我們已根據 GDPR 更新 Google Workspace 的《資料處理修訂條款》和 Google Cloud Platform 的《資料處理與安全性條款》,您是否已接受新版條款內容?如果您尚未接受修訂後的條款,請參閱這篇說明文章或觀看這部影片,以瞭解 Google Workspace 的相關操作指示。您也可以在這篇說明文章中找到 Google Cloud Platform 的相關操作說明。
Google Cloud 與一般資料保護規則 (GDPR)
遵守 GDPR 是 Google Cloud 和客戶的第一要務。GDPR 旨在強化歐洲地區的個人資料保護措施,對所有機構的營運皆帶來影響。您對此肯定有許多疑問,而我們很樂意為您提供協助。Google Cloud 採用客戶導向的保護、控管與法規遵循措施,希望能夠充分協助您遵守 GDPR 的相關規定。
免責事項:本文撰寫於 2020 年 11 月,所有資訊皆以當時情況為依據。我們會持續改善客戶資料的保護機制,因此 Google 的安全性政策和系統未來可能會有所變動。當提到 Google Workspace 時,Google Workspace for Education 亦含括在內。在接下來幾個月內,我們會為教育和非營利客戶提供 Google Workspace。
GDPR 是什麼?
GDPR 已於 2018 年 5 月 25 日生效,並取代了 1995 年制定的《歐盟資料保護綱領》。
GDPR 的規範具體且詳盡,適用於在歐洲地區設立據點或為歐洲使用者提供服務的企業和機構。GDPR 具備以下特性:
- 用於規範企業收集、使用及儲存個人資料的方式
- 以現有的文件和報告規範為基礎,以提升可靠度
- 能對未遵守規定的企業處以罰金
Google Cloud 和 GDPR
Google Cloud 支持任何以客戶個人資料安全和隱私為優先考量並推動相關改進措施的計畫,並且會遵守 GDPR 的規定,讓每位 Google Cloud 客戶都能安心使用我們提供的服務。只要與 Google Cloud 合作,您就能獲得下列 GDPR 法規遵循相關協助:
- 在合約中承諾遵守 GDPR,以符合規範的方式處理所有 Google Cloud Platform 和 Google Workspace 服務中的客戶個人資料
- 提供額外的安全性功能,幫助您妥善保護最為機密的個人資料
- 為您提供相關說明文件與資源,協助您針對我們的服務進行隱私權評估
- 配合監管生態的變化持續提升 Google 的功能
Google Workspace 和 Google Cloud Platform 對於遵守 GDPR 的承諾
除了必須遵守其他規定之外,資料控管者所選的資料處理者也必須提供充分的保證,證明自己已採用合適的技術與機構措施,可確保資料處理程序符合 GDPR 的規定。在評估 Google Workspace 與 Google Cloud Platform 的服務時,建議將以下幾個層面納入考量:
資料保護專業知識
Google 僱用的安全性和隱私權專業人士中,不乏全球頂尖的資訊、應用程式與網路安全性領域專家。這個專家團隊的任務是維護公司的防禦系統、擬定安全性審查程序、打造更穩固的安全性基礎架構,並準確實行 Google 的安全性政策。
Google 也聘請了多位律師、法規遵循專業人士和公共政策專家,共同組成全方位的專家團隊,負責確認 Google Cloud 是否遵守相關的隱私權與安全性規定。
上述團隊會與客戶、業界相關人士和監管機關合作,確保 Google Workspace 和 Google Cloud Platform 服務能夠協助客戶滿足法規遵循要求。
資料處理協議
Google Workspace 與 Google Cloud Platform 的資料處理協議清楚載明了我們對客戶隱私權的承諾。這些年來,我們也持續聽取客戶與監管機關的建議,逐步修訂條款內容。
