如需其他資源,請參閱 Google Cloud 的隱私權資源中心

Google Cloud 與一般資料保護規則 (GDPR)

一般資料保護規則 (GDPR) 這項隱私權法規已於 2018 年 5 月 25 日生效,並取代了 1995 年 10 月 24 日制定的資料保護指令 (95/46/EC)。GDPR 的規範具體且詳盡,其適用對象為在歐洲地區設立據點或為歐洲使用者提供服務的企業和機構。簡要說明如下:

  • 用於規範企業收集、使用及儲存個人資料的方式
  • 以現有的文件和報告規範為基礎,以提升可靠度
  • 能對未遵守規定的企業處以罰金

Google Cloud 支持任何以客戶個人資料安全和隱私為優先考量並推動相關改進措施的計畫,並且會遵守 GDPR 的規定,讓每位 Google Cloud 客戶都能安心使用我們提供的服務。只要與 Google Cloud 合作,您就能獲得下列 GDPR 法規遵循相關協助:

  1. 在合約中承諾遵守 GDPR,以符合規範的方式處理所有 Google Cloud 和 Google Workspace 服務中的客戶個人資料
  2. 提供額外的安全性功能,讓您妥善保護最為機密的個人資料
  3. 為您提供相關說明文件與資源,協助您針對我們的服務進行隱私權評估
  4. 配合監管生態的變化持續提升 Google 的法規遵循能力

Google Workspace 和 Google Cloud 對於遵守 GDPR 的承諾

資料控制方必須使用具備適當技術與組織措施的資料處理者。對 Google Cloud 執行 GDPR 評估時,請考量下列事項:

專業知識、可靠性與資源

資料保護專業知識

Google 僱用的安全性和隱私權專業人士中,不乏全球頂尖的資訊、應用程式與網路安全性領域專家。這個專家團隊的任務是維護公司的防禦系統、擬定安全性審查程序、打造更穩固的安全性基礎架構,並準確實行 Google 的安全性政策。

Google 也聘請了多位律師、法規遵循專業人士和公共政策專家,共同組成全方位的專家小組,負責確認 Google Cloud 是否遵守相關的隱私權與安全性規定。

上述團隊會與客戶、業界相關人士和監管機關合作,確保 Google Workspace 和 Google Cloud 服務能夠協助客戶滿足法規遵循要求。

資料處理協議

Google WorkspaceGoogle Cloud 的資料處理協議清楚載明了我們對客戶隱私權的承諾。這些年來,我們也持續聽取客戶與監管機關的建議,逐步修訂條款內容。

為因應 GDPR 帶來的改變,我們特別更新了這些條款,以便客戶在使用 Google Cloud 服務時進行法規遵循評估,並為 GDPR 做好準備。進一步瞭解Google Workspace 資料處理修訂條款Google Workspace 歐盟標準契約條款Google Cloud 資料處理與安全性條款Google Cloud 歐盟標準契約條款 (SCC)

客戶如需簽訂新版資料處理條款,可以按照這篇說明文章所述的程序選擇接受《Google Workspace 資料處理修訂條款》,以及按照這篇說明文章所述的程序選擇接受《Google Cloud 資料處理與安全性條款》。

按照指示處理資料

如同我們根據 GDPR 修訂過的資料處理協議中所載明,在處理客戶及其使用者輸入 Google 系統中的資料時,Google 一定會按照客戶的指示進行作業。

員工保密承諾

所有 Google 員工都必須簽署保密協議,並完成必要的保密和隱私權教育訓練,以及 Google 行為準則教育訓練。《Google 行為準則》特別載明了所有員工在資訊保護方面應盡的責任與應有的行為。

為提供 Google Workspace 和 Google Cloud 服務,我們必須進行許多資料處理程序。大多數資料處理活動均由 Google 集團公司直接執行,僅有少部分活動必須委請第三方廠商來協助支援。各家廠商都經過我們的嚴格篩選,確保其具備必要的技術性專業知識,能夠提供合適的安全性和隱私權保護機制。

凡是支援 Google WorkspaceGoogle Cloud 服務的 Google 集團複委託者與第三方複委託者,我們都會公開其相關資訊。如要瞭解 Google Workspace 複委託者詳情,請參閱這篇文章;如要瞭解 Google Cloud 複委託者詳情,請參閱這篇文章。我們亦會在資料處理協議中載明與這些複委託者有關的承諾。

