在 Google,我们以透明建立信任。作为透明度工作的一部分,我们支持客户的隐私合规之旅。我们知道,根据欧盟 (EU) 和英国 (UK) 的《一般数据保护条例》(GDPR),我们的部分客户可能需要对将在使用 Google Cloud(以前称为 Google Cloud Platform)、Google Workspace 或 Google Workspace 教育版(以下统称为“云服务”)时处理的个人数据进行数据保护影响评估 (DPIA)。
我们提供此资源中心的目的是:
在此资源中心,我们使用了某些术语(例如“欧洲法律”“客户数据”和“客户个人数据”),如果这些术语未在此资源中心中定义,则它们将具有您的云服务合同中的含义。此外,本资源中心中使用的“个人数据”“数据主体”“处理”“控制方”和“处理方”术语的含义与 GDPR 中的含义相同。
本资源中心旨在简要介绍 GDPR 的 DPIA 要求,以及有助于客户填写 DPIA 的信息。本指南并不构成法律建议,也不能替代查阅 DPIA 的相关监管指南或寻求独立的法律建议。
在本部分中,我们介绍了数据保护影响评估 (DPIA) 流程。
DPIA 是数据控制方实施的记录流程,旨在描述、评估和管理项目的数据保护风险,以及表明对数据保护义务的遵守情况。在这种情况下,“项目”可以是涉及使用 Google 或 Google Workspace 教育版为教学、学习和协作提供支持的组织外包服务。
组织只需针对其作为“控制方”处理的个人数据填写 DPIA。该术语在 GDPR 中有定义,实质上表示您的组织决定如何处理个人数据以及出于何种目的处理个人数据。我们知道,我们的部分客户本身可能就是数据处理方。不过,此资源中心主要面向使用 Cloud 服务作为控制方的组织。
数据保护影响评估 (DPIA) 应说明:
• 您将如何以及为何处理个人数据,并确定该处理的 GDPR 合法依据。
• 评估处理的必要性和合理性(即为什么需要处理个人数据来实现您的目标)。其中包括您使用哪些数据处理方(例如 Google)来支持数据处理。
• 您已发现的任何潜在风险,以及您将采取哪些措施来解决和减轻这些风险。DPIA 可以有效评估和证明您的项目对数据保护原则的遵从情况。
如果您要启动一个涉及个人数据处理的新项目,请务必尽早确定是否需要 DPIA 并熟悉该流程。尽早执行 DPIA 也有助于您明确自己可能需要(或选择)对项目做出哪些更改。如果您确定需要提交 DPIA,则需要根据 GDPR 的要求,在开始处理个人数据之前完成。请参阅您需要 DPIA 吗?部分。
DPIA 也应持续接受审核。如果个人数据的处理方式发生任何重大变化(例如,如果您决定使用云服务来处理新的工作负载或处理不同的数据集),您应重新评估风险并确定是否需要采取任何其他措施来消除风险。
作为数据控制方,您的组织负责确定是否必须进行 DPIA,并负责准备 DPIA。
如果贵组织设有数据保护官 (DPO),请务必在实施 DPIA 时征求他们的建议。您可能也希望贵组织中其他具备相关技能和专业知识的团队或个人(例如 IT 团队、合规团队或法务团队)为流程提供支持。
DPIA 可以在内部完成,也可以外包给外部顾问,但仍需由您自行负责。
这一部分提供的信息可帮助您确定使用云服务时是否需要进行 DPIA。
作为控制方,如果您的项目中涉及的个人数据处理可能会给个人的权利和自由带来“高风险”,则您需要进行 DPIA。某些类型的处理始终被视为“高风险”,且一律需要进行 DPIA。对于其他类型的处理,您需要对所涉及的风险进行客观评估。
欧洲数据保护委员会将新技术的使用作为可能表明“高风险”的因素之一,并发布了指南,指出许多依赖云服务的公共部门处理操作可能需要进行 DPIA。
如需了解详情,请参阅下面的“如何确定处理过程是否符合 DPIA 的触发条件?”部分。
以下信息可帮助您对是否需要实施 DPIA 进行初步评估。不过,我们仍建议您查看所在国家/地区的数据保护机构提供的任何指导信息,并寻求独立的法律建议。
如果您仅担任数据处理方,则无需完成 DPIA,不过它仍然有助于遵从法规。
根据 GDPR,某些处理活动始终需要进行 DPIA。如果您的项目涉及以下任一项,则需要进行 DPIA:
• 自动处理个人数据,包括系统地、广泛地评估个人方面(包括任何个人分析),其中该处理为对这些个人产生法律(或类似重大)影响的决策提供信息。
例如,如果您使用云服务自动(例如无需人工干预)分析与员工相关的个人数据(例如员工的工作绩效),而这可能会影响员工的个人就业条件或薪资,那么您可能需要进行 DPIA。