為因應 GDPR 帶來的改變,我們特別更新了這些條款,以便客戶在使用 Google Cloud 服務時進行法規遵循評估,並為 GDPR 做好準備。請按這裡查看《Google Workspace 資料處理修訂條款》;請按這裡查看《Google Workspace 歐盟合約條款範本》;請按這裡查看《GCP 資料處理與安全性條款》;請按這裡查看《GCP 歐盟合約條款範本 (MCC)》。
客戶如需簽訂新版資料處理條款,可以按照這篇說明文章所述的程序選擇接受《Google Workspace 資料處理修訂條款》,以及按照這篇說明文章所述的程序選擇接受《GCP 資料處理與安全性條款》。
按照指示處理資料
如同我們根據 GDPR 修訂過的資料處理協議中所載明,在處理客戶及其使用者輸入 Google 系統中的資料時,Google 一定會按照客戶的指示進行作業。
員工保密承諾
所有 Google 員工都必須簽署保密協議,並完成必要的保密和隱私權教育訓練,以及 Google 行為準則教育訓練。《Google 行為準則》特別載明了所有員工在資訊保護方面應盡的責任與應有的行為。
為提供 Google Workspace 和 Google Cloud Platform 服務,我們必須進行許多資料處理程序。大多數資料處理活動均由 Google 集團公司直接執行,僅有少部分活動委請第三方廠商來協助支援。各家廠商都經過我們的嚴格篩選,確保其具備必要的技術性專業知識,能夠提供合適的安全性和隱私權保護機制。
凡是支援 Google Workspace 和 Google Cloud Platform 服務的 Google 集團複委託者與第三方複委託者,我們都會公開其相關資訊。如要暸解 Google Workspace 複委託者與 GCP 複委託者詳情,請分別參閱 Google Workspace 與 GCP 相關頁面。我們亦會在資料處理協議中載明與這些複委託者有關的承諾。
根據 GDPR 的規定,我們應該採用合適的技術與機構措施,確保安全機制足以因應風險。
Google 採用的全球基礎架構可提供最先進的安全性功能,能夠保障資料在 Google 的整個資訊處理生命週期中安全無虞。這個基礎架構可提供安全的服務部署功能、具備使用者隱私權保護措施的安全資料儲存服務、跨服務的安全通訊機制、與客戶在網際網路上的安全隱密通訊功能,並讓管理員能夠安全地進行操作。Google Workspace 與 Google Cloud Platform 都是在這個基礎架構上運作。
我們設計的基礎架構安全機制採用層級式結構,從資料中心的實體安全、軟硬體的安全保護機制,到支援作業安全性所採用的程序,都是根據層級安排規劃。這種層級式保護機制能提供穩固的安全性基礎,確保資料處理的每個環節都安全無虞。如想進一步瞭解 Google 的基礎架構安全性,請參閱《Google 基礎架構安全性設計總覽》(Google Infrastructure Security Design Overview) 這份白皮書。
可用性、完整性及彈性
Google 設計的平台元件具有高備援性。Google 資料中心遍布全球各處,可盡量減少地區性干擾 (例如天災與地區性停電) 對全球產品的影響。如發生軟硬體或網路故障問題,Google 服務會立即由一處設施自動切換至另一處,以持續為您提供服務,不致發生中斷問題。我們的高備援基礎架構能夠協助客戶防止資料遺失。
設備測試與安全性
Google 會使用條碼和資產標籤追蹤資料中心設備的狀態和位置,追蹤範圍涵蓋收購、安裝、淘汰和銷毀等階段。如果某個元件在生命週期的任一環節未通過效能測試,我們就會將其從庫存清單中移除並淘汰。Google 硬碟會利用全磁碟加密 (FDE) 和硬碟鎖定等技術來保護靜態資料。
災難復原測試
Google 每年都會進行災難復原測試,讓基礎架構與應用程式團隊有機會相互協調,並測試通訊計畫、容錯移轉情境、作業轉移及其他緊急狀況應對程序。所有參與災難復原演練的團隊都必須擬定測試計畫,並在測試後記錄各項計畫的結果與需要改善的部分。
加密
