華為云隱私保護(hù)白皮書 2024

2.22024-07-31華為云計算技術(shù)有限公司非經(jīng)本公司書面許可，任何單位和個人不得擅自摘抄、復(fù)制本文檔內(nèi)容的部您購買的產(chǎn)品、服務(wù)或特性等應(yīng)受華為云計算技術(shù)有限公司商業(yè)合同和條款的約或部分產(chǎn)品、服務(wù)或特性可能不在您的購買或使用范圍之內(nèi)。除非合同另有約地址：貴州省貴安新區(qū)黔中大道交興功路華為云數(shù)據(jù)中心郵編網(wǎng)址：/華為云隱私保護(hù)白皮書 隨著云計算技術(shù)和云服務(wù)的不斷演進(jìn)和成熟，公有云、混合云等各種模式的云服務(wù)逐漸成為越來越多的企業(yè)的最佳選擇。云服務(wù)提供商為企業(yè)帶來更便捷、更豐富、也更經(jīng)濟(jì)實惠的云服務(wù)，如何保護(hù)云上數(shù)據(jù)、尤其是個人數(shù)據(jù)的安全，不僅是云服務(wù)提供商的首要任務(wù)，也逐漸成為企業(yè)業(yè)務(wù)上云的主要考量因素。2016年11月，中國頒布了《中華人民共和國網(wǎng)絡(luò)安全法》，對個人信息保護(hù)提出一系列要求。關(guān)于個人信息保護(hù)的國家級標(biāo)準(zhǔn)《信息安全技術(shù)個人信息安全規(guī)范》也于2018年正式實施。2021年11月，《中華人民共和國個人信息保護(hù)法》正式生效，為保護(hù)個人信息安全提供了重要保障。2016年，歐盟發(fā)布《通用數(shù)據(jù)保護(hù)條例》（GeneralDataProtectionRegulation，以下簡稱GDPR）并于2018年5月正式生效，對個人隱私權(quán)利提出了明確的法律要求。GDPR的一經(jīng)發(fā)布即在全球范圍內(nèi)產(chǎn)生了深遠(yuǎn)影響，公眾對隱私保護(hù)的關(guān)注達(dá)到空前高度。近年，阿根廷、新西蘭、巴西、印度、土耳其、泰國等國家也相繼發(fā)布了本國隱私保護(hù)法律。全球范圍內(nèi)對個人隱私保護(hù)的監(jiān)管日益嚴(yán)格，不僅對云服務(wù)提供商的隱私保護(hù)提出了更高要求，也客觀上使得企業(yè)（尤其是開展跨國業(yè)務(wù)的企業(yè)）的隱私保護(hù)合規(guī)工作將更具挑戰(zhàn)。華為云是華為的云服務(wù)品牌，將華為30多年在ICT領(lǐng)域的技術(shù)積累和產(chǎn)品解決方案開放給客戶，致力于提供穩(wěn)定可靠、安全可信、可持續(xù)創(chuàng)新的云服務(wù)。華為云在隱私保護(hù)方面付出諸多努力并取得了顯著的成效，我們希望借此白皮書與您分享將華為云的隱私保護(hù)理念和相關(guān)工作，介紹我們?nèi)绾伪Ｗo(hù)客戶的個人數(shù)據(jù)，以及華為云服務(wù)如何幫助客戶構(gòu)建云上的隱私保護(hù)。文檔版本2.2(2024-07-31)版權(quán)所有?華為云計算技術(shù)有限公司iii 1 2 2 3 4 5 5 6 6 6 9 5.1DevSecOps——云服務(wù)生命周期管控 11 12 12 文檔版本2.2(2024-07-31)版權(quán)所有?華為云計算技術(shù)有限公司1 網(wǎng)絡(luò)安全和隱私保護(hù)①一直是華為生存之本，從創(chuàng)立至今，華為人便一直堅定地朝著這個方向不懈努力。基于華為公司在網(wǎng)絡(luò)安全和隱私保護(hù)方面多年的實踐與經(jīng)驗，華為云充分理解隱私的重要性，現(xiàn)已將隱私保護(hù)融入到每個云服務(wù)中。在網(wǎng)絡(luò)安全與隱私保護(hù)是數(shù)智世界發(fā)展的基石的指導(dǎo)下，華為云以“尊重和保護(hù)隱私，讓人們放心地使用便捷可信的云服務(wù)”為愿景。圍繞這一愿景，華為云鄭重對待網(wǎng)絡(luò)安全和隱私保護(hù)事項并積極承擔(dān)相應(yīng)責(zé)任，設(shè)置了專業(yè)的隱私保護(hù)團(tuán)隊，制定并完善隱私保護(hù)管理流程，積極研發(fā)安全和數(shù)據(jù)保護(hù)技術(shù)，不斷建設(shè)和提升華為云隱私保護(hù)的能力，為客戶提供穩(wěn)定可靠、安全可信、可持續(xù)演進(jìn)的云服務(wù)。得益于華為云全方位、系統(tǒng)性的隱私保護(hù)管理體系的支撐，使得我們可以更好地實現(xiàn)這一目標(biāo)。