华为云隐私保护白皮书 文档版本2.2 发布日期2024-07-31 华为云计算技术有限公司 版权所有©华为云计算技术有限公司2024。保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标,由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为云计算技术有限公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为云计算技术有限公司对本文档内容不做任何明示或暗示的声明或保证。 由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为云计算技术有限公司 地址:贵州省贵安新区黔中大道交兴功路华为云数据中心邮编:550029网址:https://www.huaweicloud.com/ 引言 随着云计算技术和云服务的不断演进和成熟,公有云、混合云等各种模式的云服务逐渐成为越来越多的企业的最佳选择。云服务提供商为企业带来更便捷、更丰富、也更经济实惠的云服务,如何保护云上数据、尤其是个人数据的安全,不仅是云服务提供商的首要任务,也逐渐成为企业业务上云的主要考量因素。 2016年11月,中国颁布了《中华人民共和国网络安全法》,对个人信息保护提出一系列要求。关于个人信息保护的国家级标准《信息安全技术个人信息安全规范》也于2018年正式实施。2021年11月,《中华人民共和国个人信息保护法》正式生效,为保护个人信息安全提供了重要保障。2016年,欧盟发布《通用数据保护条例》(GeneralDataProtectionRegulation,以下简称GDPR)并于2018年5月正式生效,对个人隐私权利提出了明确的法律要求。GDPR的一经发布即在全球范围内产生了深远影响,公众对隐私保护的关注达到空前高度。近年,阿根廷、新西兰、巴西、印度、土耳其、泰国等国家也相继发布了本国隐私保护法律。全球范围内对个人隐私保护的监管日益严格,不仅对云服务提供商的隐私保护提出了更高要求,也客观上使得企业(尤其是开展跨国业务的企业)的隐私保护合规工作将更具挑战。 华为云是华为的云服务品牌,将华为30多年在ICT领域的技术积累和产品解决方案开放给客户,致力于提供稳定可靠、安全可信、可持续创新的云服务。华为云在隐私保护方面付出诸多努力并取得了显著的成效,我们希望借此白皮书与您分享将华为云的隐私保护理念和相关工作,介绍我们如何保护客户的个人数据,以及华为云服务如何帮助客户构建云上的隐私保护。 目录 引言ii 1概述1 2隐私保护合规和认证2 2.1合规性2 2.2标准与认证3 3共同构筑隐私安全4 3.1华为云的责任5 3.2客户的责任5 4华为云如何管理和保护数据隐私6 4.1个人数据处理基本原则6 4.2华为云隐私保护管理体系6 4.3技术和工具9 5客户如何保护云上业务的隐私安全11 5.1DevSecOps——云服务生命周期管控11 5.2云服务的隐私安全特性12 5.3相关云服务12 6结语14 7版本历史15 1概述 网络安全和隐私保护①一直是华为生存之本,从创立至今,华为人便一直坚定地朝着这个方向不懈努力。基于华为公司在网络安全和隐私保护方面多年的实践与经验,华为云充分理解隐私的重要性,现已将隐私保护融入到每个云服务中。在网络安全与隐私保护是数智世界发展的基石的指导下,华为云以“尊重和保护隐私,让人们放心地使用便捷可信的云服务”为愿景。围绕这一愿景,华为云郑重对待网络安全和隐私保护事项并积极承担相应责任,设置了专业的隐私保护团队,制定并完善隐私保护管理流程,积极研发安全和数据保护技术,不断建设和提升华为云隐私保护的能力,为客户提供稳定可靠、安全可信、可持续演进的云服务。 得益于华为云全方位、系统性的隐私保护管理体系的支撑,使得我们可以更好地实现这一目标。