華為云隱私保護(hù)白皮書 2024

文檔版本2.2(2024-07-31)版權(quán)所有?華為云計(jì)算技術(shù)有限公司iii 1概述 1 2 2 3 4 5 5 6 6 6 9 115.1DevSecOps——云服務(wù)生命周期管控 11 12 12 14 15文檔版本2.2(2024-07-31)版權(quán)所有?華為云計(jì)算技術(shù)有限公司1 1概述網(wǎng)絡(luò)安全和隱私保護(hù)①一直是華為生存之本，從創(chuàng)立至今，華為人便一直堅(jiān)定地朝著這個(gè)方向不懈努力?；谌A為公司在網(wǎng)絡(luò)安全和隱私保護(hù)方面多年的實(shí)踐與經(jīng)驗(yàn)，華為云充分理解隱私的重要性，現(xiàn)已將隱私保護(hù)融入到每個(gè)云服務(wù)中。在網(wǎng)絡(luò)安全與隱私保護(hù)是數(shù)智世界發(fā)展的基石的指導(dǎo)下，華為云以“尊重和保護(hù)隱私，讓人們放心地使用便捷可信的云服務(wù)”為愿景。圍繞這一愿景，華為云鄭重對(duì)待網(wǎng)絡(luò)安全和隱私保護(hù)事項(xiàng)并積極承擔(dān)相應(yīng)責(zé)任，設(shè)置了專業(yè)的隱私保護(hù)團(tuán)隊(duì)，制定并完善隱私保護(hù)管理流程，積極研發(fā)安全和數(shù)據(jù)保護(hù)技術(shù)，不斷建設(shè)和提升華為云隱私保護(hù)的能力，為客戶提供穩(wěn)定可靠、安全可信、可持續(xù)演進(jìn)的云服務(wù)。得益于華為云全方位、系統(tǒng)性的隱私保護(hù)管理體系的支撐，使得我們可以更好地實(shí)現(xiàn)這一目標(biāo)。華為云以全球隱私保護(hù)的法律法規(guī)為基石，參考業(yè)界廣泛認(rèn)可的優(yōu)秀實(shí)踐，建設(shè)華為云的隱私保護(hù)體系。華為云投入大量的專業(yè)人員和資源，支撐管理措施和信息技術(shù)的研究和落地，保障隱私保護(hù)體系的有效運(yùn)轉(zhuǎn)，確保華為云的隱私保護(hù)合規(guī)并獲得持續(xù)發(fā)展。當(dāng)然，實(shí)現(xiàn)隱私保護(hù)需要強(qiáng)大的安全能力為其提供支撐，隱私保護(hù)和安全息息相關(guān)。華為云在云安全方面具備行業(yè)領(lǐng)先的實(shí)踐和積累，詳細(xì)內(nèi)容請(qǐng)查看《華為云安全白皮書》和《華為云數(shù)據(jù)安全白皮書》。華為云秉承數(shù)據(jù)中立態(tài)度，嚴(yán)守服務(wù)邊界，保障數(shù)據(jù)為客戶所有、為客戶所用、為客戶創(chuàng)造價(jià)值；華為云承諾將確保相關(guān)業(yè)務(wù)遵從業(yè)務(wù)所在國(guó)家/地區(qū)適用的隱私保護(hù)法律①隱私：最廣泛的定義是個(gè)人letalone的權(quán)利。物理上隱私是指?jìng)€(gè)人住宅或個(gè)人財(cái)產(chǎn)、搜身、監(jiān)控或提取生物特征信息，而信息性的隱私是指?jìng)€(gè)人控制、編輯、管理和刪除關(guān)于自己信息的能力和決定如何與他人溝通這些信息的能力。本白皮書中主要談及的是信息性的隱私。文檔版本2.2(2024-07-31)版權(quán)所有?華為云計(jì)算技術(shù)有限公司 2.1合規(guī)性法律遵從是企業(yè)開展業(yè)務(wù)的合規(guī)底線，華為云遵守業(yè)務(wù)所在地所有適用的法律法規(guī)要求。華為云投入專業(yè)的法務(wù)團(tuán)隊(duì)，緊密關(guān)注全球范圍內(nèi)華為云服務(wù)適用的法律法規(guī)更新情況，對(duì)相關(guān)法律法規(guī)保持持續(xù)跟蹤并進(jìn)行快速分析，確保華為云業(yè)務(wù)合規(guī)。對(duì)部分云服務(wù)網(wǎng)絡(luò)安全、隱私保護(hù)相關(guān)的法律、法規(guī)及行業(yè)監(jiān)管要求，我們結(jié)合華為云服務(wù)特性編寫了合規(guī)遵從白皮書，以說(shuō)明華為云對(duì)特定法律法規(guī)要求的遵從性，幫助客戶理解適用法律法規(guī)要求并為全球客戶在不同國(guó)家業(yè)務(wù)的隱私合規(guī)性提供參考。截止目前，華為云已發(fā)布十余份各國(guó)隱私保護(hù)法律或行業(yè)標(biāo)準(zhǔn)遵從白皮書，并將持續(xù)發(fā)布更多的白皮書，您可以隨時(shí)在華為云官方網(wǎng)站信任中心獲取到以下白皮書②:巴西LGPD遵從性指南馬來(lái)西亞PDPA遵從性指南新加坡PDPA遵從性指南華為云泰國(guó)PDPA遵從性指南華為云南非POPIA遵從性指南中國(guó)香港特別行政區(qū)PDPO遵從性指南華為云HIPAA遵從性指南文檔版本2.2(2024-07-31)版權(quán)所有?