华为云新加坡隐私遵从性说明

华为云新加坡隐私遵从性说明 文档版本3.1 发布日期2023-12-20 华为云计算技术有限公司 版权所有©华为云计算技术有限公司2023。保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标，由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为云计算技术有限公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为云计算技术有限公司对本文档内容不做任何明示或暗示的声明或保证。 由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为云计算技术有限公司 地址：贵州省贵安新区黔中大道交兴功路华为云数据中心邮编：550029网址：https://www.huaweicloud.com/ 目录 1概述2 1.1适用范围2 1.2发布目的2 1.3基本定义2 2云服务的隐私保护责任界定4 3新加坡隐私法规概述6 3.1法规背景介绍6 3.2角色划分及基本义务6 3.3华为云在新加坡隐私法规下的角色7 4华为云如何响应新加坡隐私合规要求8 4.1华为云隐私承诺8 4.2华为云隐私保护基本原则8 4.3华为云响应新加坡《个人数据保护法》《个人数据保护条例》和《个人数据保护（数据泄露通知）条例》的合规措施9 5华为云协助客户响应新加坡隐私合规要求14 5.1客户的隐私保护责任14 5.2华为云产品和服务助力客户实现内容数据的隐私安全20 6华为云隐私保护相关认证资质24 7结语27 8版本历史28 1概述 1.1适用范围 本文档提供的信息适用于华为云在新加坡共和国（简称“新加坡”）开放的产品和服务。 1.2发布目的 本文档旨在帮助客户了解： 1.华为云隐私保护责任模型； 2.新加坡隐私相关的法律要求； 3.基于责任模型，华为云自身关于新加坡隐私法规的遵循性； 4.华为云在隐私管理上已实现的控制和成效； 5.基于责任模型，新加坡隐私法规管辖下的客户须遵循的责任与义务； 6.如何利用华为云的安全产品或服务实现隐私合规。 1.3基本定义 数据控制者/组织：包括任何个人、公司、协会或团体，无论法人或非法人，无论是否在新加坡法律下成立或认可、是否是新加坡居民或是否在新加坡设有办事处或营业地点。以上描述来自《新加坡个人数据保护法》（以下简称“PDPA”），亦指代本文中的“数据控制者”。 数据处理者/数据中介：代表另一个组织处理个人数据的组织，但不包括该组织的员工。以上描述来自PDPA，亦指代本文中的“数据处理者”。 内容数据：指客户在使用华为云服务期间存储或处理的数据，包括但不限于数据、文件、软件、图像、音频、视频等类型的数据。 收集：指组织获得对个人数据的控制权或拥有个人数据涉及的任何单独或一系列行为。 处理：就个人数据而言，指与个人数据有关的任何操作或一系列操作，包括记录、持有、整理、调整或更改、恢复、组合、传输、删除或销毁。 使用：指组织应用个人数据的任何行为或一系列行为。 披露：指组织披露、转移或以其他方式向其他任何组织提供其控制或拥有的个人数据的任何单独的或一系列行为。 个人数据：与一个身份已被识别或者身份可被识别的自然人（“数据主体”）相关的任何信息。身份可识别的自然人是指其身份可以通过诸如姓名、身份证号、位置数据等识别码或者通过一个或多个与自然人的身体、生理、精神、经济、文化或者社会身份相关的特定因素来直接或者间接地被识别。个人数据包括自然人的email地址、电话号码、生物特征（指纹）、位置数据、IP地址、医疗信息、宗教信仰、社保号、婚姻状态等。 华为云：华为的云服务品牌，致力于提供稳定可靠、安全可信、可持续创新的云服务。 