華為云以全球隱私保護(hù)的法律法規(guī)為基石，參考業(yè)界廣泛認(rèn)可的優(yōu)秀實踐，建設(shè)華為云的隱私保護(hù)體系。華為云投入大量的專業(yè)人員和資源，支撐管理措施和信息技術(shù)的研究和落地，保障隱私保護(hù)體系的有效運轉(zhuǎn)，確保華為云的隱私保護(hù)合規(guī)并獲得持續(xù)發(fā)展。當(dāng)然，實現(xiàn)隱私保護(hù)需要強(qiáng)大的安全能力為其提供支撐，隱私保護(hù)和安全息息相關(guān)。華為云在云安全方面具備行業(yè)領(lǐng)先的實踐和積累，詳細(xì)內(nèi)容請查看《華為云安全白皮書》和《華為云數(shù)據(jù)安全白皮書》。華為云秉承數(shù)據(jù)中立態(tài)度，嚴(yán)守服務(wù)邊界，保障數(shù)據(jù)為客戶所有、為客戶所用、為客戶創(chuàng)造價值；華為云承諾將確保相關(guān)業(yè)務(wù)遵從業(yè)務(wù)所在國家/地區(qū)適用的隱私保護(hù)法律①隱私：最廣泛的定義是個人letalone的權(quán)利。物理上隱私是指個人住宅或個人財產(chǎn)、搜身、監(jiān)控或提取生物特征信息，而信息性的隱私是指個人控制、編輯、管理和刪除關(guān)于自己信息的能力和決定如何與他人溝通這些信息的能力。本白皮書中主要談及的是信息性的隱私。文檔版本2.2(2024-07-31)版權(quán)所有?華為云計算技術(shù)有限公司 法律遵從是企業(yè)開展業(yè)務(wù)的合規(guī)底線，華為云遵守業(yè)務(wù)所在地所有適用的法律法規(guī)要求。華為云投入專業(yè)的法務(wù)團(tuán)隊，緊密關(guān)注全球范圍內(nèi)華為云服務(wù)適用的法律法規(guī)更新情況，對相關(guān)法律法規(guī)保持持續(xù)跟蹤并進(jìn)行快速分析，確保華為云業(yè)務(wù)合規(guī)。對部分云服務(wù)網(wǎng)絡(luò)安全、隱私保護(hù)相關(guān)的法律、法規(guī)及行業(yè)監(jiān)管要求，我們結(jié)合華為云服務(wù)特性編寫了合規(guī)遵從白皮書，以說明華為云對特定法律法規(guī)要求的遵從性，幫助客戶理解適用法律法規(guī)要求并為全球客戶在不同國家業(yè)務(wù)的隱私合規(guī)性提供參考。截止目前，華為云已發(fā)布十余份各國隱私保護(hù)法律或行業(yè)標(biāo)準(zhǔn)遵從白皮書，并將持續(xù)發(fā)布更多的白皮書，您可以隨時在華為云官方網(wǎng)站信任中心獲取到以下白皮書②:巴西LGPD遵從性指南馬來西亞PDPA遵從性指南新加坡PDPA遵從性指南華為云泰國PDPA遵從性指南華為云南非POPIA遵從性指南中國香港特別行政區(qū)PDPO遵從性指南華為云HIPAA遵從性指南文檔版本2.2(2024-07-31)版權(quán)所有?華為云計算技術(shù)有限公司華為云PCIDSS實踐指南新加坡金融行業(yè)監(jiān)管要求遵從性指南 中國香港金融行業(yè)監(jiān)管要求遵從性指南泰國金融行業(yè)監(jiān)管遵從性指南華為在踐行業(yè)界網(wǎng)絡(luò)安全和隱私保護(hù)領(lǐng)域優(yōu)秀實踐的同時，積極加入如云安全聯(lián)盟、IAPP等國際權(quán)威組織，參與各類云安全和隱私保護(hù)標(biāo)準(zhǔn)的起草和修訂，將華為的實踐和經(jīng)驗回饋社會和全行業(yè)。華為云網(wǎng)絡(luò)安全和隱私保護(hù)的能力和成效在全球范圍得到廣泛認(rèn)可。目前，華為云共取得海內(nèi)外十余家機(jī)構(gòu)的第三方認(rèn)證。下面列舉了華為云已獲得的部分與隱私保護(hù)強(qiáng)相關(guān)的認(rèn)證③:ISO/IEC27018:2014ISO/IEC29151:2017ISO/IEC27701:2019BS10012:2017ISO/IEC27799PCIDSS認(rèn)證PCI-3DS認(rèn)證可信云云服務(wù)用戶數(shù)據(jù)保護(hù)能力認(rèn)證（中國）SOC2TypeI/IIReport（隱私性）華為云積極關(guān)注業(yè)界權(quán)威隱私認(rèn)證機(jī)制的出臺，并持續(xù)提高要求，完善隱私保護(hù)體系，增加和更新安全和隱私方面的認(rèn)證。