法規遵循與隱私

什麼是 Google Cloud 的法規遵循與隱私保護？

法規遵循與隱私保護在 Google Cloud 中，是一套認證、法規證明、控制平台與產品功能的組合，讓客戶能向稽核員、主管機關及董事會證明——在 Google Cloud 上處理的資料符合其產業與所在地區的法律和標準。對於 Cloud Digital Leader（CDL）考試，這個章節並非關於合規的密碼學細節（那屬於資料加密與保護的範疇）；而是關於業務層面的問題：「我們如何向主管機關證明我們的工作負載合規，Google Cloud 實際上幫我們承擔了哪些責任，又有哪些仍由我們自己負責？」

合規是企業遷移到 Google Cloud 最重要的理由之一。獨立取得並維護 SOC 2 Type II、ISO 27001、ISO 27017、ISO 27018、PCI DSS、HIPAA、FedRAMP High 和 CSA STAR 等認證，對任何嘗試自行運作資料中心的組織而言，都是耗時數年、耗資數百萬美元的工程。Google Cloud 已在其實體基礎架構、Hypervisor 層及受管服務上投入並取得這些認證。當客戶在 Google Cloud 上建置工作負載時，該工作負載便繼承了底層的合規基礎——前提是客戶必須正確設定並管理自己負責的那些層次。這就是共同責任模型中的繼承側。

隱私保護則位在認證的上一層。歐盟的通用資料保護規則（GDPR）、巴西的 Lei Geral de Proteção de Dados（LGPD）、加州的 CCPA/CPRA、中國的網路安全法（CSL）與個人資訊保護法（PIPL），以及澳洲的隱私法（Privacy Act）等隱私法規，不僅規範資料是否加密，還規範資料的實體存放地點、哪個司法管轄權可以傳票調取、保留多久，以及資料當事人擁有哪些刪除或匯出個人資料的權利。CDL 考試測驗您是否理解資料駐留地與資料主權的差異，以及哪些 Google Cloud 功能分別對應這兩者。

為什麼合規在雲端至關重要

合規並非文書工作；它是決定一家公司能否合法在市場上運營的關鍵。無法證明 GDPR 合規的歐洲金融科技公司，就無法向歐盟居民開立帳戶。無法與雲端供應商簽署業務夥伴協議（BAA） 的美國醫院，就無法合法地在那裡儲存受保護的健康資訊（PHI）。未通過 PCI DSS 稽核的支付處理業者，就無法處理刷卡交易。在許多產業中，合規就是營業執照。

不合規的商業代價

除了失去營業執照，財務罰款也極為嚴苛。GDPR 的罰款最高可達全球年營收的 4% 或2,000 萬歐元，以較高者為準。HIPAA 對「蓄意疏忽」的罰款，每年每個違規類別超過190 萬美元。PCI DSS 不合規可導致卡組織罰款，並喪失商戶收單資格。CDL 考生需要認識到，合規是董事會層級的關切，而非後台的核取方塊。

雲端有幫助的地方（以及沒有的地方）

雲端有所幫助，因為供應商已稽核並認證了客戶應用程式以下的各層——實體安全、硬體、Hypervisor、網路、預設加密、身分識別基礎架構。雲端無法幫助的情況是：客戶自己設定錯誤。即便 Google Cloud 本身具備 HIPAA 資格，一個設定錯誤而將 PHI 暴露在公共網際網路的 Cloud Storage 儲存桶，仍然是一次 HIPAA 外洩。CDL 考試很喜歡測驗這個區別。

Google Cloud 的合規基礎

Google Cloud 在業界維護著最大規模的合規認證與第三方證明組合之一，涵蓋全球性、區域性、產業專屬及政府法規。

全球標準

• ISO/IEC 27001 — 國際資訊安全管理系統（ISMS）標準。
• ISO/IEC 27017 — 建立在 ISO 27001 之上的雲端專屬安全控制措施。
• ISO/IEC 27018 — 公有雲中個人可識別資訊（PII）的保護。
• ISO/IEC 27701 — 隱私資訊管理系統延伸標準。
• SOC 1、SOC 2、SOC 3 — 美國會計師協會（AICPA）稽核報告，涵蓋財務報告控制（SOC 1）與安全性、可用性、處理完整性、機密性和隱私（SOC 2/3）。
• CSA STAR — 雲端安全聯盟的安全、信任、保證與風險（STAR）計畫。