華為云計(jì)算技術(shù)有限公司華為云PCIDSS實(shí)踐指南新加坡金融行業(yè)監(jiān)管要求遵從性指南 中國(guó)香港金融行業(yè)監(jiān)管要求遵從性指南泰國(guó)金融行業(yè)監(jiān)管遵從性指南2.2標(biāo)準(zhǔn)與認(rèn)證華為在踐行業(yè)界網(wǎng)絡(luò)安全和隱私保護(hù)領(lǐng)域優(yōu)秀實(shí)踐的同時(shí)，積極加入如云安全聯(lián)盟、IAPP等國(guó)際權(quán)威組織，參與各類云安全和隱私保護(hù)標(biāo)準(zhǔn)的起草和修訂，將華為的實(shí)踐和經(jīng)驗(yàn)回饋社會(huì)和全行業(yè)。華為云網(wǎng)絡(luò)安全和隱私保護(hù)的能力和成效在全球范圍得到廣泛認(rèn)可。目前，華為云共取得海內(nèi)外十余家機(jī)構(gòu)的第三方認(rèn)證。下面列舉了華為云已獲得的部分與隱私保護(hù)強(qiáng)相關(guān)的認(rèn)證③:ISO/IEC27018:2014ISO/IEC29151:2017ISO/IEC27701:2019BS10012:2017ISO/IEC27799PCIDSS認(rèn)證PCI-3DS認(rèn)證可信云云服務(wù)用戶數(shù)據(jù)保護(hù)能力認(rèn)證（中國(guó)）SOC2TypeI/IIReport（隱私性）華為云積極關(guān)注業(yè)界權(quán)威隱私認(rèn)證機(jī)制的出臺(tái)，并持續(xù)提高要求，完善隱私保護(hù)體系，增加和更新安全和隱私方面的認(rèn)證。同時(shí)，華為云和隱私保護(hù)相關(guān)協(xié)會(huì)緊密合作，對(duì)隱私保護(hù)前沿資訊及技術(shù)進(jìn)行探討，幫助華為云打造一個(gè)可持續(xù)發(fā)展的、安全可信的云平臺(tái)環(huán)境。②華為云可能隨時(shí)新增或更新隱私合規(guī)性白皮書，所有信息以華為云官網(wǎng)發(fā)布內(nèi)容為準(zhǔn)。相關(guān)文件您可以在華為云官網(wǎng)信任中心獲取最新版本：/securecenter/resource.html。③客戶進(jìn)行相關(guān)認(rèn)證時(shí)，如需從華為云獲得必要的協(xié)助，可訪問(wèn)華為云信任中心獲取華為云相關(guān)認(rèn)證證書的副本：/securecenter/compliance.html。文檔版本2.2(2024-07-31)版權(quán)所有?華為云計(jì)算技術(shù)有限公司 3共同構(gòu)筑隱私安全華為作為云服務(wù)提供商（CSP）向客戶提供了基礎(chǔ)設(shè)施即服務(wù)（IaaS平臺(tái)即服務(wù)（PaaS）和軟件即服務(wù)（SaaS）各類云服務(wù)，在復(fù)雜的云服務(wù)環(huán)境中如何實(shí)現(xiàn)隱私安全，需要客戶與華為云共同努力。隱私保護(hù)對(duì)企業(yè)提出了明確的要求，本章我們將基于以下責(zé)任模型介紹客戶在使用云服務(wù)時(shí)需要承擔(dān)的隱私保護(hù)責(zé)任和義務(wù)，以及華為云如何幫助你更好的實(shí)現(xiàn)隱私安全。圖3-1華為云安全責(zé)任共擔(dān)模型如上圖所示，華為云主要負(fù)責(zé)云服務(wù)自身的安全以及合規(guī)，并為客戶提供在數(shù)據(jù)處理、存儲(chǔ)、轉(zhuǎn)移等過(guò)程中的所需的隱私特性。針對(duì)客戶內(nèi)容數(shù)據(jù)④,客戶擁有全部的權(quán)利和義務(wù)，包括隱私保護(hù)的義務(wù)，制定安全和隱私保護(hù)策略和措施確保個(gè)人數(shù)據(jù)⑤安全，保障數(shù)據(jù)主體權(quán)利⑥以及各項(xiàng)活動(dòng)合規(guī)。該模型幫助客戶理解華為云和客戶各自承擔(dān)的隱私保護(hù)責(zé)任和義務(wù)，有利于客戶識(shí)別其個(gè)人數(shù)據(jù)，制定合適的個(gè)人數(shù)據(jù)保護(hù)策略，從而最終更好地實(shí)現(xiàn)隱私保護(hù)?；谪?zé)任模型，華為云與客戶主要承擔(dān)如下的隱私保護(hù)責(zé)任：文檔版本2.2(2024-07-31)版權(quán)所有?