根據 GDPR 的規定,我們應該採用合適的技術與機構措施,確保安全機制足以因應風險。

Google 採用的全球基礎架構可提供最先進的安全性功能,能夠保障資料在 Google 的整個資訊處理生命週期中安全無虞。這個基礎架構可提供安全的服務部署功能、具備使用者隱私權保護機制的安全資料儲存服務、跨服務的安全通訊機制、與客戶在網際網路上的安全隱密通訊功能,以及管理者的安全作業程序。Google Workspace 與 Google Cloud 都是在這個基礎架構上運作。

我們設計的基礎架構安全機制採用層級式結構,從資料中心的實體安全、軟硬體的安全保護機制,到支援作業安全性所採用的程序,都是根據層級安排規劃。這種層級式保護機制能提供穩固的安全性基礎,確保資料處理的每個環節都安全無虞。如想進一步瞭解 Google 的基礎架構安全性,請參閱《Google 基礎架構安全性設計總覽》(Google Infrastructure Security Design Overview) 這份白皮書。

可用性、完整性及彈性

Google 設計的平台元件具有高備援性。Google 資料中心遍布全球各處,可盡量減少地區性干擾 (例如天災與地區性停電) 對全球產品的影響。若發生硬體、軟體或網路故障問題,Google 服務會立即由一處設施自動切換至另一處,以持續為您提供服務,不致發生中斷問題。我們的高備援基礎架構能夠協助客戶防止資料遺失。

設備測試與安全性

Google 會使用條碼和資產標籤追蹤資料中心設備的狀態和位置,追蹤範圍涵蓋收購、安裝、淘汰和銷毀等階段。如果某個元件在生命週期的任一環節未通過效能測試,我們就會將其從庫存清單中移除並淘汰。Google 硬碟會利用全磁碟加密 (FDE) 和硬碟鎖定等技術來保護靜態資料。

災難復原測試

Google 每年都會進行災難復原測試,讓基礎架構與應用程式團隊有機會相互協調,並測試通訊計畫、容錯移轉情境、作業轉移及其他緊急狀況應對程序。所有參與災難復原演練的團隊都必須擬定測試計畫,並在測試後記錄各項計畫的結果與需要改善的部分。

加密

Google 會使用加密機制來保護傳輸中的資料和靜態資料。根據預設,在區域之間傳輸的所有 Google Workspace 使用者資料都會透過 HTTPS 通訊協定加以保護。此外,Google Workspace 和 Google Cloud 服務會自動透過一或多種加密機制,為靜態儲存的客戶內容進行加密處理,客戶不需要採取任何動作。如需瞭解我們如何加密資料,請參閱以下資源:Workspace 加密白皮書以及 Google Cloud 傳輸中資料和靜態資料加密。

存取權控管機制

Google 會根據員工的工作職務和角色授予相應的存取權與存取層級;我們採取最低權限與有知情必要原則,為不同職位的員工授予不同的存取權。員工如需取得更多存取權,則必須透過正式程序提出申請。根據 Google 的安全性政策,員工申請額外存取權時必須獲得資料/系統擁有者、經理或其他主管的核准。儲存 Google Cloud 系統與基礎架構元件的資料中心必須遵守實際進出限制的規範,並在現場安排全年無休的安全人員與保全人員,配置出入識別證、生物特徵識別機制、實體鎖與攝影機,以監控機房內部與外部情形。

事件管理

Google 專屬安全團隊全年無休專責保護全球客戶資料的安全性與隱私權,以及管理全球服務的安全性。團隊成員會收到事件相關通知,而且全天候不分時段均會協助解決緊急狀況。Goolge 已設定事件應變政策並詳細記錄關鍵事件的解決程序。這類事件的相關資訊可用於防止日後再發生同類事件,亦可用來當做資訊安全性訓練的範例。Google 會詳細記錄及說明事件管理程序與回應工作流程。根據我們的 ISO/IEC 27017、ISO/IEC 27018、ISO/IEC 27001、PCI-DSS1、SOC 2 和 FedRAMP 計畫,Google 的事件管理程序會定期接受測試,以向客戶和監管機關證明我們通過了安全性、隱私權和法規遵循控管的獨立驗證。如要進一步瞭解事件應變程序,請參閱資料事件應變程序白皮書