Google 會使用加密機制來保護傳輸中的資料和靜態資料。根據預設,在區域之間傳輸的所有 Google Workspace 使用者資料都會透過 HTTPS 通訊協定加以保護。此外,Google Workspace 和 Google Cloud Platform 服務會自動透過一或多種加密機制,為靜態儲存的客戶內容進行加密處理,客戶不需要採取任何動作。如果想要進一步瞭解 Google 如何為資料加密,請參閱我們的加密白皮書。
存取權控制
Google 會根據員工的工作職務和角色授予相應的存取權與存取層級;我們採取最低權限與有知情必要原則,為不同職位的員工授予不同的存取權。員工如需取得更多存取權,則必須透過正式程序提出申請。根據 Google 的安全性政策,員工申請額外存取權時必須獲得資料/系統擁有者、經理或其他主管的核准。儲存 Google Cloud 系統與基礎架構元件的資料中心必須遵守實際進出限制的規範,並在現場安排全年無休的安全人員與保全人員,配置出入識別證、生物特徵識別機制、實體鎖與攝影機,以監控機房內部與外部情形。
事件管理
Google 專屬安全團隊全年無休專責保護全球客戶資料的安全性與隱私權,以及管理全球服務的安全性。團隊成員會收到事件相關通知,而且全天候不分時段均會協助解決緊急狀況。Goolge 已設定事件回應政策並詳細記錄關鍵事件的解決程序。這類事件的相關資訊可用於防止日後再發生同類事件,亦可用來當做資訊安全性訓練的範例。Google 會詳細記錄及說明事件管理程序與回應工作流程。根據我們的 ISO/IEC 27017、ISO/IEC 27018、ISO/IEC 27001、PCI-DSS1、SOC 2 和 FedRAMP 計畫,Google 的事件管理程序會定期接受測試,以向客戶和監管機關證明我們通過了安全性、隱私權和法規遵循控管的獨立驗證。如要進一步瞭解事件回應程序,請參閱資料事件回應程序白皮書。
安全漏洞管理
Google 會運用市售工具、依特定需求建構的內部工具、高度自動化及手動的滲透測試、品管程序、軟體安全性審核及外部稽核等方式,詳細檢查軟體是否有安全漏洞。廣大的安全性研究社群也是我們的強力後盾,我們非常重視他們為 Google Workspace、Google Cloud Platform 及其他 Google 產品找出安全漏洞時提供的協助。此外,我們還推出了「安全漏洞獎勵計畫」(Vulnerability Reward Program),鼓勵研究人員回報可能導致客戶資料面臨風險的設計與實作相關問題。
產品安全性:Google Workspace
Google Workspace 客戶可以善用以下各種產品功能與設定來進一步保護個人資料,藉此防範未經授權或非法的資料處理活動:
- Google Workspace 核心服務 (包含 Gmail、Google 管理控制台、日曆、雲端硬碟、文件、Keep、協作平台、Jamboard、Hangouts、Chat、Meet、Cloud Search 和 Google 網路論壇) 具備可調整的設定,能協助貴機構根據自身的特殊需求來保護、使用及存取資料。
- 兩步驟驗證機制要求使用者在登入服務時提供額外的身分識別證明,因此可降低未經授權存取資料的風險。另一方面,強制使用安全金鑰功能則會索取實體金鑰,進一步提升使用者帳戶的安全性。進階保護計畫可為使用者提供強而有力的防護,避免他們淪為針對性線上攻擊的目標。
- 可疑登入活動監控功能會運用強大的機器學習技術來偵測可疑的登入活動。
- 強化版電子郵件安全機制規定所有電子郵件訊息都必須透過安全/多用途網際網路郵件延伸標準 (S/MIME) 簽署及加密。
- 加密:無論是儲存在磁碟或備份媒體、透過網際網路傳輸還是在資料中心之間傳送,Google Workspace 客戶的資料一律會經過加密處理。
- 資料遺失防護機制可保護 Gmail 和雲端硬碟中的機密資訊,以防未經授權的使用者取得重要資料。
- 網路詐騙和惡意軟體的進階保護措施能夠防範來自不受信任寄件者的可疑附件、指令碼、惡意連結和圖片。