• 大规模处理特殊类别的数据,或与刑事定罪或犯罪行为有关的数据。
例如,如果您使用云端存储空间存储大型个人健康数据集(如医疗记录或临床测试结果),则可能需要进行 DPIA。
• 大规模对公开访问区域进行系统化监控。这里,公开访问区域是指对任何公众开放的任何区域。
例如,如果您打算将 CCTV 系统与云服务集成(例如将办公场所的 CCTV 视频片段存储在云端),则可能需要进行 DPIA。
注意:每个欧洲数据保护机构都规定了将始终需要进行 DPIA 的其他类型的处理。因此,您应查看您所在国家/地区的附加要求。
上一部分所述的处理始终需要进行 DPIA。不过,即使您的处理不属于这些类别,您仍然需要决定您的处理是否可能对个人的权利和自由造成“高风险”。
为此,您必须客观地评估数据处理过程中的风险。评估必须考虑处理的性质、范围、情境和目的。换句话说,您如何处理个人数据、这样做的原因以及所有相关情况。
如果处理过程涉及到使用新技术,则更有可能需要进行 DPIA。这并不一定意味着默认情况下,任何涉及新技术的处理都需要进行 DPIA。但是,如果您的组织正在使用创新技术或现有技术的新颖应用,则应在评估时考虑该使用情况。我们建议云服务的客户在准备风险评估时,特别关注 Google Cloud 技术在数据处理过程中所发挥的作用。
欧洲数据保护委员会 (EDPB) 已发布指南,帮助您确定您的数据处理是否可能导致“高风险”。该指南包含九个表示“高风险”的因素:
1. 您的处理涉及对个人进行剖析、评估或打分(例如信用参考评分)。
2. 您使用个人数据做出自动化决策,这些决策对个人具有法律影响或类似重大影响(例如,电子招聘或拒绝网上信贷申请)。
3. 您系统性地监控个人(例如:CCTV 或位置跟踪)。
4. 您处理特殊类别的数据或高度个人化的个人数据(例如医疗记录)。
5. 您处理大量个人数据。由于指南中并未定义“大量”,因此请自行判断。
6. 您可以匹配或组合不同的数据集(例如,如果您从第三方获取了单独的数据集来丰富现有数据集)。
7. 您处理与弱势群体(例如儿童或患者)有关的数据。
8. 您应用新的技术或组织解决方案,或者以创新方式使用技术(例如人工智能)。
9. 您的处理流程可防止个人行使权利或使用服务或合同(例如拒绝个人贷款)。
一般来说,如果您的处理内容满足上述两项或更多风险因素,您可能需要执行 DPIA。
与您的决定相关的另一个因素是,您的组织是公共机构,还是在公共部门(例如政府部门、地方委员会或自治市)内从事个人数据处理。EDPB 已发布了相关指南,指出许多依赖于云服务的公共部门处理操作可能会由于数据的敏感性或处理的规模而导致“高风险”。
一些数据保护机构开发了风险评估工具来帮助您确定自己是否需要进行 DPIA,因此我们强烈建议您访问自己机构的网站以获得指导。
在这一部分中,我们列出了您在准备 DPIA 时应考虑的因素。
作为数据控制方,您的组织有责任确定 DPIA 是否有必要,并准备 DPIA。Google 无法代表客户实施 DPIA,但我们会提供相关信息和其他资源,帮助您完成 DPIA 以使用 Cloud 服务。
数据保护影响评估 (DPIA) 通常由数个关键阶段组成,本节将更详细地讨论这些阶段:
1. 描述数据处理
2. 评估必要性和比例性
3. 说明风险以及您如何应对风险
4. 收集额外信息
5. 记录结论
没有固定的 DPIA 格式。一些数据保护机构发布了可供您使用的模板,您也可以使用 Google Cloud 提供的模板(请参阅 Google 如何支持您的 DPIA)。
无论您是使用模板还是自行创建 DPIA 格式,您的 DPIA 都应包含:
• 贵组织将如何处理个人数据、如何确定 GDPR 法律依据(例如,同意、履行合同或合法权益),以及为什么要处理个人数据。
• 评估处理的必要性和合理性(即为什么需要处理个人数据来实现您的目标)。
• 您已发现的任何潜在风险,以及您将采取哪些措施来解决和减轻这些风险。这样可以有效地评估和证明您的项目对数据保护原则的遵从情况。
此外,定期监控执行 DPIA 的数据处理活动,以及根据需要纳入更新,是整个 DPIA 生命周期的关键部分。当发生影响数据处理活动的实质性变更时,您可能需要查看并相应地更新 DPIA 的相关部分。
1. 描述数据处理
您需要提供有关数据处理的功能说明。此时,您不妨问自己以下问题:
• 您的项目会使用哪些类型的个人数据(例如姓名、联系信息、财务详细信息、电子邮件地址)?
