《一般数据保护条例》 (GDPR) 是一部于 2018 年 5 月 25 日生效的隐私保护法规,取代了 1995 年 10 月 24 日发布的《欧盟数据保护指令》(95/46/EC)。GDPR 对设立于欧洲或服务欧洲用户的企业和组织提出了具体的要求。它:
Google Cloud 大力支持重视和提升客户个人数据安全性和隐私性的计划,同时希望您作为 Google Cloud 客户根据 GDPR 要求放心使用我们的服务。如果您与 Google Cloud 合作,我们将通过以下方式为您提供支持,帮助您满足 GDPR 的合规性要求:
数据控制方必须使用具有合适的技术和组织措施的数据处理方。对 Google Cloud 执行 GDPR 评估时,请考虑以下方面:
数据保护专业知识
Google 聘请了许多安全与隐私保护方面的专业人士,其中包括信息、应用和网络安全领域的全球知名专家。这一专家团队负责维护我们的防御体系、制订安全审查流程、构建更强大的安全基础架构,以及准确地实施 Google 的安全政策。
Google 还聘请了众多律师、监管合规专家和公共政策专家组成团队,负责监督 Google Cloud 在隐私权与安全性方面是否合规。
这些团队与客户、行业利益相关者及监督机构配合工作,确保 Google Workspace 和 Google Cloud 服务能帮助客户满足其合规需求。
数据处理协议
我们针对 Google Workspace 和 Google Cloud 制定的数据处理协议清晰阐述了我们向客户做出的隐私保护承诺。这些年来,我们一直在根据客户和监管机构的反馈改进这些条款。
我们专门更新了这些条款,以在其中体现 GDPR 的要求,帮助我们的客户对使用 Google Cloud 服务时的合规性执行评估,从而为 GDPR 做好准备。详细了解 Google Workspace 数据处理修正条款、Google Workspace 欧盟标准合同条款、Google Cloud 数据处理和安全条款以及 Google Cloud 欧盟标准合同条款 (SCC)。
我们的客户可以按照 Google Workspace 数据处理修正条款和 Google Cloud 数据处理和安全条款的接受流程来同意并接受这些更新后的数据处理条款。
根据指示处理数据
按照我们根据 GDPR 更新后的数据处理协议,我们仅会根据客户的指示来处理客户及其用户在我们的系统中输入的所有数据。
人员保密承诺
所有 Google 员工都需要签署保密协议,并完成机密性与隐私权方面的强制性培训以及行为准则培训。Google 的行为准则对员工在信息保护方面所具有的责任以及应采取的行动作了具体的说明。
Google 集团公司自行完成提供 Google Workspace 和 Google Cloud ���务所需的大部分数据处理活动。但是,我们也聘请了一些第三方供应商来协助支持这些服务。每家供应商都经过了严格的筛选流程,确保其具备必要的专业技术知识,能够提供足够的安全与隐私保护水平。
我们列出了为 Google Workspace 和 Google Cloud 服务提供支持的 Google 集团子处理方以及参与这些服务的第三方子处理方的相关信息。请在此处查看 Google Workspace 子处理方的详细信息,在此处查看 Google Cloud 子处理方的详细信息。我们还在数据处理协议中包含了与分包商有关的承诺。
按照 GDPR 的规定,数据控制方和处理方应实施相应的技术和组织措施来确保相应级别的安全性,以抵御风险。
Google 运营的全球基础架构可在整个信息处理生命周期内提供一流的安全保障。该基础架构有助于:安全地部署服务;安全地存储数据并保障最终用户的隐私安全;安全地在服务之间进行通信;通过互联网与客户进行安全而私密的通信;让管理员能安全地进行操作。Google Workspace 和 Google Cloud 在这种基础设施上运行。
从确保数据中心的物理安全,到保护硬件和软件的安全,再到采取相关流程来实现运营安全;我们的基础架构安全性设计是分层级实现的,且各层级之间相辅相成。这种分层保护机制为我们开展各项工作提供了稳固的安全基础。有关基础设施安全的详细讨论,请参阅《Google 基础设施安全设计概览白皮书》。
可用性、完整性和恢复能力
