日韩高清无码免费观看_午夜性爱福利免费专区无码_国产办公室在线视频_芳姐广场舞包你射广场舞_久久黄色视频农村

華為雲數(shù)據(jù)處理附則
Print

華為雲數(shù)據(jù)處理附則

本華為雲數(shù)據(jù)處理附則(「附則」)是《華為雲用戶(hù)協(xié)議》(以下簡(jiǎn)稱(chēng)《協(xié)議》)的組成部分。

 

1.各方的角色

 

1.1客戶(hù)作為個(gè)人信息處理者。如果客戶(hù)是適用的隱私法中的客戶(hù)數(shù)據(jù)的個(gè)人信息處理者,則:

 

1.1.1關(guān)於處理的細(xì)節(jié)詳見(jiàn)第2節(jié)「關(guān)於處理的說(shuō)明」;

 

1.1.2華為雲是適用的隱私法中的客戶(hù)數(shù)據(jù)的受託人;

 

1.1.3每一方都將履行適用的隱私法中的有關(guān)處理客戶(hù)數(shù)據(jù)的義務(wù)。

 

1.2客戶(hù)作為個(gè)人信息受託人。如果客戶(hù)是適用的個(gè)人信息保護(hù)法中的客戶(hù)數(shù)據(jù)的受託人,則除適用第1.1.1–1.1.3節(jié)外,客戶(hù)還:

 

1.2.1應(yīng)確保個(gè)人信息處理者持續(xù)有效的授權(quán)本附則中的(a) 指示;(b) 華為雲作為另一個(gè)個(gè)人信息受託人;以及(c)華為雲可以引入本附則第9節(jié)中的子個(gè)人信息受託人;

 

1.2.2將立即向相關(guān)個(gè)人信息處理者轉(zhuǎn)發(fā)華為雲根據(jù)本附則發(fā)出的或涉及數(shù)據(jù)跨境的任何通知(如適用);

 

1.2.3向相關(guān)個(gè)人信息處理者提供華為雲根據(jù)本附則提供的任何信息。

 

1.3 個(gè)人信息處理者請求。在本附則有效期內(nèi),如果華為雲收到來(lái)自聲稱(chēng)是客戶(hù)數(shù)據(jù)個(gè)人信息處理者的第三方的請求或指示,華為雲將建議該第三方與客戶(hù)聯(lián)繫。華為雲不會(huì)執(zhí)行第三方的請求或指示,除非華為雲得到客戶(hù)的書(shū)面授權(quán)或請求指示。

 

2. 關(guān)於處理的說(shuō)明

 

2.1 處理的對(duì)象。處理的對(duì)象為客戶(hù)數(shù)據(jù)。

2.2 處理的期限。處理的期限由客戶(hù)決定。

2.3 處理的目的。處理的目的是根據(jù)客戶(hù)的指示,向客戶(hù)提供雲服務(wù)。

2.4 處理的性質(zhì)。處理的性質(zhì)是向客戶(hù)提供雲服務(wù)相關(guān)的計(jì)算、存儲(chǔ)、傳輸(shū)、加工、刪除等功能。

2.5 客戶(hù)數(shù)據(jù)的類(lèi)型。客戶(hù)數(shù)據(jù)的類(lèi)型是指您的內(nèi)容中有關(guān)個(gè)人的信息。

2.6 個(gè)人信息主體的類(lèi)別。個(gè)人信息主體的類(lèi)別包括,由客戶(hù)和/或最終用戶(hù)在使用雲服務(wù)過(guò)程中,由雲服務(wù)處理的所有內(nèi)容中有關(guān)個(gè)人信息的相關(guān)個(gè)人,如客戶(hù)和/或客戶(hù)的(a)僱員;(b)供應(yīng)商;(c)最終用戶(hù);(d)顧客。

 

3. 處理的合法性

 

3.1 合法性。在執(zhí)行本附則時(shí),各方將遵守並應(yīng)能夠證明其遵守適用的隱私法。

 

3.2 信息。華為雲將向客戶(hù)提供所有必要信息以證明履行了本附則設(shè)定的義務(wù)。

 

3.3 客戶(hù)的指示。各方同意本附則及《協(xié)議》構(gòu)成客戶(hù)對(duì)華為雲處理客戶(hù)數(shù)據(jù)的書(shū)面指示,包括客戶(hù)或客戶(hù)的最終用戶(hù)通過(guò)雲服務(wù)的配置工具(如華為雲管理Console)或API接口而做出的指示。華為雲將僅按照指示處理客戶(hù)數(shù)據(jù)。

 

3.4 通知。考慮到處理的本質(zhì),客戶(hù)同意華為雲一般不可能就指示是否違反適用的隱私法而形成意見(jiàn)。然而,如果華為雲一旦形成這樣的意見(jiàn),華為雲將立即通知客戶(hù),該情形可能出現(xiàn)在華為雲認(rèn)為:(a) 適用的隱私法禁止華為雲遵照指示;(b) 指示不遵從適用的隱私法;或(c) 華為雲在其他方面無(wú)法遵守指示。本節(jié)不限制任何一方在《協(xié)議》其他條款中的權(quán)利和義務(wù)。

 

