南非数据隐私

概览

《个人信息保护法案(PoPIA)》对如何在南非从一个可辨别身份,而且在世的自然人,或在适用时,从一个可辨别身份的现有法人那里收集、使用并处理其个人信息进行管制。它规定了合法处理个人信息的条件。除其他工作以外,南非的信息监管机构还要监控与强制实施 PoPIA。

跨境数据流动
PoPIA 的第 72 节允许在符合下列条件时将个人信息转移到南非境外:

  • 作为信息接收者的第三方遵守能提供充足保护的法律,具有约束力的公司规章或具有约束力的协议(见 PoPIA 中的说明)
  • 数据主体同意转移;
  • 转移对履行数据主体和责任方之间的合同,或应数据主体请求实施合同前措施而言是必要的; 
  • 转移对责任方和第三方之间订立或履行保护数据主体利益的合同来说是必要的;或者 
  • 转移对数据主体有好处,详见 PoPIA 中的进一步规定。
 
AWS 对您的隐私和数据安全保持警惕。AWS 的安全性始于我们的核心基础设施。我们的基础设施针对云定制,旨在满足全球最严格的安全要求,处于全天候监控之下,从而确保客户数据的机密性、完整性和可用性。世界级安全专家不但监控此基础设施,还构建并维护我们丰富多样的创新安全服务,这些服务可以帮助您简化满足自己的安全和法规要求。作为 AWS 客户,无论您的规模或位置如何,都能继承我们经验的所有优势,这些优势已经过最严格的第三方保证框架的测试。
 
根据全球公认的安全保障框架和认证,包括 ISO 27001ISO 27017ISO 27018PCI DSS Level 1SOC 1、2 和 3,AWS 实施并维护适用于 AWS 云基础设施服务的技术和组织安全措施。这些技术和组织安全措施由独立的第三方评估机构验证,旨在防止未经授权访问或泄露客户内容。

例如,ISO 27018 是首个专注于云中个人数据保护的国际行为准则。它基于 ISO 信息安全标准 27002,并针对 ISO 27002 控制体系提供了实施指南,该体系适用于由公有云服务提供商处理的个人可识别信息 (PII)。这向客户表明,AWS 具有适当的控制体系来专门处理其内容的隐私保护。

这些全面的 AWS 技术和组织措施与 PoPIA 的目标一致,都是为了保护个人信息。AWS 客户可以持续控制他们上传到 AWS 服务的内容,并负责根据其特定需求实施额外的安全措施,包括内容分类、加密、访问管理和安全凭据。

AWS 对客户上传到 AWS 服务的内容不可见,也不了解。AWS 客户要对自己是否遵守 PoPIA 及相关法规负有最终责任。本页内容补充了现有的 数据隐私资源,有助于您在使用 AWS 服务存储和处理个人数据时,确保您的要求符合 AWS 责任共担模式

  • “个人信息”是指与一个可辨别身份,而且在世的自然人,或在适当时,与一个可辨别身份的现有法人有关的信息,包括但不限于:

    • 与个人的种族、社会性别、生理性别、是否怀孕、婚姻状况、国籍、民族或社会出身、肤色、性取向、年龄、生理或心理健康状况、福利、身心是否有缺陷、宗教、良知、信仰、文化、语言与血统有关的信息;
    • 与个人的教育程度或医疗、财务、犯罪或就业历史有关的信息;
    • 任何个人的身份识别码、符号、电子邮件地址、物理地址、电话号码、位置信息、在线标识符或其他特定分配;
    • 个人的生物特征信息;
    • 个人想法、观点或偏好;
    • 由个人发送的具有暗示或明示私人或机密性质的通信,或可能透露之前通信内容的后续通信;
    • 其他个人对某人的看法或观点;以及
    • 个人的姓名,如果它和其他与个人相关的信息一起出现,或者如果披露姓名本身可能透露关于该个人的信息

  • AWS 责任共担模型下,AWS 客户可以控制选择实施哪种安全措施来保护自己的内容、平台、应用程序、系统和网络,如同保护现场数据中心内的应用程序一样。客户可以基于 AWS 提供的技术和组织安全措施以及控制措施管理自己的合规性要求。除了 AWS Identity and Access Management 等 AWS 安全功能之外,客户还可以使用熟悉的措施来保护自己的数据,例如加密和多因素身份验证。