區域與國家法規

• GDPR（歐盟）— Google Cloud 提供標準合約條款（SCC）、資料處理附件，以及歐盟區域儲存，以支援 GDPR 合規。
• LGPD（巴西）、PIPEDA（加拿大）、PIPL（中國）、PDPA（新加坡、泰國、馬來西亞）、APP（澳洲）— Google Cloud 針對各法規公開發布對應說明。
• IRAP（澳洲政府資訊安全認可評估員計畫），達到 Protected 等級。
• C5（德國雲端運算合規標準目錄）。
• MTCS Tier 3（新加坡）。

產業專屬法規

• HIPAA / HITECH — 適用於美國醫療。Google 簽署一份業務夥伴協議（BAA），涵蓋一份特定的「HIPAA 合資格產品」清單。
• PCI DSS Level 1 — Google Cloud 已認證為處理持卡人資料的第一級服務供應商。
• FedRAMP Moderate 與 FedRAMP High — 適用於美國聯邦機構。
• DoD 影響等級（IL2、IL4、IL5） — 透過 Assured Workloads 服務美國國防部工作負載。
• CJIS — 美國執法機構的刑事司法資訊服務。
• FFIEC、SOX、GLBA — 美國金融服務業。
• NHS DSPT（英國國民健保署）、HDS（法國健康資料託管認證）。

Compliance Reports Manager

Compliance Reports Manager 是 Google Cloud Console 內的自助服務入口，客戶可以在此下載最新的稽核報告——ISO 認證書、SOC 2/3 報告、PCI DSS 合規證明（AoC）、HIPAA 對應文件等——無需提交支援工單。稽核員喜愛它，因為可省去來回索取證明的程序；客戶喜愛它，因為在稽核時能立即取得最新證明文件。對於 CDL 情境中「合規團隊如何取得雲端供應商最新的 SOC 2 報告？」這類問題，答案就是 Compliance Reports Manager。

資料駐留地與資料主權

這是 CDL 考試合規與隱私章節中最常被測驗的概念性區別，即便是技術從業人員也常常混淆這兩個術語。

資料駐留地 — 資料的實體存放位置

資料駐留地是實體地理問題：資料實際儲存在哪個國家、區域或資料中心？Google Cloud 讓客戶透過為每個儲存資源選擇區域（例如荷蘭的 europe-west4、台灣的 asia-east1、愛荷華州的 us-central1）來確定資料駐留地。多區域儲存桶將駐留地限定在某個大陸而非特定資料中心，而單區域資源則保證資料絕不離開該區域的實體範圍。

當法規規定「我國公民的個人資料必須儲存在境內」時，駐留地就至關重要。德國、俄羅斯、中國、印度及其他數個國家，對特定資料類別有明確的駐留地要求。在 Google Cloud 中設定駐留地通常只需在建立資源時選擇正確的區域，並透過組織政策限制條件（如 constraints/gcp.resourceLocations）來防止意外在核准區域之外建立資源，以獲得更強的保障。

資料主權 — 哪個國家的法律管轄該資料

資料主權是司法管轄權問題：哪個國家的法律可用來強制揭露、要求存取或對資料提起訴訟？即使資料實體上儲存在法蘭克福，若雲端供應商是一家總部在美國的公司，美國的 CLOUD Act 原則上可以強制供應商將資料交給美國執法機關。因此，主權取決於供應商的企業註冊地、能夠存取資料的人員，以及供應商與客戶之間的法律協議。

Google Cloud 透過數種機制回應主權疑慮：區域性的 **Sovereign Cloud（主權雲）**合作夥伴關係（例如，在德國與 T-Systems 合作的「Sovereign Cloud by T-Systems」、在法國與 Thales/S3NS 合作的 Bleu 方案、在義大利與 Telecom Italia / TIM 合作的方案）、Assured Workloads 的控制措施（限制只有區域內的 Google 員工可存取工作負載），以及 Access Transparency 日誌（記錄每次 Google 員工接觸客戶資料的紀錄）。