Google 设计的平台组件具有高度的冗余性。Google 的数据中心分布在不同的地理位置,这样可以最大限度地降低自然灾害和局部地区停电等地区性中断对全球性产品的影响。如果发生硬件、软件或网络故障,服务会自动而及时地在不同的数据中心之间切换,从而能够避免服务中断,保障持续运营。具有高度冗余性的基础架构可帮助客户避免数据损失。
设备测试和安全
利用条形码和资产标签,Google 可跟踪数据中心内设备的状态和位置,从采购到安装到退役再到销毁。如果某个组件在其生命周期中的任何时间点均未通过性能测试,则会从库存中删除该组件并停用。Google 硬盘使用全盘加�� (FDE) 和驱动器锁定等技术保护存储中的数据(静态数据)。
灾难恢复测试
Google 每年都会执行灾难恢复测试,这为基础架构和应用团队提供了一个协同测试平台,供其测试通信计划、故障切换场景、运营转移及其他应急响应措施。参加灾难恢复演练的所有团队都需要制定测试方案和事后分析报告,以记录结果以及从测试中学到的经验教训。
加密
Google 通过加密来保护传输中的数据和静态数据。对于在区域之间传输的 Google Workspace 数据,Google 采用 HTTPS 进行保护,这种数据保护方法面向所有用户默认启用。Google Workspace 和 Google Cloud 服务使用一种或多种加密机制对以静态方式存储的客户内容进行加密,客户不需要执行任何操作。如需详细了解我们如何加密数据,请参阅以下资源:Workspace 加密白皮书和 Google Cloud 中的传输加密和静态加密。
访问权限控制
Google 员工的访问权限与访问级别是根据工作职能与角色来划分的。Google 会按照“最小权限”和“有必要知道”原则,为特定职责的人员分配相应的访问权限。如果员工申请额外的访问权限,需遵循正式的流程,包括提出申请以及获得数据或系统所有者、管理员或其他高管的批准,Google 的安全政策对此有具体的规定。存储 Google Cloud 系统和基础架构组件的数据中心在实际访问时会受到限制,而且我们还采取了以下安全措施:全天候现场安全人员、安保人员、访问徽章、生物识别机制、实体锁以及用于监控数据中心内外的摄像头。
事件管理
Google 拥有专门的安全团队,负责保障客户数据的安全和隐私,并在全球范围内全天候提供安全管理。该团队的成员负责接收突发事件相关通知,全天候帮助解决紧急事件。突发事件响应政策已落实到位,重大突发事件的解决流程也记录在文档中。这些突发事件的信息不仅有助于防止未来再发生突发事件,还可用作信息安全培训的示例。Google 的突发事件管理流程和响应工作流程已记录在文档中。作为 ISO/IEC 27017、ISO/IEC 27018、ISO/IEC 27001、PCI-DSS1、SOC 2 和 FedRAMP 计划的一部分,Google 会对突发事件管理流程进行定期测试,以便为我们的客户和监管机构提供安全性、隐私保护和合规性控制方面的独立验证。如需详细了解我们的突发事件响应流程,请参阅我们的《数据突发事件响应流程》白皮书。
漏洞管理
我们结合使用商业化工具和内部专门构建的工具来扫描软件漏洞,并通过自动和手动渗透测试、质量保证流程、软件安全审查和外部审核来确保软件的安全性。我们还依靠更广泛的安全研究社区帮助我们发现 Google Workspace、Google Cloud 及其他 Google 产品中存在的漏洞,并高度重视他们提供的帮助。我们的漏洞奖励计划鼓励研究人员向我们报告可能会让客户数据面临风险的设计和实现方面的问题。
产品安全性:Google Workspace
Google Workspace 客户可以利用产品功能和配置来进一步防范个人数据遭到未经授权或者非法的处理:
Google Workspace 核心服务(包括 Gmail、Google 管理控制台、Google 日历、Google 云端硬盘、Google 文档、Google Keep、Google 协作平台、Jamboard、Google Hangouts、Google Chat、Google Meet、Cloud Search 和 Google 群组)提供可配置的设置,帮助确保根据您的独特要求保护、使用和访问贵组织的数据。 两步验证要求用户在登录时提供额外的身份证明,这有助于降低未经授权的访问风险,而强制要求使用安全密钥则要求使用实体密钥,为用户账号的安全提供了更多一重保障。高级保护计划是我们最强大的保护方案,旨在保护用户免受定向网络攻击。可疑登录活动监控可通过强大的机器学习能力来检测可疑的登录活动。增强的电子邮件安全性要求使用 S/MIME(安全/多用途网际邮件扩充协议)对电子邮件进行签名和加密。加密:Google Workspace 客户数据存储于磁盘或备份介质中、在网络中传输或在数据中心之间传输时,我们会对它们进行加密。数据泄露防护 (DLP) 可保护 Gmail 和 Google 云端硬盘中的敏感信息免遭未经授权的共享。钓鱼式攻击和恶意软件高级防范措施可防范来自不受信任发件人的可疑附件和脚本,以及恶意链接和图片。借助云端硬盘中的信息权限管理,您可以从高级共享菜单中停用文件的下载、打印和复制功能,还可以设置文件访问权限的失效日期。端点管理可持续监控系统,并在检测到可疑设备活动时提醒您。您可以在提醒中心集中查看各项 Google Workspace 服务的重要通知、提醒和操作。基于这些提醒的分析信息可以帮助管理员评估所属单位的安全风险问题。安全中心汇集了安全分析数据、最佳实践建议以及整合的修复措施,可保护贵组织的数据、设备和用户。它可让您通过调查工具查看文件对外共享状况的分析信息、贵组织的用户面临的垃圾邮件和恶意软件威胁,以及整合的修复措施。 情境感知访问权限可以根据用户的身份和请求的情境对 Google Workspace 应用实施精细的访问权限控制。Google 保险柜允许您保留、归档、搜索和导出您单位的电子邮件、Google 云端硬盘文件内容以及保存的聊天记录,以满足电子取证和法规遵从方面的需求。 使用应用访问权限控制功能,即可管理其他应用通过 OAuth 2.0 对 Google Workspace 服务进行的访问。组织可以控制哪些第三方应用和内部应用能够访问 Google Workspace 数据,以及查找已在使用的任何第三方应用的更多详细信息。 借助数据区域,您可以使用数据区域政策将政策涵盖的数据存储在特定地理位置。通过 Access Transparency,您可以查看 Google 员工在访问用户内容时所执行操作的日志。
如需了解详情,请访问 https://workspace.google.com/security
产品安全:Google Cloud
Google Cloud 客户可以利用产品功能和配置来进一步防范个人数据遭到未经授权或者非法的处理:
Google Cloud 上默认应用区域间传输加密,以便在传输前对请求加密,并使用传输层安全协议 (TLS) 保护原始数据。将数据传输到 Google Cloud 进行存储后,默认情况下,Google Cloud 会应用静态加密。两步验证要求用户在登录时提供额外的身份证明,这有助于降低未经授权的访问风险,而强制要求使用安全密钥则要求使用实体密钥,为用户账号的安全提供了更多一重保障。借助 Cloud Identity and Access Management (Cloud IAM),您可以为 Google Cloud 资源创建和管理精细化的访问及修改权限。Data Loss Prevention API 是 Sensitive Data Protection(一系列旨在帮助您发现、划分和保护最敏感的数据的服务)的一部分,可帮助您识别和监控特殊类别的个人数据的处理情况,以便实施适当的控制。Cloud Logging 和 Cloud Monitoring 将日志记录、监控、提醒和异常检测系统集成到了 Google Cloud 中。Cloud Identity-Aware Proxy (Cloud IAP) 可控制对 Google Cloud 上运行的云端应用的访问。Cloud Security Scanner 可扫描并检测出 Google App Engine 应用中的常见漏洞。VPC Service Controls 可为用于存储高度敏感数据的服务提供边界保护,从而实现服务级数据分段。利用 Cloud KMS 和 HSM,您可以在获得 FIPS 140-2 3 级认证的硬件安全模块 (HSM) 集群中管理加密密钥及执行加密操作。