安全漏洞管理

Google 會運用市售工具、依特定需求建構的內部工具、高度自動化及手動的滲透測試、品管程序、軟體安全性審核及外部稽核等方式,詳細檢查軟體是否有安全漏洞。廣大的安全性研究社群也是我們的強力後盾,我們非常重視他們為 Google Workspace、Google Cloud 及其他 Google 產品找出安全漏洞時提供的協助。此外,我們還推出了「安全漏洞獎勵計畫」(Vulnerability Reward Program),鼓勵研究人員回報可能導致客戶資料面臨風險的設計與實作相關問題。

產品安全性:Google Workspace

Google Workspace 客戶可以善用以下各種產品功能與設定來進一步保護個人資料,藉此防範未經授權或非法的資料處理活動:

Google Workspace 核心服務 (包含 Gmail、Google 管理控制台、日曆、雲端硬碟、文件、Keep、協作平台、Jamboard、Hangouts、Chat、Meet、Cloud Search 和 Google 網路論壇) 具備可調整的設定,能協助貴機構根據自身的特殊需求來保護、使用及存取資料。使用者在登入服務時,兩步驟驗證機制會要求他們提供額外的身分識別證明,因此可降低發生未經授權資料存取活動的風險。另一方面,強制使用安全金鑰功能則會索取實體金鑰,進一步提升使用者帳戶的安全性。進階保護計畫可為使用者提供強而有力的防護,避免他們淪為針對性線上攻擊的目標。可疑登入活動監控功能會運用強大的機器學習技術來偵測可疑的登入活動。強化版電子郵件安全機制規定所有電子郵件訊息都必須透過安全/多用途網際網路郵件延伸標準 (S/MIME) 簽署及加密。加密:無論是儲存在磁碟或備份媒體、透過網際網路傳輸還是在資料中心之間傳送,Google Workspace 客戶的資料一律會經過加密處理。資料遺失防護 (DLP) 機制可保護 Gmail 和雲端硬碟中的機密資訊,以防未經授權的使用者取得重要資料。網路釣魚和惡意軟體進階保護措施能夠防範來自不受信任寄件者的可疑附件、指令碼、惡意連結和圖片。雲端硬碟中的資訊版權管理服務不僅可讓您透過進階共用選單停用下載、列印及複製檔案的功能,還能設定檔案存取期限。端點管理服務可持續監控系統,並在偵測到可疑的裝置活動時通知您。快訊中心可查看 Google Workspace 提供的重要通知、快訊和操作指示。系統會對快訊中提及的潛在風險進行深入分析,協助管理員評估機構面臨的安全性問題,安全中心提供安全性數據分析結果、Google 建議的最佳做法以及整合式因應措施,可協助您保障機構資料、裝置與使用者的安全;此外,還可讓您清楚掌握檔案的對外共用狀態、監控以機構內部使用者為目標的垃圾郵件和惡意軟體,並透過調查工具採取整合式因應措施。情境感知存取權讓您能依據使用者的身分和要求內容,在 Google Workspace 應用程式中強制實行精細的存取權控管機制。Google 保管箱可讓您保留、封存、搜尋和匯出貴機構的電子郵件、Google 雲端硬碟檔案內容和即時通訊記錄,藉此滿足電子蒐證 (eDiscovery) 與法規遵循的需求。針對使用 OAuth 2.0 的 Google Workspace 服務,您可透過應用程式存取權控制項管理其存取權。機構可控管哪些第三方應用程式和內部應用程式可存取 Google Workspace 資料,以及查看所有使用中第三方應用程式的詳細資料。資料地區可讓您透過資料地區政策,將政策涵蓋的資料存放在特定地理位置。資料存取透明化控管機制讓您檢閱記錄,瞭解 Google 員工在存取使用者內容時採取的動作。

如要瞭解詳情,請前往 https://workspace.google.com/security

產品安全性:Google Cloud

Google Cloud 客戶可以善用以下各種產品功能與設定來進一步保護個人資料,藉此防範未經授權或非法的資料處理活動:

區域間傳輸加密是 Google Cloud 預設採用的機制,可確保先加密要求再進行傳輸,並使用傳輸層安全標準 (TLS) 通訊協定保護原始資料。資料移轉至 Google Cloud 並儲存之後,Google Cloud 會預設套用靜態資料加密機制。使用者在登入服務時,兩步驟驗證機制會要求他們提供額外的身分識別證明,因此可降低發生未經授權資料存取活動的風險。另一方面,強制使用安全金鑰功能則會索取實體金鑰,進一步提升使用者帳戶的安全性。Cloud Identity and Access Management (Cloud IAM) 可讓您為 Google Cloud 資源建立精細的存取及修改權限,並加以管理。Data Loss Prevention API 是 Sensitive Data Protection (旨在協助您探索、分類及保護最機密資料的一套服務) 的一部分,可協助您識別及監控特殊類別個人資料的處理活動,再根據這些類別採取適當的控管措施。Cloud LoggingCloud Monitoring 將記錄、監控、快訊和異常情況偵測系統整合至 Google Cloud。Cloud Identity-Aware Proxy (Cloud IAP) 可控管在 Google Cloud 上運作的雲端應用程式存取權。Cloud Security Scanner 會掃描並偵測常見的 Google App Engine 應用程式安全漏洞。VPC Service Controls 會針對儲存高度機密資料的服務提供周邊範圍防護措施,以啟用服務層級的資料區隔。Cloud KMSHSM 可在 FIPS 140-2 第 3 級認證硬體安全性模組 (HSM) 的叢集中管理加密金鑰和密碼編譯作業。客戶可透過 KMS 視需要決定使用 Google 代管或客戶自行管理的加密金鑰,以滿足法規遵循需求。Cloud Security Command Center 讓客戶透過單一資訊主頁集中查看及監控自己的雲端資產庫存清單、在儲存系統中掃描機密資料、偵測常見的網路安全漏洞,以及審查重要資源的存取權。Access Approval 會要求 Google 管理員必須先獲得客戶的明確核准,然後才能存取資料。這項服務會傳送電子郵件和/或 Cloud Pub/Sub 訊息給客戶,讓客戶核准存取要求。客戶可以透過郵件中的資訊使用 Google Cloud 控制台或 Access Approval API 來核准存取。

如要瞭解詳情,請前往 https://cloud.google.com/security/

1 僅適用於 Google Cloud。

在協議效期內,管理員隨時可透過 Google Workspace 或 Google Cloud 服務的功能匯出客戶資料 (詳情請參閱 Google Cloud 說明文件)。數年前,我們便將資料匯出承諾納入資料處理條款中,現在仍將繼續致力於提升各種資料匯出功能,讓您能夠以更輕鬆的方式安全地從 Google Workspace 和 Google Cloud 服務下載客戶資料副本。

您也可以隨時利用 Google Workspace 或 Google Cloud 服務的功能刪除客戶資料。Google 收到您的完整刪除指示 (例如已刪除的電子郵件再也無法從「垃圾桶」中復原) 之後,除非 Google 有保留這些資料的義務,否則我們會在 180 日內刪除所有系統內的相關客戶資料。

資料當事人的權利

透過 Google Workspace 和 Google Cloud 的管理控制台與服務功能,資料控制方即可存取、更正或刪除自己和其使用者輸入 Google 系統的所有資料,並限制這類資料的處理方式。有了這類功能,如果資料當事人依據 GDPR 行使權利並提出相關要求,資料控管者就能履行相應的義務。

資料保護團隊

Google 已為 Google LLC 及其子公司指派資料保護長,由資料保護長負責受 GDPR 規範的資料處理事宜,當中包含我們的 Cloud 產品與服務。Kristie Chon Flynn 現任 Google 資料保護長,常駐於美國森尼維爾。

Google 已為 Cloud 產品指派專責團隊,由他們在必要時負責處理與資料保護有關的客戶問題。相關協議中已提供這些團隊的聯絡方式。客戶的管理員在登入管理員帳戶之後,即可透過 https://support.google.com/a/contact/googlecloud_dpr 與 Google Workspace 的雲端資料保護團隊聯絡,以及/或是直接透過適用協議中列舉的方式通知 Google。如要與 Google Cloud 聯絡,請透過 https://support.google.com/cloud/contact/dpo 與我們的團隊聯絡。

事件通知

多年前,Google 便已在 Google Workspace 和 Google Cloud 的合約中載明事件通知的相關承諾。我們會確實遵守現行協議中的資料事件條款,只要有任何事件與您的客戶資料相關,我們會立即通知您。

