华为云马来西亚 PDPA 遵从性说明

文档版本1.2发布日期2023-12-20 版权所有©华为云计算技术有限公司2023。保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为云计算技术有限公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为云计算技术有限公司对本文档内容不做任何明示或暗示的声明或保证。 由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为云计算技术有限公司 地址：贵州省贵安新区黔中大道交兴功路华为云数据中心邮编：550029网址：https://www.huaweicloud.com/ 目录 1.1适用范围.....................................................................................................................................................................11.2发布目的.....................................................................................................................................................................11.3基本定义.....................................................................................................................................................................1 2.1华为云隐私承诺.........................................................................................................................................................32.2华为云隐私保护基本原则.........................................................................................................................................32.3隐私保护责任.............................................................................................................................................................42.4华为云隐私保护相关认证资质..................................................................................................................................4 3华为云如何遵从马来西亚PDPA的要求....................................................................................7 3.1马来西亚《个人数据保护法》概述..........................................................................................................................73.2PDPA基本原则及华为云相关做法............................................................................................................................73.2.1通用原则..................................................................................................................................................................83.2.2通知和选择..............................................................................................................................................................83.2.3披露..........................................................................................................................................................................93.2.4安全..........................................................................................................................................................................93.2.5保留........................................................................................................................................................................103.2.6数据完整性............................................................................................................................................................103.2.7访问原则................................................................................................................................................................11 5历史版本........................................................................................................................................13 1.1适用范围 本文档提供的信息适用于华为云及其所有产品和服务。 1.2发布目的 本文档旨在帮助客户了解华为云开展的各项业务相关的活动如何遵从马来西亚个人数据保护法（PersonalDataProtectionAct，以下简称PDPA）的要求，以及华为云为保护个人数据安全采取的措施，同时帮助客户理解客户和华为云在云服务模式下扮演的不同角色以及相应的关注点。 1.3基本定义 ⚫个人数据：指与商业交易有关的任何信息，包括−通过基于响应此目的发出的指令而自动操作的设备进行处理；−记录的目的是可全部或部分通过该设备进行处理；−被记录为有关存档系统的一部分，或为了将其作为有关存档系统的一部分；从上述信息或数据控制者拥有的其他信息中识别或可识别的与数据主体直接或间接相关的信息，包括任何敏感个人数据和对该数据主体的意见表达。⚫内容数据：指客户使用华为云服务过程中存储或处理的内容，包括但不限于数据、文件、软件、图像、音频、视频等类型的数据。⚫数据控制者：指单独或共同或与他人共同处理任何个人数据，或控制或授权处理任何个人数据的人。⚫数据处理者：指除了数据控制者的雇员外，代表数据控制者处理个人数据，而不为任何本身的目的处理个人数据的人。⚫数据主体：指作为个人数据主体的个人。⚫处理：指收集、记录、保留、存储个人数据，或对个人数据执行任何操作或一组操作，包括： −个人数据的组织、改编或更改；−个人数据的检索、查阅或使用；−以传输、转移、传播或以其他可用的方式披露个人数据；−个人数据的排列、组合、更正、删除或销毁。 ⚫第三方：指除了以下列举之外的任何人： −数据主体；−与数据主体有关的人；−数据控制者；−数据处理者；−由数据控制者书面授权并由数据控制者直接控制下处理个人数据的人。 2 华为云隐私保护策略 2.1华为云隐私承诺 华为云以网络安全和隐私保护作为最高纲领，将网络安全和隐私保护完全融入到每个云服务中，承诺尊重和保护客户隐私的同时为客户提供稳定、可靠、安全、值得信赖及可持续的服务。 华为云郑重对待并积极承担相应责任，以遵守全球隐私保护法律法规。华为云建立专业的隐私保护团队、建立并优化流程、积极开发新技术、不断构建隐私保护能力，以实现华为云的隐私保护目标：遵守严格的服务边界，保护客户个人数据安全，助力客户实现隐私保护。 2.2华为云隐私保护基本原则 ⚫合法、正当、透明：华为云以合法、正当、对数据主体透明的方式处理个人数据。⚫目的限制：华为云基于具体、明确、合法的目的收集个人数据，不以与此目的不相符的方式做进一步处理。⚫数据最小化：华为云在处理个人数据时应遵循数据处理目的，且是必要的、适当的。华为云尽可能对个人数据进行匿名或化名处理，降低对数据主体的风险。⚫准确性：华为云确保个人数据的准确性，并在必要的情况下及时更新。根据数据处理的目的，采取合理的措施确保及时删除或修正不准确的个人数据。⚫存储期限最小化：华为云在存储个人数据时不超过实现数据处理目的所必要的期限。⚫完整性与保密性：华为云根据现有技术能力、实现成本、隐私风险程度和概率采取适度的技术或组织措施确保个人数据的安全，包括防止个人数据被意外或非法损毁、丢失、篡改、未授权访问或披露。⚫可归责：华为云负责且能够对外展示遵从上述原则。 2.3隐私保护责任 华为云作为云服务提供商，负责云平台本身的安全以保证租户存放的个人数据的安全性。华为云对其业务和其他相关活动遵从法律法规的要求。同时华为云为租户提供隐私保护技术，助力租户保障其个人数据安全。 租户对其内容数据拥有全面控制权，应正确、全面地识别云端的个人数据，选择恰当的服务并制定安全和个人数据保护策略以保护个人数据安全。同时，租户可使用华为云为其提供的多种隐私保护服务，增强对个人数据的保护。 下图是华为云责任共担模型，此模型帮助租户更好了解在隐私保护领域中华为云的责任，以及租户需要关注的重点。 关于华为云与租户的隐私保护职责详情，可参