华为云哥伦比亚隐私遵从性说明
AI智能总结
华为云哥伦比亚隐私遵从性说明 文档版本1.0 发布日期2024-03-21 华为云计算技术有限公司 版权所有©华为云计算技术有限公司2024。保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标,由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为云计算技术有限公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为云计算技术有限公司对本文档内容不做任何明示或暗示的声明或保证。 由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为云计算技术有限公司 地址:贵州省贵安新区黔中大道交兴功路华为云数据中心邮编:550029网址:https://www.huaweicloud.com/ 目录 1概述3 1.1适用范围3 1.2发布目的3 2华为云处理的个人数据4 3华为云责任共担模型5 4哥伦比亚隐私法规概述7 4.1法规背景介绍7 4.2角色划分及基本义务7 5华为云如何遵从哥伦比亚隐私法律要求9 5.1华为云在哥伦比亚隐私法律下的角色9 5.2华为云作为数据控制者,如何遵从隐私法律要求9 5.2.1华为云个人数据处理基本原则9 5.2.2华为云如何履行哥伦比亚隐私法律相关要求10 5.3华为云作为数据处理者,如何遵从隐私法律相关要求16 5.3.1华为云数据处理活动16 5.3.2华为云履行处理者的义务16 6客户遵从哥伦比亚隐私法律要求及注意事项21 6.1客户的隐私保护责任及注意事项21 6.2客户可选择的额外安全措施26 7结语30 8版本历史31 1概述 1.1适用范围 本文档提供的信息适用于华为云在哥伦比亚开放的产品和服务。 1.2发布目的 本文档旨在帮助客户了解: 1.华为云隐私保护责任共担模型; 2.哥伦比亚相关隐私法律的要求; 3.基于责任模型,华为云如何遵从哥伦比亚相关隐私法律的要求; 4.基于责任模型,客户可能需要遵从哥伦比亚相关隐私法律的要求以及注意事项; 5.华为云如何协助客户满足相关隐私合规要求。 2华为云处理的个人数据 华为云在向客户提供服务的过程中,通常会处理客户以下两类个人数据: 1.账号数据: 账号数据是指客户在与华为云的互动过程中,出于服务必要的目的提供给华为云的、与客户账号的创建或管理相关的个人数据。例如,客户创建账号时,向华为云提供的用户名、手机号码、邮箱地址;客户使用地址管理服务时,向华为云提供的收件人姓名、详细地址、邮政编码、手机号码。 华为云《隐私政策声明》所述实践适用于账号数据;华为云将依照《隐私政策声明》处理账号数据,如遵循数据最小化原则收集、存储和使用,采取适当的技术与组织措施保护账号数据安全等。 客户数据: 客户数据是指客户内容中包含的个人数据。 客户内容是指客户和/或客户的最终用户以任何格式在华为云服务上存储和处理的所有数据、软件、文本、图像、视频、音频等,以及上述数据通过服务产生的计算结果。 客户拥有并可以控制客户内容(包括客户数据): 1)客户可以选择使用哪些华为云服务来处理客户内容。 2)客户可以选择客户内容的存储位置。 3)客户可以选择客户内容的安全保护方式。 4)客户可以管理及控制客户内容的访问权限。 华为云《数据处理附录》所述实践适用于客户数据,华为云将依照《数据处理附录》处理客户数据,如华为云仅按照客户指示处理客户数据,华为云获知客户数据泄露后,将及时通知客户,采取安全措施保护客户数据等。 3华为云责任共担模型 由于华为云客户拥有对其客户内容的所有权和控制权,华为云不了解或不知道客户在华为云服务上处理的客户内容,包括是否存在客户数据,是否被适用的隐私法保护。