- 雲端硬碟中的資訊版權管理服務不僅可讓您透過進階共用選單停用下載、列印及複製檔案的功能,還能設定檔案存取期限。
- 端點管理服務可持續監控系統,並在偵測到可疑的裝置活動時通知您。
- 快訊中心可查看 Google Workspace 提供的重要通知、快訊和操作指示。系統會對快訊中提及的潛在風險進行深入分析,協助管理員評估機構面臨的安全性問題。
- 安全中心提供安全性數據分析結果、Google 建議的最佳做法以及整合式因應措施,可協助您保障機構資料、裝置與使用者的安全;此外,還可讓您清楚掌握檔案的對外共用狀態、監控以機構內部使用者為目標的垃圾郵件和惡意軟體,並透過調查工具採取整合式因應措施。
- 情境感知存取權讓您能依據使用者的身分和要求內容,在 Google Workspace 應用程式中強制實行精細的存取權控管機制。
- Google 保管箱可讓您保留、封存、搜尋和匯出貴機構的電子郵件、Google 雲端硬碟檔案內容和即時通訊記錄,藉此滿足電子蒐證 (eDiscovery) 與法規遵循的需求。
- 應用程式存取權控制項透過 OAuth 2.0 管理 Google Workspace 服務的存取權。機構可控管哪些第三方應用程式和內部應用程式可存取 Google Workspace 資料,以及查看所有使用中第三方應用程式的詳細資料。
- 資料地區可讓您透過資料地區政策,將政策涵蓋的資料存放在特定地理位置
- 資料存取透明化控管機制讓您檢閱記錄,瞭解 Google 員工在存取使用者內容時採取的動作。
如要瞭解詳情,請前往 https://workspace.google.com/security
產品安全性:GCP
GCP 客戶可以善用以下各種產品功能與設定來進一步保護個人資料,藉此防範未經授權或非法的資料處理活動:
- 區域間傳輸加密是 GCP 預設採用的機制,可確保先加密要求再進行傳輸,並使用傳輸層安全標準 (TLS) 通訊協定保護原始資料。根據預設,當資料傳輸至 GCP 儲存,GCP 即會採用靜態資料加密機制。
- 兩步驟驗證機制要求使用者在登入服務時提供額外的身分識別證明,因此可降低未經授權存取資料的風險。另一方面,強制使用安全金鑰功能則會索取實體金鑰,進一步提升使用者帳戶的安全性。
- Cloud Identity and Access Management (Cloud IAM) 可讓您為 Google Cloud Platform 資源建立精細的存取及修改權限,並加以管理。
- 資料遺失防護 API 可協助您識別並監控特殊類別個人資料的處理活動,再據此選用適當的控管措施。
- Cloud Logging 和 Cloud Monitoring 將記錄、監控、快訊和異常偵測系統整合至 Google Cloud Platform。
- Cloud Identity-Aware Proxy (Cloud IAP) 可控管在 Google Cloud Platform 上運作的雲端應用程式存取權。
- Cloud Security Scanner 會掃描並偵測常見的 Google App Engine 應用程式安全漏洞。
- VPC Service Controls 會針對儲存高度機密資料的服務提供周邊範圍防護措施,以啟用服務層級的資料區隔。
- Cloud KMS 和 HSM 可在 FIPS 140-2 第 3 級認證硬體安全性模組 (HSM) 的叢集中管理加密金鑰和密碼編譯作業。客戶可透過 KMS 視需要決定使用 Google 代管或客戶自行管理的加密金鑰,以滿足法規遵循需求。
- Cloud Security Command Center 讓客戶透過單一資訊主頁集中查看及監控自己的雲端資產庫存清單、在儲存系統中掃描機密資料、偵測常見的網路安全漏洞,以及審查重要資源的存取權。
- Access Approval 會要求 Google 管理員必須先獲得客戶的明確核准,然後才能存取資料。這項服務會傳送電子郵件和/或 Cloud Pub/Sub 訊息給客戶,讓客戶核准存取要求。客戶可以透過郵件中的資訊使用 GCP Console 或 Access Approval API 來核准存取。