同時，華為云和隱私保護(hù)相關(guān)協(xié)會緊密合作，對隱私保護(hù)前沿資訊及技術(shù)進(jìn)行探討，幫助華為云打造一個可持續(xù)發(fā)展的、安全可信的云平臺環(huán)境。②華為云可能隨時新增或更新隱私合規(guī)性白皮書，所有信息以華為云官網(wǎng)發(fā)布內(nèi)容為準(zhǔn)。相關(guān)文件您可以在華為云官網(wǎng)信任中心獲取最新版本：/securecenter/resource.html。③客戶進(jìn)行相關(guān)認(rèn)證時，如需從華為云獲得必要的協(xié)助，可訪問華為云信任中心獲取華為云相關(guān)認(rèn)證證書的副本：/securecenter/compliance.html。文檔版本2.2(2024-07-31)版權(quán)所有?華為云計算技術(shù)有限公司 華為作為云服務(wù)提供商（CSP）向客戶提供了基礎(chǔ)設(shè)施即服務(wù)（IaaS平臺即服務(wù)（PaaS）和軟件即服務(wù)（SaaS）各類云服務(wù)，在復(fù)雜的云服務(wù)環(huán)境中如何實現(xiàn)隱私安全，需要客戶與華為云共同努力。隱私保護(hù)對企業(yè)提出了明確的要求，本章我們將基于以下責(zé)任模型介紹客戶在使用云服務(wù)時需要承擔(dān)的隱私保護(hù)責(zé)任和義務(wù)，以及華為云如何幫助你更好的實現(xiàn)隱私安全。圖3-1華為云安全責(zé)任共擔(dān)模型如上圖所示，華為云主要負(fù)責(zé)云服務(wù)自身的安全以及合規(guī)，并為客戶提供在數(shù)據(jù)處理、存儲、轉(zhuǎn)移等過程中的所需的隱私特性。針對客戶內(nèi)容數(shù)據(jù)④,客戶擁有全部的權(quán)利和義務(wù)，包括隱私保護(hù)的義務(wù)，制定安全和隱私保護(hù)策略和措施確保個人數(shù)據(jù)⑤安全，保障數(shù)據(jù)主體權(quán)利⑥以及各項活動合規(guī)。該模型幫助客戶理解華為云和客戶各自承擔(dān)的隱私保護(hù)責(zé)任和義務(wù)，有利于客戶識別其個人數(shù)據(jù)，制定合適的個人數(shù)據(jù)保護(hù)策略，從而最終更好地實現(xiàn)隱私保護(hù)?；谪?zé)任模型，華為云與客戶主要承擔(dān)如下的隱私保護(hù)責(zé)任：文檔版本2.2(2024-07-31)版權(quán)所有?華為云計算技術(shù)有限公司3.1華為云的責(zé)任華為云作為云服務(wù)提供方，負(fù)責(zé)構(gòu)建由基礎(chǔ)設(shè)施層、平臺層、應(yīng)用層組成的云平臺，并負(fù)責(zé)云平臺基礎(chǔ)設(shè)施如物理環(huán)境、軟硬件、計算、網(wǎng)絡(luò)、數(shù)據(jù)庫、存儲等以及平臺層、應(yīng)用層的安全。華為云各項活動和云服務(wù)遵從隱私保護(hù)相關(guān)法律法規(guī)，為客戶提供穩(wěn)定、安全和有利于隱私保護(hù)的云環(huán)境。華為云為客戶提供多種隱私保護(hù)技術(shù)，包括訪問控制和身份認(rèn)證、數(shù)據(jù)加密、日志和審計和其他相關(guān)的隱私保護(hù)技術(shù)，以及基于此基礎(chǔ)上的華為云各項服務(wù)，幫助客戶根據(jù)業(yè)務(wù)需求進(jìn)行隱私保護(hù)。華為云擁有完善的隱私保護(hù)體系和多方位的隱私保護(hù)管控機(jī)制，能實現(xiàn)華為云隱私保護(hù)的責(zé)任。3.2客戶的責(zé)任客戶對其內(nèi)容數(shù)據(jù)擁有全面控制權(quán)，應(yīng)正確、全面地識別云端的個人數(shù)據(jù)，選擇恰當(dāng)?shù)姆?wù)并制定安全和隱私保護(hù)策略以保護(hù)個人數(shù)據(jù)安全。根據(jù)業(yè)務(wù)和隱私保護(hù)的需求進(jìn)行安全配置工作，例如操作系統(tǒng)配置、網(wǎng)絡(luò)設(shè)置、安全防護(hù)、數(shù)據(jù)庫加密策略等，并設(shè)置恰當(dāng)?shù)脑L問控制策略和密碼策略?？蛻艨墒褂萌A為云為其提供的多種隱私保護(hù)服務(wù)，例如使用數(shù)據(jù)識別技術(shù)對數(shù)據(jù)進(jìn)行識別和分類、使用訪問控制服務(wù)對個人數(shù)據(jù)設(shè)置最小權(quán)限并按需分配權(quán)限、使用加密手段對個人數(shù)據(jù)的存儲和傳輸進(jìn)行保護(hù)等。