為何 GDPR 同時需要兩者

GDPR 是說明單靠駐留地不夠的典型案例。GDPR 第 44 條限制將個人資料傳輸至缺乏充分資料保護的「第三國」。歐盟法院的 Schrems II 裁決於 2020 年廢除了歐美隱私盾，使歐盟資料流向美國供應商更加困難。2023 年的歐美資料隱私框架部分恢復了這些資料流動，但在銀行、醫療和政府等高度受管產業的企業客戶，日益要求同時滿足駐留在歐盟以及由歐盟控制實體管轄。Google Cloud 的回應是推出 **Sovereign Cloud（主權雲）**產品線，搭配具備 EU Regions and Support 控制套件的 Assured Workloads。

Assured Workloads：受管工作負載的控制平台

Assured Workloads 是 Google Cloud 的產品，將法規設定的繁重工作從客戶端卸除。客戶無需為每個專案手動設定區域限制、IAM 限制、人員存取控制、CMEK 要求及核准產品清單，只需在建立資料夾時選擇合規法規，Assured Workloads 便會自動強制執行對應的控制措施。

支援的合規法規

Assured Workloads 目前支援以下控制套件：

• FedRAMP Moderate 與 FedRAMP High（美國聯邦民政機構）。
• DoD IL2、IL4、IL5（美國國防部影響等級）。
• CJIS（美國刑事司法資訊服務）。
• HIPAA（美國醫療）。
• HITRUST（醫療鄰近產業框架）。
• ITAR（美國國際武器交通管制）— 涉及軍事的敏感資料。
• EU Regions and Support with Sovereignty Controls — 適用於 GDPR 及歐盟主權疑慮。
• IL4（英國政府）、加拿大 Protected B、以色列區域、沙烏地阿拉伯區域及沙烏地阿拉伯資料邊界。

Assured Workloads 強制執行的內容

一旦資料夾加入 Assured Workloads 法規，Google Cloud 會自動：

• 限制資源位置至該法規核准的區域。
• 限制人員存取，確保只有符合所需國籍、背景調查及實體位置條件的 Google 員工才能支援工作負載（例如 ITAR 要求僅限美國人）。
• 限制產品選擇至合規核准的 Google Cloud 服務清單。
• 強制啟用搭配 HSM 金鑰的 CMEK，以強化加密基礎。
• 自動啟用 Access Transparency 與 Access Approval。
• 將所有合規相關設定變更記錄至 Cloud Audit Logs。

對於 CDL 考試，當情境提到受管的美國聯邦工作負載、國防承包商、希望取得一站式 HIPAA 環境的醫療供應商，或需要主權控制的歐盟企業，而問題是「最快速建立合規環境的方法是什麼？」時，Assured Workloads 就是答案。

白話文解釋

合規、駐留地和主權是一個正式術語容易遮蔽簡單概念的領域。以下三個類比分別呈現 Google Cloud 合規與隱私故事的不同面向。

類比 1 — 食品安全認證（HACCP、SGS 與繼承的信任）

想像您在繁忙的夜市開了一家台式牛肉麵館。在顧客信任您的食物之前，您的廚房需要通過 HACCP（危害分析重要管制點）查驗、地方衛生局的衛生稽核，以及最好能在店面玻璃窗上貼上 SGS 第三方認證貼紙。這些稽核會檢查冰箱溫度、食材來源、員工洗手紀錄、換油頻率和事件應變程序。

現在假設您不自己經營廚房，而是租用一間已取得認證的中央廚房，該廚房已通過 HACCP、衛生局稽核和 SGS 認證。那間中央廚房就是 Google Cloud 的基礎架構。您入駐的第一天，您的業務就繼承了認證的儲存溫度、認證的通風設備、認證的衛生程序，以及廚房多年來保存的稽核日誌。您無需重新認證冷凍庫——那是中央廚房的責任。SOC 2、ISO 27001、PCI DSS、HIPAA 和 FedRAMP 的運作方式完全相同：Google Cloud 已認證了廚房，您的工作負載繼承了這個基礎。

但——這是關鍵所在——認證只涵蓋廚房，而非您的料理。若您使用來自未認證供應商的食材、不當處理麵條，或沒有洗手，中央廚房的 HACCP 章戳救不了您。衛生局仍會對您開罰，SGS 稽核員仍會記下問題，顧客仍然會生病。以 Google Cloud 的角度來說，這就是為什麼即便 Google Cloud 本身具備 HIPAA 資格，一個設定錯誤的公開 Cloud Storage 儲存桶仍然可能構成 HIPAA 外洩。平台認證給了您一個好的起點；剩下的責任在您。Compliance Reports Manager 就像中央廚房向稽核員展示的那面裱框認證牆——您可以將那些認證書複製到自己的稽核夾裡，但仍需提供餐廳本身的營業紀錄。