如要瞭解詳情,請前往 https://cloud.google.com/security/
1 僅限 Google Cloud Platform。
在協議效期內,管理員隨時可透過 Google Workspace 或 Google Cloud Platform 服務的功能匯出客戶資料 (詳情請參閱 Google Cloud Platform 說明文件)。數年前,我們便將資料匯出承諾納入資料處理條款中,現在仍將繼續致力於提升各種資料匯出功能,讓您能夠以更輕鬆的方式安全地從 Google Workspace 和 Google Cloud Platform 服務下載客戶資料副本。
您也可以隨時利用 Google Workspace 或 Google Cloud Platform 服務的功能刪除客戶資料。Google 收到您的完整刪除指示 (例如已刪除的電子郵件再也無法從「垃圾桶」中復原) 之後,除非 Google 有保留這些資料的義務,否則我們會在 180 日內刪除所有系統內的相關客戶資料。
資料當事人的權利
透過 Google Workspace 和 Google Cloud Platform 的管理控制台與服務功能,資料控管者即可存取、更正或刪除自己和其使用者輸入 Google 系統的所有資料,並限制這類資料的處理方式。有了這類功能,如果資料當事人依據 GDPR 行使權利並提出相關要求,資料控管者就能履行相應的義務。
資料保護團隊
Google 已為 Google LLC 及其子公司指派資料保護長,由資料保護長負責受 GDPR 規範的資料處理事宜,當中包含 Google Ireland Limited 的企業產品。Emil Ochotta 博士現任 Google 資料保護長,常駐於美國加州森尼維爾。
Google 已為企業產品指派專責團隊,由他們在必要時負責處理與資料保護有關的客戶問題。相關協議中已提供這些團隊的聯絡方式。客戶的管理員在登入管理員帳戶之後,即可透過 https://support.google.com/a/contact/googlecloud_dpr 與 Google Workspace 的雲端資料保護團隊聯絡,以及/或是直接透過適用協議中列舉的方式通知 Google。如要與 Google Cloud Platform 的團隊聯絡,請前往 https://support.google.com/cloud/contact/dpo。
事件通知
多年前,Google 便已在 Google Workspace 和 Google Cloud Platform 的合約中載明事件通知的相關承諾。我們會確實遵守現行協議中的資料事件條款,只要有任何事件與您的客戶資料相關,我們會立即通知您。
GDPR 提供多種機制,可協助推動歐盟境外的個人資料移轉活動。在個人資料移轉至第三方國家/地區時,這些機制可用於確認防護等級是否足夠,或者是否已採用適當的保護措施;
而是否有足夠的防護等級則可由適足性決策 (例如支援日本《個人資訊保護法案》(APPI) 和《瑞士資料保護法》(Swiss Data Protection Act) 的適足性決策) 來加以確認。
如需在歐盟地區境外將個人資料轉移至適足性決策未涵蓋的第三國家/地區,根據 GDPR 的規定,我們已在資料處理協議中載明承諾,會確實維持可協助推動歐盟境外個人資料移轉的機制。我們於 2017 年獲得歐洲資料保護主管機關的認可,確認我們的合約條款範本符合規定,Google Workspace 和 Google Cloud Platform 合約中的承諾也完全符合相關規範,可合法地將個人資料從歐盟境內移轉至未提供適足性保護的第三國家/地區。
客戶和監管機關都會要求我們聘請獨立單位來審查安全性、隱私權和法規遵循控管機制。為此,Google Workspace 與 Google Cloud Platform 都會定期接受多家獨立第三方機構的稽核。
