印度尼西亚数据隐私法

保护您的数据

赢取客户信任是我们在 AWS 开展业务的基础,我们知道,您信任我们来保护您最关键和最敏感的资产:您的数据。我们通过与您密切合作来了解您的数据保护需求,并通过提供最全面的服务、工具和专业知识来帮助您保护数据,从而赢得这种信任。为此,我们提供保护您的数据所需的技术、运营和合同措施。借助 AWS,您可以管理数据的隐私控制、控制数据的使用方式、访问权限以及加密方式。我们通过当今最灵活、最安全的云计算环境来支持这些功能。

我们对您的承诺

数据控制

借助 AWS,您可以使用强大的 AWS 服务和工具来控制数据,从而确定数据的存储位置、保护方式以及访问权限。AWS Identity and Access Management (IAM) 等服务使您能够安全地管理对 AWS 服务和资源的访问。AWS CloudTrailAmazon Macie 支持治理、合规性、检测和审计,而 AWS CloudHSMAWS Key Management Service (KMS) 则允许您安全地生成和管理加密密钥。

数据隐私

我们提供让您可以实施自己的隐私控制的服务和功能(包括高级访问、加密和日志记录功能),从而不断提高隐私保护的标准。我们可以使用由 AWS 托管或由您完全管理的密钥轻松加密动态和静态数据。您可以使用自己在 AWS 之外生成和管理的密钥。我们实施一致且可扩展的流程来 管理隐私,包括如何收集、使用、访问、存储和删除数据。我们提供了各种最佳实践文档、培训和指南,您可以利用它们来保护您的数据,例如 AWS Well-Architected Framework 的安全支柱。我们仅根据您的书面说明来处理客户数据,即您上载到 AWS 账户的任何个人数据,并且不会在未经您同意的情况下访问、使用或共享该数据,除非出于防止欺诈和滥用或遵守法律的需要,如我们的 《AWS 客户协议》《AWS GDPR 数据处理附录》中所述。数千位受 欧盟《一般数据保护条例(GDPR)》PCIHIPAA 约束的客户使用 AWS 服务来处理这些类型的工作负载。AWS 已获得多项国际认可的认证和资格鉴定,证明其符合严格的国际标准,例如针对云安全的 ISO 27017 和针对云隐私性的 ISO 27018。我们不会出于营销或广告目的使用客户数据或从中提取信息。
 
在我们的 数据隐私中心了解详情。

数据主权

您可以选择将您的客户数据存储在我们全球任何一个或多个 AWS 区域。 您还可以放心地使用 AWS 服务,因为客户数据会保留在您选择的 AWS 区域内。少量 AWS 服务涉及数据传输,例如,出于开发和改进服务的需要,您可以在此过程中选择退出传输,或者因为传输是服务(例如内容分发服务)的重要部分。我们禁止 -- 且我们的系统旨在防止 -- AWS 人员出于任何目的(包括服务维护)远程访问客户数据,除非您要求访问或者出于防止欺诈和滥用或遵守法律的需要访问。如果我们收到政府机构对客户数据的执法请求,我们会在请求与法律冲突、过于宽泛或者我们有适当的理由时提出质疑。我们还会每半年提供一次信息请求报告,描述 AWS 从执法部门收到的信息请求的类型和数量。

安全性

在 AWS,安全是我们的首要任务,云中的安全性是 AWS 和客户共同的责任。 我们的客户包括金融服务提供商、医疗保健提供商和政府机构,他们将一些最敏感的信息托付给我们,给予我们充分的信任。您可以通过我们的综合服务提高满足核心安全性、机密性和合规性要求的能力,无论是通过 Amazon GuardDuty 还是我们的 AWS Nitro System(我们 EC2 实例的基础平台)。此外,AWS CloudHSMAWS Key Management Service 等服务允许您安全地生成和管理加密密钥,AWS ConfigAWS CloudTrail 提供监控和日志记录功能以实现合规性和审计。