類比 2 — 醫院消防與衛生稽核（多重重疊稽核）

一間現代醫院不只通過一項稽核；它同時通過一疊相互重疊的稽核。消防大隊檢查逃生出口、灑水系統、煙霧偵測器和疏散計畫。公共衛生稽查員檢查院內感染率、滅菌日誌和醫療廢棄物處置。聯合委員會（或當地對等機構）認可醫院的臨床實務。醫師執照委員會核照醫師。每項稽核來自不同的主管機關，涵蓋不同的控制措施，也在不同的周期內更新。

Google Cloud 的合規組合呈現相同的圖像，只是對象是數位基礎架構。SOC 2 是消防大隊——檢查您如何處理可用性、機密性和安全事件。ISO 27001 是公共衛生稽查員——一種更廣泛的管理系統稽核，詢問「您有政策嗎、您在遵守嗎、您在持續改善嗎？」PCI DSS 是心臟科認證——只在您處理付款卡時才適用，但要求極為具體。HIPAA 是病歷稽核。FedRAMP 是接受政府病患的安全許可。GDPR 是病患隱私監察員，若您將錯誤的病歷洩露給錯誤的人，可對您開出最高 4% 年營收的罰款。

醫院類比也說明了為何 Compliance Reports Manager 如此寶貴。想像每次病患詢問「這間醫院安全嗎？」，接待員都必須向市政府提出申請、等待三週，然後郵寄一份紙本副本。相對地，大廳有一個展示消防大隊、衛生局和聯合委員會目前有效認證的玻璃展示櫃，一目了然。這就是 Compliance Reports Manager 的功用：ISO 27001 認證書、SOC 2 Type II 報告、PCI DSS 合規證明、HIPAA 對應文件——全部可按需下載、隨時更新。稽核員和客戶可自助取得，安全團隊也從此不必充當文件接待員。

類比 3 — 機場 TSA 安全查驗（Assured Workloads 與人員限制）

想像桃園國際機場的安全查驗站。大多數區域使用標準安全流程——行李 X 光掃描、走過金屬探測門、標準安檢人員。但某些航班（外交、軍事、國家元首）要通過一個獨立的強化查驗站，規則更嚴格：只有具備特定許可等級的人員才能在該通道執勤，只有特定設備可以通過，每位旅客和行李都記錄在特殊艙單中，且該查驗站只在機場的指定安全區域運作。標準查驗站是 Google Cloud 的一般用途區域；強化查驗站是 Assured Workloads。

當美國國防部的工作負載需要在 Google Cloud 上以**影響等級 4（IL4）**運行時，客戶不需要手動設定數十項個別控制措施。他們只需建立一個帶有 IL4 控制套件的 Assured Workloads 資料夾。Google Cloud 隨後會自動限制：

• 資源可建立的區域（僅限國防部核准的區域）。
• 可使用的產品（僅限 IL4 核准服務的精選清單）。
• 可排除疑難解答或支援工作負載的人員（僅限通過所需背景調查的美國人）。
• 加密基礎（搭配更強控制措施的 HSM 金鑰 CMEK）。
• 稽核日誌（Access Transparency 與 Access Approval 為強制要求）。

這就是機場的特別許可通道：一切預先設定、人員預先審查、設備預先核准，客戶無需自行接線串聯。同樣的模式適用於 FedRAMP High、CJIS、HIPAA、ITAR 和 EU 主權套件。對於 CDL 考試，重點是：當情境說「我們需要快速部署受管工作負載，而不需手動設定每個防護機制」時，答案是 Assured Workloads 搭配對應的控制套件。

隱私控制措施：從偵測到防止外洩

GDPR、HIPAA 和 PCI DSS 等合規框架都有一個共同要求：防止受管個人資料遭到未授權揭露。Google Cloud 捆綁了數個服務，共同構成縱深防禦的隱私防護堆疊。

