-
描述
2019 年,日本倡导“基于信任的数据自由流动 (DFFT)”,并率先推动自由数据分发。 日本采取积极措施建设数字社会。 例如,日本修订了《个人信息保护法》,并不断努力制定相关法律法规以确保信息安全。 阿里云在所有服务的开发中都纳入了隐私要求,以保护客户和最终用户的隐私。 通过这种方式,阿里云可提供安全、可靠、先进的技术。
-
一般监管环境
安全:
日本于 2014 年颁布了 BAC,这标志着日本全国范围的网络安全措施全面生效。 日本内阁设立了网络安全战略总部。国家网络安全事件准备和战略中心 (NISC) 负责协调网络安全战略的实施。 NISC 发布了《政府实体信息安全措施通用标准》(2018 年版),该标准被广泛用作政府机构采取措施确保信息安全的准则。 2021 年版正在制定中。
此外,日本政府在 2018 年 6 月规定了政府信息系统的默认云原则。 因此,政府在 2020 年 10 月制定并实施了“信息系统安全管理和评估计划”(ISMAP)。 ISMAP 是满足安全要求的云服务提供商注册系统。
与安全相关的主要法律:
《网络安全基本法》
隐私:
日本《个人信息保护法》最早于 2005 年制定,之后分别于 2015 年、2017 年、2020 年进行了三次修改。日本制定了一项与社保号码或个人编号相关的法律,称为《个人编号法》。 此外,还提供了详细的指南来处理个人编号。 处理要求特别严格。 日本经济产业省和总务省于 2020 年出版了隐私治理推进指南。 经济产业省于 2021 年 1 月发布了 JIS X 9251:2021,这是 ISO 29134:2017 的 JIS 翻译版。 ISO 29134:2017 用作隐私影响评估的全球标准。
监督局:
个人信息保护委员会(《个人信息保护法》和《个人编号法》的适用范围)
* 经济产业省和总务省正在制定在这些框架之外利用个人数据的相关准则。
与隐私保护相关的主要法律:
《个人信息保护法》,这是一项与个人信息保护相关的法律
《个人编号法》,这是一项与在管理程序中使用编号来识别特定个人相关的法律
《特定电子邮件传输管理法》,这是一项与正确发送特定电子邮件相关的法律
隐私相关准则:
《个人信息保护法》相关准则
《个人编号法》相关准则
《数字化转型 (DX) 时代企业隐私治理指导手册》1.0 版
个人信息跨境传输要求:向其他国家/地区的第三方传输个人信息会受到限制。 具体而言,必须满足以下要求之一:个人信息保护委员会在《个人信息保护法施行细则》第 11(2) 条中规定,个人信息的接收人必须根据处理个人信息的国际框架进行认证。 根据《个人信息保护法准则》(向位于外国的第三方提供个人信息)第 4-3 条的规定,如果在外国向第三方传输数据,则该第三方必须获得 APEC CBPR 系统的认证。
阿里云于 2021 年 4 月获得 CPBR 认证。 个人信息可以安全可靠地从日本传输到阿里云。 -
金融服务部门
概述:
和许多其他国家一样,日本也制定了专门针对金融服务的法规。 FISC制定了《金融机构安全准则和手册》,作为金融机构的自愿性标准。 《金融机构安全准则和手册》也称为《FISC 安全准则和手册》。 许多金融机构将这些标准作为系统架构和操作准则。 第 9 版《安全准则和手册》是最新版本,于 2020 年 3 月出版。 此外,《专家委员会关于金融机构云计算使用情况的报告》(试行版)于 2021 年 5 月出版。
金融机构也制定了专门的法规来保护个人信息。 个人信息保护委员会制定并颁布了《金融部门准则》和《安全管理措施实践准则》。
阿里云提供电子身份认证 (eKYC) API 服务,以验证数字身份。该服务符合《防止犯罪所得转移法执行令》第 6 条第 (1) 款第 (e) 项的要求。阿里云于 2018 年根据《防止犯罪所得转移法执行令》的公开征求意见进行了自我评估,以指导客户完成该项服务的实施。
监督局:日本金融厅
个人信息保护委员会(《个人信息保护法》和《个人编号法》的适用范围)
专题报道
- 阿里云获得的认证示例 -
数据保护设计
新加坡个人数据保护委员会和香港个人资料私隐专员公署于 2019 联合发布了《ICT 系统设计数据保护指南》。 为响应本指南,阿里云根据本指南的原则开发其所有服务。
本指南提出了以下系统设计要求:
1. 采取积极措施防止出现问题。
2. 设置默认设置,为数据提供最佳保护。
3. 确保端到端安全性。
4. 尽量减少所使用的数据。
5. 以用户为导向。
6. 确保信息透明度。
7. 将风险降至最低。
