承諾


在 AWS,客戶信任是我們最優先的考量。

維持客戶信任是持續不斷的承諾。AWS 持續監控進化的隱私權法規和法律前景,以識別變更並確認客戶為了合規目標可能需要的工具。我們致力於讓您了解我們實行的隱私權及資料安全政策、實務和技術。

我們的承諾包括:

  • 存取:身為客戶的您,可完全控制上傳至 AWS 服務中您的 AWS 帳戶下的內容,且負責設定 AWS 服務和資源的存取權。我們提供一組進階的存取權、加密和記錄功能,可協助您有效地管理 (例如:AWS Identity and Access ManagementAWS OrganizationsAWS CloudTrail)。我們還提供 API,讓您對所有在 AWS 環境中開發或部署的服務設定控制權限。未經您的同意,我們不會出於任何目的存取或使用您的內容。我們不會將您的內容或從中衍生的資訊用於行銷或廣告。
  • 儲存:由您選擇要存放內容的 AWS 區域。您可在一個以上 AWS 區域複寫和備份內容。未經您的同意,我們不會將您的內容移出或複寫到您所選擇的 AWS 區域以外的地方。
  • 安全性:由您選擇保護內容的方式。我們提供產業領先的加密功能來保護您傳輸中和靜態的內容,並提供讓您管理自己加密金鑰的選項。這些資料保護功能包括:
  • 客戶內容的披露:除非為遵守法律或具有法律效力和約束力的政府機構命令所需,否則我們不會披露客戶內容 (請參閱下面的「AWS 如何將客戶資訊分類?」部分)。若政府機構向 AWS 索要您的客戶內容,我們會嘗試讓該政府機構直接向您索要相關資料。若政府機構強制要求我們披露您的客戶內容,我們會就此向您提供合理的通知,以讓您能夠尋求保護令或其他適當的補救措施,除非法律上禁止 AWS 這樣做。

常見問答集


什麼是客戶內容?

我們將客戶內容定義為客戶或任何最終使用者傳送給我們以交由 AWS 服務處理、儲存或託管的軟體 (包括機器映像)、資料、文字、音訊、視訊或影像,以及客戶或其最終使用者經由使用 AWS 服務而從前述項目衍生的客戶帳戶及任何計算結果。例如,客戶內容包含客戶或其最終使用者存放在 Amazon Simple Storage Service (S3) 中的內容。客戶內容不包含以下描述的帳戶資訊。客戶內容也不包括資源識別符、中繼資料標籤、存取控制、規則、使用政策、許可,以及與 AWS 資源管理相關的類似項目中包含的資訊。AWS 建議您不要在這些項目中包含個人識別、機密或敏感資訊。AWS 客戶協議條款和 AWS 服務條款條款適用於您的客戶內容。

什麼是帳戶資訊?

我們將帳戶資訊定義為客戶提供給我方與建立或管理客戶帳戶相關的客戶資訊。例如,帳戶資訊包含與客戶帳戶相關的名稱、使用者名稱、電話號碼、電子郵件地址及帳單資訊。AWS 隱私權聲明中描述的資訊實務適用於帳戶資訊。

誰擁有客戶內容?

身為客戶,您的客戶內容由您擁有,由您選擇可處理、存放及託管客戶內容的 AWS 服務。未經您的同意,我們不會出於任何目的存取或使用您的客戶內容。我們不會將客戶內容或從中衍生的資訊使用在行銷或廣告用途。

誰負責控制客戶內容?

身為客戶,您的內容由您控制:

  • 您可以確定要儲存客戶內容的地理區域,以及儲存類型。
  • 您的客戶內容的保護狀態由您選擇。我們提供產業領先的加密功能來保護您傳輸中和靜態的內容,並提供讓您管理自己加密金鑰的選項。
  • 由您管理對您的客戶內容的存取,以及透過您控管的使用者、群組、許可和憑證對 AWS 服務和資源的存取。
你們如何使用我的帳戶資訊?

AWS 隱私權聲明描述我們如何收集和使用帳戶資訊。

AWS 如何使用資源識別符中包含的資訊,以及與 AWS 資源管理相關的其他項目?

AWS 使用該資訊來提供 AWS 服務,並保護和改善客戶體驗。例如,AWS 使用資源識別符來協助客戶產生成本和用量報告,該報告可用於依成本中心細分 AWS 支出,並使用 IAM 許可來確定特定使用者是否可以購買預留執行個體。在客戶聯絡 AWS 尋求技術協助時,AWS 還可透過分析資源識別符和許可來協助解決他們的問題。

AWS 收到關於客戶內容的法律要求時,會發生什麼情況?