• 个人数据所涉及的对象(也称为数据主体)(例如您的员工、客户、学生)?
• 个人数据的来源是什么?您是直接从个人还是通过第三方收集这些信息?
• 您将这些数据用于哪些用途?也就是说,您为什么要处理这些数据?
• 您将如何使用这些数据?如何存储这些数据?您要将数据保留多久?
• 哪些人有权访问您组织内部的个人数据?
• 您是否会与组织以外的任何人分享这些数据?
您还可以在说明中添加图表、流程图或其他视觉辅助资料。
2. 评估必要性和比例性
必要性和比例性是欧洲数据保护法中的主要原则。为了说明处理数据的必要性和比例性,您应展示您打算如何履行 GDPR 规定的数据保护义务。您的评估应表明您已考虑过以下事项:
• 根据 GDPR 第 6 条,您处理这些数据的合法依据是什么(例如同意、履行合同、合法权益等)?如果您依赖的是自己的合法权益,则应说明这些权益。
• 是否必须进行相应处理才能实现您的目标?您是否认为如果不处理个人数据就无法实现此目标?
• 您如何确保不会处理超出所需数量的个人数据?您是否考虑过对数据进行假名化或匿名化处理?
• 您将如何告知相关个人您正在处理其个人数据,并向其提供 GDPR 要求的信息(例如隐私权政策或声明)?
• 您是否会告知数据主体在您使用其个人数据时,他们享有相关权利,例如访问个人数据或反对您处理这些数据?如需详细了解云服务如何支持数据主体的权利,请参阅 Google 如何支持您的 DPIA。
• 您是否为个人数据设置了最长保留期限?这些理由如何?您可以采取哪些措施来确保数据在适当的时机删除?
• 您使用哪些数据处理方来支持数据处理?Google Cloud 将成为您的数据处理方之一,您应在 DPIA 中记录这一点。如需详细了解 Google 及其子处理方,请参阅 Google 如何为您的 DPIA 提供支持。
• 如果您与欧洲经济区(或英国等具有数据保护充分性认定的国家/地区)以外的任何人(例如外部公司或您自己的子公司)共享数据,您采取了哪些保护措施来保护这些第三国家/地区的数据?如需详细了解 Google Cloud 的数据传输保护措施,请参阅 Google 如何支持您的 DPIA。
• 如果处理过程符合数据保护机构批准的《行为准则》,您应考虑到这一点。如需了解 Google 如何遵守《欧盟云端行为准则》,请参阅 Google 如何为您的 DPIA 提供支持。
3. 说明风险以及您如何应对风险
您的 DPIA 应识别您的数据处理可能对个人权利和自由造成的风险。
识别这些风险是 DPIA 的一个重要部分:您对数据处理活动的实际影响的评估。具体影响和风险可能会因您组织的活动、个人数据的性质以及所涉及的人员而异。
您可以通过多种方法评估数据保护影响和风险,并且 GDPR 不要求采用任何特定方法。一些数据保护机构发布了可帮助组织开展此项评估的材料和工具,这可能会对您有所帮助。
以下是可能构成您评估的一部分的一些要素。
A) 您应该考虑哪些潜在风险?
您的 DPIA 应考虑您的项目可能产生的负面影响。将您自己置于个人数据将被处理的个人的位置并考虑可能会导致他们担心的事情可能会有所帮助。
潜在风险的示例包括:
• 以出人意料或意外的方式使用个人数据。
• 个人失去对其个人数据的控制。
• 歧视或偏见。
• 身份盗用或欺诈的风险增加。
• 侵扰人们的个人生活。
• 失去机密性。
• 重标识假名化数据。
• 泄露敏感信息或关于弱势群体(例如儿童)的信息。
• 收集不准确的信息或对个人做出不准确的假设。
评估时,您可能还想了解自己作为组织面临的风险,例如任何声誉受损、监管措施或公众信任损失的风险。
此外,您还需要考虑风险级别,同时考虑潜在危害的可能性和严重程度。例如,风险可能非常严重,但在实践中不太可能发生;另一方面,风险可能相对较小,但发生的可能性很高。指定数字风险得分或使用红色/琥珀色/绿色“红绿灯”方法可能会有所帮助。
B) 您可以采取哪些措施来缓解风险?