关于获得 APEC CBPR 认证的通知
APEC CBPR 系统是一项国际机制,用于证明企业经营者是否遵守《APEC 隐私框架》。 日本于 2014 年获得该系统的认证。 阿里云于 2021 年 4 月在其全球总部所在地新加坡获得认证。 然后,日本境内的个人信息可以在未经个人同意的情况下传输到阿里云。 有关 APEC CBPR 的更多信息,请点击此处。
阿里云致力于为全球客户提供优质服务。 阿里云积极遵守行业标准和最佳实践以及阿里云客户所在国家/地区的法律要求。
关于获得 APEC PRP 认证的通知
APEC 处理者隐私识别 (APEC PRP) 系统是一个国际认证系统,适用于代表数据控制者处理个人信息以根据《APEC 隐私框架》跨境传输个人信息的数据处理者。 阿里云于 2021 年 4 月在其全球总部所在地新加坡获得认证。 个人信息的跨境传输已成为全球争论的主要话题。 阿里云严格遵守 APEC PRP,并建立了一个允许用户更顺畅、更自由地跨境传输数据的系统。 有关 APEC PRP 的更多信息,请点击此处。
阿里云致力于为全球客户提供优质服务。 阿里云积极遵守行业标准和最佳实践以及阿里云客户所在国家/地区的法律要求。
M3 公司
使用 AI 成像进行冠状病毒诊断
达摩院是阿里云的先进技术研究中心。 它开发了一种用于冠状病毒诊断的 AI 算法。
数据隐私常见问题解答
作为云服务提供商,阿里云致力于通过
优化安全措施和问责制度来解决数据隐私问题。
1. 阿里云是否可以访问企业的数据?
- 根据阿里云与其用户之间建立的责任共担模式,用户对自己的数据拥有完全控制权,阿里云无法在未经用户许可的情况下访问用户数据。
2. 阿里云是否曾向政府或执法机构披露我们的数据?
- 客户决定是否允许访问、使用、传输和披露其数据。 如果政府机构要访问客户的数据,阿里云要求政府机构在访问这些数据之前获得客户的许可。
3. 阿里云是一家中国公司吗?
- 阿里云在新加坡注册并且其全球总部设在新加坡。 阿里云依照新加坡法律运营。
4. 位于日本的数据中心是否曾收到其他国家的数据披露命令?
- 阿里云在全球30个国家和89个可用区运营数据中心。每个数据中心都按照部署所在国家和地区的法律进行运营。
如果部署数据中心的国家或地区有数据披露立法,或者该国家或地区的政府机构被授权发布约束命令,数据中心受法律或约束性命令的管理。在这种情况下,阿里云将向客户发送有关索赔的通知,并允许客户在法律允许的范围内采取必要的补救措施。
在为您的阿里云服务选择可用区时,请谨慎操作。
5. 阿里云收集哪些个人信息?
- 作为云服务提供商,阿里云正在拓展其面向企业的服务。 阿里云处理的大部分个人信息是客户的帐户注册信息,这些信息是阿里云为客户提供服务所必需的。 阿里云从政府收到的服务请求很少。
博客
发布与合规性相关的文章。
阿里云在 NIST 评估和 NIST CSF 中获得了高分
在 NIST SP 800-53 和 NIST CSF 合规性评估中,阿里云获得了毕马威会计师事务所 (KPMG) 的高分。
点击此处了解详情为什么阿里云符合欧盟云 COC
阿里云是符合欧盟云 COC 的云服务。 欧盟云 COC 是欧盟监管机构批准的唯一行为准则,符合该准则的公司将履行 GDPR 第 28 条规定的处理者义务。
点击此处了解详情阿里云和数据法律:中国的《个人信息保护法》
阿里云深知安全和合规的重要性以及跨国公司进入中国市场或扩展在华业务时所面临的安全和合规挑战。 在本文中,我们将向您介绍中国的《个人信息保护法》。
点击此处了解详情阿里云和数据法律:《网络安全法》合规性
阿里云了解安全和合规的重要性以及国际公司进入中国市场或扩展在华业务时所面临的安全和合规挑战。 在本文中,我们将讨论网络安全法中最重要的要求之一:多级信息安全保护 (MLPS 2.0)。
点击此处了解详情阿里巴巴云和数据法律:阿里巴巴 + Salesforce 解决方案
阿里云深知安全和合规的重要性以及国际公司进入中国市场或扩展在华业务时所面临的安全和合规挑战。 本文介绍了一项阿里云服务,该服务可降低在中国使用 Salesforce 的合规性风险,目前我们收到了大量关于这类风险的咨询。
点击此处了解详情隐私设计与阿里云
如今,越来越多的人对数据隐私表示担忧。 阿里云在设计和提供服务时,密切关注如何保护客户的数据安全和数据隐私。 实现隐私保护的一种基本方法是采用隐私设计。 这种方法允许业务流程、技术或组织将隐私作为默认设置嵌入。
点击此处了解详情