南非資料隱私權

概觀

個人資訊保護法 (PoPIA) 規範了從可識別的、活著的自然人,以及在適用情況下從可識別的、南非現有法人對個人資訊的收集、使用和處理。其為合法處理個人資訊設定了條件。南非的資訊監管機構負責監督和執行 PoPIA 合規等任務。

跨境資料流
PoPIA 第 72 條允許在以下條件下將個人資訊傳輸至南非以外地區:

  • 資訊接收者的第三方受法律、具有約束力的公司規則或具有約束力的協議之約束,這些規則提供了足夠的保護水平 (如 PoPIA 中所述)
  • 資料主體同意傳輸;
  • 傳輸對於履行資料主體與責任方之間的合約,或執行回應資料主體要求而採取的預先合約措施是必要的; 
  • 責任方與第三方之間為了資料主體的利益而訂立或履行合約所必需的傳輸;或 
  • 根據 PoPIA 的進一步規定,該傳輸是為了資料主體的利益。
 
AWS 十分重視您的隱私和資料安全。AWS 從核心基礎設施開始便重視安全。我們的基礎設施專為雲端進行客製化且符合全球最嚴格的安全規定,透過全天候的監控以確保客戶資料的機密性、完整性和可用性。監控此基礎設施的同一批世界級安全專家也負責建立和維護我們的各種創新安全服務,這些服務能協助您符合自身安全與監管需求。作為 AWS 客戶,無論您的規模大小或位於何處,都可以延續我們的經驗所帶來的一切優點,並根據最嚴格的第三方保證架構進行測試。
 
AWS 在全球認可的安全保證架構和認證下,實施和維護適用於 AWS 雲端基礎設施服務的技術和組織安全措施,包括 ISO 27001ISO 27017ISO 27018PCI DSS 第 1 級SOC 1、2、3。這些技術和組織安全措施由獨立的第三方評估機構驗證,旨在防止未經授權存取或披露客戶內容。

例如,ISO 27018 是第一個專為保護雲端個人資料而成立的國際性作業標準。它的根據是 ISO 資訊安全標準 27002,並提供公有雲端服務提供者處理的個人身分識別資訊 (PII) 適用的 ISO 27002 控制實作指導。其向客戶展現 AWS 擁有一套控制系統,專門處理其內容的隱私權保護。

這些全面的 AWS 技術和組織措施符合 PoPIA 保護個人資訊的目標。AWS 客戶可以保有其上傳至 AWS 服務的內容的控制權,並負責根據其特定需求而實作其他安全措施,包括內容分類、加密、存取管理和安全登入資料。

AWS 無法看到或了解哪些客戶正在上傳至 AWS 服務的內容。AWS 客戶最終自行負責遵守 PoPIA 及相關法規。當您使用 AWS 服務存放和處理個人資料時,此頁面的內容可補充現有 資料隱私權資源的不足之處,協助您的個人需求與 AWS 共同的責任模型保持一致。

  • 「個人資訊」是指與可識別的、活著的自然人,以及 (在適用情況下) 可識別的、現有法人有關的資訊,包括但不限於:

    • 有關種族、性別、性、懷孕、婚姻狀況、民族、種族或社會血統、膚色、性取向、年齡、身體或精神健康、福祉、殘疾、宗教、良知、信仰、文化、語言和個人的出生等資訊;
    • 與個人的教育或醫療、財務、犯罪或工作經歷有關的資訊;
    • 個人的任何可識別號碼、符號、電子郵件地址、實際地址、電話號碼、位置資訊、線上識別碼或其他特定指派;
    • 個人的生物特徵資訊;
    • 個人的個人意見、看法或偏好;
    • 由個人傳送的具有私人或保密性質的隱式或顯式信件,或會揭示原始信件內容的其他信件;
    • 其他個人對某個人的看法或意見;以及
    • 人名,如果該人名與該個人相關的其他個人資訊一起出現,或者姓名本身的披露會透露有關該個人的資訊

  • 根據 AWS 共同的責任模型,AWS 客戶可以控制要實作何種安全措施來保護自己的內容、平台、應用程式、系統和網路,這與他們對現場資料中心內的應用程式的具體操作並無不同。客戶可以利用 AWS 提供的技術、組織安全措施以及各種控制功能來管理自己的合規需求。除了 AWS Identity and Access Management 等 AWS 安全功能之外,客戶也可使用熟悉的安全措施來保護他們的資料,例如加密和多重因素認證。