ISO/IEC 27001 (資訊安全性管理)
ISO/IEC 27001 是獲得國際廣泛認可的獨立安全標準。針對構成所有服務通用之共用基礎架構的系統、應用程式、人員、技術、處理程序和資料中心,以及各種 Google Workspace 和 Google Cloud Platform 產品,Google 均已獲得 ISO/IEC 27001 認證。您可以透過法規遵循報告管理員存取這些認證。
ISO/IEC 27017 (雲端服務安全性)
ISO/IEC 27017 是從 ISO/IEC 27002 衍生而來的資訊安全控管做法國際標準,專為雲端服務而制定。Google 已獲得相關認證,確認 Google Workspace 和 Google Cloud Platform 均符合 ISO/IEC 27017 的規定。您可以透過法規遵循報告管理員存取這些認證。
ISO/IEC 27018 (雲端服務隱私權)
ISO/IEC 27018 是一項國際做法標準,專用於保護公用雲端服務中的個人識別資訊 (PII)。Google 已獲得相關認證,確認 Google Workspace 和 Google Cloud Platform 均符合 ISO/IEC 27018 的規定。您可以透過法規遵循報告管理員存取這些認證。
ISO/IEC 27701 (隱私權資訊管理)
ISO/IEC 27701 是以收集和處理個人識別資訊 (PII) 為衡量項目的全球隱私權標準。這項標準擴編 ISO/IEC 27001 和 ISO/IEC 27002 的規定,以便納入資料隱私權。我們已獲得值得信賴的 ISO/IEC 27701 PII 處理者認證,確認 Google Workspace 和 Google Cloud Platform 均符合相關規定。您可以透過法規遵循報告管理員存取這些認證。
SSAE18/ISAE 3402 (SOC 2/3)
美國會計師協會 (American Institute of Certified Public Accountants,簡稱 AICPA) 制定了 SOC (服務機構控管) 2 與 SOC 3 稽核架構,當中載明「信賴原則」的定義,以及安全性、可用性、處理完整性和機密性的標準。Google 提供 Google Workspace 和 Google Cloud Platform 的 SOC 2 及 SOC 3 報告。您可以透過法規遵循報告管理員存取這些認證。
客戶肩負的責任
身為客戶,您應該負起哪些責任?
Google Workspace1 與 Google Cloud Platform 的客戶通常扮演資料控管者的角色,負責管理他們在使用 Google Cloud 服務時提供給 Google 的所有個人內容。資料控管者可以決定個人資料的使用目的與處理方式。Google Cloud 則時常扮演資料處理者的角色。因此,資料控管者在使用 Google Workspace 或 Google Cloud Platform 時,資料處理者 (即 Google Cloud) 就會代替他們處理個人資料。
什麼是資料控管者?
資料控管者與資料處理者負責採取適當的技術和機構措施,以確保並證明所有資料處理程序皆符合 GDPR 的規定;他們的附加義務與多項原則息息相關,例如合法性、公平性、透明度、目的限制、資料最小化、準確性,以及履行資料當事人的資料相關權利。
您可以定期查看與資料保護有關的國家或主管機關網站,並參閱國際隱私權專家協會 (International Association of Privacy Professionals,簡稱 IAPP) 等資料隱私權機構的出版品,藉此瞭解您在 GDPR 規定下的責任。我們也會持續更新本 GDPR 頁面和 GDPR 資源中心,為您提供相關的新聞與最新動態。
本網站旨在協助客戶充分瞭解 Google Cloud 如何因應 GDPR。網站中的內容不構成任何法律建議,因此如需適用於貴機構特定規定的指引,建議您諮詢律師。
您可以從哪裡著手?