GDPR 提供多種機制,可協助推動歐盟境外的個人資料移轉活動。在個人資料移轉至第三方國家/地區時,這些機制可用於確認防護等級是否足夠,或者是否已採用適當的保護措施。

而是否有足夠的防護等級則可由適足性決策 (例如支援日本《個人資訊保護法案》(APPI) 和《瑞士資料保護法》(Swiss Data Protection Act) 的適足性決策) 來加以確認。

如需在歐盟地區境外將個人資料轉移至適足性決策未涵蓋的第三國家/地區,根據 GDPR 的規定,我們已在資料處理協議中載明承諾,會確實維持可協助推動歐盟境外個人資料移轉的機制。我們於 2017 年獲得歐洲資料保護主管機關的認可,確認我們的標準契約條款符合規定,Google Workspace 和 Google Cloud 合約中的承諾也完全符合相關規範,可合法地將個人資料從歐盟境內移轉至未提供適足性保護的第三國家/地區。

客戶和監管機關都會要求我們聘請獨立單位來審查安全性、隱私權和法規遵循控管機制。為了提供這樣的保證,Google Workspace 和 Google Cloud 會定期委請多家第三方稽核單位進行獨立審查。

ISO/IEC 27001 (資訊安全性管理)

ISO/IEC 27001 是獲得國際廣泛認可的獨立安全標準。針對構成所有服務通用之共用基礎架構的系統、應用程式、人員、技術、處理程序和資料中心,以及各種 Google Workspace 和 Google Cloud 產品,Google 均已獲得 ISO/IEC 27001 認證。您可以透過法規遵循報告管理員存取這些認證。

ISO/IEC 27017 (雲端服務安全性)

ISO/IEC 27017 是從 ISO/IEC 27002 衍生而來的資訊安全控管做法國際標準,專為雲端服務而制定。Google 已獲得相關認證,確認 Google Workspace 和 Google Cloud 均符合 ISO/IEC 27017 的規定。您可以透過法規遵循報告管理員存取這些認證。

ISO/IEC 27018 (雲端服務隱私權)

ISO/IEC 27018 是一項國際做法標準,專用於保護公用雲端服務中的個人識別資訊 (PII)。Google 已獲得相關認證,確認 Google Workspace 和 Google Cloud 均符合 ISO/IEC 27018 的規定。您可以透過法規遵循報告管理員存取這些認證。

ISO/IEC 27701 (隱私權資訊管理)

ISO/IEC 27701 是以收集和處理個人識別資訊 (PII) 為衡量項目的全球隱私權標準。這項標準擴編 ISO/IEC 27001 和 ISO/IEC 27002 的規定,以便納入資料隱私權。我們已獲得值得信賴的 ISO/IEC 27701 PII 處理者認證,確認 Google Workspace 和 Google Cloud 均符合相關規定。您可以透過法規遵循報告管理員存取這些認證。

SSAE18/ISAE 3402 (SOC 2/3)

美國會計師協會 (American Institute of Certified Public Accountants,簡稱 AICPA) 制定了 SOC (服務機構控管) 2 與 SOC 3 稽核架構,當中載明「信賴原則」的定義,以及安全性、可用性、處理完整性和機密性的標準。Google 提供 Google Workspace 和 Google Cloud 的 SOC 2 及 SOC 3 報告。您可以透過法規遵循報告管理員存取這些認證。

依據第 28 條規定評估 Google Cloud

GDPR 第 28 條規定資料處理者代替資料控管者處理資料時須遵守的相關規範,我們在各項條款中反映這些規範的情況如下。

與複委託者合作

Google Cloud - Cloud 資料處理附加條款 (CDPA)

定義 | 第 2.1 條

資料安全性 | 第 7.1.2 條

資料安全性 | 第 7.3.1 (b) 條

資料移轉 | 第 10.1 條

複委託者 | 第 11 條

受益第三人 | 第 14 條

附錄 2.1–2.5

Google Cloud - 歐盟標準契約條款 (SCC)

SCC (歐盟控制方到處理方) | 附錄 II、附錄 III

SCC (歐盟處理方到控制方) | 不適用

SCC (歐盟處理方到處理方) | 附錄 II、附錄 III

SCC (歐盟處理方到處理方、Google 匯出方) | 附錄 II、附錄 III

SCC (英國控制方到處理方) | 條款 1、條款 3.3、條款 4 (g) 和 (i)、條款 5 (i) 和 (j)、條款 6、條款 8、條款 11、條款 12、附錄 1、附錄 2.5