華為云計(jì)算技術(shù)有限公司3.1華為云的責(zé)任華為云作為云服務(wù)提供方，負(fù)責(zé)構(gòu)建由基礎(chǔ)設(shè)施層、平臺(tái)層、應(yīng)用層組成的云平臺(tái)，并負(fù)責(zé)云平臺(tái)基礎(chǔ)設(shè)施如物理環(huán)境、軟硬件、計(jì)算、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)、存儲(chǔ)等以及平臺(tái)層、應(yīng)用層的安全。華為云各項(xiàng)活動(dòng)和云服務(wù)遵從隱私保護(hù)相關(guān)法律法規(guī)，為客戶提供穩(wěn)定、安全和有利于隱私保護(hù)的云環(huán)境。華為云為客戶提供多種隱私保護(hù)技術(shù)，包括訪問(wèn)控制和身份認(rèn)證、數(shù)據(jù)加密、日志和審計(jì)和其他相關(guān)的隱私保護(hù)技術(shù)，以及基于此基礎(chǔ)上的華為云各項(xiàng)服務(wù)，幫助客戶根據(jù)業(yè)務(wù)需求進(jìn)行隱私保護(hù)。華為云擁有完善的隱私保護(hù)體系和多方位的隱私保護(hù)管控機(jī)制，能實(shí)現(xiàn)華為云隱私保護(hù)的責(zé)任。3.2客戶的責(zé)任客戶對(duì)其內(nèi)容數(shù)據(jù)擁有全面控制權(quán)，應(yīng)正確、全面地識(shí)別云端的個(gè)人數(shù)據(jù)，選擇恰當(dāng)?shù)姆?wù)并制定安全和隱私保護(hù)策略以保護(hù)個(gè)人數(shù)據(jù)安全。根據(jù)業(yè)務(wù)和隱私保護(hù)的需求進(jìn)行安全配置工作，例如操作系統(tǒng)配置、網(wǎng)絡(luò)設(shè)置、安全防護(hù)、數(shù)據(jù)庫(kù)加密策略等，并設(shè)置恰當(dāng)?shù)脑L問(wèn)控制策略和密碼策略?？蛻艨墒褂萌A為云為其提供的多種隱私保護(hù)服務(wù)，例如使用數(shù)據(jù)識(shí)別技術(shù)對(duì)數(shù)據(jù)進(jìn)行識(shí)別和分類、使用訪問(wèn)控制服務(wù)對(duì)個(gè)人數(shù)據(jù)設(shè)置最小權(quán)限并按需分配權(quán)限、使用加密手段對(duì)個(gè)人數(shù)據(jù)的存儲(chǔ)和傳輸進(jìn)行保護(hù)等?？蛻魬?yīng)保障其數(shù)據(jù)主體的權(quán)利，響應(yīng)數(shù)據(jù)主體請(qǐng)求，當(dāng)發(fā)生個(gè)人數(shù)據(jù)泄露事件時(shí)，通知數(shù)據(jù)主體并采取相應(yīng)措施?？蛻艨墒褂萌A為云為其提供的多種隱私保護(hù)服務(wù)，例如使用日志功能，保留對(duì)個(gè)人數(shù)據(jù)的操作記錄，以幫助保障其用戶對(duì)個(gè)人數(shù)據(jù)的知情權(quán)?？蛻魬?yīng)確保其對(duì)個(gè)人數(shù)據(jù)處理符合隱私保護(hù)相關(guān)法律法規(guī)的要求。對(duì)此，華為云提供多種隱私保護(hù)服務(wù)及合規(guī)解決方案，幫助客戶實(shí)現(xiàn)全面的隱私保護(hù)合規(guī)。④客戶內(nèi)容數(shù)據(jù)：客戶使用華為云服務(wù)過(guò)程中存儲(chǔ)或處理的內(nèi)容，包括但不限于數(shù)據(jù)、文件、軟件、圖像、音頻、視頻等類型的數(shù)據(jù)。⑤個(gè)人數(shù)據(jù)/個(gè)人信息：指與一個(gè)身份已被識(shí)別或者身份可被識(shí)別的自然人（“數(shù)據(jù)主體”）相關(guān)的任何信息，其主要包括：自然人的email地址、電話號(hào)碼、生物特征（指紋）、位置數(shù)據(jù)、IP地址、醫(yī)療信息、宗教信仰、社保號(hào)、婚姻狀態(tài)等。⑥數(shù)據(jù)主體權(quán)利：數(shù)據(jù)主體依法對(duì)其個(gè)人數(shù)據(jù)享有的各項(xiàng)權(quán)利，包括但不限于知情權(quán)、訪問(wèn)權(quán)、數(shù)據(jù)可攜帶權(quán)、被遺忘權(quán)等。華為云隱私保護(hù)白皮書4華為云如何管理和保護(hù)數(shù)據(jù)隱私文檔版本2.2(2024-07-31)版權(quán)所有?