Cloud DLP（Sensitive Data Protection）— 偵測並遮蔽 PII

Cloud DLP（正式更名為 Sensitive Data Protection）會掃描 BigQuery 和 Cloud Storage 中靜態資料，以及透過 Pub/Sub 或 API 串流傳輸中的資料。它能識別超過 150 種內建資訊類型（infoType）——信用卡號碼（含 Luhn 驗證）、台灣身分證字號、美國社會安全號碼、歐盟 IBAN 帳號、HIPAA 病歷號碼、ICD-10 代碼、電子郵件地址等。一旦偵測到，資料可在流入分析儀表板、日誌聚合器或合作夥伴匯出前，進行遮蔽、遮罩、代換，或保留格式加密。對於 CDL 考試，每當情境提到「PII 洩漏至日誌」或「BigQuery 中有信用卡號碼」時，Cloud DLP 就是標準答案。

VPC Service Controls — 防止跨邊界外洩

VPC Service Controls 在敏感的 Google Cloud 服務周圍劃定抗外洩邊界——BigQuery、Cloud Storage、Spanner、Cloud KMS 及其他數十個服務——使得即便是擁有有效 IAM 權限的已驗證使用者，也無法將資料複製到未核准的目的地。許多合規法規（HIPAA 的應變規則、GDPR 的傳輸限制、PCI DSS 的網路分隔）明確要求 IAM 以外的邊界控制措施；VPC Service Controls 就是答案。

客戶管理加密金鑰（CMEK）— 加密控制的可稽核證明

CMEK 讓客戶將金鑰加密金鑰持有在 Cloud KMS 中，而非讓 Google 產生。從合規角度而言，CMEK 提供了可稽核的證明——是客戶而非供應商控制加密的信任根。大多數受管工作負載需要 CMEK，而 Assured Workloads 在許多控制套件中強制要求搭配 HSM 金鑰的 CMEK。完整的加密說明請參閱資料加密與保護。

Access Transparency — Google 員工存取的稽核日誌

Access Transparency 會在每次 Google Cloud 支援工程師或維運員工存取您的資料時，產生近即時的稽核日誌——包括存取理由、資源、動作及員工身分。對於 HIPAA、FedRAMP 和 EU 主權等法規，這就是稽核員要求的證明：「讓我看看每次供應商人員接觸我們資料的日誌。」Access Approval（相關功能）更進一步，要求您在存取發生之前明確核准，提供即時的閘道控制。

產業專屬合規

醫療：HIPAA、BAA 與 Cloud Healthcare API

對於美國醫療工作負載，Google Cloud 簽署一份業務夥伴協議（BAA），涵蓋特定的HIPAA 合資格服務清單。根據 HIPAA，代表涵蓋實體處理受保護健康資訊（PHI）的任何廠商，都必須簽署 BAA。客戶必須先執行 BAA 並將工作負載限制在 HIPAA 合資格產品，才能合法在 Google Cloud 上儲存 PHI。

Cloud Healthcare API 專為醫療資料格式設計——HL7v2 訊息、FHIR 資源、DICOM 醫療影像。它正規化傳入的臨床資料，使用醫療專屬的資訊類型進行去識別化處理，並以符合 HIPAA 的方式儲存。Cloud Healthcare Data Engine 在上層疊加分析能力，讓醫療機構在維持合規的同時，針對去識別化資料進行族群健康分析和臨床研究。

金融服務：Sovereign Cloud 合作夥伴與產業框架

金融服務工作負載通常需要同時符合多項法規：持卡人資料適用 PCI DSS、財務報告控制適用 SOX、美國消費者金融隱私適用 GLBA、監理機關期望適用 FFIEC 指引，再加上區域性法規如新加坡的 MAS TRM、澳洲的 APRA CPS 234，或歐洲的 EBA 雲端指引。Google Cloud 的 **Sovereign Cloud（主權雲）**合作夥伴關係，能回應法規額外要求國家控管運營人員的司法管轄區——法國的 Bleu、德國的 T-Systems Sovereign Cloud，以及義大利的 TIM 運營基礎架構，都是重要範例。

政府與國防

政府工作負載使用搭配對應控制套件的 Assured Workloads——民政機構適用 FedRAMP Moderate，較高敏感度工作負載適用 FedRAMP High，國防適用 DoD IL2/IL4/IL5，刑事司法適用 CJIS，武器相關資料適用 ITAR。每個套件都會自動限制人員存取（通常限美國人）、可用區域、產品選擇及稽核基礎。