概览

印度尼西亚于 2022 年 10 月 17 日颁布了《个人数据保护法》(印度尼西亚共和国 2022 年第 27 号法)(PDP 法)。《个人数据保护法》适用于 (i) 居住在印度尼西亚的人员;和 (ii) 居住在印度尼西亚境外,但其行为在印度尼西亚或对国外的印度尼西亚数据主体有法律后果的人员。

《个人数据保护法》区分了数据控制者和数据处理者,他们适用不同的数据处理职责。数据控制者是确定个人数据处理的目标并对其进行控制的人员。数据处理者是按照数据控制者的指示处理数据的人员。概括来讲,数据控制者的一些重要职责包括:

  • 根据指定的处理法律依据处理个人数据,包括数据主体的同意、合同必要性和合法利益
  • 实施适当的安全措施,防止个人数据遭受未经授权的披露
  • 响应数据主体的权利,包括访问和纠正其个人数据的权利,以及要求删除其个人数据的权利
  • 仅在满足传输条件的情况下,将个人数据传输到印度尼西亚境外

对于数据处理者,《个人数据保护法》要求他们只能根据数据控制者的指示处理个人数据。《个人数据保护法》不包括任何数据本地化要求。

现有的个人数据保护法规,包括 2008 年关于电子信息和交易的第 11 号法、2019 年关于电子系统和交易运行的第 71 号政府条例(GR 71)(修正了 2012 年关于电子系统和交易运行的第 82 号政府条例)以及 2016 年关于电子系统中个人数据保护的通讯及资讯管理部第 20 号条例(第 20 号部颁条例),在不与《个人数据保护法》冲突的范围内继续有效。

AWS 对您的隐私和数据安全保持警惕。AWS 的安全性始于我们的核心基础设施。我们的基础设施针对云定制,旨在满足全球最严格的安全要求,处于全天候监控之下,从而确保客户数据的机密性、完整性和可用性。世界级安全专家不但监控此基础设施,还构建并维护我们丰富多样的创新安全服务,这些服务可以帮助您简化满足自己的安全和法规要求。作为 AWS 客户,无论您的规模或位置如何,都能继承我们经验的所有优势,这些优势已经过最严格的第三方保证框架的测试。

根据全球公认的安全保障框架和认证,包括 ISO 27001ISO 27017ISO 27018ISO 27701ISO 22301PCI DSS 第 1 级SOC 1、2 和 3,AWS 实施并维护适用于 AWS Cloud 基础设施服务的技术和组织安全措施。这些技术和组织安全措施由独立的第三方评估机构验证,旨在防止未经授权访问或泄露客户内容。

例如,ISO 27018 是首个专注于云中个人数据保护的国际行为准则。它基于 ISO 信息安全标准 27002,并针对 ISO 27002 控制体系提供了实施指南,该体系适用于由公有云服务提供商处理的个人可识别信息 (PII)。这向客户表明,AWS 具有适当的控制体系来专门处理其内容的隐私保护。

这些全面的 AWS 技术和组织措施与常规法规目标一致,都是为了保护个人数据。使用 AWS 服务的客户可以保持对其内容的控制,并负责根据其特定需求实施额外的安全措施,包括内容分类、加密、访问管理和安全凭证。

由于 AWS 不了解或不知道客户上传到其网络上的内容,包括数据是否被视为受《个人数据保护法》保护,客户最终要对自己遵守《个人数据保护法》和相关法规的情况负责。本页内容补充了现有的数据隐私资源,有助于您在使用 AWS 服务存储和处理个人数据时,确保您的要求符合 AWS 责任共担模式

  • AWS 责任共担模型下,AWS 客户可以控制选择实施哪种安全措施来保护自己的内容、平台、应用程序、系统和网络,如同保护现场数据中心内的应用程序一样。客户可以基于 AWS 提供的技术和组织安全措施以及控制措施管理自己的合规性要求。除了 AWS Identity and Access Management 等 AWS 安全功能之外,客户还可以使用熟悉的措施来保护自己的数据,例如加密和多因素身份验证。