评估风险级别后,您应确定您可以采取哪些措施来缓解这些风险。缓解步骤的示例包括:
• 决定不收集某些个人数据。
• 对数据进行假名化处理。
• 在可行的情况下,从数据集中排除易受攻击的个人。
• 采取措施确保提供适合风险的安全级别。
• 针对员工实施内部数据处理政策。
• 培训员工了解如何使用个人数据。
• 采取额外措施,让员工了解组织将如何处理其个人数据。
• 让个人可以选择如何使用其个人数据。
您无需完全消除所有风险。但是,您应能够将整体风险降低到可接受的水平,以履行 GDPR 规定的义务。评估剩余风险时,您可以将项目的好处(包括个人的好处)考虑在内。如果剩余风险仍然“较高”,您可以决定不继续进行该项目,或者需要先咨询您的数据保护机构,然后再继续。
4. 收集额外信息
如果您的组织设有数据保护官 (DPO),根据 GDPR 的规定,您在准备 DPIA 时必须咨询他们的建议。此外,与组织中的其他利益相关方沟通会很有帮助,例如:IT 团队、合规团队或法务团队。
根据项目的性质和所涉及的风险,您可能还需要向您处理其数据的个人征求意见。您可以根据自己的项目和所在地点,采用多种形式输入信息,例如与您的员工交谈以回答他们可能存在的任何问题或疑虑;咨询贵组织中的员工代表(例如工作委员会,如果有的话);或者开展一些市场调研来了解最终用户(例如您的客户,如果您是零售组织的话)的观点。
5. 记录结论
完成评估后,您应在 DPIA 中记录以下信息:
• 您已经确定的计划内个人数据处理的风险。
• 您将采取哪些措施来缓解这些风险。
• 剩余风险的保留程度,以及剩余风险的级别。
• 您是否需要采取任何其他措施,例如咨询数据保护机构。
如果 DPIA 认定您已经能够充分缓解所发现的风险,那么您可以选择继续,无需咨询您组织的数据保护机构。
但是,如果您确定无法将残余风险降低到可接受的水平,因此根据评估,该处理仍然构成了“高风险”,那么您必须先咨询数据保护机构,然后才能开始处理。或者,您也可以决定不继续从事该项目。
这一部分提供了相关信息和其他资源,可帮助您针对使用 Cloud 服务完成 DPIA。
我们提供了两种模板 DPIA:一种用于 Google Workspace(包括 Google Workspace 教育版),另一种用于 Google Cloud:
这些模板可能会是帮助您思考、规划和执行 DPIA 的实用工具。虽然这些模板是为与云服务相关的用途而设计的,但不会(也无法)预测客户可能具有的云服务的所有可能使用场景,因此属于通用模板,应视为建议的起点。此外,它们包含的信息也不构成法律建议。请注意,作为数据控制方,完成 DPIA 是您应尽的责任,这需要具体到您计划的 Cloud 服务用例。
DPIA 没有既定格式,您可以使用自己选择的任何方法,只要遵循法规要求即可。一些数据保护机构已发布了自己的模板 DPIA,因此您可能还需要了解他们建议的格式。
为帮助我们的客户介绍相关的数据处理过程,请参阅以下有关 Cloud 服务的信息。您还可以找到有关 Cloud 服务的其他材料的链接。这些材料可能有助于您完成 DPIA 的这一部分。
数据保护影响评估 (DPIA) 应涵盖哪些个人数据?