合規與隱私如何連結其他 CDL 章節

合規是 CDL 多個領域之間的連結紐帶——安全、身分識別、資料與共同責任。

• 共同責任 — 合規繼承只有在客戶正確理解哪些控制由 Google 運作、哪些由客戶運作的情況下才有效。請參閱共同責任模型，了解 IaaS、PaaS 和 SaaS 各層的責任界線。
• 身分識別與存取管理 — 大多數合規法規要求最小權限存取、職責分離、多因素驗證和存取審查。請參閱身分識別與存取管理（IAM），了解 IAM 主體、角色和條件如何落實這些要求。
• 資料加密與保護 — 幾乎每個法規（HIPAA、PCI DSS、GDPR、ISO 27001）都要求靜態與傳輸中加密；請參閱資料加密與保護，了解 CMEK、Cloud DLP、VPC Service Controls 和機密運算。
• Cloud Audit Logs — 稽核員會要求提供證明：誰存取了什麼、何時存取、從哪裡存取。Cloud Audit Logs（管理員活動、資料存取、系統事件、政策拒絕）加上 Access Transparency，共同構成證據軌跡。

常見的合規與隱私錯誤

對於 CDL 考試，當情境出現以下反模式時，請加以識別。

1. 將 Google Cloud 的認證視為客戶自身的認證。 繼承僅涵蓋基礎架構層；您仍需自己的應用程式層稽核。
2. 混淆資料駐留地與資料主權。 駐留地是地理概念，主權是法律概念。將儲存桶固定在 europe-west4 並不能自動解決 GDPR 的主權問題。
3. 未簽署 BAA 就在 Google Cloud 上儲存 PHI。 即便有強加密，這仍是 HIPAA 違規。BAA 必須先執行，工作負載也必須限制在 HIPAA 合資格服務上。
4. 在匯出資料前跳過 Cloud DLP 掃描。 PII 可能悄悄出現在自由文字欄位、客服備註、日誌行和分析輸出中。在匯出至合作夥伴或分析倉儲前，務必進行掃描。
5. 為了「以防萬一」而授予寬泛的 IAM 角色。 合規框架通常懲罰過度授權。請使用最小權限的預定義或自訂角色。
6. 忘記 Compliance Reports Manager 的存在。 客戶浪費時間提交支援工單索取 SOC 2 報告，而這些報告原本可以在 30 秒內自行下載。

常見問題

Google Cloud 取得 SOC 2 認證，是否表示我的應用程式也符合 SOC 2？

否。Google Cloud 的 SOC 2 Type II 認證涵蓋 Google 運營的基礎架構——實體資料中心、網路、Hypervisor、預設加密、身分識別基礎架構，以及 Google 運行的受管服務。它不涵蓋您的應用程式使用者驗證、存取控制邏輯、變更管理程序、事件應變手冊或稽核日誌。若要為自己的應用程式申請 SOC 2 合規，您必須委託 SOC 2 稽核員、設計並記錄自己的控制措施，並準備自己的證明文件。Google Cloud 的 SOC 2 報告是您的稽核員在平台層面可參照的子服務組織報告，但應用程式層稽核仍是您的責任。

資料駐留地與資料主權有什麼差異？

資料駐留地是地理概念：資料實體上儲存在哪個國家或區域？您可透過為每個資源選擇區域，並以組織政策（如 constraints/gcp.resourceLocations）強制執行，在 Google Cloud 中控制這一點。資料主權是法律概念：哪個國家的法律可用來強制揭露該資料？主權取決於供應商的企業註冊地、能夠存取資料的人員，以及任何跨境法律框架（如美國 CLOUD Act）。工作負載的駐留地可固定在歐盟，但若供應商是美國公司，資料仍可能受到美國法律程序的管轄。若要解決主權問題，通常需要搭配 EU 主權控制套件的 Assured Workloads、Sovereign Cloud 合作夥伴（T-Systems、Bleu、TIM），或搭配 EU 限定人員限制的 Access Transparency。

我何時需要 Assured Workloads，而非標準 Google Cloud？

當您的工作負載屬於有規範性要求的特定受管法規時，使用 Assured Workloads——FedRAMP Moderate 或 High、DoD IL2/IL4/IL5、CJIS、HIPAA、ITAR、EU 主權套件，或其中一個區域套件（英國、加拿大、以色列、沙烏地阿拉伯）。Assured Workloads 會自動強制執行區域限制、人員存取控制、產品允許清單、搭配 HSM 金鑰的 CMEK，以及 Access Transparency。若您的工作負載是一般用途，沒有特定受管法規要求，具備手動設定 IAM、CMEK 和 VPC Service Controls 的標準 Google Cloud 專案通常已足夠。CDL 情境中 Assured Workloads 的觸發詞彙是「我們需要一個無需手動設定即符合 X 法規的一站式環境」。

