新西兰数据隐私

概览

新西兰客户可以在亚太地区（悉尼）区域运行应用程序和工作负载，以便向他们在澳大利亚和新西兰的最终用户提供更低的延迟，同时避免了与维护和运营他们自己的基础设施相关的前期费用和扩展挑战，也无需签订长期协议。

《隐私权法案》内包含的信息隐私权规定（“IPP”）中列出了有关处理个人信息的主要要求。IPP 中规定了有关收集、管理、使用、披露和以其他方式处理从位于新西兰的个人那里收集到的个人信息的要求。

《隐私权法案》承认委托人和代理之间存在区别。当某个实体（代理）保留个人信息的唯一目的是为了代表另一实体（委托人）存储或处理个人信息，而不是为其自身目的而使用或披露个人信息时，这类信息将被视为由委托人所有。在这种情况下，委托人将承担遵循 IPP 的主要责任。 如需有关 IPP 要求的完整表格，请单击此处。

• 客户在保护其内容方面扮演着什么角色？

  在 AWS 责任共担模型下，AWS 客户可以控制选择实施哪种安全措施来保护自己的内容、平台、应用程序、系统和网络，如同保护现场数据中心内的应用程序一样。客户可以基于 AWS 提供的技术和组织安全措施以及控制措施管理自己的合规性要求。除了 AWS Identity and Access Management 等 AWS 安全功能之外，客户还可以使用熟悉的措施来保护自己的数据，例如加密和多因素身份验证。

  评估云解决方案的安全性时，理解和区分以下内容对客户很重要：

  • AWS 实施和操作的安全措施 -“云的安全性”，以及
  • 客户实施和操作的安全措施，与他们使用 AWS 服务的客户内容和应用程序的安全相关 -“云中的安全性”

  

• 谁有权访问客户内容？

  客户保留对其客户内容的所有权和控制，并且可以选择处理、存储和托管其客户内容的 AWS 服务。AWS 无法看到客户内容，也无法访问或使用客户内容，除非提供由客户选择的 AWS 服务，或者在需要遵守法律或有约束力的法律命令的情况下才可以。

  使用 AWS 服务的客户在 AWS 环境中保持对其内容的控制。他们可以：

  • 确定内容的存储位置，例如存储环境的类型和存储的地理位置。
  • 使用 AWS 提供的加密或客户选择的第三方加密机制来控制内容的格式，例如纯文本、掩码、匿名或加密。
  • 管理其他访问控制措施，例如身份和访问管理及安全凭证。
  • 控制是否使用 SSL、Virtual Private Cloud 等网络安全措施，防止未授权访问。

  这允许 AWS 客户控制其内容在 AWS 上的整个生命周期，并根据他们自己的特定需求管理其内容，包括内容分类、访问控制、保留和删除。

• 客户内容将存储在什么位置？

  AWS 数据中心建立在遍布世界各地的集群中。我们将指定位置的每个数据中心集群称为“区域”。

  AWS 客户选择要存储其内容的 AWS 区域。这使得要求特定地理位置的客户可在他们选择的位置建立环境。

  举例来说，虽然亚马逊云科技目前在新西兰并未设立区域，但位于新西兰的亚马逊云科技客户可以选择在亚太地区（悉尼）区域部署其亚马逊云科技服务，并将其内容离岸存储在澳大利亚。如果客户做出了这样的选择，则其内容将位于澳大利亚，除非客户选择移动这些内容。
  

  客户可以在多个地区复制和备份内容，但是亚马逊云科技不会将客户的内容移出其选择的地区，除非按客户要求提供服务或遵守适用的法律。
  

• AWS 如何保护其数据中心的安全？

  AWS 数据中心安全策略由可扩展的安全控制和多层防御组成，有助于保护您的信息。例如，AWS 小心地管理潜在的洪水和地震活动风险。我们使用物理屏障、安全警卫、威胁检测技术和深度筛选流程来限制对数据中心的访问。我们备份我们的系统，定期测试设备和流程，并持续培训 AWS 员工为意外做好准备。

  为了验证我们数据中心的安全性，外部审核机构全年对 2600 多项标准和要求进行测试。这种独立检查有助于确保始终符合或高于安全标准。因此，世界上监管最严格的组织信任 AWS 来保护他们的数据。

  如需详细了解我们如何通过设计保护 AWS 数据中心，请通过虚拟方式参观 AWS 数据中心 »

• 我可以使用哪些 AWS 区域？

  客户可以选择使用任意一个区域、所有区域或区域的任意组合。有关 AWS 区域的完整列表，请访问 AWS 全球基础设施页面。

• AWS 设置了哪些安全措施来保护系统？

  AWS 云基础设施旨在成为当今市场上最灵活、最安全的云计算环境之一。Amazon 的规模庞大，因此在安全管理和对策方面的投入远远高于任何其他大型企业有能力自行承担的投入。我们的基础设施由运行 AWS 服务的硬件、软件、网络和设施组成，可以针对个人数据的处理为客户和 APN 合作伙伴提供强大的控制，其中包括安全配置控制。要详细了解 AWS 为了始终保持高安全性而采取的措施，请参阅AWS 安全流程概览白皮书。

  AWS 还可以提供由第三方审核机构出具的多种合规性报告，这些审核机构已经测试并审核过我们是否符合各种安全标准和法规（包括 ISO 27001、ISO 27017 和 ISO 27018）。为了使这些措施的效果透明化，我们提供了在 AWS Artifact 中访问第三方审核报告的权限。无论自己是数据控制者还是数据处理者，客户和 APN 合作伙伴都可以从此类报告中看出，我们在保护他们用于存储和处理个人数据的底层基础设施。有关更多信息，请访问我们的合规性资源。
  

• 能否介绍下新西兰《数据泄露通报法案》（NDB）的相关情况？

  亚马逊云科技向受《新西兰隐私法》约束且使用亚马逊云科技来存储和处理 NDB 所涉及到的个人信息的客户提供两种类型的新西兰《数据泄露通报法案》（NZNDB）附录。如果某一个安全事件影响到客户的数据，NZNDB 附录可满足客户获得通知的需求。亚马逊云科技已将两种类型的 NZNDB 附录在 Amazon Artifact（可从亚马逊云科技管理控制台访问的、面向客户的审核与合规性门户）中以在线点击协议的形式提供。第一种类型的账户 NZNDB 附录仅适用于接受账户 NZNDB 附录的特定的个别账户。对于客户要求涵盖的各个亚马逊云科技账户，必须单独来接受账户 NZNDB 附录。第二种类型，即 Organizations NZNDB 附录，一旦被 AWS Organizations 中的主账户所接受，则将适用于该主账户以及该 AWS Organization 中的所有成员账户。如果客户不需要或不希望利用 Organizations NZNDB 附录，他们仍然可以为单个账户接受账户 NZNDB 附录。可在 Amazon Artifact 常见问题处在线了解有关 NZNDB 附录的常见问题。