华为云肯尼亚隐私遵从性说明
AI智能总结
华为云肯尼亚隐私遵从性说明 文档版本1.0 发布日期2023-02-24 华为云计算技术有限公司 版权所有©华为云计算技术有限公司2023。保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标,由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为云计算技术有限公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为云计算技术有限公司对本文档内容不做任何明示或暗示的声明或保证。 由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为云计算技术有限公司 地址:贵州省贵安新区黔中大道交兴功路华为云数据中心邮编:550029网址:https://www.huaweicloud.com/ 目录 1目录1 2概述2 2.1适用范围2 2.2发布目的2 2.3基本定义2 3云服务的隐私保护责任界定4 4肯尼亚隐私法规概述6 4.1法规背景介绍6 4.2角色划分及基本义务6 4.3华为云在肯尼亚隐私法规下的角色7 5华为云如何响应肯尼亚隐私合规要求8 5.1华为云隐私承诺8 5.2华为云隐私保护基本原则8 5.3华为云响应肯尼亚《数据保护法》和《数据保护通用条例》的合规措施9 6华为云协助客户响应肯尼亚隐私合规要求21 6.1客户的隐私保护责任21 6.2华为云产品和服务助力客户实现内容数据的隐私安全28 7华为云隐私保护相关认证资质33 8结语35 9版本历史36 1目录 2概述 2.1适用范围 本文档提供的信息适用于华为云在在肯尼亚共和国(简称“肯尼亚”)开放的产品和服务。 2.2发布目的 本文档旨在帮助客户了解: 1.华为云隐私保护责任模型; 2.肯尼亚隐私相关的法律要求; 3.基于责任模型,华为云自身关于肯尼亚隐私法规的遵循性; 4.华为云在隐私管理上已实现的控制和成效; 5.基于责任模型,肯尼亚隐私法规管辖下的客户须遵循的责任与义务; 6.如何利用华为云的安全产品或服务实现隐私合规。 2.3基本定义 ●个人数据 是指与已识别或可识别的自然人有关的任何信息。 ●数据主体 是指作为个人数据主体的已识别或可识别的自然人。 ●数据控制者 是指一个自然人或法人,公共当局,机构或其他机构,单独或与他人共同决定处理个人数据的目的和方式。 ●数据处理者 是指一个自然人或法人,公共当局,机构或其他机构,代表数据控制者处理个人数据。 ●个人数据处理 是指对个人数据或个人数据集进行的任何操作或一组操作,无论是否采用自动化手段,如(a)收集、记录、组织、结构化;(b)储存、改编或更改;(c)检索、咨询或使用;(d)通过传输、传播或其他方式提供披露;或(e)调整或组合、限制、删除或销毁。 ●个人数据泄露 是指违反安全规定,导致意外或非法破坏、丢失、更改、未经授权披露或访问传输、存储或以其他方式处理的个人数据。 ●假名化 是指处理个人数据的方式,使个人数据在不使用额外信息的情况下不能再归属于特定的数据主体,而且这种额外信息是单独保存的,并受到技术和组织措施的约束,以确保个人数据不会归属于已识别或可识别的自然人。 ●匿名化 是指从个人数据中删除个人标识符,使数据主体不再可被识别。 ●生物识别数据 是指基于身体、生理或行为特征的特定技术处理所产生的个人数据,包括血型、指纹、脱氧核糖核酸分析、耳垂几何、视网膜扫描和语音识别。 ●敏感的个人资料 是指揭示自然人的种族、健康状况、民族社会出身、良心、信仰、基因数据、生物识别数据、财产细节、婚姻状况、家庭细节,包括该人的子女、父母、配偶的姓名、性别或数据主体的性取向的数据。 ●第三方 是指自然人或法人、公共当局、机构或其他机构,而不是数据主体、数据控制者、数据处理者或在数据控制者或数据处理者的直接授权下,被授权处理个人数据的人。 ●华为云 华为云是华为的云服务品牌,致力于提供稳定可靠、安全可信、可持续创新的云服务。 ●客户 与华为云达成商业关系的注册用户。 3云服务的隐私保护责任界定 在复杂的云服务业务模式中,隐私保护不再是某一方单一的责任,需要客户与华为云共同努力。基于此,华为云为帮助客户理解双方的隐私保护责任边界、避免出现隐私保护真空区而提出了责任共担模型。在模型中客户与华为云具体负责的区域可参见下图。 图3-1华为云责任共担模型 基于责任共担模型,华为云与客户主要承担如下的隐私保护责任: 华为云:作为云产品、云服务提供商(CloudServiceProvider,简称CSP),一方面负责自身运营过程中收集和处理的客户个人数据安全与合规,另一方面负责为客户提供安全、合规的云服务相关的基础设施、云平台以及软件应用,也就是负责平台安 全。 ●客户隐私保护:华为云识别并保护客户的个人数据。从公司政策、流程、操作层面制定了隐私保护策略,并采取数据分离、数据加密、系统及平台安全防护等措施,全面保护客户隐私的安全。 ●平台安全及客户安全支持:华为云负责在云服务中涉及到的基础平台及设施的安全与合规,提升华为云的应用安全、平台安全水平以遵从适用的隐私保护法规的要求。同时华为云为客户提供多种隐私保护技术及服务,包括访问控制和身份认 证、数据加密、日志和审计等功能,帮助客户根据业务需求进行隐私保护。 客户:作为云产品、云服务的购买方,将决定如何使用相关产品或服务,也决定如何利用云产品或服务存储和处理内容数据,包括其中可能的个人数据,因此客户负责内容数据的安全与合规,也就是负责内容安全。 ●内容数据保护:客户应正确、全面地识别云端的个人数据,制定可保护个人数据的安全性及隐私的策略并选择恰当的隐私保护措施。具体措施包括根据业务和隐私保护的需求进行安全配置工作,例如操作系统配置、网络设置、安全防护、数 据库加密策略等,设置恰当的访问控制策略和密码策略。 ●数据主体权利响应:客户应保障数据主体的权利,响应数据主体的请求,当发生个人数据泄露事件时,应遵循法规要求采取恰当的行动,例如通知监管部门、通知数据主体、采取缓解措施等。 4肯尼亚隐私法规概述 4.1法规背景介绍 肯尼亚议会在2019年11月8日颁布了2019年第24号《数据保护法》,该法案明确安全主管机构的监管职责,建立数据安全协同治理体系。法案中包含数据控制者、数据处理者的义务,以及个人数据保护的原则和境外数据传输的要求。2022年3月14日,肯尼亚国会审议通过《数据保护通用条例》,该条例旨在澄清《数据保护法》中规定的原则和义务的范围,明确授权数据主体的权利、个人数据商业用途的限制、数据控制者和数据处理者的义务、数据保护的要素、个人数据转移到境外等相关合规要求。 4.2角色划分及基本义务 肯尼亚隐私法规规定了数据控制者、数据处理者、数据主体三种角色。数据主体是指作为个人数据主体的已识别或可识别的自然人。 数据控制者是指一个自然人或法人,公共当局,机构或其他机构,单独或与他人共同 决定处理个人数据的目的和方式。 数据处理者是指代表数据控制者处理个人数据的自然人或法人、公共当局、机构或其他机构。 数据控制者基本义务的内容较数据处理者的基本义务更加丰富,主要包括: 1.个人数据收集:数据控制者或数据处理者应直接从数据主体处收集个人数据;在特定情况下,可以间接收集个人数据。 2.收集前充分告知:在收集个人数据之前,须在切实可行的范围内,将相关事项告知数据主体。 3.