    评估云解决方案的安全性时,理解和区分以下内容对客户很重要:

    • AWS 实施和运营的安全措施——“云安全性”,以及
    • 客户实施和运营的安全措施,与他们使用 AWS 服务的客户内容和应用程序的安全相关——“云中的安全性”

  • 客户保留对其客户内容的所有权和控制,并且可以选择处理、存储和托管其客户内容的 AWS 服务。AWS 无法看到客户内容,也无法访问或使用客户内容,除非提供由客户选择的 AWS 服务,或者在需要遵守法律或有约束力的法律命令的情况下才可以。

    使用 AWS 服务的客户在 AWS 环境中保持对其内容的控制。他们可以:

    • 确定内容的存储位置,例如存储环境的类型和存储的地理位置。
    • 使用 AWS 提供的加密或客户选择的第三方加密机制来控制内容的格式,例如纯文本、掩码、匿名或加密。
    • 管理其他访问控制措施,例如身份和访问管理及安全凭证。
    • 控制是否使用 SSL、Virtual Private Cloud 等网络安全措施,防止未授权访问。

    这允许 AWS 客户控制其内容在 AWS 上的整个生命周期,并根据他们自己的特定需求管理其内容,包括内容分类、访问控制、保留和删除。

  • AWS 数据中心建立在遍布世界各地的集群中。我们将指定位置的每个数据中心集群称为“区域”。

    AWS 客户选择要存储其内容的 AWS 区域。这使得要求特定地理位置的客户可在他们选择的位置建立环境。

    客户可以在多个地区复制和备份内容,但是 AWS 不会将客户的内容移出其选择的地区,除非按客户要求提供服务或遵守适用的法律。

  • AWS 数据中心安全策略由可扩展的安全控制和多层防御组成,有助于保护您的信息。例如,AWS 小心地管理潜在的洪水和地震活动风险。我们使用物理屏障、安全警卫、威胁检测技术和深度筛选流程来限制对数据中心的访问。我们备份我们的系统,定期测试设备和流程,并持续培训 AWS 员工为意外做好准备。

    为了验证我们数据中心的安全性,外部审核机构全年对 2600 多项标准和要求进行测试。这种独立检查有助于确保始终符合或高于安全标准。因此,世界上监管最严格的组织信任 AWS 来保护他们的数据。

    如需详细了解我们如何通过设计保护 AWS 数据中心,请通过虚拟方式参观 AWS 数据中心 »

  • 客户可以选择使用任意一个区域、所有区域或区域的任意组合。有关 AWS 区域的完整列表,请访问 AWS 全球基础设施页面

  • AWS 云基础设施旨在成为当今市场上最灵活、最安全的云计算环境之一。Amazon 的规模庞大,因此在安全管理和对策方面的投入远远高于任何其他大型企业有能力自行承担的投入。我们的基础设施由运行 AWS 服务的硬件、软件、网络和设施组成,可以针对个人数据的处理为客户和 APN 合作伙伴提供强大的控制,其中包括安全配置控制。要详细了解 AWS 为了始终保持高安全性而采取的措施,请参阅 AWS 安全流程概览白皮书

    AWS 还可以提供由第三方审核机构出具的多种合规性报告,这些审核机构已经测试并审核过我们是否符合各种安全标准和法规(包括 ISO 27001、ISO 27017 和 ISO 27018)。为了使这些措施的效果透明化,我们提供了在 AWS Artifact 中访问第三方审核报告的权限。无论自己是数据控制者还是数据处理者,客户和 APN 合作伙伴都可以从此类报告中看出,我们在保护他们用于存储和处理个人数据的底层基础设施。有关更多信息,请访问我们的合规性资源

南非数据隐私资源

遵循南非隐私注意事项使用 AWS
Amazon 信息请求
Amazon Web Services:安全流程概览
AWS ISO 27018 常见问题
AWS 安全保障服务
有问题? 联系 AWS 业务代表
想要提供合规性服务?
立即申请 »
想要了解 AWS 合规性动态?
在 Twitter 上关注我们 »