華為云計(jì)算技術(shù)有限公司 4.1個(gè)人數(shù)據(jù)處理基本原則在云服務(wù)中，我們討論隱私保護(hù)的絕大部分場(chǎng)景是關(guān)于信息化的個(gè)人數(shù)據(jù)的處理，我們?nèi)绾伪Ｗo(hù)保障數(shù)據(jù)主體相關(guān)的權(quán)利以及如何保護(hù)個(gè)人數(shù)據(jù)的安全性。為此，我們確定了個(gè)人數(shù)據(jù)處理的基本原則，并通過(guò)適當(dāng)?shù)墓芾砗图夹g(shù)措施確保在處理個(gè)人數(shù)據(jù)時(shí)遵從以下基本原則。4.2華為云隱私保護(hù)管理體系為保護(hù)客戶個(gè)人信息并幫助客戶構(gòu)建云上業(yè)務(wù)的隱私保護(hù)，持續(xù)有效地開展隱私保護(hù)管理工作，華為云已建立并持續(xù)完善華為云業(yè)務(wù)隱私保護(hù)管理體系。華為云在“尊重和保護(hù)隱私，讓人們放心地使用便捷可信的云服務(wù)”愿景指導(dǎo)下，參考被業(yè)界廣泛認(rèn)可的隱私保護(hù)原則，采用隱私融入設(shè)計(jì)PbD⑦的理念，將個(gè)人信息保護(hù)要求嵌入端到端開發(fā)流程中，保證個(gè)人信息保護(hù)要求在產(chǎn)品或服務(wù)的開發(fā)過(guò)程中得到實(shí)現(xiàn)的理念將個(gè)華為云隱私保護(hù)白皮書4華為云如何管理和保護(hù)數(shù)據(jù)隱私文檔版本2.2(2024-07-31)版權(quán)所有?華為云計(jì)算技術(shù)有限公司人信息保護(hù)要求嵌入端到端開發(fā)流程中，保證個(gè)人信息保護(hù)要求在產(chǎn)品或服務(wù)的開發(fā)過(guò)程中得到實(shí)現(xiàn)的理念。。本章后續(xù)內(nèi)容將從幾個(gè)重要的方面介紹華為云如何管理隱私組織和人員管理華為云成立了專門隱私保護(hù)團(tuán)隊(duì)，明確業(yè)務(wù)的隱私保護(hù)責(zé)任人，并持續(xù)提升相關(guān)人員的隱私保護(hù)意識(shí)和能力，以支撐華為云業(yè)務(wù)中實(shí)現(xiàn)默認(rèn)的隱私保護(hù)。l隱私保護(hù)組織華為云設(shè)置了隱私保護(hù)專家團(tuán)隊(duì)，包括隱私保護(hù)領(lǐng)域?qū)＜?、法?wù)人員以及網(wǎng)絡(luò)和信息安全專職人員，為華為云隱私保護(hù)戰(zhàn)略和實(shí)踐上提供專業(yè)的支撐。在各產(chǎn)品、服務(wù)的業(yè)務(wù)團(tuán)隊(duì)中，華為云設(shè)置專門的隱私保護(hù)角色，負(fù)責(zé)云服務(wù)的隱私保護(hù)合規(guī)與能力建設(shè)。在各個(gè)業(yè)務(wù)所在國(guó)家和地區(qū)，華為云配備了法務(wù)和隱私保護(hù)專職人員，幫助華為云在當(dāng)?shù)亻_展的各類活動(dòng)滿足適用的隱私法律法規(guī)要求。l人員管理華為云從多方面確保全體員工資質(zhì)、能力和行為符合隱私保護(hù)的需求，要求員工每年應(yīng)通過(guò)隱私保護(hù)的相關(guān)考核。在此基礎(chǔ)上，華為云識(shí)別隱私保護(hù)相關(guān)崗位，明確定義崗位職責(zé)。華為云對(duì)新員工進(jìn)行背景調(diào)查和技能考核確保員工符合要求。當(dāng)員工不再負(fù)責(zé)當(dāng)前工作時(shí)，相關(guān)權(quán)限將被刪除。l意識(shí)和能力提升華為云通過(guò)多種形式的培訓(xùn)定期為全員提供隱私保護(hù)意識(shí)培訓(xùn)，以加深員工對(duì)隱私保護(hù)的理解和對(duì)華為隱私保護(hù)政策規(guī)定的了解。所有員工在職期間需要參加隱私保護(hù)意識(shí)相關(guān)培訓(xùn)，并通過(guò)考核。對(duì)于特殊崗位如涉及接入客戶網(wǎng)絡(luò)或數(shù)據(jù)處理的人員，根據(jù)崗位性質(zhì)和風(fēng)險(xiǎn)，將開展定制的隱私保護(hù)技能培訓(xùn)和考試，只有通過(guò)考核后方能上華為云在各業(yè)務(wù)領(lǐng)域廣泛應(yīng)用PbD理念，將隱私保護(hù)基本原則全面融入到相關(guān)業(yè)務(wù)流程中，以期在業(yè)務(wù)開展之前即考慮隱私保護(hù)，實(shí)現(xiàn)默認(rèn)的隱私保護(hù)。華為云已建立全面的隱私保護(hù)流程體系，通過(guò)發(fā)布隱私保護(hù)政策和目標(biāo)統(tǒng)一思想和認(rèn)識(shí)，發(fā)布管理規(guī)定和流程要求明確業(yè)務(wù)規(guī)范，并配套相應(yīng)的操作指導(dǎo)、工具和模板等以幫助工作人員合規(guī)且高效的開展業(yè)務(wù)活動(dòng)。