我们致力于遵守适用的数据保护法律

我们一直致力于恪守法规,从而帮助贵企业更轻松地实现法规遵从。我们不仅会鼓励定期审核、维持认证、提供业界标准合同保护,还会提供工具和信息以供您用于增强贵企业的合规性。

审核和认证

您分享的贵企业数据都会受到妥善的保护。我们会主动请第三方根据国际标准(例如 ISO 标准和 SSAE16/ISAE 3402)审核我们的产品对数据安全性的控制措施,以负责任的态度处理贵企业的数据 - 在这一点上,您大可放心。此外,有一家位于美国且具有资质的独立第三方至少每两年会审核一次这些控制措施的有效性。

全部展开 全部收起
  • ISO 27001(信息安全管理)

    ISO 27001 是在国际上最被广泛认可与接受的独立安全标准之一。对于为提供以下产品/服务而采用的系统、应用、人员、技术、流程和数据中心,Google 均已获得 ISO 27001 认证:Google Cloud PlatformG SuiteGoogle Analytics(分析)Google Analytics 360跟踪代码管理器 360优化工具 360归因工具 360受众中心 360数据洞察DFP 广告管理系统AdWords 目标客户匹配DoubleClick 数字营销 和 Android 识别服务(待认证)。

  • ISO 27017(云安全)

    ISO 27017 是一项在 ISO/IEC 27002 的基础上专门针对云服务制定的国际标准,旨在规范信息安全控制方面的做法。

    Google 的 Google Cloud Platform 产品和 G Suite 均已获得 ISO 27017 认证。

  • ISO 27018(云隐私)

    ISO 27018 是一项国际标准,用于规范公共云服务对个人身份信息 (PII) 的保护措施。

    Google 的 Google Cloud Platform 产品和 G Suite 均已获得 ISO 27018 认证。

  • SSAE16/ISAE 3402

    美国注册会计师协会 (AICPA) 的 SOC(服务组织控制)2 和 SOC 3 审核框架定义了《信托服务原则和标准》,旨在确保安全性、可用性、处理完整性和机密性。

    Google 已获得针对 Google Cloud Platform 和 G Suite 的 SOC 2 与 SOC 3 报告。您可以下载我们的 SOC 3 报告。我们也获得了针对 AdWords、AdSense、DoubleClick Campaign Manager、DFP 以及 DoubleClick Ad Exchange 的 SOC 1 类型 2(SOC 1 Type 2)报告 - 客户亦可下载这些报告,但须遵守保密协议。

  • 隐私护盾

    隐私护盾框架提供了一种机制,旨在确保为支持跨大西洋开展贸易而从欧盟和瑞士向美国传输个人数据时符合数据保护要求。我们遵循“欧盟-美国隐私护盾框架”和“瑞士-美国隐私护盾框架”(查看认证)。

  • FedRAMP

    FedRAMP 是美国联邦政府采取的一项计划,该计划提供了一种对云端产品和服务进行安全性评估、授权和持续监控的标准方式。Google 已获得 G Suite 和 Google App 引擎对应的 FedRAMP 运营授权 (ATO)

  • PCI DSS(支付卡行业数据安全标准)

    支付卡行业数据安全标准 (PCI DSS) 是一系列与技术和操作相关的要求,用于规范存储、处理或传输支付卡数据的实体。以下 Google 服务已由一家独立的合格安全评估商审核完毕,均被确定为符合 PCI DSS 的现行规定:Android Pay、Google App 引擎、Google 计算引擎、Google 云端存储、Google Cloud Datastore、Google 云端 SQL、Google BigQuery、Google Cloud Dataproc、Google Cloud Dataflow、Google Container Engine、Google Container Registry、Google Cloud Bigtable。

能够辅助实现并简化数据合规性的资源

对数据保护法律的遵从可能极为复杂。我们会提供实用信息和技术解决方案以及分享最佳做法,以协助使贵企业在任何地点运营时都能更轻松地遵从相关的数据保护法规。

我们会提供技术解决方案来节省您的时间

鉴于您的客户非常重视各自数据的隐私性,因此我们会为您提供有助于节省时间的技术解决方案,以协助贵企业管理同意声明、遮罩 IP 地址以及查找敏感数据。部分解决方案如下:

  • 我们会提供解决方案以帮助根据 GDPR 在 cookiechoices.org 上管理 Cookie 和个性化广告同意声明。
  • 我们会为开发者提供信息和工具以帮助管理 Android 应用内权限。
  • 在 Google Analytics(分析)和 Google Analytics 360 中,我们会提供 IP 遮罩功能,以进一步匿名化处理您所收集的 IP 地址。
  • Google Cloud Platform 和 G Suite 中的数据泄漏防护工具可针对超过 40 种敏感数据类型(例如 PII 和财务数据)执行快速的发现和分类工作。

我们助力促成业界最佳做法,以便所有人都能轻松遵从法规

我们与 European Digital Advertising Alliance(欧洲数字广告联盟)、Network Advertising Initiative(网络广告促进协会)、U.S. Digital Advertising Alliance(美国数字广告联盟)、Digital Advertising Alliance Canada(加拿大数字广告联盟)、Australian Digital Advertising Alliance(澳大利亚数字广告联盟)以及 Trustworthy Accountability Group(美国互动广告局)竭诚合作。我们也积极支持业界倡导的计划,例如 Coalition for Better Ads(优质广告联盟)。

我们提供简便的文档访问途径

Google Cloud Platform 客户可以获取分包商信息,或联系相关人员获取更具体的解答。G Suite 客户可以通过管理控制台查看数据中心位置、分包商信息,以及我们的隐私保护和安全认证。

我们承诺遵守 GDPR

我们正在努力为符合欧盟的《一般数据保护条例》(GDPR) 做好准备。确保用户信息安全是 Google 会优先考虑的首要问题之一。多年来,我们投入了大量时间与欧洲的数据保护机构紧密合作,并在他们的指导下实施了强大的隐私保护机制。我们承诺遵守新法规,并会在整个过程中与合作伙伴通力协作。

全部展开 全部收起
  • 更新后的条款和合同保护措施

    对于由我们担任个人数据处理方的产品,我们会根据需要提供数据处理条款,以反映控制方与处理方之间的关系。由 Google 担任处理方的产品包括:

    • Ads Data Hub
    • Google Ads 目标客户匹配
    • Google Ads 实体店销售(直接上传)
    • Android Enterprise
    • Google Marketing Platform(包括 Display & Video 360、Campaign Manager、Search Ads 360、Google Analytics(分析)、跟踪代码管理器、优化工具、数据洞察、归因工具、Audience Center 和 Google Analytics for Firebase)
    • Google Cloud Platform
    • G Suite
    • 有关我们针对上述广告产品提供的数据处理条款,请访问此处。 要详细了解在这些条款范围内的每款广告产品的个人数据类型,请访问此处。 有关 Google Cloud Platform 和 G Suite 承诺遵守 GDPR 的信息(包括数据处理条款),请访问此处

      此外,对于 Google 和客户各自担任个人数据独立控制方的产品,我们更新了协议或提供了反映相应状态的条款。 这些 Google 产品包括:

      • Google AdMob
      • Google AdSense
      • Google Ads(包括购物广告和酒店广告,但不包括由我们担任个人数据处理方的 Google Ads 功能 - 参见上文)
      • Google Ad Manager
      • Google 顾客评价
      • Google Maps API
      • Waze Audio SDK
      • 有关我们针对上述广告产品提供的控制方-控制方条款,请访问此处。我们还在帮助中心内发布了其他信息,以尽可能解决您的问题:DFP 广告管理系统和 AdXAdSenseAdMob

        对于 Google Cloud Platform 和 G Suite,我们也会提供《欧洲示范合同条款》以确保符合欧盟数据传输要求。我们之前已获得欧盟数据保护机构的共同意见,其中确认了我们的《示范合同条款》符合欧盟委员会发布的《标准合同条款》。

        对于 Google Cloud PlatformG Suite 中的某些产品,我们会提供《业务伙伴协议》以确保符合美国《健康保险流通与责任法案》(HIPAA) 的规定。

