华为云巴西 LGPD 遵从性说明

华为云巴西LGPD遵从性说明 文档版本1.2 发布日期2023-12-20 华为云计算技术有限公司 版权所有©华为云计算技术有限公司2023。保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标，由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为云计算技术有限公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为云计算技术有限公司对本文档内容不做任何明示或暗示的声明或保证。 由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为云计算技术有限公司 地址：贵州省贵安新区黔中大道交兴功路华为云数据中心邮编：550029网址：https://www.huaweicloud.com/ 目录 1概览1 1.1适用范围1 1.2发布目的1 1.3基本定义1 2华为云隐私保护策略2 2.1华为云隐私承诺2 2.2华为云隐私保护基本原则2 2.3隐私保护责任3 2.4华为云隐私保护相关认证资质3 3华为云如何遵从巴西LGPD的要求6 3.1巴西《通用数据保护法》概述6 3.2LGPD基本原则及华为云相关做法6 3.2.1目的以及目的的适当性和必要性7 3.2.2免费访问7 3.2.3数据质量8 3.2.4透明度9 3.2.5安全9 3.2.6预防10 3.2.7不歧视10 3.2.8问责制10 4结语12 5版本历史13 1概览 1.1适用范围 本文档提供的信息适用于华为云及其所有产品和服务。 1.2发布目的 本文档旨在帮助客户了解：华为云开展的各项业务相关的活动如何遵从巴西BrazilianGeneralDataProtectionAct(inPortuguese，LGPD,LeiGeraldeProteçãodeDados，以下简称LGPD)的要求，以及华为云为保护个人数据安全采取的措施，同时帮助客户理解客户和华为云在云服务模式下扮演的不同角色以及相应的关注点。 1.3基本定义 个人数据–指与一个身份已被识别或者身份可被识别的自然人相关的任何信息。 内容数据–指客户在使用华为云服务期间存储或处理的数据，包括但不限于数据、文件、软件、图像、音频、视频等类型的数据。 数据主体–指提供个人数据供处理的自然人。 控制者–指能够就个人数据处理作出决定的自然人或者其他受公法或私法管辖的法律实体。 处理者–指代表控制者处理个人数据的自然人或者其他受公法或私法管辖的法律实体。 处理代理人–指数据控制者和数据处理者。 处理–指对个人数据进行的任何操作，例如收集、生产、接收、分类、使用、访问、复制、传输、分发、处理、归档、存储、删除、评估或控制信息、修改、通讯、转移、传播或提取。 2华为云隐私保护策略 2.1华为云隐私承诺 华为云以网络安全和隐私保护作为最高纲领，将网络安全和隐私保护完全融入到每个云服务中，承诺尊重和保护客户隐私的同时为客户提供稳定、可靠、安全、值得信赖及可持续的服务。 华为云郑重对待并积极承担相应责任，以遵守全球隐私保护法律法规。华为云建立专业的隐私保护团队、建立并优化流程、积极开发新技术、不断构建隐私保护能力，以实现华为云的隐私保护目标：遵守严格的服务边界，保护客户个人数据安全，助力客户实现隐私保护。 