寻求技术援助时,AWS 还可以分析资源标识符和权限,以帮助他们解决问题。
我们对客户隐私始终保持警惕。我们不会披露客户内容,除非法律或者政府机构具约束力的有效指令有此要求。如果政府机构向 AWS 发送客户内容的要求,我们将尝试重定向政府机构,以直接向客户要求提供数据。政府和监管部门需要遵从相应的法律流程获得有效并有约束力的指令。我们会分析所有指令,并对过于宽泛或不恰当的指令提出异议。如果我们被迫向政府机构披露客户内容,我们将向客户发出合理的通知,以便客户可以寻求保护令或其他适当的补救措施,除非法律禁止 AWS 这样做。同样值得指出的是,我们的客户可以对其客户内容进行加密,并且可以选择自行管理自己的加密密钥。
我们知道透明度对客户至关重要,因此会定期在 Amazon 信息请求网页发布关于我们收到的信息请求的类型和数量的报告。
AWS 全球基础设施使您可以灵活地选择使用相同的网络、控制面板、API 和 AWS 服务在何处以及如何运行工作负载。如果您需要在全球运行应用程序,则可以选择任何 AWS 区域和可用区。作为客户,您可以选择存储您的客户内容的 AWS 区域,这样您就可以根据自己对地理位置的具体要求,在自己选择的地点部署 AWS 服务。例如,如果澳大利亚的 AWS 客户想要确保自己的数据只存储在澳大利亚境内,那么他可以选择将自己的 AWS 服务完全部署在亚太地区(悉尼)AWS 区域。如果您想探索其他灵活的存储选项,请参阅 AWS 区域网页。
您还可以在多个 AWS 区域中复制和备份客户内容。我们不会将您的内容移到或复制到您所选择的 AWS 区域之外,除非是为了提供您发起的服务,或者法律或政府机构具有约束力的指令有此要求。但是请注意,某些 AWS 服务可能无法在所有 AWS 区域中使用。有关哪些 AWS 区域可以使用哪些服务的更多信息,请参阅 AWS 区域服务网页。
在评估云解决方案的安全性时,您应当了解并区分云本身的安全性和云中的安全性。云的安全性包含 AWS 实施和管理的各种安全措施。我们负责云的安全性。云中的安全性包含您实施和管理的、与您使用的 AWS 服务相关的各种安全措施。您负责云中的安全性。有关更多信息,请参阅 AWS 责任共担网页。
在 AWS,我们的首要任务是确保客户数据的安全,无论客户选择哪个 AWS 区域,我们都会采取严格的合同、技术和组织措施来保护数据的保密性、完整性和可用性。
AWS 符合 ISO 27018,这一操作规程主要针对云中个人数据的保护。它扩展了 ISO 信息安全标准 27001 以涵盖公有云计算环境的个人身份信息(PII)保护监管要求,并根据适用于公有云服务提供商处理的 PII 的 ISO 27002 控制规定了实施指南。要了解更多信息或查看 AWS ISO 27018 认证,请参阅 AWS ISO 27018 合规性网页。
此外,AWS 还根据 SOC 2 隐私信任标准发布了 SOC 2 II 类隐私报告,该标准由美国注册会计师协会(AICPA)制定,为评估与个人数据如何收集、使用、保留、披露和处理以满足实体目标相关的控制措施建立了标准。AWS SOC 2 II 类隐私报告为我们的系统以及我们的隐私控件设计的适用性提供第三方认证。隐私报告的范围包括我们如何处理您上传到 AWS 上的内容,以及该内容在最新的 AWS SOC 报告范围内的所有服务和位置中如何受到保护的信息。SOC 2 II 类隐私报告可以通过 AWS 管理控制台中的 AWS Artifact 下载。
我们建议在 AWS 和数据保护方面有问题的客户先联系自己的 AWS 客户经理。注册了 Enterprise Support 的客户也可以联系自己的技术客户经理(TAM)获取支持。AWS 客户经理和 TAM 与解决方案架构师合作,帮助客户满足他们的合规性需求。AWS 无法向客户提供法律建议,如果客户有关于数据保护的法律问题,建议咨询其法律顾问。
我们还设立了企业支持代表团队、专业服务咨询团队和其他员工团队,协助解决隐私方面的问题。如有疑问,可在此处联系我们。