通过 KMS,客户可以根据需要使用 Google 管理的加密密钥或客户管理的加密密钥,以满足合规性要求。 Cloud Security Command Center 可让客户从一个集中式信息中心查看并监控他们的云资产库、扫描存储系统中是否存在敏感数据、检测常见网络漏洞,并审核对他们的关键资源的访问权限。Access Approval 要求 Google 管理员先��得客户的明确批准,然后 Google 才能访问数据。通过向客户发送电子邮件和/或 Cloud Pub/Sub 消息,其中包含相应客户可以批准的访问请求,来实现 Access Approval。基于消息中的信息,客户可以使用 Google Cloud 控制台或 Access Approval API 批准访问。
如需了解详情,请访问 https://cloud.google.com/security/
1 仅适用于 Google Cloud。
在协议有效期内,管理员随时可以使用 Google Workspace 或 Google Cloud 服务的功能(参阅 Google Cloud 文档了解更多信息)导出客户数据。多年以来,我们的数据处理条款中都包含了数据导出承诺,我们将继续努力改进数据导出功能,让您能够更轻松地从 Google Workspace 和 Google Cloud 服务中下载客户数据副本。
您也可以随时通过 Google Workspace 或 Google Cloud 服务的功能删除客户数据。在收到您的彻底删除指示后(例如,当您已删除的电子邮件无法再从“已删除邮件”中恢复时),Google 会在最长 180 天的期限内删除其所有系统中的相关客户数据,除非需要履行保留义务。
数据主体的权利
数据控制方可以使用 Google Workspace 和 Google Cloud 管理控制台与服务功能来访问、纠正或删除他们及其用户输入到我们系统中的任何数据,或者对这类数据的处理加以限制。此功能可帮助数据控制方履行义务,即对数据主体根据 GDPR 行使权利时提出的请求做出响应。
数据保护团队
Google 已为 Google LLC 及其子公司指定了 DPO,以涵盖受 GDPR 约束的数据处理,包括作为我们云产品和服务的一部分。Kristie Chon Flynn 是 Google 的数据保护官。Kristie Chon Flynn 目前在美国森尼韦尔办公。
Google Cloud 产品拥有专门的团队来解答客户在数据保护方面提出的问题。如有需要,可以与这些团队联系。您可以查看相关协议,获取这些团队的联系方式。对于 Google Workspace,可以通过以下方式与 Cloud 数据保护团队联系:由客户的管理员访问 https://support.google.com/a/contact/googlecloud_dpr(管理员需要登录其管理员账号);以及/或者由客户按照适用协议中的说明直接向 Google 发出通知。对于 Google Cloud,请访问 https://support.google.com/cloud/contact/dpo 来与该团队联系。
突发事件通知
多年来,Google Workspace 和 Google Cloud 一直提供与突发事件通知有关的合同承诺。依照我们现行协议中的数据突发事件条款,如果发生涉及您的客户数据的突发事件,我们仍会立即通知您。
为规范欧盟国家以外的个人数据传输,GDPR 规定了若干种机制。建立这些机制是为了确保相关单位在向第三方国家/地区传输个人数据时应用充分的保护级别并实施相应的安全保障措施。
而保护的充分级别则可通过充分性决定(如支持日本《个人信息保护法》(APPI) 和瑞士《数据保护法》的决定)来确定。
当相关单位将个人数据传输到欧盟国家以外且未获得充分性认定的第三方国家/地区时,根据我们现行的数据处理协议,我们承诺按照 GDPR 的要求,维护一种可用来规范此类传输的机制。 2017 年,欧盟数据保护机构确认了我们的标准合同条款符合规定,证实我们的 Google Workspace 和 Google Cloud 合同承诺符合相关要求,能够合法地规范从欧盟到未提供充分保护的第三方国家/地区的个人数据传输。
我们的客户以及监管机构均希望我们的安全、隐私及合规控制措施通过独立验证。Google Workspace 和 Google Cloud 会定期接受一些独立的第三方审计机构的审查,以提供这方面的保证。