    评估云解决方案的安全性时,理解和区分以下内容对客户很重要:

    • AWS 实施和操作的安全措施 -“云安全性”,以及
    • 客户实施和操作的安全措施,与他们使用 AWS 服务的客户内容和应用程序的安全相关 -“云的安全性”
  • 客户保留对其客户内容的所有权和控制,并且可以选择处理、存储和托管其客户内容的 AWS 服务。AWS 无法看到客户内容,也无法访问或使用客户内容,除非提供由客户选择的 AWS 服务,或者在需要遵守法律或有约束力的法律命令的情况下才可以。

    使用 AWS 服务的客户在 AWS 环境中保持对其内容的控制。他们可以:

    • 确定内容的存储位置,例如存储环境的类型和存储的地理位置。
    • 使用 AWS 提供的加密或客户选择的第三方加密机制来控制内容的格式,例如纯文本、掩码、匿名或加密。
    • 管理其他访问控制措施,例如身份和访问管理及安全凭证。
    • 控制是否使用 SSL、Virtual Private Cloud 等网络安全措施,防止未授权访问。

    这允许 AWS 客户控制其内容在 AWS 上的整个生命周期,并根据他们自己的特定需求管理其内容,包括内容分类、访问控制、保留和删除。

  • AWS 数据中心建立在遍布世界各地的集群中。我们将指定位置的每个数据中心集群称为“区域”。

    AWS 客户选择要存储其内容的 AWS 区域。这使得要求特定地理位置的客户可在他们选择的位置建立环境。

    客户可以在多个地区复制和备份内容,但是 AWS 不会将客户的内容移出其选择的地区,除非按客户要求提供服务或遵守适用的法律。

  • AWS 数据中心安全策略由可扩展的安全控制和多层防御组成,有助于保护您的信息。例如,AWS 小心地管理潜在的洪水和地震活动风险。我们使用物理屏障、安全警卫、威胁检测技术和深度筛选流程来限制对数据中心的访问。我们备份我们的系统,定期测试设备和流程,并持续培训 AWS 员工为意外做好准备。

    为了验证我们数据中心的安全性,外部审核机构全年对 2600 多项标准和要求进行测试。这种独立检查有助于确保始终符合或高于安全标准。因此,世界上监管最严格的组织信任 AWS 来保护他们的数据。

    如需详细了解我们如何通过设计保护 AWS 数据中心,请通过虚拟方式参观 AWS 数据中心 »

  • 客户可以选择使用任意一个区域、所有区域或区域的任意组合。有关 AWS 区域的完整列表,请访问 AWS 全球基础设施页面

  • AWS 云基础设施旨在成为当今市场上最灵活、最安全的云计算环境之一。Amazon 的规模庞大,因此在安全管理和对策方面的投入远远高于任何其他大型企业有能力自行承担的投入。我们的基础设施由运行 AWS 服务的硬件、软件、联网和设施组成,可以针对个人数据的处理为客户和 AWS 合作伙伴提供强大的控制,其中包括安全配置控制。

    AWS 还可以提供由第三方审计机构出具的多种合规性报告,这些审计机构已经测试并审计过我们是否符合各种安全标准和法规(包括 ISO 27001、ISO 27017 和 ISO 27018)。为了使这些措施的效果透明化,我们提供了在 AWS Artifact 中访问第三方审核报告的权限。无论自己是数据控制者还是数据处理者,客户和 APN 合作伙伴都可以从此类报告中看出,我们在保护他们用于存储和处理个人数据的底层基础设施。有关更多信息,请访问我们的合规性资源

有问题? 联系 AWS 业务代表
想要提供合规性服务?
立即申请 »
想要了解 AWS 合规性动态?
在 Twitter 上关注我们 »