        我们更新了欧盟地区用户意见征求政策以符合 GDPR 的相关法律要求。对于全球使用我们的广告和衡量产品的发布商和广告主,则需要先获取欧洲经济区用户的同意,才能在其网站和应用上投放个性化广告和使用 Cookie。因此,如果您是使用 Google 广告服务的发布商或广告主,将需要采取操作来确保用户的偏好设置得到切实遵循,以符合法律要求。

  • 客户核对清单

    我们知道,身为营销者的您需要选择符合规定的产品并以合乎规定的方式使用个人数据。我们致力于遵守 GDPR,并会建议您检查贵组织中的法规遵从计划。您需要考虑以下关键方面:

    • 在数据使用方面,贵组织如何确保用户享有知情权和自主控制权?您是否向用户说明了收集的数据类型以及收集目的?
    • 您是否确信贵组织已根据 GDPR 的规定获得了所有必需且适当的同意声明?在整个广告供应链过程中,您是否获得所有相关同意声明?
    • 贵组织是否拥有适当的系统来记录用户偏好和同意声明?
    • 您如何向监管机构和合作伙伴表明您符合 GDPR 的准则且贵组织是负责任的组织?
  • 强大的保护措施

    我们已为达到 GDPR 的安全性要求做好了准备。我们的服务由先进、强大的技术与组织保护措施以及专门的安全与隐私保护团队提供支持;我们的计划每年都会由第三方审核机构进行审核。

  • 事件响应

    我们将一如既往地遵循与您签订的当前协议及任何更新后的协议中关于数据事件的条款,只要发生任何涉及您客户的数据的事件,我们都会立即通知您。我们将维持先进的威胁检测和规避技术以及严格的全天候事件管理计划,并继续对这些技术和计划进行投资,以协助您利用所有可用信息在第一时间发现并应对安全事件或隐私事件(以及任何在个人数据方面违反 GDPR 规定的事件)。

  • 向用户公开信息

    我们将继续提高透明度,让用户了解我们的广告产品中如何使用数据。Google 会请求用户允许使用其数据以便向他们显示个性化广告,并会通过“为什么显示该广告?”实时地让用户知晓 Google 如何使用他们的数据。我们在 privacy.google.com 和我们的隐私权政策中提供了关于数据使用方式的详细说明。我们也会向用户说明 Google 在“我的帐号”(用户可在其中查看和管理自己的数据、隐私和安全设置)中保存了他们的哪些数据。用户可以前往其广告设置来控制 Google 为实现广告个性化和展示我们的所有广告(包括在 DoubleClick 产品中展示)而使用数据的方式。根据 GDPR 以及我们对赋予用户控制权以让用户管理其隐私的一贯承诺,我们将更新我们的帐号创建体验,以便为用户提供更多选项,让用户可以选择在自己的帐号中保存哪些数据。

  • 国际传输

    我们将持续提供一系列国际数据传输机制,而且我们已获得“欧盟-美国隐私护盾框架”和“瑞士-美国隐私护盾框架”认证。这两种框架是一种法律机制,通过该认证的企业可以将个人数据从欧洲经济区和瑞士传输到美国,前提是相应企业保证提供符合欧盟数据保护法的保护级别。美国商务部于 2017 年 9 月 25 日批准了 Google 的“欧盟-美国隐私护盾”认证年度续签,并于 2017 年 4 月 18 日批准了 Google 的“瑞士-美国隐私护盾”认证。我们还针对某些服务提供欧盟认可的《示范合同条款》。

    此外,我们将根据 GDPR 继续密切关注国际数据传输机制的发展,并致力于根据适用的数据保护法律为数据传输奠定合法基础。

  • 隐私保护做法

    我们已拥有用于在早期阶段将隐私保护纳入产品的流程,而且我们在不断完善相关做法(包括数据保护影响评估),以符合 GDPR 中关于 Privacy by Design(在设计阶段纳入隐私考量)和 Privacy by Default(默认保护隐私)的要求。

    详细了解 Google 如何致力于在所有 G Suite 和 Google Cloud Platform 服务中遵守 GDPR 的规定。

  • 实用链接

  • 更新的广告数据保留政策

    我们正在更新广告数据保留政策,而且我们正在对产品进行更改,以统一保留数据方面的做法。