华为云新加坡隐私遵从性说明

文档版本3.1发布日期2023-12-20 版权所有©华为云计算技术有限公司2023。保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为云计算技术有限公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为云计算技术有限公司对本文档内容不做任何明示或暗示的声明或保证。 由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为云计算技术有限公司 地址：贵州省贵安新区黔中大道交兴功路华为云数据中心邮编：550029网址：https://www.huaweicloud.com/ 目录 1概述..................................................................................................................................................2 1.1适用范围.....................................................................................................................................................................21.2发布目的.....................................................................................................................................................................21.3基本定义.....................................................................................................................................................................2 3.1法规背景介绍.............................................................................................................................................................63.2角色划分及基本义务.................................................................................................................................................63.3华为云在新加坡隐私法规下的角色..........................................................................................................................7 4华为云如何响应新加坡隐私合规要求.........................................................................................8 4.1华为云隐私承诺.........................................................................................................................................................84.2华为云隐私保护基本原则.........................................................................................................................................84.3华为云响应新加坡《个人数据保护法》《个人数据保护条例》和《个人数据保护（数据泄露通知）条例》的合规措施........................................................................................................................................................................9 5华为云协助客户响应新加坡隐私合规要求...............................................................................14 5.1客户的隐私保护责任...............................................................................................................................................145.2华为云产品和服务助力客户实现内容数据的隐私安全........................................................................................20 1.1适用范围 本文档提供的信息适用于华为云在新加坡共和国（简称“新加坡”）开放的产品和服务。 1.2发布目的 本文档旨在帮助客户了解： 1.华为云隐私保护责任模型；2.新加坡隐私相关的法律要求；3.基于责任模型，华为云自身关于新加坡隐私法规的遵循性；4.华为云在隐私管理上已实现的控制和成效；5.基于责任模型，新加坡隐私法规管辖下的客户须遵循的责任与义务；6.如何利用华为云的安全产品或服务实现隐私合规。 1.3基本定义 ⚫数据控制者/组织：包括任何个人、公司、协会或团体，无论法人或非法人，无论是否在新加坡法律下成立或认可、是否是新加坡居民或是否在新加坡设有办事处或营业地点。以上描述来自《新加坡个人数据保护法》（以下简称“PDPA”），亦指代本文中的“数据控制者”。⚫数据处理者/数据中介：代表另一个组织处理个人数据的组织，但不包括该组织的员工。以上描述来自PDPA，亦指代本文中的“数据处理者”。⚫内容数据：指客户在使用华为云服务期间存储或处理的数据，包括但不限于数据、文件、软件、图像、音频、视频等类型的数据。⚫收集：指组织获得对个人数据的控制权或拥有个人数据涉及的任何单独或一系列行为。 ⚫处理：就个人数据而言，指与个人数据有关的任何操作或一系列操作，包括记录、持有、整理、调整或更改、恢复、组合、传输、删除或销毁。⚫使用：指组织应用个人数据的任何行为或一系列行为。⚫披露：指组织披露、转移或以其他方式向其他任何组织提供其控制或拥有的个人数据的任何单独的或一系列行为。⚫个人数据：与一个身份已被识别或者身份可被识别的自然人（“数据主体”）相关的任何信息。身份可识别的自然人是指其身份可以通过诸如姓名、身份证号、位置数据等识别码或者通过一个或多个与自然人的身体、生理、精神、经济、文化或者社会身份相关的特定因素来直接或者间接地被识别。个人数据包括自然人的email地址、电话号码、生物特征（指纹）、位置数据、IP地址、医疗信息、宗教信仰、社保号、婚姻状态等。⚫华为云：华为的云服务品牌，致力于提供稳定可靠、安全可信、可持续创新的云服务。⚫客户：与华为云达成商业关系的注册用户。 2云服务的隐私保护责任界定 在复杂的云服务业务模式中，隐私保护不再是某一方单一的责任，需要客户与华为云共同努力。基于此，华为云为帮助客户理解双方的隐私保护责任边界、避免出现隐私保护真空区而提出了责任共担模型。在模型中客户与华为云具体负责的区域可参见下图。 基于责任共担模型，华为云与客户主要承担如下的隐私保护责任： 华为云：作为云产品、云服务提供商（Cloud Service Provider，简称CSP），一方面负责自身运营过程中收集和处理的客户个人数据安全与合规，另一方面负责为客户提供安全、合规的云服务相关的基础设施、云平台以及软件应用，也就是负责平台安全。 ⚫客户隐私保护：华为云识别并保护客户的个人数据。从公司政策、流程、操作层面制定了隐私保护策略，并采取数据分离、数据加密、系统及平台安全防护等措施，全面保护客户隐私的安全。 ⚫平台安全及客户安全支持：华为云负责在云服务中涉及到的基础平台及设施的安全与合规，提升华为云的应用安全、平台安全水平以遵从适用的隐私保护法规的要求。同时华为云为客户提供多种隐私保护技术及服务，包括访问控制和身份认证、数据加密、日志和审计等功能，帮助客户根据业务需求进行隐私保护。 客户：作为云产品、云服务的购买方，将决定如何使用相关产品或服务，也决定如何利用云产品或服务存储和处理内容数据，包括其中可能的个人数据，因此客户负责内容数据的安全与合规，也就是负责内容安全。 ⚫内容数据保护：客户应正确、全面地识别云端的个人数据，制定可保护个人数据的安全性及隐私的策略并选择恰当的隐私保护措施。具体措施包括根据业务和隐私保护的需求进行安全配置工作，例如操作系统配置、网络设置、安全防护、数据库加密策略等，设置恰当的访问控制策略和密码策略。 ⚫数据主体权利响应：客户应保障数据主体的权利，响应数据主体的请求，当发生个人数据泄露事件时，应遵循法规要求采取恰当的行动，例如通知监管部门、通知数据主体、采取缓解措施等。 3新加坡隐私法规概述 3.1法规背景介绍 《个人数据保护法》（PDPA），为新加坡的个人数据提供了数据保护的基线标准，整体规范了组织对个人数据的收集、使用和披露，保障个人数据保护的权利，既承认个人数据保护的权力，也承认数据控制者出于合理目的收集、适用和披露个人数据的必要性。2020年11月，首次全面修订《个人数据保护法》，并正式颁布《2020年个人数据保护（修订）法》。该修订案的要求分阶段生效，2021年2月生效的修正案包括数据泄露的通知要求、扩大明示同意的范围和明示同意的例外情况等。2022年10月生效的修正案包括提高组织违反PDPA要求的罚款数额。 3.2角色划分及基本义务 新加坡隐私法规规定了组织（数据控制者）、数据中介（数据处理者）两种关键角色。 组织（数据控制者）：包括任何个人、公司、协会或团体，无论法人或非法人，无论是否在新加坡法律下成立或认可、是否是新加坡居民或是否在新加坡设有办事处或营业地点。 数据中介（数据处理者）：代表另一个组织处理个人数据的组织，但不包括该组织的员工。 数据控制者的基本义务主要包括： 1.通知及同意：数据控制者事先通知个人收集、使用或披露个人数据的目的。数据控制者只能出于个人同意的目的，或在PDPA或新加坡任何其他成文法律授权的情况下收集、使用或披露个人数据。如果个人撤回同意，则该数据控制者必须停止收集、使用或披露个人数据。 2.目的限制：目的限制义务规定数据控制者仅可以出于合理的并已经通知个人的目的收集、使用或披露个人数据。3.访问