您的 DPIA 应涵盖您作为控制方进行处理的任何个人数据,且属于我们云端数据处理附录(以下简称“CDPA”)中“客户个人数据”定义范围内的任何个人数据。
根据 CDPA 的附录 1 规定,通过云服务处理的个人数据类别将涵盖由客户或其最终用户(或者按照客户或其最终用户的指示)通过云服务提供给 Google 的任何与个人相关的数据。
在实践中,这可能包括:
• 个人详细信息,包括任何可识别数据主体及其个人特征的信息,包括:姓名、地址、详细联系信息、年龄、出生日期、性别和身体描述。
• 雇用详情,包括与数据主体的雇用相关的信息,包括雇用和职业生涯、招聘和终止详情、出勤记录、绩效评估、培训记录和安全记录。
• 财务详情,包括与数据主体的财务事宜相关的信息,包括收入、薪资、资产和投资、付款、信誉度、贷款、福利、津贴、保险详情和养老金信息。
• 教育和培训详细信息,包括与数据主体的教育和任何专业培训相关的信息,包括学术记录、资格证书、技能、培训记录、专业知识、学生记录。
• 由公共机构签发的个人详细信息作为标识符,包括护照详细信息、国家社会保障号、身份证号码、驾照详细信息。
• 家庭、生活方式和社会环境,包括与数据主体的家庭和数据主体的生活方式和社会环境有关的任何信息,包括家庭和其他家庭成员的详细信息、习惯、住房、旅行详情、休闲活动和慈善或志愿组织成员资格。
• 受您组织控制的任何其他个人数据。
根据您对 Cloud 服务的预期用途,个人数据可能包括特殊类别的个人数据,即暴露种族或民族、政治观点、宗教或哲学信仰或工会成员身份的数据;遗传数据;生物识别数据(用于识别身份);或有关健康、性生活或性取向的数据。
Google 作为处理方处理服务数据时您需要提供的信息
除了 Google 处理客户个人数据之外,Google 在提供 Cloud 服务时还会处理服务数据。根据 Google Cloud 隐私权声明,服务数据是 Google 在提供或管理 Cloud 服务期间收集或生成的个人信息,客户数据除外。
Google Workspace 教育版客户可以与 Google 签订合同条款(称为 Google Workspace 教育版服务数据附录),根据该条款,他们担任服务数据的控制方,并指示 Google 作为服务数据的处理方(Google 将继续作为控制方进行的有限服务数据处理除外)。这些客户可能希望使用本资源中心中与本小节标题相同的部分来解决其 DPIA 中服务数据的使用问题。
如何描述您使用 Cloud 服务所涉及的处理过程?
您在描述处理活动时,它可能有助于您阅读我们对 Cloud 服务中提供的服务和功能的说明。
• Google Workspace 和 Google Workspace 教育版是办公和协作工具。这些服务在 Google Workspace 服务摘要中进行了介绍(请导航到与您相关的版本/SKU)。如需详细了解这些服务,请点击此处(对于 Google Workspace)和此处(对于 Google Workspace 教育版)。
• Google Cloud 包含 150 多种云计算、数据分析和机器学习产品。Google Cloud 服务摘要对 Google Cloud 客户可用的服务进行了介绍。如需详细了解这些服务,请点击此处。
使用 Cloud 服务对您的数据处理有何影响?
您的 DPIA 应说明您(作为控制方)出于哪些目的指示处理方代表您处理个人数据。
无论您的目的为何,在您使用 Cloud 服务时,您都会让 Google Cloud 代表您处理客户个人数据(为了实现您的一个或多个目的)。作为这些数据的控制方,您指示 Google Cloud(作为处理方)仅出于以下目的根据适用的 Cloud 服务协议(包括 CDPA)和适用法律处理这些数据:
• 提供、保护和监控根据 Cloud 服务协议提供的 Cloud 服务和技术支持服务。
• 在使用相关 Cloud 服务和技术支持服务时,或通过您根据 CDPA 提供并由 Google 确认的任何其他书面说明进一步规定。
Google 将遵循 CDPA 中有关此类处理的指示(除非欧洲法律禁止)。
Google 作为处理方处理服务数据时您需要提供的信息
如果您是 Google Workspace 教育版客户,并且已选择接受 Google Workspace 教育版服务数据附录,则该附录中规定了 Google Cloud(作为处理方)将遵循的有关服务数据的说明。
哪些第三方将有权访问 Cloud 服务中的个人数据?
您的 DPIA 应指明您将与之分享个人数据的任何第三方:
• 使用 Cloud 服务时,您将与 CDPA 中指明的 Google 签约实体(即这些数据的处理方)共享客户个人数据。您可以点击此处查看正确的实体。
• Google Cloud 还会使用子处理方来执行与 Cloud 服务相关的有限活动,例如技术支持服务、数据中心运营或服务维护。如果您同意我们的 CDPA,即表示您授权预约这些第三方。
注意:您可以在此处找到 Google Workspace(包括 Google Workspace 教育版)的子处理方列表(以及有关这些子处理方执行哪些活动的信息),在此处找到 Google Cloud 的子处理方列表(以及有关这些子处理方执行哪些活动的信息)。
对于子处理方,Google 承诺确保:
• 每个子处理方只能在分包给其的有限活动范围内访问客户数据(包括客户个人数据),并且访问权限必须符合 Google 与客户之间签订的 Cloud 服务协议(包括 CDPA)。
• 如果客户个人数据的处理受 GDPR(或任何其他欧洲数据保护法)的约束,则子处理方需履行 CDPA 中所述的数据保护义务。
• 在新的子处理方开始处理任何客户数据(包括客户个人数据)之前,我们的客户会提前收到通知,包括获悉子处理方的名称和位置以及将要开展的活动。
Google 作为处理方处理服务数据时您需要提供的信息
如果您是 Google Workspace 教育版客户,并且已选择接受《Google Workspace 教育版服务数据附录》,则 Google 的客户个人数据子处理方也将是服务数据的子处理方,并受该附录中所述的类似服务数据承诺的约束。
数据是在哪里进行存储和处理的?