2.2华为云隐私保护基本原则 目的：为合法、具体、明确且数据主体已经知情的目的处理数据，不得以不符合这些目的的方式进一步处理； 适当性：处理活动与已告知数据主体的目的相兼容； 必要性：将处理限制在实现其目的所需的最低限度，涵盖与数据处理目的相关的、成比例的和非过量的数据； 免费访问：保证数据主体可以就数据处理的形式和持续时间及其完整的个人数据获得便利和免费的咨询； 数据质量：根据需要和为实现处理目的，向数据主体保证数据准确性、清晰度、相关性和数据更新； 透明度：保证数据主体能够就数据处理和相应的处理代理人获得清晰、准确和易得的信息，且遵守商业和企业机密； 安全：使用能够保护个人数据免受未经授权的访问以及意外或非法破坏、丢失、篡改、传输或传播的技术和管理措施； 预防：采取措施防止因处理个人数据而发生损害； 不歧视：不能出于歧视，非法或滥用目的处理数据； 问责制：代理人应证明其采取了有效且符合个人数据保护法律的措施，包括此类措施的有效性。 2.3隐私保护责任 华为云作为云服务提供商，负责云平台本身的安全以保证租户存放的个人数据的安全性。华为云对其业务和其他相关活动遵从法律法规的要求。同时华为云为租户提供隐私保护技术，助力租户保障其个人数据安全。 租户对其内容数据拥有全面控制权，应正确、全面地识别云端的个人数据，选择恰当的服务并制定安全和个人数据保护策略以保护个人数据安全。同时，租户可使用华为云为其提供的多种隐私保护服务，增强对个人数据的保护。 下图是华为云责任共担模型，此模型帮助租户更好了解在隐私保护领域中华为云的责任，以及租户需要关注的重点。 图2-1责任共担模型 2.4华为云隐私保护相关认证资质 华为云继承了华为公司完备的管理体系以及IT系统的建设和运营经验，对华为云各项服务的集成、运营及维护进行主动管理，并持续改进。截至目前，华为云已获得众多全球性、区域性和行业特定的安全合规的权威认证，全力保障客户部署业务的安全。 关于更多华为云的安全合规信息以及获取相关合规证书，可参见华为云官网“信任中心-合规中心” 华为云部分标准类认证/鉴证示例： 认证 描述 ISO27001:2022 ISO27001是目前国际上被广泛接受和应用的信息安全管理体系认证标准。该标准以风险管理为核心，通过定期评估风险和对应的控制措施来有效保证组织信息安全管理体系的持 认证 描述续运行。 ISO27017:2015 ISO27017是针对云计算信息安全的国际认证。ISO27017的通过，表明华为云在信息安全管理能力达到了国际公认的最佳实践。 ISO27018:2019 ISO27018是专注于云中个人数据保护的国际行为准则。ISO27018的通过，表明华为云已满足国际认可的公有云个人数据保护措施的要求，可保证客户个人数据安全。 TL9000&ISO9001 ISO9001是ISO9000族标准所包括的一组质量管理体系核心标准之一，用于证实组织具有提供满足顾客要求和适用法规要求的产品的能力。TL9000是一个建立在ISO9001基础上的，由全球电信业优质供应商联盟（QuESTForum）针对全球信息和通讯技术（ICT）行业特定设计的、为ICT产品和服务供方提供的一套通用的质量管理体系要求。它包括了ISO9001的所有要求，ISO9001将来的任何改动也会导致TL9000的改动。华为云取得了ISO9001/TL9000认证证书，表明华为云可以为您提供更快，更好和更具成本效益的服务。 ISO20000-1:2018 ISO20000是针对信息技术服务管理领域的国际标准，提供设计、建立、实施、运行、监控、评审、维护和改进服务管理体系的模型以保证服务供应商可提供有效的IT服务来满足客户和业务的需求。 ISO22301:2019 ISO22301是国际公认的业务连续性管理体系标准，通过对风险的识别、分析和预警来帮助组织规避潜在事件的发生，并且制定完备的“业务连续性计划”，有效地应对中断发生后的快速恢复，保持核心功能正常运行，将损失和恢复成本降至最低。 CSASTAR认证 CSASTAR认证是由标准研发机构BSI（英国标准协会）和CSA（云安全联盟）合作推出的国际范围内的针对云安全水平的权威认证，旨在应对与云安全相关的特定问题，协助云计算服务商展现其服务成熟度的解决方案。 