客戶應(yīng)保障其數(shù)據(jù)主體的權(quán)利，響應(yīng)數(shù)據(jù)主體請求，當(dāng)發(fā)生個人數(shù)據(jù)泄露事件時，通知數(shù)據(jù)主體并采取相應(yīng)措施?？蛻艨墒褂萌A為云為其提供的多種隱私保護(hù)服務(wù)，例如使用日志功能，保留對個人數(shù)據(jù)的操作記錄，以幫助保障其用戶對個人數(shù)據(jù)的知情權(quán)?？蛻魬?yīng)確保其對個人數(shù)據(jù)處理符合隱私保護(hù)相關(guān)法律法規(guī)的要求。對此，華為云提供多種隱私保護(hù)服務(wù)及合規(guī)解決方案，幫助客戶實現(xiàn)全面的隱私保護(hù)合規(guī)。④客戶內(nèi)容數(shù)據(jù)：客戶使用華為云服務(wù)過程中存儲或處理的內(nèi)容，包括但不限于數(shù)據(jù)、文件、軟件、圖像、音頻、視頻等類型的數(shù)據(jù)。⑤個人數(shù)據(jù)/個人信息：指與一個身份已被識別或者身份可被識別的自然人（“數(shù)據(jù)主體”）相關(guān)的任何信息，其主要包括：自然人的email地址、電話號碼、生物特征（指紋）、位置數(shù)據(jù)、IP地址、醫(yī)療信息、宗教信仰、社保號、婚姻狀態(tài)等。⑥數(shù)據(jù)主體權(quán)利：數(shù)據(jù)主體依法對其個人數(shù)據(jù)享有的各項權(quán)利，包括但不限于知情權(quán)、訪問權(quán)、數(shù)據(jù)可攜帶權(quán)、被遺忘權(quán)等。華為云隱私保護(hù)白皮書4華為云如何管理和保護(hù)數(shù)據(jù)隱私文檔版本2.2(2024-07-31)版權(quán)所有?華為云計算技術(shù)有限公司 4.1個人數(shù)據(jù)處理基本原則在云服務(wù)中，我們討論隱私保護(hù)的絕大部分場景是關(guān)于信息化的個人數(shù)據(jù)的處理，我們?nèi)绾伪Ｗo(hù)保障數(shù)據(jù)主體相關(guān)的權(quán)利以及如何保護(hù)個人數(shù)據(jù)的安全性。為此，我們確定了個人數(shù)據(jù)處理的基本原則，并通過適當(dāng)?shù)墓芾砗图夹g(shù)措施確保在處理個人數(shù)據(jù)時遵從以下基本原則。4.2華為云隱私保護(hù)管理體系為保護(hù)客戶個人信息并幫助客戶構(gòu)建云上業(yè)務(wù)的隱私保護(hù)，持續(xù)有效地開展隱私保護(hù)管理工作，華為云已建立并持續(xù)完善華為云業(yè)務(wù)隱私保護(hù)管理體系。華為云在“尊重和保護(hù)隱私，讓人們放心地使用便捷可信的云服務(wù)”愿景指導(dǎo)下，參考被業(yè)界廣泛認(rèn)可的隱私保護(hù)原則，采用隱私融入設(shè)計PbD⑦的理念，將個人信息保護(hù)要求嵌入端到端開發(fā)流程中，保證個人信息保護(hù)要求在產(chǎn)品或服務(wù)的開發(fā)過程中得到實現(xiàn)的理念將個華為云隱私保護(hù)白皮書4華為云如何管理和保護(hù)數(shù)據(jù)隱私文檔版本2.2(2024-07-31)版權(quán)所有?華為云計算技術(shù)有限公司人信息保護(hù)要求嵌入端到端開發(fā)流程中，保證個人信息保護(hù)要求在產(chǎn)品或服務(wù)的開發(fā)過程中得到實現(xiàn)的理念。。本章后續(xù)內(nèi)容將從幾個重要的方面介紹華為云如何管理隱私組織和人員管理華為云成立了專門隱私保護(hù)團(tuán)隊，明確業(yè)務(wù)的隱私保護(hù)責(zé)任人，并持續(xù)提升相關(guān)人員的隱私保護(hù)意識和能力，以支撐華為云業(yè)務(wù)中實現(xiàn)默認(rèn)的隱私保護(hù)。l隱私保護(hù)組織華為云設(shè)置了隱私保護(hù)專家團(tuán)隊，包括隱私保護(hù)領(lǐng)域?qū)＜?、法?wù)人員以及網(wǎng)絡(luò)和信息安全專職人員，為華為云隱私保護(hù)戰(zhàn)略和實踐上提供專業(yè)的支撐。在各產(chǎn)品、服務(wù)的業(yè)務(wù)團(tuán)隊中，華為云設(shè)置專門的隱私保護(hù)角色，負(fù)責(zé)云服務(wù)的隱私保護(hù)合規(guī)與能力建設(shè)。