客户：与华为云达成商业关系的注册用户。 2云服务的 隐私保护责任 界定 在复杂的云服务业务模式中，隐私保护不再是某一方单一的责任，需要客户与华为云共同努力。基于此，华为云为帮助客户理解双方的隐私保护责任边界、避免出现隐私保护真空区而提出了责任共担模型。在模型中客户与华为云具体负责的区域可参见下图。 图2-1华为云责任共担模型 基于责任共担模型，华为云与客户主要承担如下的隐私保护责任： 华为云：作为云产品、云服务提供商（CloudServiceProvider，简称CSP），一方面负责自身运营过程中收集和处理的客户个人数据安全与合规，另一方面负责为客户提供安全、合规的云服务相关的基础设施、云平台以及软件应用，也就是负责平台安全。 客户隐私保护：华为云识别并保护客户的个人数据。从公司政策、流程、操作层面制定了隐私保护策略，并采取数据分离、数据加密、系统及平台安全防护等措施，全面保护客户隐私的安全。 平台安全及客户安全支持：华为云负责在云服务中涉及到的基础平台及设施的安全与合规，提升华为云的应用安全、平台安全水平以遵从适用的隐私保护法规的要求。同时华为云为客户提供多种隐私保护技术及服务，包括访问控制和身份认证、数据加密、日志和审计等功能，帮助客户根据业务需求进行隐私保护。 客户：作为云产品、云服务的购买方，将决定如何使用相关产品或服务，也决定如何利用云产品或服务存储和处理内容数据，包括其中可能的个人数据，因此客户负责内容数据的安全与合规，也就是负责内容安全。 内容数据保护：客户应正确、全面地识别云端的个人数据，制定可保护个人数据的安全性及隐私的策略并选择恰当的隐私保护措施。具体措施包括根据业务和隐私保护的需求进行安全配置工作，例如操作系统配置、网络设置、安全防护、数据库加密策略等，设置恰当的访问控制策略和密码策略。 数据主体权利响应：客户应保障数据主体的权利，响应数据主体的请求，当发生个人数据泄露事件时，应遵循法规要求采取恰当的行动，例如通知监管部门、通知数据主体、采取缓解措施等。 3新加坡隐私法规 概述 3.1法规背景介绍 《个人数据保护法》（PDPA），为新加坡的个人数据提供了数据保护的基线标准，整体规范了组织对个人数据的收集、使用和披露，保障个人数据保护的权利，既承认个人数据保护的权力，也承认数据控制者出于合理目的收集、适用和披露个人数据的必要性。2020年11月，首次全面修订《个人数据保护法》，并正式颁布《2020年个人数据保护（修订）法》。该修订案的要求分阶段生效，2021年2月生效的修正案包括数据泄露的通知要求、扩大明示同意的范围和明示同意的例外情况等。2022年10月生效的修正案包括提高组织违反PDPA要求的罚款数额。 3.2角色划分及基本义务 新加坡隐私法规规定了组织（数据控制者）、数据中介（数据处理者）两种关键角色。 组织（数据控制者）：包括任何个人、公司、协会或团体，无论法人或非法人，无论是否在新加坡法律下成立或认可、是否是新加坡居民或是否在新加坡设有办事处或营业地点。 数据中介（数据处理者）：代表另一个组织处理个人数据的组织，但不包括该组织的员工。 数据控制者的基本义务主要包括： 1.通知及同意：数据控制者事先通知个人收集、使用或披露个人数据的目的。数据控制者只能出于个人同意的目的，或在PDPA或新加坡任何其他成文法律授权的情况下收集、使用或披露个人数据。如果个人撤回同意，则该数据控制者必须停止收集、使用或披露个人数据。 2.目的限制：目的限制义务规定数据控制者仅可以出于合理的并已经通知个人的目的收集、使用或披露个人数据。 3.访问及更正：个人有权要求访问其个人数据并更正其由数据控制者拥有或控制的个人数据。 4.准确性：PDPA要求数据控制者确保数据控制者或代表数据控制者收集的个人数据是准确和完整的，以保证可能需要使用个人数据以做出会对个人产生影响的决策时，所有相关且准确的个人数据均能被考虑在内。 