    當評估雲端解決方案的安全時,客戶需要特別了解下列項目並分辨其中的差別:

    • AWS 實作和操作的安全措施 – 「雲端本身的安全」,以及
    • 客戶實作和操作的安全措施,這與利用 AWS 服務的內容與應用程式安全有關 – 「雲端內部的安全」

  • 客戶保有其客戶內容的擁有權和控制權,並可選取由哪些 AWS 服務處理、存放和託管其客戶內容。除了提供客戶選擇的 AWS 服務或者需要遵守法律或具有約束力的法律命令之外,AWS 並無法查看客戶內容,也不會存取或使用客戶內容。

    使用 AWS 服務的客戶可以在 AWS 環境中保有其內容的控制權。他們可以:

    • 決定要放置的位置,例如儲存環境的類型和儲存環境所處的地理位置。
    • 控制該內容的格式,例如純文字、遮罩、匿名或加密、使用 AWS 提供的加密或客戶選擇的第三方加密機制。
    • 管理其他存取控制,例如身份與存取管理以及安全登入資料。
    • 控制是否使用 SSL、Virtual Private Cloud 和其他網路安全措施來防止未經授權的存取。

    這可讓 AWS 客戶在 AWS 上控制其內容的整個生命週期,並根據自己的特定需求管理其內容,包括內容分類、存取控制、保留和刪除。

  • AWS 資料中心以叢集的形式建置在全球不同位置。我們將位於特定位置的每個資料中心叢集稱為「區域」。

    AWS 客戶選擇要將內容存放在哪個 AWS 區域。這讓有特定地理位置需求的客戶將環境建立在自己選擇的位置。

    客戶可以在多個區域複寫和備份內容,但 AWS 不會將客戶內容移動到客戶所選區域之外,除非根據客戶要求提供服務或是為了遵守適用的法律。

  • AWS 資料中心安全策略與可擴展的安全控制和多層防禦相結合,有助於保護您的資訊。例如,AWS 會謹慎地管理潛在的洪水和地震活動風險。我們使用實體屏障、安全保護、威脅偵測技術和深入篩選流程來限制對資料中心的存取。我們會備份自己的系統、定期測試設備和流程,並持續訓練 AWS 員工為突發事件做好準備。

    為了驗證我們資料中心的安全,外部稽核機構會針對超過 2,600 項的標準和規定進行全年度的測試。這種獨立檢查有助於確保持續符合安全標準,甚至超越標準。因此,全世界最高度管制的組織都信任 AWS 可保護他們的資料。

    觀看虛擬教學 »,進一步了解我們如何有計劃的保護 AWS 資料中心

  • 客戶可以選擇使用任何一個區域、所有區域或是任意區域組合。如需 AWS 區域的完整清單,請瀏覽 AWS 全球基礎設施頁面

  • AWS 雲端基礎設施旨在建構現今最靈活且最安全的雲端運算環境。以 Amazon 的規模,在安全政策和對策方面所投入的資金遠高於幾乎任何其他大公司可自行負擔的程度。這個基礎設施是由執行 AWS 服務的硬體、軟體、網路和設施組成,可為客戶和 APN 合作夥伴提供強大的控制,包括安全組態控制,以便處理個人資料。如需 AWS 為了保持始終如一的高度安全而採取哪些措施的詳細資訊,請參閱 AWS 安全程序概觀白皮書

    AWS 也提供多個第三方稽核員的合規報告,這些稽核員已測試並驗證我們對於各項安全標準和法規的合規 (包括 ISO 27001、ISO 27017 和 ISO 27018)。為了對這些措施的有效性提供透明度,我們提供 AWS Artifact 內第三方稽核報告的存取權。這些報告向我們的客戶和可能做為資料控制者或資料處理者的 APN 合作夥伴,展現我們正在保護他們用來存放和處理個人資料的底層基礎設施。如需詳細資訊,請參閱我們的合規資源

南非資料隱私權資源

在南非隱私權考量下使用 AWS
Amazon 資訊申請
Amazon Web Services:安全程序概觀
AWS ISO 27018 常見問答集
AWS 安全保證服務
有問題? 聯繫 AWS 業務代表
探索合規職缺?
立即申請 »
需要 AWS 合規更新?
在 Twitter 上關注我們 »