鉴于我们的公有云服务面向全球,我们在所有区域(全球范围)都维护着设施,用于存储和处理客户数据(包括客户个人数据)。
您可以找到有关 Google 及其子处理方在哪些地点维护设施的更多信息:
对于 Google Workspace(包括 Google Workspace 教育版):
• 子处理方的设施
对于 Google Cloud:
• 子处理方的设施
如需详细了解用于处理客户数据(包括客户个人数据)的基础设施(例如硬件和网络),请参阅我们的安全基础设施设计概览,此外,
• 针对 Google Workspace(包括 Google Workspace 教育版),请参阅 Google Workspace 安全性白皮书。
• 对于 Google Cloud,请参阅 Google 安全概览。
我们还意识到,一些客户希望对其客户数据的存储位置拥有更多的选择余地并且能够更好地进行控制:
• 对于 Google Cloud:客户可以将此处列出的服务配置为在特定区域或多区域(如“Cloud 位置”页面中所列)中存储静态客户数据。Google Cloud 服务专用条款的“数据位置”部分体现了此承诺。此外,客户还可以设置组织政策,以限制受支持的服务中新资源的物理位置。
• 对于 Google Workspace(包括 Google Workspace 教育版):使用符合条件的版本的客户可以选择使用我们的“数据区域”功能,从而选择数据区域(例如欧洲)以存储其覆盖的静态客户数据(包括备份)。此功能目前适用于此处列出的 Google Workspace 核心服务和数据(详见 Google Workspace 服务专用条款的“数据区域”部分)。
Google 作为处理方处理服务数据时您需要提供的信息
对于已选择接受 Google Workspace 教育版服务数据附录的 Google Workspace 教育版客户,有关我们的“子处理方设施”的适用信息可在附录的相关链接中找到。
Google Cloud 会将客户数据保留多久?
除非客户提前将其删除,否则 Google Cloud 会同时处理以下客户数据:
• 在 CDPA 期限内(当 Cloud 服务预配结束时终止)。
• 期限结束后的一段时间,直到数据被删除。在最长 30 天的恢复期后,Google 会在合理可行的情况下尽快删除这些数据,最长不超过 180 天,除非法律要求存储。如果您想在期限结束后保留数据,则可以使用内置的功能(例如数据导出工具),指示 Google 在期限结束前将这些数据返回给您。
您还可以使用所用 Cloud 服务的内置功能在期限内随时删除客户数据。当您使用云服务功能删除客户数据时,Google 会在合理可行的情况下尽快删除这些数据,最长不超过 180 天,除非法律要求存储这些数据。
有关保留和删除的详细信息:
• 对于 Google Workspace(包括 Google Workspace 教育版),请参阅有关删除或移除贵组织的用户以及删除贵组织的 Google 账号的帮助中心文章。
• 对于 Google Cloud,请参阅我们的 Google Cloud 上的数据删除机制页面。
请注意,对于您可能选择存储在 Google 或其子处理方系统之外的数据的副本,您需要承担责任。
Google 作为处理方处理服务数据时您需要提供的信息
对于已选择接受 Google Workspace 教育版服务数据附录的 Google Workspace 教育版客户,该附录描述了 Google 对服务数据的保留和删除承诺。
在评估数据处理的必要性和合理性时,您的数据保护影响评估 (DPIA) 需要从各方面说明您遵守数据保护原则的情况。
虽然作为控制方您有责任证明合规性,但 Cloud 服务内置的保护措施、特性和功能可以支持您的评估。
Google 如何支持您最大限度地减少数据的工作?
除了您采取的任何技术和组织措施来确保仅处理实现您所述目的所需的最少量个人数据外,Google Cloud 可能还会提供特定特性、功能和资源,帮助减少云服务中处理的个人数据量。例如,请参阅有关对敏感数据进行去标识化和假名化的 Google Cloud 文档。
Google 如何帮助您保护数据主体权利?
