华为云智利共和国 PDPL 遵从性指南

华为云智利共和国PDPL遵从性指南 文档版本1.2 发布日期2023-12-26 华为技术有限公司 版权所有©华为技术有限公司2023。保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标，由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或暗示的声明或保证。 由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为技术有限公司 地址：深圳市龙岗区坂田华为总部办公楼邮编：518129网址：https://www.huawei.com 客户服务邮箱：support@huawei.com 客户服务电话：4008302118 安全声明 漏洞声明 华为公司对产品漏洞管理的规定以“漏洞处理流程”为准，该政策可参考华为公司官方网站的网址： https://www.huawei.com/cn/psirt/vul-response-process。 如企业客户须获取漏洞信息，请访问：https://securitybulletin.huawei.com/enterprise/cn/security-advisory。 目录 1概述1 1.1适用范围1 1.2发布目的1 1.3基本定义1 2云服务的隐私保护责任界定3 3智利个人数据保护法PDPL概述5 3.1立法背景介绍5 3.2华为云在PDPL下的角色5 4华为云如何满足智利PDPL6 4.1华为云隐私承诺6 4.2华为云隐私保护基本原则6 4.3华为云遵从智利PDPL的措施7 5华为云如何协助客户满足智利PDPL19 5.1客户的隐私保护责任和义务19 5.2华为云的产品和服务如何助力客户实现内容数据的隐私安全24 6华为云隐私保护相关认证资质29 7结语32 8版本历史33 1概述 1.1适用范围 本文档提供的信息适用于华为云在智利共和国（以下简称“智利”）开放的产品和服务。 1.2发布目的 本文档旨在帮助客户了解： 华为云隐私保护责任模型； 智利隐私相关法律法规； 基于责任模型，华为云自身关于智利隐私法律法规的遵循性； 华为云在隐私管理上已实现的控制和成效； 如何利用华为云的安全产品或服务实现对智利隐私相关的法律法规的遵从 1.3基本定义 个人数据 与已识别或可识别的自然人有关的任何信息。任何可以直接或间接确定其身份的人，特别是通过一个或多个标识符，如姓名、身份证号码、对其身体、生理、遗传、心理、经济、文化或社会身份要素的分析，除与识别努力不相称的情况外，应被视为可识别。 敏感个人数据 仅显示民族或种族血统、政治派别或工会的隶属关系、个人习惯、思想或哲学信念、宗教信仰的数据，与健康数据、人类生物特征、生物识别数据以及与自然人的性生活、性取向和性别认同有关的信息。 数据控制者 任何决定处理个人数据的目的和方式的自然人或法人，无论其是公有的或私有的，无论个人数据是由其直接处理还是通过第三方代理或处理者处理。 第三方代理或处理者 代表数据控制者处理个人数据的自然人或法人。 数据主体 与个人数据有关或个人数据所指向的已识别或可识别的自然人。 数据处理 以任意方式收集、处理、存储、通信、传输或使用个人数据或个人数据集的任何操作或一组操作或技术程序，无论其是否自动化。 同意 任何自由、具体、明确和知情的意愿表达，数据主体、其法定代理人或受托人 （视具体情况确定），通过这种方式授权处理有关他的个人数据。 个人数据的转移 数据控制者将个人数据转移给另一个数据控制者。 华为云 华为云是华为的云服务品牌，致力于提供稳定可靠、安全可信、可持续创新的云服务。 客户 指与华为云达成商业关系的注册用户。 账户信息 指客户在创建或管理其华为云账户时向华为云提供的个人数据，例如客户的姓名、电话号码、电子邮件地址、银行账户信息和账单信息等。对于账户信息中的个人数据，华为云是数据控制者。 内容数据 指客户使用华为云服务过程中存储或处理的内容，包括但不限于数据、文件、软件、图像、音频、视频等类型的数据。 2云服务的隐私保护责任界定 在复杂的云服务业务模式中，隐私保护不再是某一方单一的责任，需要租户与华为云共同努力。基于此，华为云为帮助租户理解双方的隐私保护责任边界、避免出现隐私保护真空区而提出了责任共担模型。在模型中租户与华为云具体负责的区域可参见下图。 图2-1责任共担模型 基于责任共担模型，华为云与租户主要承担如下的隐私保护责任： 华为云：作为云产品、云服务提供商（CloudServiceProvider，简称CSP），一方面负责自身运营过程中收集和处理的租户个人数据的安全与合规，另一方面负责为租户提供安全、合规的云服务相关的基础设施、云平台以及软件应用，也就是负责平台安全。 租户隐私保护：华为云识别并保护租户的个人数据。从公司政策、流程、操作层面制定了隐私保护策略，并采取匿名化、数据加密、系统及平台安全防护等措施，全面保护租户个人数据的安全。 平台安全及租户安全支持：华为云负责在云服务中涉及到的基础平台及设施的安全与合规，并确保华为云的应用安全、平台安全水平遵从适用的隐私保护法规的要求。同时华为云为租户提供多种隐私保护技术及服务，包括访问控制和身份认证、数据加密、日志和审计等功能，帮助租户根据业务需求进行隐私保护。 租户：作为云产品、云服务的购买方，将决定如何使用相关产品或服务，也决定如何利用云产品或服务存储和处理内容数据，包括其中可能的个人数据，因此租户负责内容数据的安全与合规，也就是负责内容安全。 内容数据保护：租户应正确、全面地识别云端的个人数据，制定可保护个人数据的安全及隐私的策略并选择恰当的隐私保护措施。