因此作为华为云“责任共担”模型的一部分,客户应承担客户内容安全相关的责任。 在隐私保护要求可能适用于客户内容的情况下,“责任共担”模型帮助华为云和客户双方理解各自角色以及责任。 图2-1华为云责任共担模型 华为云:作为云服务提供商(CloudServiceProvider,简称CSP),安全责任在于保障云服务自身的安全,包括数据中心的物理基础设施和运行其上的基础服务、平台服务、应用服务等。 1)物理基础设施安全:华为云的区域、可用区和终端节点涉及机房、环境的安全管理,以及物理服务器和网络设备等设施的管理。 2)基础服务安全:指华为云提供的计算、网络、存储等方面的安全管理,包括云计算、云存储、云数据库等服务的底层管理(如虚拟化控制层)和使用管理(如虚拟主机),以及虚拟网络、负载均衡、安全网关、VPN、专线链路等。 3)平台服务安全:指在华为云中的微服务、管理、中间件等平台类的安全管理,包括平台的设计、开发、发布、配置和使用等。 4)应用服务安全:指在华为云中的支撑运维运营,以及支撑用户业务等应用系统的安全管理,包括应用的设计、开发、发布、配置和使用等。 客户:作为云服务的使用方,客户对其内容数据拥有所有权和控制权。客户决定他们使用华为云服务存储或处理的内容,因此只有客户才能确定使用华为云存储和处理的内容适合何种安全级别。客户还可以完全控制授权谁访问他们的内容数据,包括需要什么凭证。客户可以控制如何保护他们的内容数据,包括是否加密内容数据等,因此客户对其内容数据的安全性负责。客户内容数据由客户选择以及使用的云服务存储或处理,因此客户也应负责其使用的云服务内部的安全,对云服务定制配置并进行安全有效管理,包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统,虚拟防火 墙、API网关和高级安全服务,各项云服务,租户数据,以及身份账号和密钥管理等方面的安全配置。如: 1)对于各项云服务,华为云提供客户执行特定安全任务所需的资源、功能和性能,而客户需负责各项可控资源的安全配置工作。 2)客户负责部署其虚拟网络的防火墙,网关和高级安全服务等的策略配置; 3)客户负责部署其虚拟网络、虚拟主机和访客虚拟机和容器等云服务所必需的安全配置和管理任务(包括更新和安全补丁)、容器安全管理(包括容器集群、节点和容器的安全配置、访问控制安全配置等)等 4)客户负责部署其自行部署在华为云的任何应用程序软件或实用程序进行安全管理。 4哥伦比亚隐私法规概述 4.1法规背景介绍 《2012年第1581号法律》:该法律于2012年10月17日颁布,其明确了保护个人数据的一般规定,构成了哥伦比亚保护个人数据安全的总体框架,并且落实了 《宪法》赋予哥伦比亚人的保护个人数据的权利。 《2013年第1377号法令》:该法令于2013年6月27日颁布,其基于《2012年第1581号法律》的内容提出了更详尽的规定,进一步细化和规范了《2012年第1581号法律》的要求。 《2008年第1266号法律》:该法律于2008年12月31日颁布,其规范了个人数据库中信息的处理,特别是金融、信贷、商业、服务和来自第三国的信息的处理等。 《2021年第2157号法律》:该法律于2021年10月29日颁布,其旨在对《2008年第1266号法律》进行修订和补充,以加强对个人数据的保护。 《个人数据国际传输责任原则实施指南》:该指南针对将个人数据从哥伦比亚传输至其他国家提出了多项建议措施,以确保个人数据跨境传输过程中的安全。不过,该指南所提出的建议不具有强制效力,不构成法律要求,仅为相关方遵守哥伦比亚个人数据保护相关要求提供指导。 4.2角色划分及基本义务 哥伦比亚隐私法规规定了数据主体、数据控制者、数据处理者三种角色。数据主体:个人数据被处理的个人。 数据控制者:指公共的或私人的、自行的或与他人共同决定数据库和/或数据的处理的自然人或法人。 