作为个人数据的控制方,您有责任告知相关个人关于其个人数据的相关权利(例如,访问、删除和携带的权利),并回应行使这些权利的个人向您提出的任何请求。
为了帮助您履行义务,Google 将允许您根据 Cloud 服务的功能删除、访问、导出、纠正或限制对客户数据(包括客户个人数据)的处理。
如果 Google Cloud 数据保护团队收到与客户个人数据相关且识别您组织的个人请求,Google 会建议该个人向您提交其请求。Google 将在收到请求后会立即通知您,并且未经您的授权不会以其他方式回复您的请求。
对于 Google Workspace(包括 Google Workspace 教育版),Google Workspace 数据主体请求 (DSR) 指南提供了有关如何使用这些服务来帮助您响应数据主体的请求的更多信息。
Google 作为处理方处理服务数据时您需要提供的信息
对于已选择接受 Google Workspace 教育版服务数据附录的 Google Workspace 教育版客户,Google 还针对 Google 作为处理方处理的服务数据提供本部分中概述的承诺。
国际数据传输有哪些保障措施?
您(作为控制方)和 Google(作为处理方)都有责任确保向欧洲经济区以外的国家/地区(没有数据保护充分性认定)传输客户个人数据(以及服务数据,对于选择接受 Google Workspace 教育版服务数据附录的 Google Workspace 教育版客户)时,必须遵守 GDPR 有关数据传输的要求。这些国家/地区通常称为“第三方国家/地区”。
除非 Google 采用了替代传输解决方案(例如,欧盟-美国数据隐私权框架 [DPF]),否则在向第三国家/地区传输数据时,我们会遵循欧盟委员会批准的标准合同条款 (SCC),如《Google Cloud 针对欧洲标准合同条款的方法》白皮书中所述。请特别查看白皮书“Google Cloud 对 SCC 的更新方法”部分,以了解哪些 SCC 模块适用于客户个人数据的相关传输。我们有关将客户个人数据传输到第三国家/地区的合同承诺列于 CDPA 的“数据处理地点”条款中。
此外,我们还提供有关 Google 为保护国际数据传输而采取的技术、法律和组织保护措施的更多信息:
• 对于 Google Workspace(包括 Google Workspace 教育版),请参阅《使用 Google Workspace 和 Google Workspace 教育版进行国际数据传输的保护措施》白皮书。
• 对于 Google Cloud,请参阅我们的 Google Cloud 国际数据传输保护措施白皮书。
这些白皮书包含有关美国法律及其对 Cloud 服务的适用性的信息,可帮助客户根据欧盟法院的裁决“Schrems II”完成可能需要完成的任何风险评估。
在替代传输解决方案方面,我们欢迎 DPF,并正努力采用 DPF 将欧盟个人数据传输到美国。当我们采用 DPF 作为替代传输解决方案时,会按照 CDPA 的要求通知客户,我们的目标是在不久的将来这样做。一旦我们采用 DPF 作为替代传输解决方案,我们将确保按照该解决方案进行相关的国际数据传输。
Google 是否遵守已获批准的行为准则?
Google 遵守与 Cloud 服务相关的欧盟 GDPR 云行为准则。
云行为准则是一种机制,供云服务商证明他们如何提供充分的保证,以按照 GDPR 的规定作为处理方实施适当的技术和组织措施。如需了解哪些 Cloud 服务在此政策的涵盖范围内,请参阅此处。
根据欧洲数据保护委员会的积极意见,比利时数据保护机构于 2021 年 5 月 20 日批准了云行为准则。
在评估处理风险后,DPIA 中应说明您计划如何缓解这些风险。这通常表明您已经采取适合所涉及风险的技术和组织措施,包括数据安全措施。
使用 Cloud 服务时,客户数据的处理将受益于以下优势:
• 由 Google 实施和维护业界领先的安全措施。
• 可供 Cloud 服务用户使用的其他安全资源、特性、功能和/或控件,您可以根据自己的需求使用这些内容。
• Google 就技术、组织和物理措施做出的合同承诺。
Google 作为处理方处理服务数据时您需要提供的信息
对于已选择接受 Google Workspace 教育版服务数据附录的 Google Workspace 教育版客户,还包括对 Google 作为处理方处理的服务数据的安全措施的等效合同承诺。
签署 CDPA 即表示,您同意这些措施能够根据您的数据处理过程所涉及的风险提供适当的安全级别。
Google 为 Cloud 服务提供了哪些安全措施?
