盤古大模型-數(shù)據(jù)委托處理協(xié)議

Print

---

盤古大模型-數(shù)據(jù)委托處理協(xié)議

本數(shù)據(jù)委托處理協(xié)議由華為云計(jì)算技術(shù)有限公司（以下簡(jiǎn)稱“受托人”或“華為云”）與您所代表的實(shí)體（以下簡(jiǎn)稱“委托人”或“您”）簽訂。您向我們聲明并保證，您具有合法代表該實(shí)體之權(quán)限且有可約束該實(shí)體遵守本協(xié)議條款與條件之合法權(quán)限。除非華為云另有通知，本協(xié)議自您接受之日起生效。您與華為云在下文中單獨(dú)提及時(shí)會(huì)被稱作一方，一同提及時(shí)會(huì)被稱作雙方

1. 前言

1.1 適用范圍

本協(xié)議適用于委托人在使用盤古大模型服務(wù)過(guò)程中，若委托人無(wú)法對(duì)“您的輸入”中個(gè)人數(shù)據(jù)進(jìn)行匿名化處理且必須向盤古大模型輸入個(gè)人數(shù)據(jù)的場(chǎng)景。委托人授權(quán)受托人為提供盤古大模型服務(wù)并履行相關(guān)合同而需處理上述場(chǎng)景下“您的輸入”中所含的個(gè)人數(shù)據(jù)。本協(xié)議建立在相關(guān)數(shù)據(jù)保護(hù)法律法規(guī)中規(guī)定的數(shù)據(jù)保護(hù)要求的基礎(chǔ)上。

2. 定義

就本協(xié)議而言，相關(guān)術(shù)語(yǔ)定義如下。

2.1 “數(shù)據(jù)主體”：是指個(gè)人數(shù)據(jù)所可被識(shí)別的自然人。

2.2 “您的輸入”：是指“盤古大模型服務(wù)協(xié)議”中所定義的“您的輸入”。

2.3 “個(gè)人數(shù)據(jù)”：是指與已確認(rèn)身份或可確定身份的自然人有關(guān)的任何信息；可確定身份的自然人是指可直接或間接確定身份的個(gè)人，特別是通過(guò)參考身份標(biāo)識(shí)確定身份，身份標(biāo)識(shí)包括姓名、身份證號(hào)、位置數(shù)據(jù)、在線身份標(biāo)識(shí)或特定于該自然人的身體、生理、基因、精神、經(jīng)濟(jì)、文化或社會(huì)身份的一個(gè)或多個(gè)因素等。

2.4 “適用法律”：是指中國(guó)人民共和國(guó)個(gè)人信息保護(hù)法等有關(guān)個(gè)人信息保護(hù)的中國(guó)法律法規(guī)。

2.5 “監(jiān)管機(jī)構(gòu)”：是指有權(quán)根據(jù)法令、規(guī)則、條例、行為準(zhǔn)則或其他文件進(jìn)行監(jiān)管、調(diào)查或影響與數(shù)據(jù)安全、個(gè)人數(shù)據(jù)有關(guān)事宜的政府部門、監(jiān)管機(jī)構(gòu)、法定機(jī)構(gòu)以及其它機(jī)構(gòu)。

3.  數(shù)據(jù)處理要求

3.1 個(gè)人數(shù)據(jù)處理

受托人應(yīng)按照“合法、正當(dāng)、透明、目的限制、數(shù)據(jù)最小化、準(zhǔn)確、存儲(chǔ)期限最小化、完整性與保密性、可問(wèn)責(zé)”的通用原則進(jìn)行個(gè)人數(shù)據(jù)處理，受托人應(yīng)嚴(yán)格按照委托人指示開(kāi)展數(shù)據(jù)處理活動(dòng)，不能超出委托人指示以及本協(xié)議約定的目的和范圍，不得將個(gè)人數(shù)據(jù)用于任何其他目的。受托人應(yīng)該全力支持委托人保護(hù)數(shù)據(jù)主體的權(quán)利，如訪問(wèn)、修改、刪除、可攜帶等。

3.2 數(shù)據(jù)安全

（1）在處理個(gè)人數(shù)據(jù)期間，受托人應(yīng)根據(jù)適用法律及委托人要求采取有效的技術(shù)和組織措施，保證在數(shù)據(jù)處理過(guò)程中對(duì)委托人提供的個(gè)人數(shù)據(jù)采取不低于自身信息保密程度的保密措施進(jìn)行保密。除非存在適用法律另有規(guī)定的情形，未經(jīng)委托人書(shū)面許可，受托人不得向任何第三方披露，保護(hù)個(gè)人數(shù)據(jù)免遭泄露。

