为更好地保障数据主体权利与保护个人数据安全,华为云将个人数据处理基本原则贯彻到个人数据处理各个阶段,明确个人数据处理全生命周期的管控要求,并将这些要求融入到所有业务活动中

个人数据收集阶段的隐私融入设计

主动通知 | 选择和同意 | 收集最小化原则

  • 主动通知

    在您与华为云互动过程中,如要收集您的个人数据,华为云会主动通知您所收集的个人数据类型、目的、处理方式、时间等内容,如在官网提供的华为云《隐私政策声明》


    对于各类线下市场营销活动中需收集个人数据时,在显著的位置提供隐私通知,并在收集个人数据时提供同意选项。


    对于涉及个人数据处理的云服务,华为云会在云服务用户资料中提供个人数据清单,说明相关个人数据处理的业务场景、目的、个人数据范围及处理方式等,以帮助您评估相关业务的合规风险和隐私管控措施。必要时云服务中提供了配置隐私通知的功能,您可根据业务合规需求自行配置隐私通知。

  • 选择和同意

    华为云会基于您的同意或履行合同目的等合法目的,收集提供服务所必须的个人数据。


    《隐私政策声明》中明确了您可以改变您授权华为云继续收集个人数据的范围或撤回您的授权,但您撤回同意或授权的决定,不会影响此前基于您的授权而开展的个人数据处理行为。


    您可以通过《隐私政策声明》中的“如何联系华为云”联系华为云以行使您的相关权利。

  • 收集最小化原则

    华为云在构建服务过程中采取合理可行的措施,确保个人数据收集的最小化,且不会收集与处理目的无关的个人数据。

个人数据收集阶段的隐私融入设计

主动通知 | 选择和同意 | 收集最小化原则

主动通知

在您与华为云互动过程中,如要收集您的个人数据,华为云会主动通知您所收集的个人数据类型、目的、处理方式、时间等内容,如在官网提供的华为云《隐私政策声明》


对于各类线下市场营销活动中需收集个人数据时,在显著的位置提供隐私通知,并在收集个人数据时提供同意选项。


对于涉及个人数据处理的云服务,华为云会在云服务用户资料中提供个人数据清单,说明相关个人数据处理的业务场景、目的、个人数据范围及处理方式等,以帮助您评估相关业务的合规风险和隐私管控措施。必要时云服务中提供了配置隐私通知的功能,您可根据业务合规需求自行配置隐私通知。

选择和同意

华为云会基于您的同意或履行合同目的等合法目的,收集提供服务所必须的个人数据。


《隐私政策声明》中明确了您可以改变您授权华为云继续收集个人数据的范围或撤回您的授权,但您撤回同意或授权的决定,不会影响此前基于您的授权而开展的个人数据处理行为。


您可以通过《隐私政策声明》中的“如何联系华为云”联系华为云以行使您的相关权利。

收集最小化原则

华为云在构建服务过程中采取合理可行的措施,确保个人数据收集的最小化,且不会收集与处理目的无关的个人数据。

个人数据安全使用、留存及处置

个人数据严格管控 | 个人数据传输、存储加密 | 存储期限最小化 | 日志审计

  • 个人数据严格管控

    访问控制和权限管理是实现隐私保护的基本要求。


    华为云对留存在华为云平台上的个人数据,采取严格的管控措施,为了确保个人数据的安全,对个人数据的接入、认证、授权、存储、审计进行统一管理。


    华为云会部署访问控制机制,确保只有授权人员才可访问个人数据;并且依照业务需要和人员层级,控制授权人员的数量并对授权人员做到分层级权限管理。如所有的云服务都被要求集成统一身份认证IAM服务,并且在云服务使用中验证用户身份和权限。

  • 个人数据传输、存储加密

    华为云会使用加密技术确保个人数据传输和存储的机密性,同时会使用受信赖的保护机制防止存储个人数据的服务器遭到恶意攻击。


    1)存储加密:

    如果您的业务数据中涉及敏感个人数据,云服务将默认加密存储该等数据,在非信任网络之间的传输的数据都是被加密的。同时,部分云服务还为您提供了自助控制的选项,您可以根据自身需求选择是否加密存储数据,或者使用何种加密方法对数据进行加密。如云硬盘、对象存储、镜像服务和关系型数据库等多个服务中均提供了数据加密(服务端加密)功能,采用高强度的算法对存储的数据进行加密。

    在使用华为云服务时您还可以通过专门的加密服务管理在您存储和传输中的数据加密,如数据加密服务DEW


    2)传输加密:

    华为云服务通过标准 RESTful 形式向外发布,全网数据传输使用 TLS 进行加密保护,同时也支持基于 X.509 证书的目标网站身份认证。

    当您通过互联网提供 Web 网站业务时,可以使用华为云联合全球知名证书服务商提供的证书管理服务。通过给 Web 网站申请并配置证书,实现网站的可信身份认证以及基于加密协议的安全传输。