华为云以全球隐私保护的法律法规为基石,参考业界广泛认可的优秀实践,建设华为云的隐私保护体系。华为云投入大量的专业人员和资源,支撑管理措施和信息技术的研究和落地,保障隐私保护体系的有效运转,确保华为云的隐私保护合规并获得持续发展。 当然,实现隐私保护需要强大的安全能力为其提供支撑,隐私保护和安全息息相关。华为云在云安全方面具备行业领先的实践和积累,详细内容请查看《华为云安全白皮书》和《华为云数据安全白皮书》。 华为云秉承数据中立态度,严守服务边界,保障数据为客户所有、为客户所用、为客户创造价值;华为云承诺将确保相关业务遵从业务所在国家/地区适用的隐私保护法律法规。 —————————————————— ①隐私:最广泛的定义是个人letalone的权利。物理上隐私是指个人住宅或个人财产、搜身、监控或提取生物特征信息,而信息性的隐私是指个人控制、编辑、管理和删除关于自己信息的能力和决定如何与他人沟通这些信息的能力。本白皮书中主要谈及的是信息性的隐私。 2隐私保护合规和认证 2.1合规性 法律遵从是企业开展业务的合规底线,华为云遵守业务所在地所有适用的法律法规要求。华为云投入专业的法务团队,紧密关注全球范围内华为云服务适用的法律法规更新情况,对相关法律法规保持持续跟踪并进行快速分析,确保华为云业务合规。对部分云服务网络安全、隐私保护相关的法律、法规及行业监管要求,我们结合华为云服务特性编写了合规遵从白皮书,以说明华为云对特定法律法规要求的遵从性,帮助客户理解适用法律法规要求并为全球客户在不同国家业务的隐私合规性提供参考。 截止目前,华为云已发布十余份各国隐私保护法律或行业标准遵从白皮书,并将持续发布更多的白皮书,您可以随时在华为云官方网站信任中心获取到以下白皮书②: 巴西LGPD遵从性指南 马来西亚PDPA遵从性指南新加坡PDPA遵从性指南 华为云泰国PDPA遵从性指南华为云南非POPIA遵从性指南 中国香港特别行政区PDPO遵从性指南华为云HIPAA遵从性指南 华为云PCIDSS实践指南 新加坡金融行业监管要求遵从性指南中国香港金融行业监管要求遵从性指南泰国金融行业监管遵从性指南 2.2标准与认证 华为在践行业界网络安全和隐私保护领域优秀实践的同时,积极加入如云安全联盟、IAPP等国际权威组织,参与各类云安全和隐私保护标准的起草和修订,将华为的实践和经验回馈社会和全行业。华为云网络安全和隐私保护的能力和成效在全球范围得到广泛认可。目前,华为云共取得海内外十余家机构的第三方认证。 下面列举了华为云已获得的部分与隐私保护强相关的认证③: ISO/IEC27018:2014 ISO/IEC29151:2017 ISO/IEC27701:2019 BS10012:2017 ISO/IEC27799PCIDSS认证PCI-3DS认证 可信云云服务用户数据保护能力认证(中国) SOC2TypeI/IIReport(隐私性) 华为云积极关注业界权威隐私认证机制的出台,并持续提高要求,完善隐私保护体系,增加和更新安全和隐私方面的认证。同时,华为云和隐私保护相关协会紧密合作,对隐私保护前沿资讯及技术进行探讨,帮助华为云打造一个可持续发展的、安全可信的云平台环境。 —————————————————— ②华为云可能随时新增或更新隐私合规性白皮书,所有信息以华为云官网发布内容为准。相关文件您可以在华为云官网信任中心获取最新版本:https://www.huaweicloud.com/securecenter/resource.html。 ③客户进行相关认证时,如需从华为云获得必要的协助,可访问华为云信任中心获取华为云相关认证证书的副本:https://www.huaweicloud.com/securecenter/compliance.html。 