在各個業(yè)務(wù)所在國家和地區(qū)，華為云配備了法務(wù)和隱私保護(hù)專職人員，幫助華為云在當(dāng)?shù)亻_展的各類活動滿足適用的隱私法律法規(guī)要求。l人員管理華為云從多方面確保全體員工資質(zhì)、能力和行為符合隱私保護(hù)的需求，要求員工每年應(yīng)通過隱私保護(hù)的相關(guān)考核。在此基礎(chǔ)上，華為云識別隱私保護(hù)相關(guān)崗位，明確定義崗位職責(zé)。華為云對新員工進(jìn)行背景調(diào)查和技能考核確保員工符合要求。當(dāng)員工不再負(fù)責(zé)當(dāng)前工作時，相關(guān)權(quán)限將被刪除。l意識和能力提升華為云通過多種形式的培訓(xùn)定期為全員提供隱私保護(hù)意識培訓(xùn)，以加深員工對隱私保護(hù)的理解和對華為隱私保護(hù)政策規(guī)定的了解。所有員工在職期間需要參加隱私保護(hù)意識相關(guān)培訓(xùn)，并通過考核。對于特殊崗位如涉及接入客戶網(wǎng)絡(luò)或數(shù)據(jù)處理的人員，根據(jù)崗位性質(zhì)和風(fēng)險，將開展定制的隱私保護(hù)技能培訓(xùn)和考試，只有通過考核后方能上華為云在各業(yè)務(wù)領(lǐng)域廣泛應(yīng)用PbD理念，將隱私保護(hù)基本原則全面融入到相關(guān)業(yè)務(wù)流程中，以期在業(yè)務(wù)開展之前即考慮隱私保護(hù)，實現(xiàn)默認(rèn)的隱私保護(hù)。華為云已建立全面的隱私保護(hù)流程體系，通過發(fā)布隱私保護(hù)政策和目標(biāo)統(tǒng)一思想和認(rèn)識，發(fā)布管理規(guī)定和流程要求明確業(yè)務(wù)規(guī)范，并配套相應(yīng)的操作指導(dǎo)、工具和模板等以幫助工作人員合規(guī)且高效的開展業(yè)務(wù)活動。確保在華為云業(yè)務(wù)活動開展中落實隱私保護(hù)基本原則，切實保護(hù)個人數(shù)據(jù)的安全，保障數(shù)據(jù)主體相關(guān)的權(quán)利。為有效地識別和控制隱私風(fēng)險，華為云在云服務(wù)各項業(yè)務(wù)中廣泛地開展隱私風(fēng)險分析和管理工作。華為云要求在所有業(yè)務(wù)處理個人數(shù)據(jù)前必須開展隱私風(fēng)險分析（PIA主要包括識別業(yè)務(wù)涉及的個人數(shù)據(jù)項、業(yè)務(wù)場景及處理過程、合規(guī)分析、對數(shù)據(jù)主體可能產(chǎn)生的影響、風(fēng)險分析并制定風(fēng)險控制措施和計劃等，只有將隱私風(fēng)險降低至可接受的水平后才能開展業(yè)務(wù)。對于云服務(wù)，我們要求在云服務(wù)規(guī)劃階段即開展PIA，并在設(shè)計活動中對隱私風(fēng)險進(jìn)行詳細(xì)的分析，并將所有隱私風(fēng)險控制需求落入設(shè)計方案中。華為云隱私保護(hù)白皮書4華為云如何管理和保護(hù)數(shù)據(jù)隱私文檔版本2.2(2024-07-31)版權(quán)所有?華為云計算技術(shù)有限公司個人數(shù)據(jù)處理全生命周期管理為更好地保障數(shù)據(jù)主體權(quán)利與保護(hù)個人數(shù)據(jù)安全，華為云將個人數(shù)據(jù)處理基本原則貫徹到個人數(shù)據(jù)處理各個階段，明確個人數(shù)據(jù)處理全生命周期的管控要求，并將這些要求融入到所有業(yè)務(wù)活動中。圖4-1個人數(shù)據(jù)生命周期l通知、選擇和同意、收集華為云會基于客戶的同意或履行合同目的等合法目的，收集提供服務(wù)所必須的客戶的個人數(shù)據(jù)，同時提供隱私通知告知客戶所收集的個人數(shù)據(jù)類型、目的、處理方式、時間等內(nèi)容。如在官網(wǎng)提供隱私政策聲明以及客戶同意及撤銷同意的機(jī)制。對于各類線下市場營銷活動中需收集個人數(shù)據(jù)時，在顯著的位置提供隱私通知，并在收集個人數(shù)據(jù)時提供同意選項。華為云在其官網(wǎng)上提供豐富的配置選項，客戶可根據(jù)偏好設(shè)置接收消息的種類和方式。