3.5 指示的範圍。作為受託人,華為雲將在需要提供、保障和監(jiān)控服務(wù)時(shí)處理必要的客戶(hù)數(shù)據(jù),並且不會(huì)為與提供上述服務(wù)無(wú)關(guān)的目的,或違背《協(xié)議》、本附則設(shè)立的目的以及其他根據(jù)適用的隱私法所要求的任何目的,去收集、使用、保留、訪(fǎng)問(wèn)、共享、出售、轉(zhuǎn)讓或以其他方式處理客戶(hù)數(shù)據(jù)。

 

4. 保密

 

4.1 人員。華為雲將確保被授權(quán)處理客戶(hù)數(shù)據(jù)的人員已承諾保密或承擔(dān)適當(dāng)的法定保密義務(wù)。

 

4.2 披露。在不影響上述第4.1條和以下第9條的前提下,華為雲不會(huì)訪(fǎng)問(wèn)或使用,或向任何第三方披露任何客戶(hù)數(shù)據(jù),除非在特定情況下,為維護(hù)或提供服務(wù)所必需,或為遵守法律或有權(quán)公共機(jī)構(gòu)的有效和有約束力的命令(如傳票或法院命令)所必需。如果華為雲被有權(quán)的公共機(jī)構(gòu)傳喚而披露客戶(hù)數(shù)據(jù),華為雲將盡力將該傳喚轉(zhuǎn)達(dá)給客戶(hù)。這可能包括向有權(quán)公共機(jī)構(gòu)提供客戶(hù)的基本聯(lián)繫信息。如果華為雲在法律上有義務(wù)向有權(quán)的公共機(jī)構(gòu)披露客戶(hù)數(shù)據(jù),華為雲將向客戶(hù)發(fā)出關(guān)於該命令的合理通知,讓客戶(hù)採取必要的補救措施,除非華為雲在法律上被禁止這樣做。

 

5. 安全和安全協(xié)助

 

5.1 安全措施。華為雲將貫徹和維護(hù)安全措施。安全措施包括:物理訪(fǎng)問(wèn)控制、網(wǎng)絡(luò)安全、數(shù)據(jù)完整性保護(hù),身份識別及權(quán)限管理、運(yùn)維安全等;幫助確保華為雲的系統(tǒng)和服務(wù)持續(xù)具備保密性、完整性、可用性和彈性;幫助在意外情況發(fā)生後及時(shí)恢復對(duì)個(gè)人信息的訪(fǎng)問(wèn);以及定期測(cè)試華為雲系統(tǒng)和服務(wù)的有效性。華為雲可能會(huì)不定期地更新安全措施,但發(fā)布這些更新不會(huì)導(dǎo)致服務(wù)的安全性產(chǎn)生實(shí)質(zhì)減損。

 

5.2 訪(fǎng)問(wèn)客戶(hù)數(shù)據(jù)。華為雲將 (a) 授權(quán)其員工、與單個(gè)客戶(hù)相關(guān)的子個(gè)人信息受託人僅在嚴(yán)格必要的情況下遵守指示訪(fǎng)問(wèn)客戶(hù)數(shù)據(jù);以及 (b) 採取適當(dāng)措施確保其員工、與單個(gè)客戶(hù)相關(guān)的子個(gè)人信息受託人執(zhí)行其行為範圍內(nèi)適用的安全措施。

 

5.3 附加安全控制措施。客戶(hù)可根據(jù)自身業(yè)務(wù)需求,選擇實(shí)施附加安全控制措施來(lái)保護(hù)客戶(hù)數(shù)據(jù)。附加安全控制措施可從華為雲獲取,或直接從第三方供應(yīng)商獲取。華為雲將為附加安全控制措施提供以下便利: (a) 允許客戶(hù)採取措施保護(hù)客戶(hù)數(shù)據(jù);以及 (b) 向客戶(hù)提供關(guān)於保護(hù)、訪(fǎng)問(wèn)和使用客戶(hù)數(shù)據(jù)的信息。

 

5.4 安全協(xié)助。在考慮到客戶(hù)數(shù)據(jù)處理的本質(zhì)和華為雲可獲得的信息的情況下,華為雲將協(xié)助客戶(hù)確保遵守適用的隱私法規(guī)定的義務(wù),具體方式包括:

 

5.4.1 根據(jù)第 5.1 和 5.2 節(jié)以及附錄 1 貫徹和維護(hù)安全措施;

 

5.4.2 根據(jù)第 5.3 節(jié)向客戶(hù)提供附加安全控制措施的便利;

 

5.4.3 遵守第6條的條款;

 

5.4.4 如果上述第5.4.1-5.4.3款不足以使客戶(hù)(或相關(guān)控制人)履行上述義務(wù),在客戶(hù)要求下,向客戶(hù)提供額外的合理合作和協(xié)助。華為雲因遵守本條規(guī)定而產(chǎn)生的任何合理費(fèi)用將由客戶(hù)獨(dú)自承擔(dān)。

 

5.5 客戶(hù)的安全責(zé)任。在不影響第5.1-5.4節(jié)、第6節(jié)和本附則及《協(xié)議》其他條款中華為雲的責(zé)任的情況下,客戶(hù)對(duì)其使用服務(wù)和在華為雲或子個(gè)人信息受託人系統(tǒng)外存儲(chǔ)的任何客戶(hù)數(shù)據(jù)的副本負(fù)責(zé),包括:

 

5.5.1 使用服務(wù)和附加安全措施控制以確保安全等級(jí)與客戶(hù)數(shù)據(jù)風(fēng)險(xiǎn)相適應(yīng);

 

5.5.2 確保客戶(hù)用於訪(fǎng)問(wèn)服務(wù)的帳號(hào)認(rèn)證憑證、系統(tǒng)和設(shè)備的安全;以及

 

5.5.3 適當(dāng)地備份其客戶(hù)數(shù)據(jù)。

 

6. 個(gè)人信息洩露

 

6.1 通知。華為雲在獲知個(gè)人信息洩露後,將在合理的時(shí)間內(nèi)通知客戶(hù)。華為雲將根據(jù)客戶(hù)提供的聯(lián)繫信息,通過(guò)華為雲選擇的任何方式進(jìn)行通知,通知方式包括但不限於電子郵件、簡(jiǎn)訊等。客戶(hù)有責(zé)任確保客戶(hù)的管理員/人員在任何時(shí)候都保持帳號(hào)裡是準(zhǔn)確的聯(lián)繫信息。

 

6.2 協(xié)助。如發(fā)生個(gè)人信息洩露,考慮到處理的本質(zhì)和華為雲可獲得的信息,華為雲將協(xié)助客戶(hù)確保遵守適用隱私法規(guī)定的義務(wù)。

 

7. 審核驗(yàn)證

華為雲聘用外部第三方獨(dú)立機(jī)構(gòu)驗(yàn)證其安全措施的充分性,包括華為雲提供服務(wù)的物理數(shù)據(jù)中心的安全性。這些審核驗(yàn)證符合下列條件:(a)符合ISO/IEC 27001、ISO/IEC 27701、ISO/IEC 27017、ISO/IEC 27018、ISO/IEC 29151、ISO 27799、ISO 27034、ISO 22301、ISO/IEC 20000-1、CSA STAR、BS 10012、SOC等其他與所列出的標(biāo)準(zhǔn)實(shí)質(zhì)等同的替代標(biāo)準(zhǔn);(b)審核驗(yàn)證工作由獨(dú)立的第三方機(jī)構(gòu)人員完成;(c)審核驗(yàn)證工作至少每年進(jìn)行一次,以及(d)審核驗(yàn)證結(jié)果為審核報(bào)告或認(rèn)證證書(shū)。華為雲已獲得的審核報(bào)告或認(rèn)證證書(shū)請見(jiàn):https://www.huaweicloud.com/securecenter/compliance/compliance-center.html,以證明華為雲遵守相關(guān)的義務(wù)。

 

8. 其他協(xié)助

 

8.1 法律遵從。考慮到客戶(hù)數(shù)據(jù)處理的本質(zhì)和華為雲可獲得的信息,除上述第5條規(guī)定的協(xié)助義務(wù)外,華為雲將協(xié)助客戶(hù)確保遵守適用隱私法規(guī)定的義務(wù)。

 

8.2 個(gè)人信息主體權(quán)利。考慮到處理的本質(zhì),華為雲將協(xié)助客戶(hù)完成其義務(wù)以滿(mǎn)足個(gè)人信息主體根據(jù)適用的隱私法行使權(quán)利的請求。華為雲通過(guò)帳號(hào)的功能向客戶(hù)提供採取必要行動(dòng)的可能性以滿(mǎn)足任何個(gè)人信息主體關(guān)於客戶(hù)數(shù)據(jù)的請求。華為雲將個(gè)人信息主體的請求向客戶(hù)轉(zhuǎn)達(dá)以及華為雲提供帳號(hào)功能應(yīng)被視為華為雲按照適用的隱私法的要求窮盡所應(yīng)當(dāng)提供的協(xié)助。

 

8.3 個(gè)人信息主體的請求。華為雲將通過(guò)商業(yè)上合理的努力,及時(shí)向客戶(hù)轉(zhuǎn)發(fā)其收到的來(lái)自個(gè)人信息主體的任何請求。除非客戶(hù)指示,否則華為雲不會(huì)對(duì)該請求作出回應(yīng)。華為雲在遵守本條規(guī)定時(shí)產(chǎn)生的任何合理費(fèi)用將由客戶(hù)獨(dú)自承擔(dān)。

 

9. 子個(gè)人信息受託人處理

 

9.1 一般授權(quán)。客戶(hù)同意,自《協(xié)議》籤訂之日起,華為雲有權(quán)授權(quán)子個(gè)人信息受託人代表客戶(hù)進(jìn)行特定的處理行為,您可在以下網(wǎng)址參閱詳細(xì)信息:https://www.huaweicloud.com/declaration/dpa-ie.html。與單個(gè)客戶(hù)相關(guān)的子個(gè)人信息受託人將取決於客戶(hù)選擇的服務(wù)所在區(qū)域及客戶(hù)使用的特定華為雲服務(wù)。若客戶(hù)不同意華為雲授權(quán)前述子個(gè)人信息受託人代表客戶(hù)進(jìn)行特定的處理行為,客戶(hù)可以:(a)將相關(guān)客戶(hù)數(shù)據(jù)從前述您選擇的服務(wù)所在區(qū)域中遷出;(b) 停止使用前述子個(gè)人信息受託人提供的雲服務(wù)。

