华为云尼日利亚隐私遵从性说明

文档版本2.1发布日期2023-12-20 版权所有©华为云计算技术有限公司2023。保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为云计算技术有限公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为云计算技术有限公司对本文档内容不做任何明示或暗示的声明或保证。 由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为云计算技术有限公司 地址：贵州省贵安新区黔中大道交兴功路华为云数据中心邮编：550029网址：https://www.huaweicloud.com/ 目录 1.1适用范围.....................................................................................................................................................................11.2发布目的.....................................................................................................................................................................11.3基本定义.....................................................................................................................................................................1 3.1法规背景介绍.............................................................................................................................................................53.2角色划分及基本义务.................................................................................................................................................53.3华为云在尼日利亚NDPA下的角色.........................................................................................................................6 4华为云如何响应尼日利亚NDPA合规要求...............................................................................7 4.1华为云隐私承诺.........................................................................................................................................................74.2华为云隐私保护基本原则.........................................................................................................................................74.3华为云响应尼日利亚NDPA的合规措施.................................................................................................................8 5华为云协助客户响应尼日利亚NDPA合规要求.....................................................................16 5.1客户的隐私保护责任...............................................................................................................................................165.2华为云产品和服务助力客户实现内容数据的隐私安全........................................................................................20 6华为云隐私保护相关认证资质...................................................................................................24 7结语................................................................................................................................................27 8版本历史........................................................................................................................................28 1.1适用范围 本文档提供的信息适用于华为云在尼日利亚开放的产品和服务。 1.2发布目的 本文档旨在帮助客户了解： 1.华为云隐私保护责任模型；2.2023年尼日利亚数据保护法（NIGERIA DATA PROTECTION ACT, 2023，以下简称NPDA）相关的法律要求；3.基于责任模型，华为云自身关于尼日利亚NDPA的遵循性；4.华为云在隐私管理上已实现的控制和成效；5.基于责任模型，尼日利亚NDPA管辖下的客户须遵循的责任与义务；6.如何利用华为云的安全产品或服务实现隐私合规。 1.3基本定义 ⚫数据主体 指与个人数据有关的个人。 ⚫个人数据 指与个人有关的任何信息。通过参考标识符，如姓名、身份证号码、位置数据、在线标识符或与该个人的身体、生理、遗传、心理、文化、社会或经济身份有关的一个或多个具体因素，该个人能够直接或间接地被识别。 ⚫数据控制者 指单独或与他人共同决定处理个人数据的目的和手段的个人、私营实体、公共委员会或机构或任何其他机构。 ⚫数据处理者 指代表数据控制者或另一数据处理者或在其指示下处理个人数据的个人、私营实体、公共当局或机构或任何其他机构。 ⚫重要的数据控制者或数据处理者 指在尼日利亚定居、常住或通常经营的数据控制者或数据处理者，处理或打算处理超过尼日利亚数据保护委员会规定的尼日利亚境内的数据主体的个人数据，或该委员会指定的对尼日利亚的经济、社会或安全具有特殊价值或意义的其他类别的数据控制者或数据处理者。 ⚫华为云 华为云是华为的云服务品牌，致力于提供稳定可靠、安全可信、可持续创新的云服务。 ⚫客户 与华为云达成商业关系的注册用户。 ⚫帐户信息 客户在创建或管理其华为云帐户时向华为云提供的数据，例如客户的姓名、电话号码、电子邮件地址、银行账户信息和账单信息等。 ⚫内容数据 客户使用华为云服务过程中存储或处理的内容，包括但不限于数据、文件、软件、图像、音频、视频等类型的数据。 2云服务的隐私保护责任界定 在复杂的云服务业务模式中，隐私保护不再是某一方单一的责任，需要租户与华为云共同努力。基于此，华为云为帮助租户理解双方的隐私保护责任边界、避免出现隐私保护真空区而提出了责任共担模型。在模型中租户与华为云具体负责的区域可参见下图。 基于责任共担模型，华为云与租户主要承担如下的隐私保护责任： 华为云：作为云产品、云服务提供商（Cloud Service Provider，简称CSP），一方面负责自身运营过程中收集和处理的租户个人数据安全与合规，另一方面负责为租户提供安全、合规的云服务相关的基础设施、云平台以及软件应用，也就是负责平台安全。 ⚫租户隐私保护：华为云识别并保护租户的个人数据。从公司政策、流程、操作层面制定了隐私保护策略，并采取数据分离、数据加密、系统及平台安全防护等措施，全面保护租户隐私的安全。 ⚫平台安全及租户安全支持：华为云负责在云服务中涉及到的基础平台及设施的安全与合规，提升华为云的应用安全、平台安全水平以遵从适用的隐私保护法规的要求。同时华为云为租户提供多种隐私保护技术及服务，包括访问控制和身份认证、数据加密、日志和审计等功能，帮助租户根据业务需求进行隐私保护。 租户：作为云产品、云服务的购买方，将决定如何使用相关产品或服务，也决定如何利用云产品或服务存储和处理内容数据，包括其中可能的个人数据，因此租户负责内容数据的安全与合规，也就是负责内容安全。 ⚫内容数据保护：租户应正确、全面地识别云端的个人数据，制定可保护个人数据的安全性及隐私的策略并选择恰当的隐私保护措施。具体措施包括根据业务和隐私保护的需求进行安全配置工作，例如操作系统配置、网络设置、安全防护、数据库加密策略等，设置恰当的访问控制策略和密码策略。 ⚫数据主体权利响应：租户应保障数据主体的权利，响应数据主体的请求，当发生个人数据泄露事件时，应遵循法规要求采取恰当的行动，例如通知监管部门、通知数据主体、采取缓解措施等。 3尼日利亚数据保护法NDPA概述 3.1法规背景介绍 2023年尼日利亚数据保护法（NPDA）：该法于2023年6月12日由尼日利亚总统正式签发生效。该法创建了尼日利亚数据保护委员会，负责监督和规范实体对于个人数据的处理。此外，该法也在个人数据处理的原则和法律依据等方面做出规定，其为尼日利亚的个人数据保护实践提供了更加系统的法律框架，同时保障了1999年颁布的尼日利亚宪法中基本的权利和自由。 3.2角色划分及基本义务 NDPA规定了数据控制者、数据处理者、数据主体三种角色。 数据主体享有撤回同意、获取他们的个人数据、反对处理他们的个人数据、更新或者改正他们的个人数据、删除他们的个人数据、就未能保护其个人数据提出投诉等权利。 数据处理者的基本义务包括遵守适用于数据控制者的原则和义务；通过实施适当的技术和组织措施，协助数据控制者或数据处理者（如适用）履行数据控制者的义务，保障数据主体的权利；通过实施适当的技术和组织措施，保障个人数据的安全性、完整性和保密性；向数据控制者或数据处理者（如适用）提供其合理要求的任何信息，以证明其对法律规定的遵守；聘用任何新的数据处理者时，通知数据控制者或数据处理者（如适用）。 数据控制者基本义务的内容较数据处理者的基本义务更加丰富，主要包括： 1.个人数据