針對涉及個人數(shù)據(jù)處理相關(guān)特性的云服務(wù)，華為云在其產(chǎn)品資料中，告知客戶關(guān)于個人數(shù)據(jù)的種類、處理和存儲的方式等相關(guān)信息，客戶可根據(jù)產(chǎn)品資料的信息采取相應(yīng)的隱私保護(hù)措施。l使用、留存和處置華為云對留存在華為云平臺上的個人數(shù)據(jù)，采取嚴(yán)格的管控措施，為了確保個人數(shù)據(jù)的安全，對個人數(shù)據(jù)的接入、認(rèn)證、授權(quán)、存儲、審計進(jìn)行統(tǒng)一管理。華為云制定了明確的留存時間，在超出數(shù)據(jù)處理所需要的時間，個人數(shù)據(jù)將被自動刪除。華為云對運維人員權(quán)限實行基于角色的訪問控制權(quán)限管理，根據(jù)崗位需求授予相應(yīng)的權(quán)限并進(jìn)行定期監(jiān)控確保訪問權(quán)限與崗位需求相匹配。華為云定期對日志進(jìn)行回溯審計，對人員操作行為進(jìn)行審閱以檢查對個人數(shù)據(jù)操作的合理性和必要性。l第三方披露華為云對所有供應(yīng)商按要求進(jìn)行盡職調(diào)查及隱私安全能力評估，合同中明確供應(yīng)商作為處理者/子處理者的隱私保護(hù)義務(wù)及適用法律法規(guī)的要求，確保供應(yīng)商滿足客戶的隱私保護(hù)要求。其他華為云可能依法向第三方披露數(shù)據(jù)的場景可詳見《隱私政策聲明》。華為云隱私保護(hù)白皮書4華為云如何管理和保護(hù)數(shù)據(jù)隱私文檔版本2.2(2024-07-31)版權(quán)所有?華為云計算技術(shù)有限公司l數(shù)據(jù)跨境轉(zhuǎn)移華為云在全球多個國家建立數(shù)據(jù)中心，在運營運維過程中涉及需要進(jìn)行數(shù)據(jù)跨境傳輸?shù)膱鼍皶r，遵循當(dāng)?shù)仉[私保護(hù)法律法規(guī)并經(jīng)過內(nèi)部嚴(yán)格評審。如在簽訂數(shù)據(jù)轉(zhuǎn)移協(xié)議或獲得客戶的明確同意之后進(jìn)行數(shù)據(jù)跨境轉(zhuǎn)移，保證個人數(shù)據(jù)將被合法、正當(dāng)、透明l數(shù)據(jù)主體權(quán)利保障華為云配備專業(yè)團(tuán)隊響應(yīng)客戶關(guān)于個人數(shù)據(jù)和隱私保護(hù)相關(guān)的請求⑧,當(dāng)接收到客戶問題請求后在規(guī)定時間內(nèi)完成響應(yīng)和請求處理，反饋處理結(jié)果給客戶。華為云隱私保護(hù)團(tuán)隊，按照適用法律法規(guī)要求，對個人數(shù)據(jù)泄露事件及時披露，同時執(zhí)行應(yīng)急預(yù)案及恢復(fù)流程，以降低對客戶的影響。4.3技術(shù)和工具華為云對客戶的個人數(shù)據(jù)安全非常重視，在管控機(jī)制和技術(shù)上采取了先進(jìn)，嚴(yán)格的管控，確保客戶個人數(shù)據(jù)安全。技術(shù)研究和應(yīng)用信息技術(shù)的發(fā)展日新月異，華為在技術(shù)研究方面始終保持著高投入，并持續(xù)將新技術(shù)運用于網(wǎng)絡(luò)安全和隱私保護(hù)領(lǐng)域。如通過訪問控制和身份認(rèn)證相關(guān)技術(shù)的應(yīng)用，實現(xiàn)權(quán)限“最小必要原則”，對系統(tǒng)權(quán)限實現(xiàn)數(shù)據(jù)級、操作級的精確管控；華為云廣泛采用加密技術(shù)對客戶個人數(shù)據(jù)進(jìn)行加密存儲和傳輸，確保個人數(shù)據(jù)存儲和傳輸中的安全；通過日志記錄和審計技術(shù)記錄對各關(guān)鍵系統(tǒng)的訪問和操作和對密鑰的使用等，定時進(jìn)行監(jiān)控和審計，及時發(fā)現(xiàn)和糾正隱私保護(hù)方面可能存在的不合適行為；同時分析潛在的隱私保護(hù)和個人數(shù)據(jù)安全隱患以便及時迅速的做出反饋，解決問題。同時，華為云持續(xù)將這些技術(shù)應(yīng)用于保護(hù)客戶的個人數(shù)據(jù)以及華為云提供的各項云服務(wù)中，以更好地保護(hù)客戶的個人數(shù)據(jù)。華為云隱私保護(hù)白皮書4華為云如何管理和保護(hù)數(shù)據(jù)隱私文檔版本2.2(2024-07-31)版權(quán)所有?