    针对业务混合云部署和全球化布局的场景下,您可以使用华为云提供的虚拟专用网络 VPN云专线DC云连接CC等服务,实现不同区域之间业务的互联互通和数据传输安全。

    更多实现数据存储和传输安全的实践和方案,您可以访问《华为云安全白皮书》《华为云数据安全白皮书》了解。

  • 存储期限最小化

    华为云将会在达成隐私声明所述目的所需的期限内保留您的个人数据,除非按照法律要求需要延长保留期。保留期可能基于处理的目的以及相关服务而有所差异。

  • 日志审计

    可追溯是华为云隐私保护的基本原则,日志记录也是华为云服务的基本特性。您可以通过云服务自身的日记记录特性来满足业务对日志记录的需求,还可以同时配套华为云云审计服务CTS使用,以支撑日志审计、相关的合规要求。


    同时,华为云定期对日志进行回溯审计,对人员操作行为进行审阅以检查对个人数据操作的合理性和必要性。

个人数据安全使用、留存及处置

个人数据严格管控 | 个人数据传输、存储加密 | 存储期限最小化 | 日志审计

个人数据严格管控

访问控制和权限管理是实现隐私保护的基本要求。


华为云对留存在华为云平台上的个人数据,采取严格的管控措施,为了确保个人数据的安全,对个人数据的接入、认证、授权、存储、审计进行统一管理。


华为云会部署访问控制机制,确保只有授权人员才可访问个人数据;并且依照业务需要和人员层级,控制授权人员的数量并对授权人员做到分层级权限管理。如所有的云服务都被要求集成统一身份认证IAM服务,并且在云服务使用中验证用户身份和权限。

个人数据传输、存储加密

华为云会使用加密技术确保个人数据传输和存储的机密性,同时会使用受信赖的保护机制防止存储个人数据的服务器遭到恶意攻击。


1)存储加密:

如果您的业务数据中涉及敏感个人数据,云服务将默认加密存储该等数据,在非信任网络之间的传输的数据都是被加密的。同时,部分云服务还为您提供了自助控制的选项,您可以根据自身需求选择是否加密存储数据,或者使用何种加密方法对数据进行加密。如云硬盘、对象存储、镜像服务和关系型数据库等多个服务中均提供了数据加密(服务端加密)功能,采用高强度的算法对存储的数据进行加密。

在使用华为云服务时您还可以通过专门的加密服务管理在您存储和传输中的数据加密,如数据加密服务DEW


2)传输加密:

华为云服务通过标准 RESTful 形式向外发布,全网数据传输使用 TLS 进行加密保护,同时也支持基于 X.509 证书的目标网站身份认证。

当您通过互联网提供 Web 网站业务时,可以使用华为云联合全球知名证书服务商提供的证书管理服务。通过给 Web 网站申请并配置证书,实现网站的可信身份认证以及基于加密协议的安全传输。

针对业务混合云部署和全球化布局的场景下,您可以使用华为云提供的虚拟专用网络 VPN云专线DC云连接CC等服务,实现不同区域之间业务的互联互通和数据传输安全。

更多实现数据存储和传输安全的实践和方案,您可以访问《华为云安全白皮书》《华为云数据安全白皮书》了解。

存储期限最小化

华为云将会在达成隐私声明所述目的所需的期限内保留您的个人数据,除非按照法律要求需要延长保留期。保留期可能基于处理的目的以及相关服务而有所差异。

日志审计

可追溯是华为云隐私保护的基本原则,日志记录也是华为云服务的基本特性。您可以通过云服务自身的日记记录特性来满足业务对日志记录的需求,还可以同时配套华为云云审计服务CTS使用,以支撑日志审计、相关的合规要求。


同时,华为云定期对日志进行回溯审计,对人员操作行为进行审阅以检查对个人数据操作的合理性和必要性。

第三方披露

合法合规个人数据披露

  • 合法合规个人数据披露

    华为云对所有供应商按要求进行尽职调查及隐私安全能力评估,合同中明确供应商作为处理者/子处理者的隐私保护义务及适用法律法规的要求,确保供应商满足您的隐私保护要求。其他华为云可能依法向第三方披露个人数据的场景详见《隐私政策声明》

第三方披露

合法合规个人数据披露

合法合规个人数据披露

华为云对所有供应商按要求进行尽职调查及隐私安全能力评估,合同中明确供应商作为处理者/子处理者的隐私保护义务及适用法律法规的要求,确保供应商满足您的隐私保护要求。其他华为云可能依法向第三方披露个人数据的场景详见《隐私政策声明》

个人数据跨境过程中的安全与合规性保障

区域化提供服务 | 基于协议或数据主体同意的跨境

  • 区域化提供服务

    为了向您提供服务,我们收集您的个人数据可能存储在华为云及其关联公司、服务提供商/分包商所在的国家/地区。这意味着,您的个人数据可能会被转移到您使用服务或产品所在国家/地区境外的其他司法管辖区,或者受到来自这些司法管辖区的访问。