ISO/IEC 27001(信息安全管理)
ISO/IEC 27001 是一套已在国际上获得广泛认可的独立安全标准。构成 Google 的共享通用基础架构的系统、应用、人员、技术、流程和数据中心,以及 Google Workspace 和 Google Cloud 产品均已获得 ISO/IEC 27001 认证。您可以通过合规报告管理器访问这些证书。
ISO/IEC 27017(云端安全性)
ISO/IEC 27017 是专门针对云服务的信息安全控制国际标准,以 ISO/IEC 27002 为基础。Google 的 Google Workspace 和 Google Cloud 已获得 ISO/IEC 27017 合规认证。您可以通过合规报告管理器访问这些证书。
ISO/IEC 27018(云端隐私权)
ISO/IEC 27018 是专为保护公有云服务中的个人身份信息 (PII) 而制定的国际标准。Google 的 Google Workspace 和 Google Cloud 已获得 ISO/IEC 27018 合规认证。您可以通过合规报告管理器访问这些证书。
ISO/IEC 27701(隐私权信息管理)
ISO/IEC 27701 是专用于个人身份信息 (PII) 收集和处理的全球性隐私权标准。此标准扩展了 ISO/IEC 27001 和 ISO/IEC 27002 的要求,以包括数据隐私权。我们的 Google Workspace 和 Google Cloud 均作为 PII 处理方获得 ISO/IEC 27701 认证。您可以通过合规报告管理器访问这些证书。
SSAE18/ISAE 3402 (SOC 2/3)
美国注册会计师协会 (AICPA) 的 SOC 2(服务组织控制)和 SOC 3 审核框架定义了《信托服务原则和标准》,旨在确保安全性、可用性、处理完整性和机密性。Google 已获得针对 Google Workspace 和 Google Cloud 的 SOC 2 与 SOC 3 报告。您可以通过合规报告管理器访问这些证书。
GDPR 的第 28 条向代表数据控制方处理数据的数据处理方提出了相关要求。 请查看我们的条款是如何体现这些要求的。
Google Cloud - 云端数据处理附录 (CDPA)
定义 | 第 2.1 条
数据安全 | 第 7.1.2 条
数据安全 | 第 7.3.1 (b) 条
数据传输 | 第 10.1 条
子处理方 | 第 11 条
第三方受益人 | 第 14 条
Google Cloud - 欧盟标准合同条款 (SCC)
SCC(欧盟控制方到处理方) | 附录 II、附录 III
SCC(欧盟处理方到控制方) | 不适用
SCC(欧盟处理方到处理方) | 附录 II、附录 III
SCC(欧盟处理方到处理方,Google 出口方) | 附录 II、附录 III
SCC(英国控制方到处理方) | 条款 1、条款 3.3、条款 4 (g) 和 (i)、条款 5 (i) 和 (j)、条款 6、条款 8、条款 11、条款 12、附录 1、附录 2.5
相关内容:Google Cloud 子处理方
Google Workspace - 云端数据处理附录 (CDPA)
定义 | 第 2.1 条
数据安全 | 第 7.1.2 条
数据安全 | 第 7.3.1 (b) 条
数据传输 | 第 10.1 条
子处理方 | 第 11 条
第三方受益人 | 第 14 条
安全措施 | 附录 2.1-2.5
Google Workspace - 欧盟标准合同条款 (SCC)
SCC(欧盟控制方到处理方) | 附录 II、附录 III
SCC(欧盟处理方到控制方) | 不适用
SCC(欧盟处理方到处理方) | 附录 II、附录 III
SCC(欧盟处理方到处理方,Google 出口方) | 附录 II、附录 III
SCC(英国控制方到处理方) | 条款 1、条款 3.3、条款 4 (g) 和 (i)、条款 5 (i) 和 (j)、条款 6、条款 8、条款 11、条款 12、附录 1、附录 2.5
Google Cloud - Google Cloud 服务条款