 

9.2 子個(gè)人信息受託人的義務(wù)。當(dāng)華為雲按照第 9.1 或 9.2 條委託一個(gè)子個(gè)人信息受託人,華為雲將:

 

9.2.1 通過(guò)書(shū)面合同確保:

 

9.2.1.1 子個(gè)人信息受託人僅在履行被轉(zhuǎn)讓的義務(wù)所需的範圍內(nèi)訪(fǎng)問(wèn)和使用客戶(hù)數(shù)據(jù),並且按照《協(xié)議》(包括本附則)的規(guī)定進(jìn)行;以及

 

9.2.1.2 本附則中提及的數(shù)據(jù)保護(hù)義務(wù)適用於子個(gè)人信息受託人;並且

 

9.2.2 對(duì)轉(zhuǎn)讓至子個(gè)人信息受託人的所有義務(wù),包括所有作為和不作為行為,仍負(fù)有全部責(zé)任。

 

10. 客戶(hù)數(shù)據(jù)跨境

 

10.1 客戶(hù)數(shù)據(jù)處理的服務(wù)所在區(qū)域。華為雲在中華人民共和國(guó)大陸境內(nèi)及境外提供了服務(wù),中華人民共和國(guó)大陸境外提供服務(wù)的區(qū)域,您可在以下網(wǎng)址參閱詳細(xì)信息:https://www.huaweicloud.com/declaration/dpa-ie.html。客戶(hù)數(shù)據(jù)處理的服務(wù)所在區(qū)域僅能由客戶(hù)指定。

 

10.2 客戶(hù)數(shù)據(jù)處理的位置。客戶(hù)數(shù)據(jù)處理的位置是客戶(hù)指定的服務(wù)所在區(qū)域。只有在以下情況下,華為雲可能將客戶(hù)數(shù)據(jù)轉(zhuǎn)移出客戶(hù)所選區(qū)域: (a)取得客戶(hù)的同意,或者 (b) 為遵守適用的法律和法規(guī)以及法院或有權(quán)公共機(jī)構(gòu)發(fā)出的具有約束力的命令所必需的。

 

10.3 客戶(hù)數(shù)據(jù)跨境轉(zhuǎn)移。當(dāng)客戶(hù)指定服務(wù)所在區(qū)域為中華人民共和國(guó)大陸境外,根據(jù)適用的隱私法,客戶(hù)應(yīng)負(fù)責(zé)開(kāi)展數(shù)據(jù)出境安全評(píng)估或者履行附錄2「數(shù)據(jù)出境合同」(以下簡(jiǎn)稱(chēng)「合同」)等數(shù)據(jù)出境方的義務(wù),華為雲應(yīng)為客戶(hù)開(kāi)展數(shù)據(jù)出境安全評(píng)估提供必要協(xié)助或者履行附錄2「數(shù)據(jù)出境合同」的數(shù)據(jù)境外接收方的義務(wù)。

 

11. 個(gè)人信息的退還或刪除

 

11.1 個(gè)人信息的退還或刪除。在《協(xié)議》有效期內(nèi),通過(guò)帳號(hào)的功能,華為雲將根據(jù)《協(xié)議》的條款為客戶(hù)提供在任何時(shí)候刪除全部客戶(hù)數(shù)據(jù)的能力,除非適用的隱私法要求存儲(chǔ)客戶(hù)數(shù)據(jù)。在基於客戶(hù)要求,或客戶(hù)關(guān)閉其帳號(hào)時(shí),或《協(xié)議》中另有說(shuō)明時(shí)(例如,在延長(zhǎng)和/或保留期終止時(shí)),華為雲將刪除客戶(hù)數(shù)據(jù)。

 

11.2 刪除授權(quán)。客戶(hù)指示華為雲根據(jù)第11.1條刪除所有客戶(hù)數(shù)據(jù)。

 

12. 文件材料

 

12.1 處理記錄。按照適用隱私法的規(guī)定華為雲將保存其處理活動(dòng)的適當(dāng)文件材料。在適用的隱私法要求華為雲收集和保留有關(guān)客戶(hù)的特定信息的記錄時(shí),客戶(hù)可使用華為雲提供的控制措施和功能以提供此類(lèi)信息並確保信息是準(zhǔn)確且是不時(shí)更新的。如果適用的隱私法要求,華為雲可以向監(jiān)督機(jī)構(gòu)提供任何此類(lèi)信息。

 

13. 整體協(xié)議

 

本附則還包括所附的附錄1「安全措施」和附錄2「數(shù)據(jù)出境合同」。

 

14. 協(xié)議層級(jí)

 

除非經(jīng)本附則調(diào)整,否則《協(xié)議》將保持完全效力。如果各方之間的任何其他協(xié)議,包括《協(xié)議》和本附則之間存在衝突,則以本附則為準(zhǔn)。

 

15. 準(zhǔn)據(jù)法和管轄

 

考慮到本附則中相互的義務(wù),各方同意本附則受《協(xié)議》中規(guī)定的準(zhǔn)據(jù)法和管轄的約束。

 

