根据 GDPR 规定 AWS 的作用

根据 GDPR，AWS 同时承担数据处理者和数据控制者的角色。

第 32 条规定，控制者和处理者必须“…实施适当的技术和组织措施”，并考虑“现有技术和实施的成本与处理的性质、范围、背景和目的，以及处理给自然人的权利和自由带来的不同可能性和严重程度的风险”。GDPR 针对可能需要采取的安全措施提供了具体建议，包括：

• 对个人数据进行假名和加密处理。

• 能够确保处理系统和服务的持续机密性、完整性、可用性和恢复能力。

• 在发生物理或技术事故时，能够及时恢复个人数据的可用性和访问权限。

• 制定一个流程来定期测试、评估和评价技术和组织措施的有效性，以确保处理的安全性。

AWS 作为数据处理者

当客户和 AWS 合作伙伴网络（APN）合作伙伴使用 AWS 服务来处理其内容中的个人数据时，AWS 充当数据处理者。客户和 APN 合作伙伴可以使用 AWS 服务中提供的控制措施（包括安全配置控制措施）来处理个人数据。在这些情况下，客户或 APN 合作伙伴可能充当数据控制者或数据处理者，而 AWS 则充当数据处理者或子处理者。AWS 提供了一项符合 GDPR 的数据处理附录 (DPA)，其中包含 AWS 作为数据处理者的承诺。

AWS 作为数据控制者

当 AWS 收集个人数据并确定处理此类个人数据的目的和方式时，此时它充当数据控制者。例如，AWS 处理 AWS 账户的账户信息，用于账户注册、管理、服务访问或联系信息，以通过客户支持工作提供帮助时，其充当数据控制者。