ISO27701:2019 ISO27701规定了建立、实施、维护和持续改进隐私相关所特定的管理体系的要求。华为云通过ISO27701表明了其在个人数据保护具有健全的体制。 BS10012:2017 BS10012是BSI发布的个人信息数据管理体系标准，BS10012认证的通过表明华为云在个人数据保护上拥有完整 认证 描述的体系以保证个人数据安全。 ISO29151:2017 ISO29151是国际个人身份信息保护实践指南。ISO29151的通过，表明华为云实施国际认可的个人数据处理的全生命周期的管理措施。 PCIDSS 支付卡行业数据安全标准（PCIDSS）是由JCB、美国运通、Discover、万事达和Visa等五家国际信用卡组织共同建立的一套支付卡行业数据安全标准，由支付卡行业安全标准委员会管理。它是世界上最权威、最严格的金融机构认证。 PCI3DS PCI3DS标准，旨在保护执行特定3DS功能或者存储3DS数据的3DS环境，支持3DS的实施。PCI3DS的评估对象为3D协议执行环境，包括访问控制服务器、目录服务器或3DS服务器功能；以及3D执行环境内和连接到环境所需要的系统组件，如防火墙、虚拟服务器、网络设备、应用等；除此之外，还会评估3D协议执行环境的过程、流程、人员管理等。 ISO27799:2016 ISO/IEC27799是专注于医疗行业的信息安全管理体系，为医疗行业和其相关机构提供了关于如何更好地保护个人健康信息的保密性、完整性、可审计性和可用性的指导。华为云是全球首个获得该认证的云服务商，表明华为云对医疗行业的理解和实践，对医疗行业信息安全的防护能力得到国际权威认可，能够更可靠的保障您的信息安全。 ISO27034 ISO/IEC27034是国际标准化组织ISO通过的第一个关注建立安全软件程序流程和框架的标准，它清晰地定义了实际应用中软件系统面临的风险，同时为不同类型的软件开发组织提供了一套可以灵活应用的方法。华为云是全球首家获得ISO/IEC27034认证的云服务提供商，表明华为云具备在云服务中保持持续安全和合规的能力。 SOC审计报告 SOC审计报告是由第三方审计机构根据美国注册会计师协会（AICPA）制定的相关准则，针对外包服务商的系统和内部控制情况出具的独立审计报告。 3华为云如何遵从巴西LGPD的要求 3.1巴西《通用数据保护法》概述 巴西《通用数据保护法》（LGPD）是一部关于个人数据保护的综合性法律，对自然人及其他受公法或私法管辖的法律实体的个人数据处理行为做出了规定，其中也包括通过数字媒介处理的个人数据，其目的是保护自由和隐私的基本权利以及自然人人格的自由发展。巴西LGPD适用于在巴西境内处理数据、向巴西境内个人提供商品或服务、收集巴西境内个人数据的任何个人、团体和机构。该法于2018年8月14日正式 签署，将于2020年8月15日正式生效。 3.2LGPD基本原则及华为云相关做法 为客户提供优质服务一直是华为云奋斗的目标，华为云巴西LGPD合规要求深度分析，结合在为客户服务过程中理解的客户业务需求，融合华为云的丰富实践和技术能力于华为云的服务中，为客户提供满足隐私保护的各类服务，本白皮书将按照LGPD的核心原则的角度，帮助客户了解华为云在隐私保护合规所提供的服务。 华为云深刻理解客户的内容数据对客户业务的重要程度，华为云秉承中立态度，保障客户数据为客户所有、为客户所用、为客户创造价值。客户使用华为云的过程中，拥有对其内容数据的全面控制权： 客户可以决定内容数据存储的区域 华为云目前在全球多个区域包括亚洲、欧洲、美洲等多个城市拥有数据中心，每个区域的数据中心物理隔离，如客户对地域位置有特殊需求，可按照不同的需求选择华为云的不同区域，例如巴西的客户选择在巴西的区域站点后，客户的内容数据会存储在巴西数据中心，没有获得客户的明确同意或者其他法律义务要求时，华为云不会将客户的内容数据转移到其他