数据处理者:指公共的或私人的、自行的或与他人共同代表数据控制者处理个人数据的自然人或法人。 数据主体享有向数据控制者或数据处理者了解、更新和更正他们的个人数据、要求证明授予数据控制者的授权、要求数据控制者或数据处理者告知他们的个人数据的使用 情况、向监管机构申诉、撤销授权、要求删除个人数据以及访问他们被处理的个人数据等权利。 数据处理者的基本义务包括:保证数据主体在任何时候都能充分有效地行使数据保护的权利;保障个人数据的安全;及时更新、纠正或删除个人数据;收到数据控制者的通知后及时更新相关信息;依法处理数据主体提出的查询和索赔请求;制定有效的个人数据保护内部政策和流程,以遵守法律规定与要求;针对数据主体的申诉,在数据库中进行记录;收到主管当局通知与个人数据质量有关的司法程序后,在数据库中进行记录;避免传播数据主体有争议的信息以及监管机构要求封锁的信息;当出现违反安全规定并且对于数据主体个人数据的管理造成风险的情况时,向监管机构报告;遵守监管机构发布的指示和要求。 数据控制者的基本义务包括: 1)通知及同意:处理需要获得数据主体的事先的、知情的授权。数据控制者在获取数据主体授权时,必须明确地通知以下事项:数据主体个人数据的处理方式及处理目的;当提出的问题涉及敏感数据或儿童的数据时,所提问题的答复的可选性质;数据主体所享有的权利;数据控制者的身份信息、物理或电子地址和电话号码。 2)目的限制:处理活动必须符合宪法和法律规定的合法目的,并且该处理目的必须被告知数据主体。 3)数据主体权利:在处理个人数据的过程中,数据主体的权利应得到充分有效保障。 4)准确性:被处理的个人数据必须真实、完整、准确、最新、可验证和可理解。 5)保护:在安全的条件下留存个人数据,避免其被篡改、丢失、未经授权访问、查阅和使用。 6)保留限制:数据留存不得超过为实现处理目的所必需的最短时间。 7)转移限制:开展数据跨境传输时,除以下情况外,数据控制者应仅向能够提供充分数据保护水平的国家进行传输:数据主体明确授权;数据控制者出于健康或公共卫生原因而传输医疗数据;根据适用法律,银行或证券交易所转账;在哥伦比亚共和国加入的国际条约框架内,根据对等原则商定的传输;在数据控控制者授权的情况下,执行数据主体与数据控制者之间的合同或执行合同前措施所需的传输;为维护公共利益或在司法程序中承认、行使或捍卫一项权利而法律上需要的传输。 8)泄露通知:当出现违反安全规定并且对于数据主体个人数据的管理造成风险的情况时,向监管机构报告。 9)问责义务:制定有效的个人数据保护内部政策和流程,以遵守法律规定与要求。 5华为云如何遵从哥伦比亚隐私法律要求 5.1华为云在哥伦比亚隐私法律下的角色 华为云处理的个人数据主要包括账号数据和客户数据。 华为云作为账号数据的控制者 在客户与华为云互动过程中,客户向华为云提交的账号数据,华为云决定了账号数据收集方式及处理目的,因此华为云承担数据控制者角色。华为云也将基于哥伦比亚隐私法律的要求负责该部分客户个人数据的安全及隐私保护,确保个人数据的收集、处理、存储、传输过程符合法律规定,响应个人数据主体权利请求。 华为云作为客户数据的处理者 客户拥有并完全控制客户数据,客户选择以及使用华为云服务存储和处理客户数据,客户通过云服务提供的功能配置或API接口等方式下达指示,华为云按照客户下达的指示处理数据,当客户是客户数据控制者角色时,华为云承担客户数据处理者角色。当客户是客户数据处理者角色时,华为云承担客户数据子处理者角色。 5.2华为云作为数据控制者,如何遵从隐私法律要求 华为云以网络安全和隐私保护作为最高纲领,将网络安全和隐私保护融入到云服务中,承诺尊重和保护客户隐私的同时为客户提供稳定、可靠、安全、值得信赖及可持续的服务。 华为云郑重对待并积极承担相应责任,以遵守全球隐私保护法律法规。华为云建立专业的隐私保护团
