华为云哥伦比亚隐私遵从性说明

文档版本1.0发布日期2024-03-21 版权所有©华为云计算技术有限公司2024。保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为云计算技术有限公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为云计算技术有限公司对本文档内容不做任何明示或暗示的声明或保证。 由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为云计算技术有限公司 地址：贵州省贵安新区黔中大道交兴功路华为云数据中心邮编：550029网址：https://www.huaweicloud.com/ 目录 4.1法规背景介绍.............................................................................................................................................................74.2角色划分及基本义务.................................................................................................................................................7 5华为云如何遵从哥伦比亚隐私法律要求.....................................................................................9 5.1华为云在哥伦比亚隐私法律下的角色......................................................................................................................95.2华为云作为数据控制者，如何遵从隐私法律要求..................................................................................................95.2.1华为云个人数据处理基本原则...............................................................................................................................95.2.2华为云如何履行哥伦比亚隐私法律相关要求.....................................................................................................105.3华为云作为数据处理者，如何遵从隐私法律相关要求........................................................................................165.3.1华为云数据处理活动............................................................................................................................................165.3.2华为云履行处理者的义务....................................................................................................................................16 6客户遵从哥伦比亚隐私法律要求及注意事项...........................................................................21 6.1客户的隐私保护责任及注意事项............................................................................................................................216.2客户可选择的额外安全措施...................................................................................................................................26 8版本历史........................................................................................................................................31 1.1适用范围 本文档提供的信息适用于华为云在哥伦比亚开放的产品和服务。 1.2发布目的 本文档旨在帮助客户了解： 1.华为云隐私保护责任共担模型；2.哥伦比亚相关隐私法律的要求；3.基于责任模型，华为云如何遵从哥伦比亚相关隐私法律的要求；4.基于责任模型，客户可能需要遵从哥伦比亚相关隐私法律的要求以及注意事项；5.