相關內容:Google Cloud 複委託者

Google Workspace - Cloud 資料處理附加條款 (CDPA)

定義 | 第 2.1 條

資料安全性 | 第 7.1.2 條

資料安全性 | 第 7.3.1 (b) 條

資料移轉 | 第 10.1 條

複委託者 | 第 11 條

受益第三人 | 第 14 條

安全措施 | 附錄 2.1–2.5

Google Workspace - 歐盟標準契約條款 (SCC)

SCC (歐盟控制方到處理方) | 附錄 II、附錄 III

SCC (歐盟處理方到控制方) | 不適用

SCC (歐盟處理方到處理方) | 附錄 II、附錄 III

SCC (歐盟處理方到處理方、Google 匯出方) | 附錄 II、附錄 III

SCC (英國控制方到處理方) | 條款 1、條款 3.3、條款 4 (g) 和 (i)、條款 5 (i) 和 (j)、條款 6、條款 8、條款 11、條款 12、附錄 1、附錄 2.5

相關內容:Google Workspace 複委託者協議

Google Cloud - Cloud 資料處理附加條款 (CDPA)

《資料處理與安全性條款》全文

Google Workspace - Cloud 資料處理附加條款 (CDPA)

《資料處理條款》全文

Google Cloud - Cloud 資料處理附加條款 (CDPA)

資料處理 | 第 5.2 條

Google Cloud - 歐盟標準契約條款 (SCC)

SCC

Google Workspace - Cloud 資料處理附加條款 (CDPA)

第 5.2 條 | 資料處理

Google Workspace - 歐盟標準契約條款 (SCC)

條款 5 (a) 和 (b) | 資料匯入者的義務

Google Cloud - Google Cloud 服務條款

機密資訊 | 第 7 條

Google Cloud - Cloud 資料處理附加條款 (CDPA)

資料安全性 | 第 7.1.2 條

資料安全性 | 第 7.5.3 條

人員安全性 | 附錄 2.4

Google Cloud - 歐盟標準契約條款 (SCC)

資料匯入者的義務 | 條款 5

Google Workspace - Google Workspace 協議

機密資訊 | 第 6 條

Google Workspace - Cloud 資料處理附加條款 (CDPA)

資料安全性 | 第 7.1.2 條

資料安全性 | 第 7.5.3 條

人員安全性 | 附錄 2.4

Google Workspace - 歐盟標準契約條款 (SCC)

SCC

Google Cloud - Cloud 資料處理附加條款 (CDPA)

資料安全性 | 第 7 條

安全措施 | 附錄 2

Google Cloud - 歐盟標準契約條款 (SCC)

SCC

Google Workspace - Cloud 資料處理附加條款 (CDPA)

資料安全性 | 第 7 條

安全措施 | 附錄 2

Google Workspace - 歐盟標準契約條款 (SCC)

SCC

相關內容:Google Cloud 安全性與法規遵循白皮書

Google Cloud - Cloud 資料處理附加條款 (CDPA)

影響評估與諮詢 | 第 8 條

Google Workspace - Cloud 資料處理附加條款 (CDPA)

影響評估與諮詢 | 第 8 條

Google Cloud - Cloud 資料處理附加條款 (CDPA)

資料刪除 | 第 6 條

資料當事人權利;資料匯出 | 第 9.1 條

Google Cloud - 歐盟標準契約條款 (SCC)

SCC

Google Workspace - Cloud 資料處理附加條款 (CDPA)

資料刪除 | 第 6 條

資料當事人權利;資料匯出 | 第 9.1 條

Google Workspace - 歐盟標準契約條款 (SCC)

SCC

Google Cloud - Cloud 資料處理附加條款 (CDPA)

資料安全性 | 第 7.4 條

相關內容:Google Cloud 法規遵循

Google Workspace - Cloud 資料處理附加條款 (CDPA)

資料安全性 | 第 7.4 條

相關內容:Google Cloud 法規遵循

常見問題

Google Cloud 和 GDPR 常見問題解答

GDPR 是否要求將個人資料儲存於歐盟境內?

否。如同《資料保護綱領》(95/46/EC),GDPR 規範了將個人資料移轉至歐盟境外國家/地區的特定條件。只要利用標準契約條款等機制,您就能確實遵守這些條件。

GDPR 規範如何反映在您的各項條款中?