我們極為重視客戶的隱私權。除非為遵守法律或具有法律效力和約束力的政府機構命令所需,否則我們不會披露客戶內容。若政府機構向 AWS 傳送客戶內容需求,我們會嘗試重新導向該政府機構以直接向客戶請求該資料。政府和法規團體需要按照相關法律程序取得法律效力和法律約束力。我們審視並且反對所有法律命令的濫用或其他不適當的用途。若強制要求向政府機構披露客戶內容,我們會向客戶提供合理的需求通知,以允許客戶尋求保護令或其他適當的補救措施,除非法律上禁止 AWS 這樣做。值得一提的是,客戶可以加密自己的客戶內容,而且我們為客戶提供管理自己的加密金鑰選項。

我們深知客戶在乎公開透明,因此會定期在 Amazon 資訊申請網頁發布關於收到的資訊申請類型和數量報告。

客戶內容存放在哪裡?

藉助 AWS 全球基礎設施,您可以靈活選擇您想要執行工作負載的位置和方式,並且使用相同的網路、控制平面、API 和 AWS 服務。如果您想在全球範圍內執行應用程式,則可以從任何 AWS 區域和可用區域中進行選擇。客戶可以選擇要存放客戶內容的 AWS 區域,根據您的特定地理需求,在選擇的位置部署 AWS 服務。例如,如果位於澳大利亞的 AWS 客戶想要僅將其資料放在澳大利亞,可以選擇將 AWS 服務全都部署在亞太地區 (雪梨) AWS 區域。如果您想要探索其他靈活的儲存選項,請參閱 AWS 區域網頁。

您還可以在一個以上 AWS 區域複寫和備份客戶內容。除非為了提供您啟動的服務,或者為遵守法律或政府機構具有約束力的指令所需,否則我們不會將您的內容移出或複寫到您所選擇的 AWS 區域以外的的地方。但是,有一點需注意的是,並非所有 AWS 區域均提供某些 AWS 服務。如需有關 AWS 區域可用服務的詳細資訊,請參閱 AWS 區域服務網頁。

在保護我的內容方面,我扮演著什麼角色?

評估雲端解決方案的安全性時,您需要特別了解雲端本身的安全和雲端內部的安全,並分辨其中的差異。雲端本身的安全包含 AWS 實作和操作的安全措施,由我們負責雲端本身的安全。雲端內部的安全包含與使用的 AWS 服務有關所實作和操作的安全措施。雲端內部的安全由您負責。如需詳細資訊,請參閱 AWS 共同的責任網頁。

AWS 採取哪些步驟來保護我的隱私權?

在 AWS,我們的首要任務是保護客戶的資料,無論客戶選擇的是哪個 AWS 區域,我們都實施嚴格的合約技術和組織措施,來保護資料保密性、完整性和可用性。

AWS 符合 ISO 27018,這是一項著重於保護雲端個人資料的作業標準。它擴展了 ISO 資訊安全標準 27001 以涵蓋公有雲端運算環境的 個人身分識別資訊 (PII) 或個人資料保護法規要求,並根據適用於公有雲端服務供應商處理的的 PII ISO 27002 控制規定了實作指導。如需詳細資訊或檢視 AWS ISO 27018 認證,請參閱 AWS ISO 27018 合規網頁。

此外,AWS 還根據 SOC 2 隱私權信任標準發佈了 SOC 2 隱私權 II 類報告,此原則由美國註冊會計師協會 (AICPA) 制訂,針對個人資料的收集、使用、保留、披露和處置等等,制定各種評估和管控標準,以維護當事人的權益。AWS SOC 2 II 類隱私權報告為我們的系統以及我們的隱私權控制設計的適用性提供第三方證明。隱私權報告的範圍包括我們如何處理您上傳至 AWS 上的內容,以及此內容在最新 AWS SOC 報告範圍內的所有服務和位置中如何受到保護的資訊。您可以透過 AWS 管理主控台中的 AWS Artifact 下載 SOC 2 II 類隱私權報告。

如果我有關於 AWS 和資料保護方面的問題,我應該聯絡誰?

我們建議客戶如果有關於 AWS 和資料保護方面的問題,請聯繫他們的 AWS 客戶經理。如果客戶已經註冊企業支援,他們也可以聯繫他們的技術客戶經理 (TAM) 尋求支援。AWS 客戶經理和 TAM 與解決方案架構師合作,協助客戶滿足其合規需求。AWS 並沒有提供法律建議給客戶,我們建議客戶,如果有資料保護相關的法律問題,應諮詢其法律顧問。

我們還擁有企業支援代表團隊、專業服務諮詢師和其他人員,可協助處理與隱私權有關的問題。有疑問請在此處聯絡我們。

有問題? 聯繫 AWS 業務代表
探索合規職缺?
立即申請 »
需要 AWS 合規更新?
在 Twitter 上關注我們 »