我如何向稽核員證明 Google Cloud 符合 ISO 27001？

使用 Google Cloud Console 內的 Compliance Reports Manager。它讓您下載 Google Cloud 目前有效的 ISO 27001 認證書、SOC 2/3 報告、PCI DSS 合規證明、HIPAA 對應文件、FedRAMP 授權書等——無需提交支援工單。將下載的文件提供給您的稽核員，作為子服務組織控制措施的證明。您的稽核員隨後將評估，建立在已認證平台之上的應用程式層控制措施，是否達到相關標準。Compliance Reports Manager 會隨著新的稽核完成而持續更新，確保您在稽核時拉取的是最新版本。

什麼是 Access Transparency，為什麼主管機關重視它？

Access Transparency 是每次 Google Cloud 人員（支援工程師、維運人員）對您資料採取行動的近即時稽核日誌——記錄存取的內容、時間、原因，以及執行動作的員工身分。主管機關重視它，因為大多數合規法規（HIPAA、FedRAMP、GDPR 主權套件）要求客戶能夠證明供應商存取受管資料是受監控、有正當理由且可審查的。沒有 Access Transparency，客戶只能相信供應商聲稱員工沒有窺探資料；有了 Access Transparency，客戶就有了證據軌跡。Access Approval 更進一步，讓客戶在存取發生之前明確核准，提供即時的閘道控制。兩者在多個 Assured Workloads 控制套件中都是強制要求。

簽署 HIPAA BAA 是否足以在 Google Cloud 上儲存受保護健康資訊？

否——簽署**業務夥伴協議（BAA）**是必要但不充分的條件。簽署後，您還必須：

1. 將工作負載限制在HIPAA 合資格產品清單（並非每個 Google Cloud 服務都在範圍內）。
2. 正確設定那些工作負載——若安全審查有要求，請啟用 CMEK 靜態加密，啟用稽核日誌，將 IAM 鎖定為最小權限，並考慮為 PHI 邊界使用 VPC Service Controls。
3. 對 HL7v2、FHIR 和 DICOM 工作負載使用 Cloud Healthcare API，以獲得專為目的設計的合規行為。
4. 執行應用程式層的 HIPAA 控制措施——人員培訓、外洩通知程序、業務連續性計畫，以及您自己的稽核日誌。

即使有已簽署的 BAA，包含 PHI 的設定錯誤公開 Cloud Storage 儲存桶仍然是一次 HIPAA 外洩。BAA 是法律基礎；技術設定是客戶的責任。

總結：合規作為營業執照

對於 Cloud Digital Leader 考試，法規遵循與隱私保護是將法規壓力轉化為 Google Cloud 產品選擇的章節。記住三個層次：全球標準（ISO 27001、ISO 27017、ISO 27018、SOC 2、CSA STAR）、區域法規（GDPR、LGPD、PIPL、IRAP）和產業專屬框架（HIPAA、PCI DSS、FedRAMP、CJIS、ITAR）。記住 Google Cloud 認證的是基礎架構層，客戶繼承這個基礎——但應用程式層始終是客戶的責任。

記住駐留地與主權的區別：駐留地是地理概念，主權是法律概念，同時解決兩者通常需要 Assured Workloads 或 **Sovereign Cloud（主權雲）**合作夥伴關係。記住隱私控制堆疊：Cloud DLP / Sensitive Data Protection 偵測 PII、VPC Service Controls 防止外洩、CMEK 證明加密控制，以及 Access Transparency 見證供應商存取。記住 Compliance Reports Manager 是下載稽核證明的自助服務入口。

能將業務需求（「我們需要在符合類 FDA 法規監管的情況下，導入歐盟醫療客戶」）對應到正確的 Google Cloud 功能組合——Cloud Healthcare API 加上已簽署的 BAA、加上 EU 主權套件的 Assured Workloads、加上 VPC Service Controls、加上 CMEK、加上 Access Transparency——的 CDL 人才，正是現代企業在合規與業務成長發生衝突時，需要坐在決策桌旁的策略顧問。合規不是雲端採用的稅負；在 Google Cloud 中，它是一套功能集，使用得當，可以成為競爭優勢。