Google Cloud 和《一般数据保护条例》(GDPR)

遵守 GDPR 是 Google Cloud 和 Google Cloud 客户的首要任务之一。GDPR 旨在加强欧洲地区个人数据的保护,并会影响所有企业和机构开展业务的方式。我们知道您有很多疑问,请随时与我们联系,我们非常乐意为您答疑解惑。Google Cloud 在数据保护、控制措施和法规遵从方面采取以客户为中心的原则,同时我们也希望在您的 GDPR 合规之旅中为您保驾护航。

Google Cloud 和 GDPR 白皮书 Google Cloud GDPR 快速参考指南 G Suite 数据保护实施指南

访问我们的 GDPR 资源中心 

什么是 GDPR?

2018 年 5 月 25 日正式生效的 GDPR 取代了 1995 年颁布的《欧盟数据保护指令》。

GDPR 对设立于欧洲或服务欧洲用户的企业和组织提出了具体的要求。GDPR 具有以下特点:

  • 规定了企业收集、使用和存储个人数据的方式
  • 基于现行文件和报告要求制定而成,旨在加强问责制
  • 授权相关部门对违反 GDPR 要求的企业收取罚款

我们采取了哪些措施

Google Cloud 大力支持重视和提升用户数据安全性和隐私性的计划。为了遵守已生效的 GDPR,我们多次更新了相关协议条款,旨在确保 Google Cloud 客户能够放心地使用我们的服务。欢迎您与 Google Cloud 合作,我们将通过以下方式为您的工作提供支持:

  1. 在合同中做出以下承诺:对于所有 Google Cloud Platform 和 G Suite 服务中的客户个人数据,我们都会按照 GDPR 的规定进行处理
  2. 提供更多安全功能,以帮助您更好地保护最敏感的个人数据
  3. 为您提供相关文档和资源,以帮助您评估我们的服务在隐私保护方面表现如何
  4. 随着监管环境的变化不断完善我们的产品及服务功能

G Suite 和 Google Cloud Platform 的 GDPR 合规承诺

数据控制方所使用的数据处理方必须提供充分的保证,确认其会采取适当的技术与组织措施,以确保数据处理程序符合 GDPR 的要求。除此之外,数据处理方还需满足其他一些要求。在对 G Suite 和 Google Cloud Platform 服务进行评估时,您可能需要考虑以下几个方面:

数据保护专业知识

Google 聘请了许多安全与隐私保护方面的专业人士,其中包括信息、应用和网络安全领域的全球知名专家。这一专家团队负责维护我们的防御体系、制订安全审查流程、构建更强大的安全基础架构,以及准确地实施 Google 的安全政策。

Google 还聘请了众多律师、监管合规专家和公共政策专家组成团队,负责监督 Google Cloud 在隐私权与安全性方面是否合规。

这些团队会与客户、行业利益相关者及监管部门进行合作,以确保我们的 G Suite 和 Google Cloud Platform 服务能够帮助客户满足其合规需求。

您可以做些什么

作为客户,您有哪些责任?

对于 G Suite1 和 Google Cloud Platform 客户因使用 Google Cloud 服务而向 Google 提供的任何个人内容,数据控制方通常为上述客户。数据控制方决定个人数据的处理目的和方式。而数据处理方通常是我们。作为数据处理方,Google Cloud 会在数据控制方使用 G Suite 或 Google Cloud Platform 时,代表数据控制方处理个人数据。

什么是数据控制方?

数据控制方负责实施适当的技术和组织措施,以确保并证明任何数据处理行为均符合 GDPR 的规定。数据控制方的义务涉及合法性、公平性、透明度、用途限制、数据最小化和准确性等原则。数据控制方还需要履行相关义务来配合数据主体针对其数据行使权利。

您可以定期查看国家数据保护机构或主要数据保护机构的网站,并查看国际隐私专业人员协会 (IAPP) 等隐私保护协会发布的信息,以查找相关指导内容,了解依据 GDPR 您需要承担的责任。我们也将确保在本 GDPR 页面以及我们的 GDPR 资源中心持续更新最新消息和动态。

本网站旨在帮助我们的客户更好地了解 Google Cloud 在 GDPR 相关领域的立场。本网站的内容不构成法律建议。我们建议您咨询法律专家,针对适用于贵单位的具体要求获取相关指导。

您应从哪些方面入手?

作为 Google Cloud 客户,您应该将 GDPR 纳入您的数据保护合规战略。请考虑以下建议:

  • 熟悉 GDPR 的条款。
  • 为您需要处理的个人数据制定一个最新的目录。您可以利用我们的工具来对数据进行识别和分类。
  • 检查您当前与数据管理和保护有关的控制措施、政策和流程,以评估其是否符合 GDPR 的要求。发现差距,并制定计划来弥补这些差距。
  • 考虑如何将 Google Cloud 上的现有数据保护功能用作您自己的监管合规框架的一部分。从查看 G Suite 或 Google Cloud Platform 的第三方审核和认证材料入手。
  • 按照此处介绍的 G Suite 数据处理修正条款接受流程以及此处介绍的 GCP 数据处理和安全条款接受流程,查看并接受我们更新后的数据处理条款。
1 G Suite 包括 G Suite 商务版和 G Suite 教育版。 2 我们建议您寻求独立的法律建议,以确定相关的国家数据保护机构或主要数据保护机构。

常见问题解答

什么是 GDPR?
《一般数据保护条例》 (GDPR) 是一部于 2018 年 5 月 25 日生效的隐私保护法规,取代了 1995 年 10 月 24 日发布的《欧盟数据保护指令》(95/46/EC)
GDPR 是否要求在欧盟存储个人数据?
不要求。与《欧盟数据保护指令》(95/46/EC) 一样,GDPR 为欧盟国家以外的个人数据传输规定了一些条件。相关单位可以通过示范合同条款等机制来满足这些条件。
为了体现 GDPR 的要求,你们对协议条款做了哪些更新?
多年来,Google Cloud 提供的数据处理条款一直都清晰阐述了我们向客户提供的隐私和安全保护承诺。GDPR 直接管辖云服务提供商,而无论其在这方面的合同承诺为何。为了体现 GDPR 的要求,我们更新了相关条款。GDPR 的第 28 条规定围绕云客户对数据处理方的使用提出了相关要求,而我们根据 GDPR 更新后的条款则明确体现了这些要求。
GDPR 是否为客户赋予了审核 Google Cloud 的权利?
根据 GDPR 的规定,数据处理方必须在其与数据控制方的合同中,将审核权授予数据控制方。我们在更新后的数据处理协议中纳入了对客户有利的审核权。
第三方 ISO/IEC 27001、ISO/IEC 27017、ISO/IEC 27018 和 SOC 2/3 报告对 GDPR 合规有何作用?
客户可以使用我们的第三方 ISO 认证和 SOC 2/3 审核报告来开展风险评估,并确定合适的技术和组织措施是否落实到位。
Google 还提供了其他哪些与 GDPR 有关的信息和资源?
请参阅 Google 的企业和数据网站以及我们的 GDPR 资源中心