確保在華為云業(yè)務(wù)活動(dòng)開展中落實(shí)隱私保護(hù)基本原則，切實(shí)保護(hù)個(gè)人數(shù)據(jù)的安全，保障數(shù)據(jù)主體相關(guān)的權(quán)利。為有效地識(shí)別和控制隱私風(fēng)險(xiǎn)，華為云在云服務(wù)各項(xiàng)業(yè)務(wù)中廣泛地開展隱私風(fēng)險(xiǎn)分析和管理工作。華為云要求在所有業(yè)務(wù)處理個(gè)人數(shù)據(jù)前必須開展隱私風(fēng)險(xiǎn)分析（PIA主要包括識(shí)別業(yè)務(wù)涉及的個(gè)人數(shù)據(jù)項(xiàng)、業(yè)務(wù)場(chǎng)景及處理過(guò)程、合規(guī)分析、對(duì)數(shù)據(jù)主體可能產(chǎn)生的影響、風(fēng)險(xiǎn)分析并制定風(fēng)險(xiǎn)控制措施和計(jì)劃等，只有將隱私風(fēng)險(xiǎn)降低至可接受的水平后才能開展業(yè)務(wù)。對(duì)于云服務(wù)，我們要求在云服務(wù)規(guī)劃階段即開展PIA，并在設(shè)計(jì)活動(dòng)中對(duì)隱私風(fēng)險(xiǎn)進(jìn)行詳細(xì)的分析，并將所有隱私風(fēng)險(xiǎn)控制需求落入設(shè)計(jì)方案中。華為云隱私保護(hù)白皮書4華為云如何管理和保護(hù)數(shù)據(jù)隱私文檔版本2.2(2024-07-31)版權(quán)所有?華為云計(jì)算技術(shù)有限公司個(gè)人數(shù)據(jù)處理全生命周期管理為更好地保障數(shù)據(jù)主體權(quán)利與保護(hù)個(gè)人數(shù)據(jù)安全，華為云將個(gè)人數(shù)據(jù)處理基本原則貫徹到個(gè)人數(shù)據(jù)處理各個(gè)階段，明確個(gè)人數(shù)據(jù)處理全生命周期的管控要求，并將這些要求融入到所有業(yè)務(wù)活動(dòng)中。圖4-1個(gè)人數(shù)據(jù)生命周期l通知、選擇和同意、收集華為云會(huì)基于客戶的同意或履行合同目的等合法目的，收集提供服務(wù)所必須的客戶的個(gè)人數(shù)據(jù)，同時(shí)提供隱私通知告知客戶所收集的個(gè)人數(shù)據(jù)類型、目的、處理方式、時(shí)間等內(nèi)容。如在官網(wǎng)提供隱私政策聲明以及客戶同意及撤銷同意的機(jī)制。對(duì)于各類線下市場(chǎng)營(yíng)銷活動(dòng)中需收集個(gè)人數(shù)據(jù)時(shí)，在顯著的位置提供隱私通知，并在收集個(gè)人數(shù)據(jù)時(shí)提供同意選項(xiàng)。華為云在其官網(wǎng)上提供豐富的配置選項(xiàng)，客戶可根據(jù)偏好設(shè)置接收消息的種類和方式。針對(duì)涉及個(gè)人數(shù)據(jù)處理相關(guān)特性的云服務(wù)，華為云在其產(chǎn)品資料中，告知客戶關(guān)于個(gè)人數(shù)據(jù)的種類、處理和存儲(chǔ)的方式等相關(guān)信息，客戶可根據(jù)產(chǎn)品資料的信息采取相應(yīng)的隱私保護(hù)措施。l使用、留存和處置華為云對(duì)留存在華為云平臺(tái)上的個(gè)人數(shù)據(jù)，采取嚴(yán)格的管控措施，為了確保個(gè)人數(shù)據(jù)的安全，對(duì)個(gè)人數(shù)據(jù)的接入、認(rèn)證、授權(quán)、存儲(chǔ)、審計(jì)進(jìn)行統(tǒng)一管理。華為云制定了明確的留存時(shí)間，在超出數(shù)據(jù)處理所需要的時(shí)間，個(gè)人數(shù)據(jù)將被自動(dòng)刪除。華為云對(duì)運(yùn)維人員權(quán)限實(shí)行基于角色的訪問(wèn)控制權(quán)限管理，根據(jù)崗位需求授予相應(yīng)的權(quán)限并進(jìn)行定期監(jiān)控確保訪問(wèn)權(quán)限與崗位需求相匹配。華為云定期對(duì)日志進(jìn)行回溯審計(jì)，對(duì)人員操作行為進(jìn)行審閱以檢查對(duì)個(gè)人數(shù)據(jù)操作的合理性和必要性。l第三方披露華為云對(duì)所有供應(yīng)商按要求進(jìn)行盡職調(diào)查及隱私安全能力評(píng)估，合同中明確供應(yīng)商作為處理者/子處理者的隱私保護(hù)義務(wù)及適用法律法規(guī)的要求，確保供應(yīng)商滿足客戶的隱私保護(hù)要求。