具体措施包括根据业务和隐私保护的需求进行安全配置工作，例如操作系统配置、网络设置、安全防护、数据库加密策略等，设置恰当的访问控制策略和密码策略。 数据主体权利响应：租户应保障数据主体的权利，响应数据主体的请求，当发生个人数据泄露事件时，应遵循法规要求采取恰当的行动，例如通知监管部门、通知数据主体、采取缓解措施等。 3智利个人数据保护法PDPL概述 3.1立法背景介绍 在1999年，智利颁布了《关于保护私人生活的第19,628号法律》（Law19,628OntheProtectionofPrivateLife,PDPL），其是智利目前保护个人数据的最重要的法律依据，也是拉丁美洲范围内第一部个人数据保护法。但是，智利PDPL未能得到有效实践。在成为经济合作与发展组织（OECD）成员国家后，为更好地发展数字经济，智利对PDPL进行了多次修订。其中，智利在2017年3月25日颁布的第11,144-07号法案对PDPL的修订最为全面。该法案对数据控制者的义务、个人数据跨境传输等问题做出了详细规定，其旨在通过对智利PDPL进行修订，使智利对个人数据的保护达到国际水准。不过，目前第11,144-07号法案尚未生效，仍处于审议之中。为全面呈现华为云对与智利PDPL的遵从性，本文档适用于发布之日现行有效的智利PDPL以及尚未生效的修订后的智利PDPL，且可能根据适用的法律法规予以相应调整。 3.2华为云在PDPL下的角色 华为云处理的个人数据主要包括客户内容数据中的个人数据和客户在使用华为云进行包括但不限于注册、购买服务、实名认证、服务支持等操作时提供的个人数据。客户有内容数据的控制权，在处理内容数据中的个人数据时，华为云一般作为处理者。在处理客户创建或管理华为云帐号提供的个人数据时，华为云作为数据控制者。 华为云作为数据控制者 当客户使用华为云进行包括但不限于注册、购买服务、实名认证、服务支持等操作时，华为云会基于客户服务的目的向客户收集个人数据，包含姓名、地址、证件号码、银行账户信息等内容。华为云将负责该部分客户个人数据的安全及隐私保护，确保个人数据的收集、处理、存储过程符合法律规定，响应数据主体权利申请，基于PDPL要求的有限度披露以及努力避免个人数据泄露事件的发生。 华为云作为客户内容数据的处理者 当客户为数据控制者而使用华为云服务或应用处理其内容数据中的个人数据时，华为云的角色为处理者。华为云代表客户根据个人数据处理协议或数据控制者的指令处理个人数据。 4华为云如何满足智利PDPL 4.1华为云隐私承诺 华为云以网络安全和隐私保护作为最高纲领，将网络安全和隐私保护完全融入到每个云服务中，承诺尊重和保护客户隐私的同时为客户提供稳定、可靠、安全、值得信赖及可持续的服务。 华为云郑重对待并积极承担相应责任，以遵守全球隐私保护法律法规。华为云建立专业的隐私保护团队、建立并优化流程、积极开发新技术、不断构建隐私保护能力以实现华为云的隐私保护目标：遵守严格的服务边界保护客户个人数据安全，助力客户实现隐私保护。 4.2华为云隐私保护基本原则 合法、正当、透明 华为云以合法、正当、对数据主体透明的方式处理个人数据。 目的限制 华为云基于具体、明确、合法的目的收集个人数据，不以与此目的不相符的方式做进一步处理。 数据最小化 华为云在处理个人数据时应遵循数据处理目的，且是必要的、适当的。华为云尽可能对个人数据进行匿名或化名处理，降低对数据主体的风险。 准确性 华为云确保个人数据的准确性，并在必要的情况下及时更新。根据数据处理的目的，采取合理的措施确保及时删除或修正不准确的个人数据。 存储期限最小化 华为云在存储个人数据时不超过实现数据处理目的所必要的期限。 完整性与保密性 华为云根据现有技术能力、实现成本、个人数据风险程度和概率采取适度的技术或组织措施确保个人数据的安全，包括防止个人数据被意外或非法损毁、丢失、篡改、未授权访问或披露。 可归责华为云负责且能够对外展示遵从上述原则。 4.3华为云遵从智利PDPL的措施 基于华为云业务的特性，根据智利PDPL的要求，华为云作为处理个人数据的法人实体，在不同场景下承担数据控制者和处理者两种角色。华为云积极响应并履行自身的义务，采取了如下隐私保护机制及技术以满足现行有效的智利PDPL的核心要求。此外，正处于审议之中的第11,144-07号法案将对现行有效的智利PDPL进行修订。尽管该法案尚未最终生效，但是目前华为云已经做好充分准备，以响应修订后的智利PDPL的核心要求。 华为云对现行有效的智利PDPL的核心要求的响应现行有效的智利PDPL的核心要求 华为云适用的具体要求（作为数据控制者） 华为云采取的措施 个人数据的使用 华为云作为数据控制者，应： 客户在注册华为云帐号时，华为云会向其展示 《隐私政策声明》并获得客户的同意。在《隐私政策声明》中告知数据主体企业的身份、处理的目的、涉及的接收者信息或类别、告知数据主体不同意以上声明可能产生的后果以及数据主体拥有的权利。客户也可以直接在官网查询华为云的《隐私政策声明》。 华为云为客户提供了操作简捷的撤回同意与注销账号的渠道，客户有权决定是否以及何时撤回同意或注销账号，从而停止华为云的产品或服务对其个人数据的收集。华为云定期对处理个人数据的目的进行审核，对不再需要的个人数据进行匿名化或删除等安全处理；客户也可以使用官网注销账号功能删除保存在华为云中的数据。华为云确保客户个人数据的完整性、准确性且不具误导性，并在必要的情况 在处理个人数据前告知数据主体处理目的并获得书面同意，并为数据主体提供撤回同意的方式。确保个人数据的准确性，及时更正错误、不准确、具有误导性或不完整的个人数据。在缺乏存储个人数