華為云計算技術(shù)有限公司華為云技術(shù)團(tuán)隊同時致力于研發(fā)各類隱私保護(hù)技術(shù)，積累隱私保護(hù)工程技術(shù)能力，實施隱私保護(hù)以滿足客戶不同需求。華為云現(xiàn)已擁有的一系列PET，包括等價類匿名、差分隱私、防跟蹤技術(shù)、區(qū)塊鏈私人支付以及隱私保存計算等。l數(shù)據(jù)屏蔽華為云的數(shù)據(jù)屏蔽技術(shù)通過包括掩碼、加噪、枚舉、截斷、哈希、標(biāo)志化等手段，防止從數(shù)據(jù)中關(guān)聯(lián)用戶身份及敏感信息，對個人數(shù)據(jù)的單個字符的屏蔽來保護(hù)數(shù)據(jù)隱私，降低數(shù)據(jù)泄露的風(fēng)險。l差分隱私差分隱私是一種加噪算法，在保留數(shù)據(jù)一定的可用性，又能保證攻擊者無法推斷出某個用戶的信息。差分隱私在不知道數(shù)據(jù)庫本身內(nèi)容的情況下，注入“噪聲”。從而數(shù)據(jù)集進(jìn)行模糊化處理，但不影響統(tǒng)計結(jié)果。可在數(shù)據(jù)庫查詢時，減少個人數(shù)據(jù)被識別的l可搜索加密可搜索加密技術(shù)可實現(xiàn)對加密狀態(tài)下的個人數(shù)據(jù)進(jìn)行搜索，如客戶的郵箱、電話號碼、身份證號等加密存儲的個人數(shù)據(jù)，可以在不明文顯示的情況下進(jìn)行搜索處理，降低個人數(shù)據(jù)泄露風(fēng)險。華為云使用多種隱私保護(hù)平臺工具，幫助華為云更快速、系統(tǒng)、高效地處理與隱私保護(hù)相關(guān)的各項工作。l數(shù)據(jù)發(fā)現(xiàn)和管理數(shù)據(jù)發(fā)現(xiàn)工具可以幫助我們識別系統(tǒng)、數(shù)據(jù)庫或者文件里的個人數(shù)據(jù)，以了解業(yè)務(wù)是否包含個人數(shù)據(jù)以及個人數(shù)據(jù)的類型和流轉(zhuǎn)情況等相關(guān)的信息，同時也可以幫助我們采取恰當(dāng)?shù)碾[私保護(hù)措施（具體可參看DBSS、DSC服務(wù)）。數(shù)據(jù)管理服務(wù)可以幫助華為云完成數(shù)據(jù)資產(chǎn)注冊和管理，對個人數(shù)據(jù)清單的記錄、全生命周期管理提供工具化l隱私風(fēng)險分析將隱私保護(hù)風(fēng)險分析全過程工具化，可幫助各個業(yè)務(wù)團(tuán)隊通過標(biāo)準(zhǔn)化的流程和工具識別隱私保護(hù)風(fēng)險并制定和實施相應(yīng)的風(fēng)險處置措施。⑦PbD：Privacybydesign，隱私融入設(shè)計方法（PbD）最早作為針對產(chǎn)品研發(fā)周期隱私保護(hù)的方法。經(jīng)過近幾年的發(fā)展，逐漸演變成隱私保護(hù)的管理理念。PbD提倡全面、提前、主動將隱私保護(hù)融入業(yè)務(wù)和各項活動中，幫助組織在隱私保護(hù)中取得主⑧隱私問題請求：客戶可以通過華為云官網(wǎng)提交隱私問題請求或privacy@郵箱與華為云隱私保護(hù)團(tuán)隊取得聯(lián)系，以溝通或報告隱私保護(hù)相關(guān)的問題。華為云隱私保護(hù)白皮書5客戶如何保護(hù)云上業(yè)務(wù)的隱私安全文檔版本2.2(2024-07-31)版權(quán)所有?華為云計算技術(shù)有限公司 華為云深刻理解保護(hù)個人數(shù)據(jù)對客戶的重要性，并努力地采取管控措施和提供相應(yīng)的服務(wù)幫助客戶保護(hù)其個人數(shù)據(jù)安全。華為云使用各種數(shù)據(jù)安全技術(shù)和相關(guān)管控措施如身份認(rèn)證和訪問控制、數(shù)據(jù)傳輸及存儲加密技術(shù)、日志記錄等手段保障華為云服務(wù)自身的安全性，并向客戶提供豐富的安全服務(wù)以滿足租戶不同安全級別的要求，詳情可參考華為云已發(fā)布的《華為云數(shù)據(jù)安全白皮書》。5.1DevSecOps——云服務(wù)生命周期管控從IaaS、PaaS到SaaS眾多的云服務(wù)是客戶在云上構(gòu)建業(yè)務(wù)的基礎(chǔ)，華為云深知云平臺和云服務(wù)自身的隱私安全是客戶實現(xiàn)云上業(yè)務(wù)隱私安全的基石。如在云服務(wù)研發(fā)中，為保證云服務(wù)實現(xiàn)默認(rèn)的隱私保護(hù)特性，華為云將安全融入DevOps，全面實施DevSecOps流程，在云服務(wù)生命周期各個階段都將安全和隱私融入其中。