个人数据处理原则:根据数据主体的隐私权进行处理;以合法、公平和透明的方式处理任何个人数据;为明确和合法的目的而收集,不得以与这些目的不兼容的方式进行进一步处理;处理应充分、相关、仅限于与处理目的相关的必要内容; 仅在需要家庭或私人事务相关信息时提供有效解释时收集;准确,并在必要时保持最新,采取一切合理步骤确保及时删除或纠正任何不准确的个人数据;以识别数据主体的形式保存的时间不超过收集目的所需的时间;除非有充分的数据保护保障或数据主体同意的证据,否则不得转移到肯尼亚境外。 4.保障数据主体的权利:数据主体有权获知其个人数据的用途;访问由数据控制者或数据处理者保管的个人数据;反对处理其全部或部分个人数据;纠正虚假或误导性数据;以及删除关于他们的虚假或误导性数据。 5.个人数据合法处理:数据控制者需要合法地处理个人数据,按照数据主体同意为一个或多个特定目的进行处理;或者该处理是必要的。 6.数据留存:以识别数据主体的形式保存的时间不超过收集目的所需的时间;应仅在合理必要的时间内保留个人数据,以满足其处理目的;保存期限届满时,应删除、匿名或化名个人数据。 7.个人数据泄露通知:如果未经授权的人访问或获取了个人数据,并且该数据主体的个人数据受到未经授权的访问的将存在真正的损害风险,则数据控制者应在意识到此类违规行为后的七十二小时内,立即通知数据委员会;在合理可行的期限 内以书面形式与数据主体沟通,除非无法确定数据主体的身份;如果在七十二小时内未向数据委员会发出通知,则通知应附有延迟原因。 8.数据保护影响评估:如果处理操作由于其性质、范围、背景和目的可能对数据主体的权利和自由造成高风险,应在处理前进行数据保护影响评估。 9.具有商业目的数据处理:任何人不得将根据本法案规定获得的个人数据用于商业目的,除非该人已寻求并获得数据主体的明确同意,或根据任何书面法律被授权处理,并且数据主体在被收集数据时已被告知此类使用。 10.数据安全:应实施适当的技术和组织措施保护数据安全。 11.数据跨境传输:只有在以下情况下,才可以将个人数据传输到另一个国家:数据控制者或者数据处理者已经向数据委员会提供了关于个人数据安全和保护的适当 保障的证据;数据控制者或者数据处理者已向数据委员会提供关于个人数据安全和保护的适当保障措施的证据,以及适当保障措施,包括具有相应数据保护法律的司法管辖区;或该传输是必要的。 4.3华为云在肯尼亚隐私法规下的角色 华为云处理的个人数据主要包括客户内容数据中的个人数据和客户在使用华为云进行包括但不限于注册、购买服务、实名认证、服务支持等操作时提供的个人数据。客户有内容数据的控制权,在处理内容数据中的个人数据时,华为云一般作为个人数据管理员。在处理客户创建或管理华为云帐号提供的个人数据时,华为云作为个人数据控制者。 ●华为云作为个人数据的控制者 当客户使用华为云进行包括但不限于注册、购买服务、实名认证、服务支持等操作时,华为云会基于客户服务的目的向客户收集个人数据,包含姓名、地址、证件号码、银行账户信息等内容。华为云将基于肯尼亚隐私法规的要求负责该部分客户个人数据的安全及隐私保护,确保个人数据的收集、处理、存储、传输过程符合法律规定,响应个人数据主体权利申请。 ●华为云作为客户内容数据的个人数据的处理者 当客户为个人数据的控制者而使用华为云服务或应用处理其内容数据中的个人数据时,华为云的角色为个人数据的处理者。华为云代表客户根据个人数据处理协议或个人数据的控制者的指令处理个人数据。 5华为云如何响应肯尼亚隐私合规要求 5.1华为云隐私承诺 华为云以网络安全和隐私保护作为最高纲领,将网络安全和隐私保护融入到云服务中,承诺尊重和保护客户隐私的同时为客户提供稳定、可靠、安全、值得信赖及可持续的服务。 华为云郑重对待并积极承担相应责任,以遵守全球隐私保护法律法规。华为云建立专业的隐私保护团队、建立并优化流程、积极开发新技术、不断构建隐私保护能力以实现华为云的隐私保护目标:遵守严格的服务边界保护客户个人数据安全,助力客户实现隐私保护。 5.2华为云隐私保护基本原则 ●合法、正当、透明 华为云以合法、正当、对数