华为云如何协助客户满足相关隐私合规要求。 2 华为云处理的个人数据 华为云在向客户提供服务的过程中，通常会处理客户以下两类个人数据： 1.账号数据： 账号数据是指客户在与华为云的互动过程中，出于服务必要的目的提供给华为云的、与客户账号的创建或管理相关的个人数据。例如，客户创建账号时，向华为云提供的用户名、手机号码、邮箱地址；客户使用地址管理服务时，向华为云提供的收件人姓名、详细地址、邮政编码、手机号码。 华为云《隐私政策声明》所述实践适用于账号数据；华为云将依照《隐私政策声明》处理账号数据，如遵循数据最小化原则收集、存储和使用，采取适当的技术与组织措施保护账号数据安全等。 ⚫客户数据： 客户数据是指客户内容中包含的个人数据。 客户内容是指客户和/或客户的最终用户以任何格式在华为云服务上存储和处理的所有数据、软件、文本、图像、视频、音频等，以及上述数据通过服务产生的计算结果。 客户拥有并可以控制客户内容（包括客户数据）： 1)客户可以选择使用哪些华为云服务来处理客户内容。2)客户可以选择客户内容的存储位置。3)客户可以选择客户内容的安全保护方式。4)客户可以管理及控制客户内容的访问权限。 华为云《数据处理附录》所述实践适用于客户数据，华为云将依照《数据处理附录》处理客户数据，如华为云仅按照客户指示处理客户数据，华为云获知客户数据泄露后，将及时通知客户，采取安全措施保护客户数据等。 3 华为云责任共担模型 由于华为云客户拥有对其客户内容的所有权和控制权，华为云不了解或不知道客户在华为云服务上处理的客户内容，包括是否存在客户数据，是否被适用的隐私法保护。因此作为华为云“责任共担”模型的一部分，客户应承担客户内容安全相关的责任。 在隐私保护要求可能适用于客户内容的情况下，“责任共担”模型帮助华为云和客户双方理解各自角色以及责任。 华为云：作为云服务提供商（Cloud Service Provider，简称CSP），安全责任在于保障云服务自身的安全，包括数据中心的物理基础设施和运行其上的基础服务、平台服务、应用服务等。 1)物理基础设施安全：华为云的区域、可用区和终端节点涉及机房、环境的安全管理，以及物理服务器和网络设备等设施的管理。 2)基础服务安全：指华为云提供的计算、网络、存储等方面的安全管理，包括云计算、云存储、云数据库等服务的底层管理（如虚拟化控制层）和使用管理（如虚拟主机），以及虚拟网络、负载均衡、安全网关、VPN、专线链路等。3)平台服务安全：指在华为云中的微服务、管理、中间件等平台类的安全管理，包括平台的设计、开发、发布、配置和使用等。4)应用服务安全：指在华为云中的支撑运维运营，以及支撑用户业务等应用系统的安全管理，包括应用的设计、开发、发布、配置和使用等。 客户：作为云服务的使用方，客户对其内容数据拥有所有权和控制权。客户决定他们使用华为云服务存储或处理的内容，因此只有客户才能确定使用华为云存储和处理的内容适合何种安全级别。客户还可以完全控制授权谁访问他们的内容数据，包括需要什么凭证。客户可以控制如何保护他们的内容数据，包括是否加密内容数据等，因此客户对其内容数据的安全性负责。客户内容数据由客户选择以及使用的云服务存储或处理，因此客户也应负责其使用的云服务内部的安全，对云服务定制配置并进行安全有效管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。如： 1)对于各项云服务，华为云提供客户执行特定安全任务所需的资源、功能和性能，而客户需负责各项可控资源的安全配置工作。2)客户负责部署其虚拟网络的防火墙，网关和高级安全服务等的策略配置；3)客户负责部署其虚拟网络、虚拟主机和访客虚拟机和容器等云服务所必需的安全配置和管理任务（包括更新和安全补丁）、容器安全管理（包括容器集群、节点和容器的安全配置、访问控制安全配置等）等4)客户负责部署其自行部署在华为云的任何应用程序软件或实用程序进行安全管理。 4 哥伦比亚隐私法规概述 4.1法规背景介绍 ⚫《2012年第1581号法律》：该法律于2012年10月17日颁布，其明确了保护个人数据的一般规定，构成了哥伦比亚保护个人数据安全的总体框架，并且落实了《宪法》赋予哥伦比亚人的保护个人数据的权利。⚫《2013年第1377号法令》：该法令于2013年6月27日颁布，其基于《2012年第1581号法律》的内容提出了更详尽的规定，进一步细化和规范了《2012年第1581号法律》的要求。⚫《2008年第1266号法律》：该法律于2008年12月31日颁布，其规范了个人数据库中信息的处理，特别是金融、信贷、商业、服务和来自第三国的信息的处理等。⚫《2021年第2157号法律》：该法律于2021年10月29日颁布，其旨在对《2008年第1266号法律》进行修订和补充，以加强对个人数据的保护。⚫《个人数据国际传输责任原则实施指南》：该指南针对将个人数据从哥伦比亚传输至其他国家提出了多项建议措施，以确保个人数据跨境传输过程中的安全。不过，该指南所提出的建议不具有强制效力，不构成法律要求，仅为相关方遵守哥伦比亚个人数据保护相关要求提供指导。 4.2角色划分及基本义务 哥伦比亚隐私法规规定了数据主体、数据控制者、数据处理者三种角色。 数据主体：个人数据被处理的个人。 数据控制者：指公共的或私人的、自行的或与他人共同决定数据库和/或数据的处理的自然人或法人。 数据处理者：指公共的或私人的、自行的或与他人共同代表数据控制者处理个人数据的自然人或法人。 数据主体享有向数据控制者或数据处理者了解、更新和更正他们的个人数据、要求证明授予数据控制者的授权、要求数据控制者或数据处理者告知他们的个人数据的使用 情况、向监管机构申诉、撤销授权、要求删除个人数据以及访问