我們采取嚴(yán)格隱私保護(hù)要求和控制措施，以確保云服務(wù)具備保護(hù)個人數(shù)據(jù)的安全能力，同時充分滿足客戶隱私保護(hù)的需求，幫助客戶保護(hù)其用戶的隱私。下圖列舉了我們在云服務(wù)生命周期中部分主要的隱私保護(hù)控制點。圖5-1云服務(wù)生命周期及隱私管控華為云在每個云服務(wù)生命周期采取的隱私保護(hù)管控措施，以實現(xiàn)：l全生命周期貫徹PbD的理念，使每個云服務(wù)本身滿足隱私合規(guī)要求，同時具有隱私保護(hù)特性。l嚴(yán)格測試和審查，確保隱私合規(guī)需求得到實現(xiàn)、隱私保護(hù)特性的有效。華為云隱私保護(hù)白皮書5客戶如何保護(hù)云上業(yè)務(wù)的隱私安全文檔版本2.2(2024-07-31)版權(quán)所有?華為云計算技術(shù)有限公司l對隱私保護(hù)的要求不止步于產(chǎn)品上線，在運營運維的階段，通過人員及流程的管控，為客戶提供合規(guī)的云服務(wù)，幫助客戶實現(xiàn)其隱私保護(hù)。華為云通過嚴(yán)格的研發(fā)流程管控使所有華為云服務(wù)具備默認(rèn)的安全和隱私特性，如：l隱私通知對于涉及個人數(shù)據(jù)處理的云服務(wù)，我們會在云服務(wù)用戶資料中提供個人數(shù)據(jù)清單，說明相關(guān)個人數(shù)據(jù)處理的業(yè)務(wù)場景、目的、個人數(shù)據(jù)范圍及處理方式等，以幫助客戶評估相關(guān)業(yè)務(wù)的合規(guī)風(fēng)險和隱私管控措施。必要時云服務(wù)中提供了配置隱私通知的功能，客戶可根據(jù)業(yè)務(wù)合規(guī)需求自行配置隱私通知。如果客戶的業(yè)務(wù)數(shù)據(jù)中涉及敏感個人數(shù)據(jù)，云服務(wù)將默認(rèn)加密存儲該等數(shù)據(jù)，在非信任網(wǎng)絡(luò)之間的傳輸?shù)臄?shù)據(jù)都是被加密的。同時，部分云服務(wù)還為客戶提供了自助控制的選項，客戶可以根據(jù)自身需求選擇是否加密存儲數(shù)據(jù)，或者使用何種加密方法對數(shù)據(jù)進(jìn)行加密。在使用華為云服務(wù)時你還可以通過專門的加密服務(wù)管理你的數(shù)據(jù)加密。l權(quán)限控制訪問控制和權(quán)限管理是實現(xiàn)隱私保護(hù)的基本要求，所有的云服務(wù)都被要求集成統(tǒng)一身份認(rèn)證服務(wù)，并且在云服務(wù)使用中驗證用戶身份和權(quán)限?？勺匪菔侨A為云隱私保護(hù)的基本原則，日志記錄也是華為云服務(wù)的基本特性。客戶可以通過云服務(wù)自身的日記記錄特性來滿足業(yè)務(wù)對日志記錄的需求，還可以同時配套華為云CTS服務(wù)使用，以支撐日志審計、相關(guān)的合規(guī)要求。華為云服務(wù)的安全和隱私保護(hù)特性遠(yuǎn)不止于此，以上僅列舉了一些典型的特性，其他如數(shù)據(jù)最小化、同意和撤銷同意、存留期限等一系列可以體現(xiàn)華為云服務(wù)PbD理念的服務(wù)特性不再贅述，可通過華為云官網(wǎng)資料了解詳細(xì)內(nèi)容。5.3相關(guān)云服務(wù)除了上節(jié)所述隱私特性，華為云還為客戶提供了綜合的隱私保護(hù)解決方案和豐富的云服務(wù)，以幫助客戶構(gòu)建和提升云上業(yè)務(wù)的安全和隱私保護(hù)水平。客戶可根據(jù)自身業(yè)務(wù)特點選用相關(guān)的隱私服務(wù)，管理和保護(hù)個人數(shù)據(jù)。統(tǒng)一身份認(rèn)證服務(wù)（IdentityandAccessManagement）提供身份認(rèn)證和權(quán)限管理功能，可以管理用戶（比如員工、系統(tǒng)或應(yīng)用程序）賬號，并且可以控制這些用戶對您名下資源的操作權(quán)限。華為云隱私保護(hù)白皮書5客戶如何保護(hù)云上業(yè)務(wù)的隱私安全文檔版本2.2(2024-07-31)版權(quán)所有?華為云計算技術(shù)有限公司數(shù)據(jù)加密服務(wù)（DataEncryptionWorkshop）是一個綜合的云上數(shù)據(jù)加密服務(wù)。它