16. 定義

 

除非《協(xié)議》中另有定義,本附則中使用的所有術(shù)語將具有以下含義:

 

 「隱私法」是指與本附則和《協(xié)議》項(xiàng)下的客戶(hù)個(gè)人信息安全和保護(hù)有關(guān)的任何可能適用的中華人民共和國(guó)法律(如《個(gè)人信息保護(hù)法》、《數(shù)據(jù)安全法》、《網(wǎng)絡(luò)安全法》及其他可適用的隱私保護(hù)法律),根據(jù)其實(shí)施或制定的任何法律、行政法規(guī)或規(guī)範性文件,以及這些法律、行政法規(guī)或規(guī)範性文件的修訂、更新或重新頒布版本。

客戶(hù)數(shù)據(jù) 」是指您的內(nèi)容中包含的個(gè)人信息。

您的內(nèi)容」是指根據(jù)《協(xié)議》中定義的您的內(nèi)容。指由您和/或您的最終用戶(hù)以任何格式在服務(wù)上處理(包括收集、存儲(chǔ)、使用、加工、傳輸(shū)、提供、公開(kāi)、刪除等)的所有數(shù)據(jù)、軟體、文本、圖像、視頻、音頻等。我們的材料、數(shù)據(jù)和信息不屬於您的內(nèi)容。

個(gè)人信息」是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息,不包括匿名化處理後的信息。

最終用戶(hù)」是指客戶(hù)允許訪(fǎng)問(wèn)和使用服務(wù)和/或您的內(nèi)容的任何人。

安全措施」是指本附則的附錄1所述的保護(hù)客戶(hù)數(shù)據(jù)免遭意外或非法破壞、損失、更改、未經(jīng)授權(quán)的披露或訪(fǎng)問(wèn)的技術(shù)和組織措施。

附加安全控制措施」是指客戶(hù)通過(guò)其選擇和/或決定使用的安全資源、特徵、功能和/或控制,包括加密、記錄和監(jiān)控、身份和訪(fǎng)問(wèn)管理、安全掃描、隔離防護(hù)和容災備份。

子個(gè)人信息受託人」是指經(jīng)華為雲聘用並被授權(quán)為另一處理者,為提供部分服務(wù)的可對(duì)客戶(hù)數(shù)據(jù)進(jìn)行合理地訪(fǎng)問(wèn)和處理的第三方。

監(jiān)督機(jī)構(gòu)」是指適用隱私法中定義的 「監(jiān)督機(jī)構(gòu)」(如適用)。

此外,術(shù)語「個(gè)人信息」、「個(gè)人信息洩露」、「個(gè)人信息主體」、「處理」、「個(gè)人信息處理者」和 「受託人」的含義應(yīng)適用隱私法中賦予它們的含義。

 

附錄1 - 安全措施

 

華為雲已經(jīng)實(shí)施並將保持以下技術(shù)和組織措施:

 

1. 物理訪(fǎng)問(wèn)控制

華為雲實(shí)施了出入口控制、門(mén)禁系統(tǒng)、閉路電視系統(tǒng)等一系列措施來(lái)確保數(shù)據(jù)中心的物理安全,防止未經(jīng)授權(quán)的訪(fǎng)問(wèn)、損壞或幹擾華為雲基礎(chǔ)設(shè)施。

2. 網(wǎng)絡(luò)安全

華為雲部署了DDoS防護(hù)系統(tǒng)、入侵檢測(cè)系統(tǒng)等防護(hù)機(jī)制保護(hù)網(wǎng)絡(luò)免受攻擊,制定漏洞管理策略、評(píng)估標(biāo)準(zhǔn)和管理流程,實(shí)現(xiàn)安全漏洞全生命周期管理。同時(shí),定期運(yùn)行漏洞掃描程序,及時(shí)發(fā)現(xiàn)潛在的安全漏洞,並採取應(yīng)對(duì)措施。

3. 數(shù)據(jù)完整性

  A. 華為雲在數(shù)據(jù)存儲(chǔ)和傳輸(shū)過(guò)程中,酌情使用推薦的行業(yè)標(biāo)準(zhǔn)協(xié)議對(duì)個(gè)人數(shù)據(jù)進(jìn)行加密或假名化處理,以防止數(shù)據(jù)洩露和未經(jīng)授權(quán)的訪(fǎng)問(wèn)。

  B. 華為雲對(duì)廢棄的存儲(chǔ)介質(zhì)進(jìn)行消磁處理後,再返回倉(cāng)庫(kù),以確保介質(zhì)在廢棄前進(jìn)行軟體覆蓋處理,防止數(shù)據(jù)洩露。在無(wú)法做到這一點(diǎn)的情況下(CD、DVD等),將進(jìn)行物理銷(xiāo)毀。

4. 身份認(rèn)證和權(quán)限管理

  A. 華為雲根據(jù)業(yè)務(wù)需求和人員級(jí)別,部署訪(fǎng)問(wèn)控制機(jī)制,對(duì)人員訪(fǎng)問(wèn)數(shù)據(jù)進(jìn)行身份認(rèn)證並進(jìn)行分級(jí)權(quán)限管理,確保只有授權(quán)人員才能訪(fǎng)問(wèn)個(gè)人數(shù)據(jù)。