3共同构筑隐私安全 华为作为云服务提供商(CSP)向客户提供了基础设施即服务(IaaS),平台即服务 (PaaS)和软件即服务(SaaS)各类云服务,在复杂的云服务环境中如何实现隐私安全,需要客户与华为云共同努力。隐私保护对企业提出了明确的要求,本章我们将基于以下责任模型介绍客户在使用云服务时需要承担的隐私保护责任和义务,以及华为云如何帮助你更好的实现隐私安全。 图3-1华为云安全责任共担模型 如上图所示,华为云主要负责云服务自身的安全以及合规,并为客户提供在数据处 理、存储、转移等过程中的所需的隐私特性。针对客户内容数据④,客户拥有全部的权利和义务,包括隐私保护的义务,制定安全和隐私保护策略和措施确保个人数据⑤安全,保障数据主体权利⑥以及各项活动合规。 该模型帮助客户理解华为云和客户各自承担的隐私保护责任和义务,有利于客户识别其个人数据,制定合适的个人数据保护策略,从而最终更好地实现隐私保护。 基于责任模型,华为云与客户主要承担如下的隐私保护责任: 3.1华为云的责任 华为云作为云服务提供方,负责构建由基础设施层、平台层、应用层组成的云平台,并负责云平台基础设施如物理环境、软硬件、计算、网络、数据库、存储等以及平台层、应用层的安全。华为云各项活动和云服务遵从隐私保护相关法律法规,为客户提供稳定、安全和有利于隐私保护的云环境。 华为云为客户提供多种隐私保护技术,包括访问控制和身份认证、数据加密、日志和审计和其他相关的隐私保护技术,以及基于此基础上的华为云各项服务,帮助客户根据业务需求进行隐私保护。华为云拥有完善的隐私保护体系和多方位的隐私保护管控机制,能实现华为云隐私保护的责任。 3.2客户的责任 客户对其内容数据拥有全面控制权,应正确、全面地识别云端的个人数据,选择恰当的服务并制定安全和隐私保护策略以保护个人数据安全。根据业务和隐私保护的需求进行安全配置工作,例如操作系统配置、网络设置、安全防护、数据库加密策略等,并设置恰当的访问控制策略和密码策略。客户可使用华为云为其提供的多种隐私保护服务,例如使用数据识别技术对数据进行识别和分类、使用访问控制服务对个人数据设置最小权限并按需分配权限、使用加密手段对个人数据的存储和传输进行保护等。 客户应保障其数据主体的权利,响应数据主体请求,当发生个人数据泄露事件时,通知数据主体并采取相应措施。客户可使用华为云为其提供的多种隐私保护服务,例如使用日志功能,保留对个人数据的操作记录,以帮助保障其用户对个人数据的知情权。客户应确保其对个人数据处理符合隐私保护相关法律法规的要求。对此,华为云提供多种隐私保护服务及合规解决方案,帮助客户实现全面的隐私保护合规。 —————————————————— ④客户内容数据:客户使用华为云服务过程中存储或处理的内容,包括但不限于数据、文件、软件、图像、音频、视频等类型的数据。 ⑤个人数据/个人信息:指与一个身份已被识别或者身份可被识别的自然人(“数据主体”)相关的任何信息,其主要包括:自然人的email地址、电话号码、生物特征 (指纹)、位置数据、IP地址、医疗信息、宗教信仰、社保号、婚姻状态等。 ⑥数据主体权利:数据主体依法对其个人数据享有的各项权利,包括但不限于知情权、访问权、数据可携带权、被遗忘权等。 4华为云如何管理和保护数据隐私 4.1个人数据处理基本原则 在云服务中,我们讨论隐私保护的绝大部分场景是关于信息化的个人数据的处理,我们如何保护保障数据主体相关的权利以及如何保护个人数据的安全性。为此,我们确定了个人数据处理的基本原则,并通过适当的管理和技术措施确保在处理个人数据时遵从以下基本原则。 4.2华为云隐私保护管理体系 为保护客户个人信息并帮助客户构建云上业务的隐私保护,持续有效地开展隐私保护管理工作,华为云已建立并持续完善华为云业务隐私保护管理体系。华为云在“尊重和保护隐私,让人们放心地使用便捷可信的云服务”愿景指导下,参考被业界广泛认可的隐私保护原