其他華為云可能依法向第三方披露數(shù)據(jù)的場(chǎng)景可詳見《隱私政策聲明》。華為云隱私保護(hù)白皮書4華為云如何管理和保護(hù)數(shù)據(jù)隱私文檔版本2.2(2024-07-31)版權(quán)所有?華為云計(jì)算技術(shù)有限公司l數(shù)據(jù)跨境轉(zhuǎn)移華為云在全球多個(gè)國(guó)家建立數(shù)據(jù)中心，在運(yùn)營(yíng)運(yùn)維過(guò)程中涉及需要進(jìn)行數(shù)據(jù)跨境傳輸?shù)膱?chǎng)景時(shí)，遵循當(dāng)?shù)仉[私保護(hù)法律法規(guī)并經(jīng)過(guò)內(nèi)部嚴(yán)格評(píng)審。如在簽訂數(shù)據(jù)轉(zhuǎn)移協(xié)議或獲得客戶的明確同意之后進(jìn)行數(shù)據(jù)跨境轉(zhuǎn)移，保證個(gè)人數(shù)據(jù)將被合法、正當(dāng)、透明l數(shù)據(jù)主體權(quán)利保障華為云配備專業(yè)團(tuán)隊(duì)響應(yīng)客戶關(guān)于個(gè)人數(shù)據(jù)和隱私保護(hù)相關(guān)的請(qǐng)求⑧,當(dāng)接收到客戶問(wèn)題請(qǐng)求后在規(guī)定時(shí)間內(nèi)完成響應(yīng)和請(qǐng)求處理，反饋處理結(jié)果給客戶。華為云隱私保護(hù)團(tuán)隊(duì)，按照適用法律法規(guī)要求，對(duì)個(gè)人數(shù)據(jù)泄露事件及時(shí)披露，同時(shí)執(zhí)行應(yīng)急預(yù)案及恢復(fù)流程，以降低對(duì)客戶的影響。4.3技術(shù)和工具華為云對(duì)客戶的個(gè)人數(shù)據(jù)安全非常重視，在管控機(jī)制和技術(shù)上采取了先進(jìn)，嚴(yán)格的管控，確保客戶個(gè)人數(shù)據(jù)安全。技術(shù)研究和應(yīng)用信息技術(shù)的發(fā)展日新月異，華為在技術(shù)研究方面始終保持著高投入，并持續(xù)將新技術(shù)運(yùn)用于網(wǎng)絡(luò)安全和隱私保護(hù)領(lǐng)域。如通過(guò)訪問(wèn)控制和身份認(rèn)證相關(guān)技術(shù)的應(yīng)用，實(shí)現(xiàn)權(quán)限“最小必要原則”，對(duì)系統(tǒng)權(quán)限實(shí)現(xiàn)數(shù)據(jù)級(jí)、操作級(jí)的精確管控；華為云廣泛采用加密技術(shù)對(duì)客戶個(gè)人數(shù)據(jù)進(jìn)行加密存儲(chǔ)和傳輸，確保個(gè)人數(shù)據(jù)存儲(chǔ)和傳輸中的安全；通過(guò)日志記錄和審計(jì)技術(shù)記錄對(duì)各關(guān)鍵系統(tǒng)的訪問(wèn)和操作和對(duì)密鑰的使用等，定時(shí)進(jìn)行監(jiān)控和審計(jì)，及時(shí)發(fā)現(xiàn)和糾正隱私保護(hù)方面可能存在的不合適行為；同時(shí)分析潛在的隱私保護(hù)和個(gè)人數(shù)據(jù)安全隱患以便及時(shí)迅速的做出反饋，解決問(wèn)題。同時(shí)，華為云持續(xù)將這些技術(shù)應(yīng)用于保護(hù)客戶的個(gè)人數(shù)據(jù)以及華為云提供的各項(xiàng)云服務(wù)中，以更好地保護(hù)客戶的個(gè)人數(shù)據(jù)。華為云隱私保護(hù)白皮書4華為云如何管理和保護(hù)數(shù)據(jù)隱私文檔版本2.2(2024-07-31)版權(quán)所有?華為云計(jì)算技術(shù)有限公司隱私保護(hù)技術(shù)（PET）華為云技術(shù)團(tuán)隊(duì)同時(shí)致力于研發(fā)各類隱私保護(hù)技術(shù)，積累隱私保護(hù)工程技術(shù)能力，實(shí)施隱私保護(hù)以滿足客戶不同需求。華為云現(xiàn)已擁有的一系列PET，包括等價(jià)類匿名、差分隱私、防跟蹤技術(shù)、區(qū)塊鏈私人支付以及隱私保存計(jì)算等。l數(shù)據(jù)屏蔽華為云的數(shù)據(jù)屏蔽技術(shù)通過(guò)包括掩碼、加噪、枚舉、截?cái)?、哈希、?biāo)志化等手段，防止從數(shù)據(jù)中關(guān)聯(lián)用戶身份及敏感信息，對(duì)個(gè)人數(shù)據(jù)的單個(gè)字符的屏蔽來(lái)保護(hù)數(shù)據(jù)隱私，降低數(shù)據(jù)泄露的風(fēng)險(xiǎn)。