舉例來說,如果您是位於歐洲經濟區或英國境內的 Google Cloud 客戶,或負責處理歐洲經濟區或英國資料當事人的相關資料,則應該在貴機構的資料保護法規遵循策略中納入 GDPR。請參考以下的重點提示:
- 熟悉 GDPR 的條款內容。
- 為您經手的個人資料建立一份最新的清單,並利用 Google 提供的某些工具來識別及分類資料。
- 仔細檢視您目前的控管措施、政策與處理程序,並確認這些項目是否符合 GDPR 對於管理及保護資料的規定,再據此擬定相關計畫,以補強不足之處。
- 在制定法規遵循管理框架時,思考如何善用 Google Cloud 現有的資料保護功能,並從查閱 Google Workspace 或 Google Cloud Platform 的第三方稽核與認證資訊著手。
- 詳閱並視需要接受修訂後的資料處理條款。請按照這篇說明文章所述的程序選擇接受《Google Workspace 資料處理修訂條款》,以及按照這篇說明文章所述的程序選擇接受《GCP 資料處理與安全性條款》。
常見問題
- GDPR 是什麼?
- 一般資料保護規則這項隱私權法規已於 2018 年 5 月 25 日生效,並取代了 1995 年 10 月 24 日制定的資料保護綱領 (95/46/EC)。
- GDPR 是否要求將個人資料儲存於歐盟境內?
- 否。如同資料保護綱領 (95/46/EC),GDPR 規範了將個人資料移轉至歐盟境外國家/地區的特定條件。只要利用合約條款範本等機制,您就能確實遵守這些條件。
- GDPR 規範如何反映在您的各項條款中?
- 多年來,Google Cloud 已在資料處理條款中清楚載明我們對客戶隱私權和安全性的承諾,並已根據 GDPR 逐步修訂相關條款,其中特別反映了 GDPR 第 28 條的內容 (資料控管者在使用資料處理者時的相關規定)。
- GDPR 是否賦予客戶稽核 Google Cloud 的權利?
- 根據 GDPR 的規定,在資料控管者與資料處理者簽訂的合約中,資料處理者必須賦予資料控管者相關的稽核權利。為保障必須遵守 GDPR 規範的客戶,我們也在新版資料處理協議中納入了稽核權。
- 在遵循 GDPR 規定方面,第三方的 ISO/IEC 27001、ISO/IEC 27017、ISO/IEC 27018 和 ISO/IEC 27701 認證,以及 SOC 2/3 報告扮演了什麼角色?
- 客戶可以利用我們的第三方 ISO/IEC 認證與 SOC 2/3 稽核報告來進行風險評估,並判斷自己是否已採取適當的技術與機構措施。我們所獲得的 ISO/IEC 27701 認證可進一步釐清隱私權相關角色和責任,協助遵循 GDPR 等隱私權規範。
- 現在 Privacy Shield (隱私護盾) 已失效,如果繼續使用 Google Cloud 處理歐盟個人資料,是否符合 GDPR 的規定?
- 儘管 Google 會繼續審查歐盟法院 (CJEU) C-311/18 一案的影響,但仍將採取適當步驟,確保持續為歐盟公民提供高度隱私保護服務。
- Google Cloud 會為客戶提供標準契約條款或合約條款範本 (MCC),並且在 Google 未提供任何替代轉移解決方案的情況下自動推定為適用。
- 無論資料位於何處,Google 都會將妥善保護資料視為首要之務。我們已通過 ISO/IEC 27001、ISO/IEC 27018 和 ISO/IEC 27017 等多項公認的國際標準認證。 您可前往法規遵循資源中心取得完整的 Google 法規遵循服務清單。
- Google 還提供哪些 GDPR 相關資訊和資源?
- 請前往 Google 的企業與資料網站和 GDPR 資源中心