  B. 華為雲通過(guò)對(duì)網(wǎng)絡(luò)安全角色和職責(zé)的清晰定義和分配,通過(guò)風(fēng)險(xiǎn)評(píng)估,實(shí)現(xiàn)職責(zé)分離(SOD),降低風(fēng)險(xiǎn),防止數(shù)據(jù)處理系統(tǒng)被未授權(quán)人員使用。

5.運(yùn)維安全

華為雲實(shí)施適當(dāng)的運(yùn)維安全管理和技術(shù)措施,包括身份認(rèn)證和訪(fǎng)問(wèn)控制、變更和事件管理、漏洞管理、配置管理、事件日誌等,持續(xù)監(jiān)控網(wǎng)絡(luò)安全事件和威脅,及時(shí)發(fā)現(xiàn)異常情況並主動(dòng)採取措施,確保個(gè)人數(shù)據(jù)不會(huì)被未授權(quán)的人員讀取、複製、篡改或刪除。

6. 組織和員工安全

  A. 華為雲已經(jīng)成立了隱私保護(hù)組織,識別和管理個(gè)人數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)。

  B. 華為雲制定了數(shù)據(jù)安全和個(gè)人數(shù)據(jù)保護(hù)政策,包括安全漏洞響應(yīng)、數(shù)據(jù)洩露流程等,以降低個(gè)人數(shù)據(jù)洩露帶來(lái)的隱私安全風(fēng)險(xiǎn),指導(dǎo)相關(guān)部門(mén)依法合規(guī)處理個(gè)人數(shù)據(jù)。

  C. 華為雲通過(guò)舉辦安全與隱私保護(hù)培訓(xùn)、測(cè)試、宣傳等活動(dòng),提升員工個(gè)人數(shù)據(jù)保護(hù)意識。

7. 子個(gè)人信息受託人管理

在授權(quán)階段,華為雲識別數(shù)據(jù)處理供應(yīng)商,並與之籤署數(shù)據(jù)保護(hù)協(xié)議(Data Protection Agreement,簡(jiǎn)稱(chēng)DPA),以確保供應(yīng)商作為子個(gè)人信息受託人只能按照客戶(hù)的指令處理客戶(hù)數(shù)據(jù),並採取足夠的組織和技術(shù)措施保護(hù)客戶(hù)數(shù)據(jù)。

 

附錄2數(shù)據(jù)出境合同

一、數(shù)據(jù)出境方的義務(wù)

1. 按照相關(guān)法律法規(guī)規(guī)定處理個(gè)人信息,向境外接收方提供的個(gè)人信息僅限於實(shí)現(xiàn)處理目的所需的最小範圍。

2. 向個(gè)人信息主體告知境外接收方的名稱(chēng)或者姓名、聯(lián)繫方式、處理目的、處理方式、個(gè)人信息的種類(lèi)、保存期限,以及行使個(gè)人信息主體權(quán)利的方式和程序等事項(xiàng)。向境外接收方提供敏感個(gè)人信息的,還應(yīng)當(dāng)向個(gè)人信息主體告知提供敏感個(gè)人信息的必要性以及對(duì)個(gè)人權(quán)益的影響。但是法律、行政法規(guī)規(guī)定不需要告知的除外。

3. 基於個(gè)人同意向境外接收方提供個(gè)人信息的,應(yīng)當(dāng)取得個(gè)人信息主體的單獨(dú)同意。涉及不滿(mǎn)十四周歲未成年人個(gè)人信息的,應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的單獨(dú)同意。法律、行政法規(guī)規(guī)定應(yīng)當(dāng)取得書(shū)面同意的,應(yīng)當(dāng)取得書(shū)面同意。

4. 盡合理地努力確保境外接收方採取本附則附錄1的技術(shù)和管理措施,以履行本合同約定的義務(wù)。

5. 根據(jù)境外接收方的要求向境外接收方提供相關(guān)法律規(guī)定和技術(shù)標(biāo)準(zhǔn)的副本。

6. 答覆監(jiān)管機(jī)構(gòu)關(guān)於境外接收方的個(gè)人信息處理活動(dòng)的詢問(wèn)。

7. 按照相關(guān)法律法規(guī)對(duì)擬向境外接收方提供個(gè)人信息的活動(dòng)開(kāi)展個(gè)人信息保護(hù)影響評(píng)估。重點(diǎn)評(píng)估以下內(nèi)容:

  1)數(shù)據(jù)出境方和境外接收方處理個(gè)人信息的目的、範圍、方式等的合法性、正當(dāng)性、必要性。

  2)出境個(gè)人信息的規(guī)模、範圍、種類(lèi)、敏感程度,個(gè)人信息出境可能對(duì)個(gè)人信息權(quán)益帶來(lái)的風(fēng)險(xiǎn)。