l差分隱私差分隱私是一種加噪算法，在保留數(shù)據(jù)一定的可用性，又能保證攻擊者無(wú)法推斷出某個(gè)用戶的信息。差分隱私在不知道數(shù)據(jù)庫(kù)本身內(nèi)容的情況下，注入“噪聲”。從而數(shù)據(jù)集進(jìn)行模糊化處理，但不影響統(tǒng)計(jì)結(jié)果?？稍跀?shù)據(jù)庫(kù)查詢時(shí)，減少個(gè)人數(shù)據(jù)被識(shí)別的l可搜索加密可搜索加密技術(shù)可實(shí)現(xiàn)對(duì)加密狀態(tài)下的個(gè)人數(shù)據(jù)進(jìn)行搜索，如客戶的郵箱、電話號(hào)碼、身份證號(hào)等加密存儲(chǔ)的個(gè)人數(shù)據(jù)，可以在不明文顯示的情況下進(jìn)行搜索處理，降低個(gè)人數(shù)據(jù)泄露風(fēng)險(xiǎn)。華為云使用多種隱私保護(hù)平臺(tái)工具，幫助華為云更快速、系統(tǒng)、高效地處理與隱私保護(hù)相關(guān)的各項(xiàng)工作。l數(shù)據(jù)發(fā)現(xiàn)和管理數(shù)據(jù)發(fā)現(xiàn)工具可以幫助我們識(shí)別系統(tǒng)、數(shù)據(jù)庫(kù)或者文件里的個(gè)人數(shù)據(jù)，以了解業(yè)務(wù)是否包含個(gè)人數(shù)據(jù)以及個(gè)人數(shù)據(jù)的類型和流轉(zhuǎn)情況等相關(guān)的信息，同時(shí)也可以幫助我們采取恰當(dāng)?shù)碾[私保護(hù)措施（具體可參看DBSS、DSC服務(wù)）。數(shù)據(jù)管理服務(wù)可以幫助華為云完成數(shù)據(jù)資產(chǎn)注冊(cè)和管理，對(duì)個(gè)人數(shù)據(jù)清單的記錄、全生命周期管理提供工具化l隱私風(fēng)險(xiǎn)分析將隱私保護(hù)風(fēng)險(xiǎn)分析全過(guò)程工具化，可幫助各個(gè)業(yè)務(wù)團(tuán)隊(duì)通過(guò)標(biāo)準(zhǔn)化的流程和工具識(shí)別隱私保護(hù)風(fēng)險(xiǎn)并制定和實(shí)施相應(yīng)的風(fēng)險(xiǎn)處置措施。⑦PbD：Privacybydesign，隱私融入設(shè)計(jì)方法（PbD）最早作為針對(duì)產(chǎn)品研發(fā)周期隱私保護(hù)的方法。經(jīng)過(guò)近幾年的發(fā)展，逐漸演變成隱私保護(hù)的管理理念。PbD提倡全面、提前、主動(dòng)將隱私保護(hù)融入業(yè)務(wù)和各項(xiàng)活動(dòng)中，幫助組織在隱私保護(hù)中取得主⑧隱私問(wèn)題請(qǐng)求：客戶可以通過(guò)華為云官網(wǎng)提交隱私問(wèn)題請(qǐng)求或privacy@郵箱與華為云隱私保護(hù)團(tuán)隊(duì)取得聯(lián)系，以溝通或報(bào)告隱私保護(hù)相關(guān)的問(wèn)題。華為云隱私保護(hù)白皮書5客戶如何保護(hù)云上業(yè)務(wù)的隱私安全文檔版本2.2(2024-07-31)版權(quán)所有?華為云計(jì)算技術(shù)有限公司 5客戶如何保護(hù)云上業(yè)務(wù)的隱私安全華為云深刻理解保護(hù)個(gè)人數(shù)據(jù)對(duì)客戶的重要性，并努力地采取管控措施和提供相應(yīng)的服務(wù)幫助客戶保護(hù)其個(gè)人數(shù)據(jù)安全。華為云使用各種數(shù)據(jù)安全技術(shù)和相關(guān)管控措施如身份認(rèn)證和訪問(wèn)控制、數(shù)據(jù)傳輸及存儲(chǔ)加密技術(shù)、日志記錄等手段保障華為云服務(wù)自身的安全性，并向客戶提供豐富的安全服務(wù)以滿足租戶不同安全級(jí)別的要求，詳情可參考華為云已發(fā)布的《華為云數(shù)據(jù)安全白皮書》。5.1DevSecOps——云服務(wù)生命周期管控從IaaS、PaaS到SaaS眾多的云服務(wù)是客戶在云上構(gòu)建業(yè)務(wù)的基礎(chǔ)，華為云深知云平臺(tái)和云服務(wù)自身的隱私安全是客戶實(shí)現(xiàn)云上業(yè)務(wù)隱私安全的基石。如在云服務(wù)研發(fā)中，為保證云服務(wù)實(shí)現(xiàn)默認(rèn)的隱私保護(hù)特性，華為云將安全融入DevOps，全面實(shí)施DevSecOps流程，在云服務(wù)生命周期各個(gè)階段都將安全和隱私融入其中。我們采取嚴(yán)格隱私保護(hù)要求和控制措施，以確保云服務(wù)具備保護(hù)個(gè)人數(shù)據(jù)的安全能力，同時(shí)充分滿足客戶隱私保護(hù)的需求，幫助客戶保護(hù)其用戶的隱私。