    此类司法管辖区可能适用不同的个人信息保护法,甚至未颁布相关法律法规。在此类情况下,华为云会确保您的个人信息得到适用法律法规要求的充分且同等的保护。例如,华为云会请求您对跨境转移个人信息的同意或者在跨境转移之前实施匿名等安全举措。


    通过华为云官网的全球基础设施全球产品和服务页面,您可以了解华为云在全球的基础设施分布以及区域服务目录。这对您了解如何基于业务需求选择合适的区域存储您用户数据非常有帮助。

  • 基于协议或数据主体同意的跨境

    华为云在全球多个国家建立数据中心,在运营运维过程中涉及需要进行数据跨境传输的场景时,遵循当地隐私保护法律法规并经过内部严格评审。如在签订数据转移协议获得数据主体的明确同意之后进行数据跨境转移,保证个人数据将被合法、正当、透明地处理。

个人数据跨境过程中的安全与合规性保障

区域化提供服务 | 基于协议或数据主体同意的跨境

区域化提供服务

为了向您提供服务,我们收集您的个人数据可能存储在华为云及其关联公司、服务提供商/分包商所在的国家/地区。这意味着,您的个人数据可能会被转移到您使用服务或产品所在国家/地区境外的其他司法管辖区,或者受到来自这些司法管辖区的访问。


此类司法管辖区可能适用不同的个人信息保护法,甚至未颁布相关法律法规。在此类情况下,华为云会确保您的个人信息得到适用法律法规要求的充分且同等的保护。例如,华为云会请求您对跨境转移个人信息的同意或者在跨境转移之前实施匿名等安全举措。


通过华为云官网的全球基础设施全球产品和服务页面,您可以了解华为云在全球的基础设施分布以及区域服务目录。这对您了解如何基于业务需求选择合适的区域存储您用户数据非常有帮助。

基于协议或数据主体同意的跨境

华为云在全球多个国家建立数据中心,在运营运维过程中涉及需要进行数据跨境传输的场景时,遵循当地隐私保护法律法规并经过内部严格评审。如在签订数据转移协议获得数据主体的明确同意之后进行数据跨境转移,保证个人数据将被合法、正当、透明地处理。

最大程度保障数据主体权利

开放数据主体权利响应(DSR) | 个人数据泄露及安全事件的及时披露和响应

  • 数据主体权利响应

    在华为云提供产品及服务的众多国家/地区中,部分国家/地区的立法规定了个人数据主体有权向华为云就华为云所保留的相关个人数据提出访问、纠正、删除等的请求。


    华为云提供了数据主体权利请求渠道,并配备了专业团队响应数据主体的相关请求,当接收到请求后,在规定时间内完成响应和请求处理,并反馈处理结果给数据主体。您也可以直接通过个人数据权利主体请求页面,向我们提出您的相应请求。

  • 个人数据泄露及安全事件的及时披露和响应

    为应对个人数据泄露、损毁和丢失等可能出现的风险,华为云制定了多项制度与管控措施,明确了安全事件、安全漏洞的分类分级标准及相应的处理流程。

    华为云也为安全事件建立了专门的应急响应团队,按照安全事件处置规范要求,针对不同安全事件启动安全预案,进行止损、分析、定位、制定补救措施、联合相关部门处理等。

    此外,华为云还成立了专门的隐私保护团队,按照适用法律法规要求,对个人数据泄露事件及时披露, 同时执行应急预案及恢复流程,以降低对您的影响。

最大程度保障数据主体权利

开放数据主体权利响应(DSR) | 个人数据泄露及安全事件的及时披露和响应

数据主体权利响应

在华为云提供产品及服务的众多国家/地区中,部分国家/地区的立法规定了个人数据主体有权向华为云就华为云所保留的相关个人数据提出访问、纠正、删除等的请求。


华为云提供了数据主体权利请求渠道,并配备了专业团队响应数据主体的相关请求,当接收到请求后,在规定时间内完成响应和请求处理,并反馈处理结果给数据主体。您也可以直接通过个人数据权利主体请求页面,向我们提出您的相应请求。

个人数据泄露及安全事件的及时披露和响应

为应对个人数据泄露、损毁和丢失等可能出现的风险,华为云制定了多项制度与管控措施,明确了安全事件、安全漏洞的分类分级标准及相应的处理流程。

华为云也为安全事件建立了专门的应急响应团队,按照安全事件处置规范要求,针对不同安全事件启动安全预案,进行止损、分析、定位、制定补救措施、联合相关部门处理等。

此外,华为云还成立了专门的隐私保护团队,按照适用法律法规要求,对个人数据泄露事件及时披露, 同时执行应急预案及恢复流程,以降低对您的影响。