  3)境外接收方承諾承擔(dān)的義務(wù),以及履行義務(wù)的管理和技術(shù)措施、能力等能否保障出境個(gè)人信息的安全。

  4)個(gè)人信息出境後遭到篡改、破壞、洩露、丟失、非法利用等的風(fēng)險(xiǎn),個(gè)人信息權(quán)益維護(hù)的渠道是否通暢等。

  5)評(píng)估當(dāng)地個(gè)人信息保護(hù)政策和法規(guī)對(duì)合同履行的影響。

  6)其他可能影響個(gè)人信息出境安全的事項(xiàng)。

    保存個(gè)人信息保護(hù)影響評(píng)估報(bào)告至少3 年。

8. 根據(jù)個(gè)人信息主體的要求向個(gè)人信息主體提供本合同的副本。如涉及商業(yè)秘密或者保密商務(wù)信息,在不影響個(gè)人信息主體理解的前提下,可對(duì)本合同副本相關(guān)內(nèi)容進(jìn)行適當(dāng)處理。

9. 對(duì)本合同義務(wù)的履行承擔(dān)舉證責(zé)任。

 

二、數(shù)據(jù)境外接收方的義務(wù)

1.按照本附則所列約定處理個(gè)人信息。如超出約定的處理目的、處理方式和處理的個(gè)人信息種類(lèi),基於個(gè)人同意處理個(gè)人信息的或涉及不滿(mǎn)十四周歲未成年人個(gè)人信息的,應(yīng)當(dāng)事先取得數(shù)據(jù)出境方的單獨(dú)同意。

2.受數(shù)據(jù)出境方委託處理個(gè)人信息的,應(yīng)當(dāng)按照與數(shù)據(jù)出境方的約定處理個(gè)人信息,不得超出與數(shù)據(jù)出境方約定的處理目的、處理方式等處理個(gè)人信息。

3.採取對(duì)個(gè)人權(quán)益影響最小的方式處理個(gè)人信息。

4.個(gè)人信息的保存期限為實(shí)現(xiàn)處理目的所必要的最短時(shí)間,保存期限屆滿(mǎn)的,應(yīng)當(dāng)刪除個(gè)人信息(包括所有備份)。受數(shù)據(jù)出境方委託處理個(gè)人信息,委託合同未生效、無(wú)效、被撤銷(xiāo)或者終止的,應(yīng)當(dāng)將個(gè)人信息返還數(shù)據(jù)出境方或者予以刪除,並向數(shù)據(jù)出境方提供書(shū)面說(shuō)明。刪除個(gè)人信息從技術(shù)上難以實(shí)現(xiàn)的,應(yīng)當(dāng)停止除存儲(chǔ)和採取必要的安全保護(hù)措施之外的處理。

5.按下列方式保障個(gè)人信息處理安全:

  1)採取包括但不限於本附則附錄1的技術(shù)和管理措施,並定期進(jìn)行檢查,確保個(gè)人信息安全。

  2)確保授權(quán)處理個(gè)人信息的人員履行保密義務(wù),並建立最小授權(quán)的訪(fǎng)問(wèn)控制權(quán)限。

6. 如處理的個(gè)人信息發(fā)生或者可能發(fā)生篡改、破壞、洩露、丟失、非法利用、未經(jīng)授權(quán)提供或者訪(fǎng)問(wèn),應(yīng)當(dāng)開(kāi)展下列工作:

  1)及時(shí)採取適當(dāng)補救措施,減輕對(duì)個(gè)人信息主體造成的不利影響。

  2)立即通知數(shù)據(jù)出境方,並根據(jù)相關(guān)法律法規(guī)要求報(bào)告監(jiān)管機(jī)構(gòu)。通知應(yīng)當(dāng)包含下列事項(xiàng):

    a)發(fā)生或者可能發(fā)生篡改、破壞、洩露、丟失、非法利用、未經(jīng)授權(quán)提供或者 訪(fǎng)問(wèn)的個(gè)人信息種類(lèi)、原因和可能造成的危害。

    b)已採取的補救措施。

    c)個(gè)人信息主體可以採取的減輕危害的措施。

    d)負(fù)責(zé)處理相關(guān)情況的負(fù)責(zé)人或者負(fù)責(zé)團(tuán)隊(duì)的聯(lián)繫方式。

  3)相關(guān)法律法規(guī)要求通知個(gè)人信息主體的,通知的內(nèi)容包含本項(xiàng)第2條的事項(xiàng)。受數(shù)據(jù)出境方委託處理個(gè)人信息的,由數(shù)據(jù)出境方通知個(gè)人信息主體。

  4)記錄並留存所有與發(fā)生或者可能發(fā)生篡改、破壞、洩露、丟失、非法利用、未經(jīng)授權(quán)提供或者訪(fǎng)問(wèn)有關(guān)的情況,包括採取的所有補救措施。

7. 同時(shí)符合下列條件的,方可再向中華人民共和國(guó)境外的第三方提供個(gè)人信息:

  1)確有業(yè)務(wù)需要。向境外第三方提供的個(gè)人信息範圍應(yīng)當(dāng)僅限於實(shí)現(xiàn)處理目的所需的最小範圍。

  2)已告知數(shù)據(jù)出境方該第三方的名稱(chēng)或者姓名、聯(lián)繫方式、處理目的、處理方式、個(gè)人信息種類(lèi)、保存期限以及行使個(gè)人信息主體權(quán)利的方式和程序等事項(xiàng)。向第三方提供敏感個(gè)人信息的,還應(yīng)當(dāng)向數(shù)據(jù)出境方告知提供敏感個(gè)人信息的必要性以及對(duì)個(gè)人權(quán)益的影響。但是法律、行政法規(guī)規(guī)定不需要告知的除外。

