https://cloud.google.com/translate/data-usage指出: “我们的服务是全球性的,我们不保证数据不会离开该地区进行处理。”
我们目前正在使用Google Cloud Translation和Data Loss Prevention API开发新产品。有可能以一种不会留下数据的方式限制这些数据,例如欧洲,甚至不进行加工?
我们的管理层担心某些客户可能不接受离开特定区域的数据。
还是大公司普遍接受的跨区域数据处理(不存储)?我看到了使用DLP匿名化例如医疗记录,并且(希望如此)他们已将其评估为可接受的风险。
答案 0 :(得分:1)
如文档所述,API服务是全球分布的,并且Google不保证所有数据都不会离开该区域进行处理。这是设计使然,以满足对大规模可伸缩性和顶级性能的需求。实际上,数据是根据Google的企业级安全标准和方法处理的。例如,Google Cloud默认提供encryption in transit。此外,使用翻译和DLP之类的Google服务,您需要对请求进行身份验证和授权。通过设置Google Cloud Service帐户来完成身份验证。通过使用Google IAM设置API范围和访问策略来完成授权。
但是,请考虑到GDPR并不严格要求数据定位本身。如article 46 - Transfers subject to appropriate safeguards中所述,GDPR允许在欧洲边界之外进行数据处理。
Google Cloud在这方面支持示范合同条款和隐私保护:
在没有根据第45条第3款做出决定的情况下,控制人 或处理器可能会将个人数据转移到第三国或 国际组织,只有在控制者或处理者具有 提供了适当的保障措施,并在可执行的条件下 数据主体权利和针对数据主体的有效法律救济是 可用。
有关Google Cloud数据处理术语的其他信息,可在以下文章中找到:https://cloud.google.com/terms/data-processing-terms
关于GDPR合规性,Google进行了多次更新,以确保GDPR生效后,Google Cloud客户可以放心使用服务,方法如下:
- 遵守我们与GDPR有关的合同 在所有Google Cloud Platform中处理客户的个人数据,以及 G Suite服务。
- 提供可能帮助您的其他安全功能 您可以更好地保护最敏感的个人数据。
- 为您提供文档和资源以帮助您保护隐私 我们的服务评估。
- 随着监管格局的变化继续发展我们的能力。
完整的参考资料可以在以下网址找到:https://cloud.google.com/security/gdpr/
免责声明:评论和观点属于我自己,而不是雇主的观点。