2024华为云隐私保护白皮书2.2

文档版本2.2发布日期2024-07-31 版权所有©华为云计算技术有限公司2024。保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为云计算技术有限公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为云计算技术有限公司对本文档内容不做任何明示或暗示的声明或保证。 由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为云计算技术有限公司 地址：贵州省贵安新区黔中大道交兴功路华为云数据中心邮编：550029网址：https://www.huaweicloud.com/ 随着云计算技术和云服务的不断演进和成熟，公有云、混合云等各种模式的云服务逐渐成为越来越多的企业的最佳选择。云服务提供商为企业带来更便捷、更丰富、也更经济实惠的云服务，如何保护云上数据、尤其是个人数据的安全，不仅是云服务提供商的首要任务，也逐渐成为企业业务上云的主要考量因素。 2016年11月，中国颁布了《中华人民共和国网络安全法》，对个人信息保护提出一系列要求。关于个人信息保护的国家级标准《信息安全技术个人信息安全规范》也于2018年正式实施。2021年11月，《中华人民共和国个人信息保护法》正式生效，为保护个人信息安全提供了重要保障。2016年，欧盟发布《通用数据保护条例》（GeneralData Protection Regulation，以下简称GDPR）并于2018年5月正式生效，对个人隐私权利提出了明确的法律要求。GDPR的一经发布即在全球范围内产生了深远影响，公众对隐私保护的关注达到空前高度。近年，阿根廷、新西兰、巴西、印度、土耳其、泰国等国家也相继发布了本国隐私保护法律。全球范围内对个人隐私保护的监管日益严格，不仅对云服务提供商的隐私保护提出了更高要求，也客观上使得企业（尤其是开展跨国业务的企业）的隐私保护合规工作将更具挑战。 华为云是华为的云服务品牌，将华为30多年在ICT领域的技术积累和产品解决方案开放给客户，致力于提供稳定可靠、安全可信、可持续创新的云服务。华为云在隐私保护方面付出诸多努力并取得了显著的成效，我们希望借此白皮书与您分享将华为云的隐私保护理念和相关工作，介绍我们如何保护客户的个人数据，以及华为云服务如何帮助客户构建云上的隐私保护。 目录 2.1合规性..................................................................................................................................................................................22.2标准与认证..........................................................................................................................................................................3 3共同构筑隐私安全..................................................................................................................4 3.1华为云的责任......................................................................................................................................................................53.2客户的责任..........................................................................................................................................................................5 4.1个人数据处理基本原则.....................................................................................................................................................64.2华为云隐私保护管理体系.................................................................................................................................................64.3技术和工具..........................................................................................................................................................................9 5客户如何保护云上业务的隐私安全......................................................................................11 5.1DevSecOps——云服务生命周期管控............................................................................................................................115.2云服务的隐私安全特性...................................................................................................................................................125.3相关云服务........................................................................................................................................................................12 7版本历史...............................................................................................................................15 网络安全和隐私保护①一直是华为生存之本，从创立至今，华为人便一直坚定地朝着这个方向不懈努力。基于华为公司在网络安全和隐私保护方面多年的实践与经验，华为云充分理解隐私的重要性，现已将隐私保护融入到每个云服务中。在网络安全与隐私保护是数智世界发展的基石的指导下，华为云以“尊重和保护隐私，让人们放心地使用便捷可信的云服务”为愿景。围绕这一愿景，华为云郑重对待网络安全和隐私保护事项并积极承担相应责任，设置了专业的隐私保护团队，制定并完善隐私保护管理流程，积极研发安全和数据保护技术，不断建设和提升华为云隐私保护的能力，为客户提供稳定可靠、安全可信、可持续演进的云服务。 得益于华为云全方位、系统性的隐私保护管理体系的支撑，使得我们可以更好地实现这一目标。华为云以全球隐私保护的法律法规为基石，参考业界广泛认可的优秀实践，建设华为云的隐私保护体系。华为云投入大量的专业人员和资源，支撑管理措施和信息技术的研究和落地，保障隐私保护体系的有效运转，确保华为云的隐私保护合规并获得持续发展。 当然，实现隐私保护需要强大的安全能力为其提供支撑，隐私保护和安全息息相关。华为云在云安全方面具备行业领先的实践和积累，详细内容请查看《华为云安全白皮书》和《华为云数据安全白皮书》。 华为云秉承数据中立态度，严守服务边界，保障数据为客户所有、为客户所用、为客户创造价值；华为云承诺将确保相关业务遵从业务所在国家/地区适用的隐私保护法律法规。 ①隐私：最广泛的定义是个人let alone的权利。物理上隐私是指个人住宅或个人财产、搜身、监控或提取生物特征信息，而信息性的隐私是指个人控制、编辑、管理和删除关于自己信息的能力和决定如何与他人沟通这些信息的能力。本白皮书中主要谈及的是信息性的隐私。 2 隐私保护合规和认证 2.1合规性 法律遵从是企业开展业务的合规底线，华为云遵守业务所在地所有适用的法律法规要求。华为云投入专业的法务团队，紧密关注全球范围内华为云服务适用的法律法规更新情况，对相关法律法规保持持续跟踪并进行快速分析，确保华为云业务合规。对部分云服务网络安全、隐私保护相关的法律、法规及行业监管要求，我们结合华为云服务特性编写了合规遵从白皮书，以说明华为云对特定法律法规要求的遵从性，帮助客户理解适用法律法规要求并为全球客户在不同国家业务的隐私合规性提供参考。 截止目前，华为云已发布十余份各国隐私保护法律或行业标准遵从白皮书，并将持续发布更多的白皮书，您可以随时在华为云官方网站信任中心获取到以下白皮书②： 巴西LGPD遵从性指南 马来西亚PDPA遵从性指南 新加坡PDPA遵从性指南 华为云泰国PDPA遵从性指南 华为云南非POPIA遵从性指南 中国香港特别行政区PDPO遵从性指南 华为云HIPAA遵从性指南 华为云PCI DSS实践指南新加坡金融行业监管要求遵从性指南中国香港金融行业监管要求遵从性指南泰国金融行业监管遵从性指南 2.2标准与认证 华为在践行业界网络安全和隐私保护领域优秀实践的同时，积极加入如云安全联盟、IAPP等国际权威组织，参与各类云安全和隐私保护标准的起草和修订，将华为的实践和经验回馈社会和全行业。华为云网络安全和隐私保护的能力和成效在全球范围得到广泛认可。目前，华为云共取得海内外十余家机构的第三方认证。 下面列举了华为云已获得的部分与隐私保护强相关的认证③： ISO/IEC 27701:2019 BS 10012:2017 ISO/IEC 27799 PCI DSS认证 PCI-3DS认证 可信云云服务用户数据保护能力认证（中国） SOC 2 Type I/II Report（隐私性） 华为云积极关注业界权威隐私认证机制的出台，并持续提高要求，完善隐私保护体系，增加和更新安全和隐私方面的认证。同时，华为云和隐私保护相关协会紧密合作，对隐私保护前沿资讯及技术进行探讨，帮助华为云打造一个可持续发展的、安全可信的云平台环境。 3 共同构筑隐私安全 华为作为云服务提供商（CSP）向客户提供了基础设施即服务（IaaS），平台即服务（PaaS）和软件即服务（SaaS）各类云服务，在复杂的云服务环境中如何实现隐私安全，需要客户与华为云共同努力。隐私保护对企业