  3)基於個(gè)人同意處理個(gè)人信息的或涉及不滿(mǎn)十四周歲未成年人個(gè)人信息的,應(yīng)當(dāng)取得數(shù)據(jù)出境方的單獨(dú)同意。

  4)與境外第三方達(dá)成書(shū)面協(xié)議,確保第三方的個(gè)人信息處理活動(dòng)達(dá)到中華人民共和國(guó)相關(guān)法律法規(guī)規(guī)定的個(gè)人信息保護(hù)標(biāo)準(zhǔn),並承擔(dān)因向中華人民共和國(guó)境外的第三方提供個(gè)人信息而侵害個(gè)人信息主體享有權(quán)利的法律責(zé)任。

  5)根據(jù)數(shù)據(jù)出境方的要求向數(shù)據(jù)出境方提供該書(shū)面協(xié)議的副本。如涉及商業(yè)秘密或者保密商務(wù)信息,在不影響數(shù)據(jù)出境方理解的前提下,可對(duì)該書(shū)面協(xié)議相關(guān)內(nèi)容進(jìn)行適當(dāng)處理。

8. 受數(shù)據(jù)出境方委託處理個(gè)人信息,轉(zhuǎn)委託第三方處理的,應(yīng)當(dāng)事先徵得數(shù)據(jù)出境方同意,要求該第三方不得超出本合同第三章「個(gè)人信息出境說(shuō)明」約定的處理目的、處理方式等處理個(gè)人信息,並對(duì)該第三方的個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督。

9. 未經(jīng)數(shù)據(jù)出境方同意,不得利用個(gè)人信息進(jìn)行自動(dòng)化決策。

10.承諾向數(shù)據(jù)出境方提供已遵守本合同義務(wù)所需的必要信息,允許數(shù)據(jù)出境方對(duì)必要數(shù)據(jù)文件和文檔進(jìn)行查閱。

11.對(duì)開(kāi)展的個(gè)人信息處理活動(dòng)進(jìn)行客觀(guān)記錄,保存記錄至少3 年,並按照相關(guān)法律法規(guī)要求直接或者通過(guò)數(shù)據(jù)出境方向監(jiān)管機(jī)構(gòu)提供相關(guān)記錄文件。

12.根據(jù)相關(guān)法律法規(guī)規(guī)定,為數(shù)據(jù)出境方針對(duì)出境的個(gè)人信息開(kāi)展個(gè)人信息保護(hù)影響評(píng)估等提供必要協(xié)助。

13.當(dāng)個(gè)人信息主體依據(jù)相關(guān)法律法規(guī),要求對(duì)已經(jīng)出境的個(gè)人信息行使相關(guān)權(quán)利時(shí),個(gè)人信息主體請求數(shù)據(jù)出境方採取適當(dāng)措施實(shí)現(xiàn)而數(shù)據(jù)出境方無(wú)法實(shí)現(xiàn)的,應(yīng)為數(shù)據(jù)出境方提供必要協(xié)助。

14.在組織內(nèi)部建立有關(guān)個(gè)人信息處理的詢問(wèn)或投訴機(jī)制,並應(yīng)及時(shí)處理數(shù)據(jù)出境方的任何有關(guān)個(gè)人信息處理的詢問(wèn)或投訴。將詢問(wèn)或投訴渠道的聯(lián)繫方式通過(guò)單獨(dú)通知或在其網(wǎng)站發(fā)布公告的方式告知。

 

三、個(gè)人信息出境說(shuō)明

根據(jù)本合同向境外提供個(gè)人信息的詳情約定如下:

(一)個(gè)人信息主體:

客戶(hù)和/或最終用戶(hù)在使用雲服務(wù)過(guò)程中,由雲服務(wù)處理的所有內(nèi)容中有關(guān)個(gè)人信息的相關(guān)個(gè)人。如客戶(hù)和/或客戶(hù)的(a)最終用戶(hù); (b)僱員;(c)供應(yīng)商;(d)顧客。

(二)處理目的:

向客戶(hù)提供雲服務(wù)。

(三)處理方式:

雲服務(wù)相關(guān)的計(jì)算、存儲(chǔ)、傳輸(shū)、加工、刪除等功能。

(四)出境個(gè)人信息的類(lèi)別:

您的內(nèi)容中有關(guān)個(gè)人的信息。

(五)傳輸(shū)方式:

公共網(wǎng)際網(wǎng)路加密傳輸(shū)。

(六)個(gè)人信息出境後存儲(chǔ)時(shí)間:

客戶(hù)通過(guò)雲服務(wù)提供的能力刪除其客戶(hù)數(shù)據(jù)或客戶(hù)關(guān)閉其華為雲帳號(hào)時(shí),華為雲將刪除客戶(hù)數(shù)據(jù)。

(七)個(gè)人信息出境後存儲(chǔ)地點(diǎn):

客戶(hù)指定的服務(wù)所在區(qū)域。

 

更新時(shí)間:2024年3月