5.保护：在收集、使用、披露个人数据之前，数据控制者应进行评估确保该行为不会对个人产生不利的影响。通过做出合理的安全规划以保护其拥有或控制的个人数据，以防止未经授权的访问、收集、使用、披露、复制、修改、处置以及存储个人数据的介质或设备的丢失或类似风险。 6.保留限制：当数据控制者不再能满足个人数据当初被收集的目的，并且个人数据不再需要出于法律或商业的目的被保留时，停止保留个人数据，或保证数据无法识别个人身份。 7.转移限制：数据控制者不得将任何个人数据转移到新加坡境外的国家或地区，除非转移的个人数据受到的保护符合PDPA规定的数据保护标准。 8.泄露通知：数据控制者必须以合理和迅速的方式评估数据泄露是否应通知，在评估为应通知的情况下，通知受影响的个人和/或委员会。 9.问责义务：问责义务主要指数据控制者需要制定和执行PDPA义务所必需的政策和实践并对公众可知，与此相关的要求在PDPA中统称为问责义务。 3.3华为云在新加坡隐私法规下的角色 华为云处理的个人数据主要包括客户内容数据中的个人数据和客户在使用华为云进行包括但不限于注册、购买服务、实名认证、服务支持等操作时提供的个人数据。客户有内容数据的控制权，在处理内容数据中的个人数据时，华为云一般作为个人数据处理者。在处理客户创建或管理华为云帐号提供的个人数据时，华为云作为个人数据的数据控制者。 华为云作为个人数据的控制者 当客户使用华为云进行包括但不限于注册、购买服务、实名认证、服务支持等操作时，华为云会基于客户服务的目的向客户收集个人数据，包含姓名、地址、证件号码、银行账户信息等内容。华为云将基于新加坡隐私法规的要求负责该部分客户个人数据的安全及隐私保护，确保个人数据的收集、处理、存储、传输过程符合法律规定，响应个人数据主体权利申请。 华为云作为客户内容数据的个人数据的处理者/服务提供商 当客户为个人数据的控制者而使用华为云服务或应用处理其内容数据中的个人数据时，华为云的角色为个人数据处理者/服务提供商。华为云代表客户根据个人数据处理协议或个人数据控制者的指令处理个人数据。 4华为云如 何响应新加坡隐私合规要求 4.1华为云隐私承诺 华为云以网络安全和隐私保护作为最高纲领，将网络安全和隐私保护融入到云服务中，承诺尊重和保护客户隐私的同时为客户提供稳定、可靠、安全、值得信赖及可持续的服务。 华为云郑重对待并积极承担相应责任，以遵守全球隐私保护法律法规。华为云建立专业的隐私保护团队、建立并优化流程、积极开发新技术、不断构建隐私保护能力以实现华为云的隐私保护目标：遵守严格的服务边界保护客户个人数据安全，助力客户实现隐私保护。 4.2华为云隐私保护基本原则 合法、正当、透明 华为云以合法、正当、对数据主体透明的方式处理个人数据。 目的限制 华为云基于具体、明确、合法的目的收集个人数据，不以与此目的不相符的方式做进一步处理。 数据最小化 华为云在处理个人数据时应遵循数据处理目的，且是必要的、适当的。华为云尽可能对个人数据进行匿名或化名处理，降低对数据主体的风险。 准确性 华为云确保个人数据的准确性，并在必要的情况下及时更新。根据数据处理的目的，采取合理的措施确保及时删除或修正不准确的个人数据。 存储期限最小化 华为云在存储个人数据时不超过实现数据处理目的所必要的期限。 完整性与保密性 华为云根据现有技术能力、实现成本、隐私风险程度和概率采取适度的技术和数据控制者措施确保个人数据的安全性，包括防止个人数据被意外或非法损毁、丢失、篡改、未授权访问或披露。 可归责 华为云负责且能够对外展示遵从上述原则。 4.3华为云响应新加坡《个人数据保护法》《个人数据保护条例》和《个人数据保护（数据泄露通知）条例》的合规措施 基于华为云业务的特性，根据新加坡《个人数据保护法》《个人数据保护条例