机密信息 | 第 7 条
Google Cloud - 云端数据处理附录 (CDPA)
数据安全 | 第 7.1.2 条
数据安全 | 第 7.5.3 条
员工安全 | 附录 2.4
Google Cloud - 欧盟标准合同条款 (SCC)
数据进口方的义务 | 条款 5
Google Workspace - Google Workspace 协议
机密信息 | 第 6 条
Google Workspace - 云端数据处理附录 (CDPA)
数据安全 | 第 7.1.2 条
数据安全 | 第 7.5.3 条
员工安全 | 附录 2.4
Google Workspace - 欧盟标准合同条款 (SCC)
Google Cloud - 云端数据处理附录 (CDPA)
数据安全 | 第 7.4 条
相关内容:Google Cloud 合规性
Google Workspace - 云端数据处理附录 (CDPA)
数据安全 | 第 7.4 条
相关内容:Google Cloud 合规性
有关 Google Cloud 和 GDPR 的常见问题解答
不要求。与《欧盟数据保护指令》(95/46/EC) 一样,GDPR 为欧盟国家以外的个人数据传输规定了一些条件。相关单位可以通过标准合同条款等机制来满足这些条件。
多年来,Google Cloud 提供的数据处理条款一直都清晰阐述了我们向客户提供的隐私和安全保护承诺,我们也一直在改进这些条款,以在其中体现 GDPR 的要求。GDPR 的第 28 条规定围绕数据控制方对数据处理方的使用提出了相关要求,而我们根据 GDPR 更新后的条款则明确体现了这些要求。
根据 GDPR,数据处理方必须在其与数据控制方的合同中,将审核权授予数据控制方。我们在更新后的数据处理协议中纳入了对受 GDPR 约束的客户有利的审核权。
客户可以使用我们的第三方 ISO/IEC 认证和 SOC 2/3 审核报告来开展风险评估,并确定合适的技术和组织措施是否落实到位。我们的 ISO/IEC 27701 认证在与隐私权相关的角色和责任方面提供了更清晰的说明,这可以帮助客户遵守包括 GDPR 在内的隐私权法规。
为规范欧盟国家以外的个人数据传输,GDPR 规定了若干种机制。建立这些机制是为了确保相关单位在向第三方国家/地区传输个人数据时应用充分的保护级别并实施相应的安全保障措施。
而保护的充分级别则可通过充分性决定(如支持日本《个人信息保护法》(APPI) 和瑞士《数据保护法》的决定)来确定。
当相关单位将个人数据传输到欧盟国家以外且未获得充分性认定的第三方国家/地区时,根据我们现行的数据处理协议,我们承诺按照 GDPR 的要求,维护一种可用来规范此类传输的机制。 2017 年,欧盟数据保护机构确认了我们的标准合同条款符合规定,证实我们的 Google Workspace 和 Google Cloud 合同承诺符合相关要求,能够合法地规范从欧盟到未提供充分保护的第三方国家/地区的个人数据传输。
虽然 Google 会继续了解欧盟法院 (CJEU) C-311/18 案件的影响,但有一点是不变的:Google 会采取适当的措施,确保我们为欧盟公民提供较高级别的隐私保护。
Google Cloud 会为客户提供标准合同条款 (SCC),在 Google 没有提供任何备用传输解决方案的情况下,客户应当自觉遵守这些条款。无论数据位于何处,保护数据始终是 Google 的一项首要任务。如需了解详情,请参阅《Google Cloud 国际数据传输保护措施》白皮书。
我们已获得 ISO/IEC 27001、ISO/IEC 27018 和 ISO/IEC 27017 ���国际公认标准的认证。 如需查看 Google 符合的法规和标准的完整列表,请访问合规性资源中心。
请参阅我们的符合的法规和标准(欧洲)和 Cloud 隐私权资源中心。
免责声明:本文包含的内容在 2021 年 8 月前是正确无误的,代表截至本文撰写之时的状况。由于我们会不断完善对客户的保护,因此 Google 的安全政策和制度可能会随着时间的推移而发生变化。 在提及 Google Workspace 时,也指 Google Workspace 教育版。我们将在未来几个月内面向教育机构和公益组织客户提供 Google Workspace。