下圖列舉了我們?cè)谠品?wù)生命周期中部分主要的隱私保護(hù)控制點(diǎn)。圖5-1云服務(wù)生命周期及隱私管控華為云在每個(gè)云服務(wù)生命周期采取的隱私保護(hù)管控措施，以實(shí)現(xiàn)：l全生命周期貫徹PbD的理念，使每個(gè)云服務(wù)本身滿足隱私合規(guī)要求，同時(shí)具有隱私保護(hù)特性。l嚴(yán)格測(cè)試和審查，確保隱私合規(guī)需求得到實(shí)現(xiàn)、隱私保護(hù)特性的有效。華為云隱私保護(hù)白皮書5客戶如何保護(hù)云上業(yè)務(wù)的隱私安全文檔版本2.2(2024-07-31)版權(quán)所有?華為云計(jì)算技術(shù)有限公司l對(duì)隱私保護(hù)的要求不止步于產(chǎn)品上線，在運(yùn)營(yíng)運(yùn)維的階段，通過(guò)人員及流程的管控，為客戶提供合規(guī)的云服務(wù)，幫助客戶實(shí)現(xiàn)其隱私保護(hù)。華為云通過(guò)嚴(yán)格的研發(fā)流程管控使所有華為云服務(wù)具備默認(rèn)的安全和隱私特性，如：l隱私通知對(duì)于涉及個(gè)人數(shù)據(jù)處理的云服務(wù)，我們會(huì)在云服務(wù)用戶資料中提供個(gè)人數(shù)據(jù)清單，說(shuō)明相關(guān)個(gè)人數(shù)據(jù)處理的業(yè)務(wù)場(chǎng)景、目的、個(gè)人數(shù)據(jù)范圍及處理方式等，以幫助客戶評(píng)估相關(guān)業(yè)務(wù)的合規(guī)風(fēng)險(xiǎn)和隱私管控措施。必要時(shí)云服務(wù)中提供了配置隱私通知的功能，客戶可根據(jù)業(yè)務(wù)合規(guī)需求自行配置隱私通知。如果客戶的業(yè)務(wù)數(shù)據(jù)中涉及敏感個(gè)人數(shù)據(jù)，云服務(wù)將默認(rèn)加密存儲(chǔ)該等數(shù)據(jù)，在非信任網(wǎng)絡(luò)之間的傳輸?shù)臄?shù)據(jù)都是被加密的。同時(shí)，部分云服務(wù)還為客戶提供了自助控制的選項(xiàng)，客戶可以根據(jù)自身需求選擇是否加密存儲(chǔ)數(shù)據(jù)，或者使用何種加密方法對(duì)數(shù)據(jù)進(jìn)行加密。在使用華為云服務(wù)時(shí)你還可以通過(guò)專門的加密服務(wù)管理你的數(shù)據(jù)加密。l權(quán)限控制訪問(wèn)控制和權(quán)限管理是實(shí)現(xiàn)隱私保護(hù)的基本要求，所有的云服務(wù)都被要求集成統(tǒng)一身份認(rèn)證服務(wù)，并且在云服務(wù)使用中驗(yàn)證用戶身份和權(quán)限?？勺匪菔侨A為云隱私保護(hù)的基本原則，日志記錄也是華為云服務(wù)的基本特性?？蛻艨梢酝ㄟ^(guò)云服務(wù)自身的日記記錄特性來(lái)滿足業(yè)務(wù)對(duì)日志記錄的需求，還可以同時(shí)配套華為云CTS服務(wù)使用，以支撐日志審計(jì)、相關(guān)的合規(guī)要求。華為云服務(wù)的安全和隱私保護(hù)特性遠(yuǎn)不止于此，以上僅列舉了一些典型的特性，其他如數(shù)據(jù)最小化、同意和撤銷同意、存留期限等一系列可以體現(xiàn)華為云服務(wù)PbD理念的服務(wù)特性不再贅述，可通過(guò)華為云官網(wǎng)資料了解詳細(xì)內(nèi)容。5.3相關(guān)云服務(wù)除了上節(jié)所述隱私特性，華為云還為客戶提供了綜合的隱私保護(hù)解決方案和豐富的云服務(wù)，以幫助客戶構(gòu)建和提升云上業(yè)務(wù)的安全和隱私保護(hù)水平?？蛻艨筛鶕?jù)自身業(yè)務(wù)特點(diǎn)選用相關(guān)的隱私服務(wù)，管理和保護(hù)個(gè)人數(shù)據(jù)。統(tǒng)一身份認(rèn)證服務(wù)（IAM）統(tǒng)一身份認(rèn)證服務(wù)（IdentityandAccessManagement）提供身份認(rèn)證和權(quán)限管理功能，可以管理用戶（比如員工、系統(tǒng)或應(yīng)用程序）賬號(hào)，并且可以控制這些用戶對(duì)您名下資源的操作權(quán)限。華為云隱私保護(hù)白皮書5客戶如何保護(hù)云上業(yè)務(wù)的隱私安全文檔版本2.2(2024-07-31)版權(quán)所有?華為云計(jì)算技術(shù)有限公司數(shù)據(jù)加密服務(wù)（DEW）數(shù)據(jù)加密服務(wù)（DataEncryptio