作为云创新者,Google 了解云技术的安全性。我们在运营中将安全视为工作的重中之重,并且 Cloud 服务旨在提供比许多本地方法更出色的安全性。
安全性推动 Google 的组织结构、文化、培训优先事项和招聘流程不断发展。它决定着我们数据中心的设计和所采用的技术。也是我们日常运营的核心,并在我们处理客户数据和服务数据时优先考虑。它还会影响我们维护的认证和审核报告。
您可以查看 Google 的安全基础设施设计概览,详细了解我们覆盖全球的技术基础设施如何提供云服务的安全部署、服务之间的安全通信,以及通过互联网与客户进行安全而私密的通信和管理员安全操作。
您还可以找到有关 Google 维护的技术和组织措施的更具体信息:
• 对于 Google Workspace(包括 Google Workspace 教育版),请参阅 Google Workspace 安全性白皮书。
• 对于 Google Cloud,请参阅 Google 安全性概览和 Google Cloud 安全性白皮书。
如需了解有关 Google 针对 Cloud 服务所采取的技术和组织安全措施的其他资源,请访问我们的安全性最佳实践中心和隐私权资源中心。
您在使用 Cloud 服务时可以应用哪些可选安全控制措施?
Google 还提供可选的其他安全控制措施,以帮助 Cloud 服务客户满足其安全性和合规性需求。这些是客户可自行选择使用的安全资源、特性、功能和控件,包括管理控制台、加密解决方案、日志记录和监控工具,以及身份和访问权限管理。
您可以详细了解您组织如何配置 Cloud 服务及其特性和功能:
• 对于 Google Workspace(包括Google Workspace 教育版),我们针对 Google Workspace 和 Google Workspace 教育版的数据保护实施指南提供了有关客户如何使用和配置相关服务和设置的信息。
• 对于 Google Cloud,我们的 Google Cloud 架构框架提供了最佳实践和实施建议,可帮助客户设计 Google Cloud 部署方案以符合其业务需求。
我们的安全性最佳实践中心和隐私权资源中心还提供了其他资源,可帮助您满足安全性和合规性需求。
Google 提供哪些合同承诺和其他承诺?
CDPA 规定了 Google 对客户数据(包括客户个人数据)的合同承诺。Google 承诺(包括但不限于)实施和维护技术、组织和物理措施,以防止客户数据遭到意外或非法毁坏、丢失、篡改、未经授权的披露或访问。
这些措施在 CDPA 附录 2 中详细介绍,其中包括对数据中心和网络安全、访问和现场控制、数据安全、人员安全以及子处理方安全方面的承诺。
此外,我们的 Google Cloud 企业隐私权承诺更笼统地说明了我们如何帮助保护使用 Cloud 服务的客户的数据:
1. 您的数据由您掌控:客户数据是您的数据,而不是 Google 的数据。我们仅会根据您的协议来处理您的数据。
2. 我们绝不会将您的数据用于广告定位:我们不会出于创建广告资料或改进 Google Ads 产品的目的处理您的客户数据。
3. 我们的数据收集和使用方式一贯透明:我们致力于确保透明度、遵守 GDPR 等法规以及隐私权最佳实践。
4. 我们绝不会出售客户数据或服务数据:我们绝不会向第三方出售客户数据或服务数据。
5. 安全性和隐私权是我们所有产品的重要设计准则:优先考虑客户的隐私权意味着要保护您托付给我们的数据。我们的产品采用了最强大的安全保障技术。
Google 作为处理方处理服务数据时您需要提供的信息
如果您是 Google Workspace 教育版客户,并且已选择接受 Google Workspace 教育版服务数据附录,则该附录中规定了 Google 对作为处理方处理的服务数据的合同承诺。
Google 如何处理执法机构提出的要求?
Google 制定了一个透明而全面的流程,在处理执法机构和政府的数据访问请求方面,遵循国际最佳实践。Google Cloud 会根据法律要求、客户协议和隐私权政策,综合考虑不同的情况,视具体情况提供回复。
如需了解 Google Cloud 将如何处理任何此类请求,请参阅我们的关于云客户数据的政府要求白皮书。
此外,在适用法律允许的情况下,我们的透明度报告会披露执法机构和政府机构提出的企业云客户信息披露要求的数量。
Google Cloud 如何证明合规性?
Cloud 服务会定期接受安全性、隐私和合规控制措施方面的独立验证,获得认证、证明和审核报告以证明合规性。客户可以通过我们的合规报告管理器直接访问和下载各种认证(包括 ISO 27001、27017、27018 和 27701)、审核报告(包括 SOC 1、2 和 3)和其他相关资源。
此外,为了证明我们一直致力于保护服务数据,我们扩大了 ISO 27001、27017、27018 和 27701 认证的范围,以纳入相关 Google Workspace 服务的服务数据(我们作为数据处理方)。
此外,如上所述,Google 遵守欧盟 GDPR 云行为准则机制,此机制供云提供商证明他们如何提供足够的保证,根据 GDPR 的规定,以处理方身份实施适当的技术和组织措施。