多年來,Google Cloud 已在資料處理條款中清楚載明我們對客戶隱私權和安全性的承諾,並已根據 GDPR 逐步修訂相關條款,其中特別反映了 GDPR 第 28 條的內容 (資料控管者在使用資料處理者時的相關規定)。

GDPR 是否賦予客戶稽核 Google Cloud 的權利?

根據 GDPR 的規定,在資料控管者與資料處理者簽訂的合約中,資料處理者必須賦予資料控管者相關稽核權利。為保障必須遵守 GDPR 規範的客戶,我們也在新版資料處理協議中納入了稽核權。

在遵循 GDPR 規定方面,第三方的 ISO/IEC 27001、ISO/IEC 27017、ISO/IEC 27018 和 ISO/IEC 27701 認證,以及 SOC 2/3 報告扮演了什麼角色?

客戶可以利用我們的第三方 ISO/IEC 認證與 SOC 2/3 稽核報告來進行風險評估,並判斷自己是否已採取適當的技術與機構措施。我們所獲得的 ISO/IEC 27701 認證可進一步釐清隱私權相關角色和責任,協助遵循 GDPR 等隱私權規範。

Google Cloud 如何支援雲端的跨國資料移轉?

GDPR 提供多種機制,可協助推動歐盟境外的個人資料移轉活動。在個人資料移轉至第三方國家/地區時,這些機制可用於確認防護等級是否足夠,或者是否已採用適當的保護措施。

而是否有足夠的防護等級則可由適足性決策 (例如支援日本《個人資訊保護法案》(APPI) 和《瑞士資料保護法》(Swiss Data Protection Act) 的適足性決策) 來加以確認。

如需在歐盟地區境外將個人資料轉移至適足性決策未涵蓋的第三國家/地區,根據 GDPR 的規定,我們已在資料處理協議中載明承諾,會確實維持可協助推動歐盟境外個人資料移轉的機制。 我們於 2017 年獲得歐洲資料保護主管機關的認可,確認我們的標準契約條款符合規定,Google Workspace 和 Google Cloud 合約中的承諾也完全符合相關規範,可合法地將個人資料從歐盟境內移轉至未提供適足性保護的第三國家/地區。

現在 Privacy Shield (隱私護盾) 已失效,如果繼續使用 Google Cloud 處理歐盟個人資料,是否符合 GDPR 的規定?

儘管 Google 會繼續審查歐盟法院 (CJEU) C-311/18 一案的影響,但仍將採取適當步驟,確保持續為歐盟公民提供高度隱私保護服務。

Google Cloud 會為客戶提供標準契約條款 (SCC),並且在 Google 未提供任何替代轉移解決方案的情況下自動推定為適用。無論資料位於何處,Google 都會將妥善保護資料視為首要之務。詳情請參閱使用 Google Cloud 進行國際資料移轉的安全防護機制白皮書

我們已通過 ISO/IEC 27001ISO/IEC 27018ISO/IEC 27017 等多項公認的國際標準認證。您可前往法規遵循資源中心取得完整的 Google 法規遵循服務清單。

Google 還提供哪些 GDPR 相關資訊和資源?

請參閱 Google Cloud 的隱私權資源中心和 Google 的企業與資料網站

哪裡可以找到其他歐洲隱私權資源?

請參閱我們的歐洲法規遵循資訊和 Google Cloud 的 隱私權資源中心


免責事項:本文撰寫於 2021 年 8 月,所有資訊皆以當時情況為依據。我們會持續改良客戶保護措施,因此 Google 的安全性政策和系統未來可能會改變。 當提到 Google Workspace 時,Google Workspace for Education 亦含括在內。在接下來幾個月內,我們會為教育和非營利客戶提供 Google Workspace。

展開下一步行動

運用價值 $300 美元的免費抵免額和超過 20 項一律免費的產品,開始在 Google Cloud 中建構產品與服務。

Google Cloud
  • ‪English‬
  • ‪Deutsch‬
  • ‪Español‬
  • ‪Español (Latinoamérica)‬
  • ‪Français‬
  • ‪Indonesia‬
  • ‪Italiano‬
  • ‪Português (Brasil)‬
  • ‪简体中文‬
  • ‪繁體中文‬
  • ‪日本語‬
  • ‪한국어‬
控制台