（2）遵從適用法律的要求，受托人管理層應(yīng)高度重視個(gè)人數(shù)據(jù)保護(hù)工作并指定專人負(fù)責(zé)或組建能有效運(yùn)作的專門組織負(fù)責(zé)，同時(shí)應(yīng)制定相應(yīng)的運(yùn)作流程、管理制度和目標(biāo)并嚴(yán)格執(zhí)行。受托人應(yīng)定期組織涉及個(gè)人數(shù)據(jù)處理的員工參加培訓(xùn)，培訓(xùn)內(nèi)容應(yīng)包括適用法律和個(gè)人數(shù)據(jù)保護(hù)要求、個(gè)人數(shù)據(jù)管理制度等。

（3）受托人應(yīng)確保涉及數(shù)據(jù)保護(hù)的人員理解其職責(zé)和義務(wù)，并簽署數(shù)據(jù)保護(hù)承諾函。

（4）受托人應(yīng)確保：涉及個(gè)人數(shù)據(jù)處理的終端設(shè)備具備有效的安全保護(hù)措施，并有配套的管理規(guī)則，明確系統(tǒng)安裝要求、病毒防護(hù)要求等。

（5）權(quán)限及賬號(hào)管理

    a）進(jìn)行數(shù)據(jù)處理的人員應(yīng)確保由具備資格的人員進(jìn)行數(shù)據(jù)處理活動(dòng)。

    b）遵守客戶賬號(hào)管理的要求，不共享賬號(hào)和密碼，不使用他人賬號(hào)或非授權(quán)賬號(hào)登錄設(shè)備進(jìn)行操作。

    c）項(xiàng)目結(jié)束或人員離職\調(diào)崗應(yīng)進(jìn)行數(shù)據(jù)刪除。

    d）不進(jìn)行超出協(xié)議范圍的任何操作。

3.3 數(shù)據(jù)泄露事故應(yīng)急機(jī)制：

（1）一旦受托人發(fā)現(xiàn)其處理的個(gè)人數(shù)據(jù)可能或已經(jīng)發(fā)生泄露，受托人依法履行其根據(jù)適用法律規(guī)定通知監(jiān)管機(jī)構(gòu)和數(shù)據(jù)主體的義務(wù)。此類通知應(yīng)至少包含如下內(nèi)容：

    a）合理詳細(xì)概述個(gè)人數(shù)據(jù)泄露的影響，包括但不限于描述個(gè)人數(shù)據(jù)泄露的性質(zhì)、相關(guān)數(shù)據(jù)主體的類別和數(shù)量以及相關(guān)個(gè)人數(shù)據(jù)處理記錄。

    b）個(gè)人數(shù)據(jù)泄露可能造成的風(fēng)險(xiǎn)和后果。

    c）受托人為處理個(gè)人數(shù)據(jù)泄露而采取的措施或提出的建議。

    d）受托人數(shù)據(jù)保護(hù)官、隱私保護(hù)官及任何能提供詳細(xì)信息的相關(guān)聯(lián)系人的姓名和聯(lián)系方式。

    e）委托人合理要求的與個(gè)人數(shù)據(jù)泄露相關(guān)的任何其他信息。

（2）受托人應(yīng)保留任何與已知或可疑的個(gè)人數(shù)據(jù)泄露有關(guān)的記錄，并按要求將此類記錄提供給委托人。

3.4 求助和查詢響應(yīng)

（1）受托人應(yīng)及時(shí)響應(yīng)委托人要求其訪問(wèn)、修改、轉(zhuǎn)移、刪除、銷毀個(gè)人數(shù)據(jù)的要求；

（2）根據(jù)委托人的要求，受托人應(yīng)采取任何措施協(xié)助委托人履行適用法律或與其他方簽訂的法律協(xié)議中規(guī)定的委托人應(yīng)履行的安全、數(shù)據(jù)泄露通知和溝通、數(shù)據(jù)保護(hù)影響評(píng)估、事前協(xié)商、問(wèn)責(zé)或其它義務(wù)。

3.5 個(gè)人數(shù)據(jù)的刪除或銷毀

除非有相反要求或適用法律另有規(guī)定，在委托人履行通知義務(wù)后，受托人應(yīng)根據(jù)委托人的要求立即刪除或銷毀相關(guān)個(gè)人數(shù)據(jù)。

4. 期限與終止

本協(xié)議在雙方業(yè)務(wù)關(guān)系存續(xù)期間有效。但以下兩種情況除外：（1）雙方同意以書(shū)面形式終止本協(xié)議；（2）雙方簽訂了有關(guān)數(shù)據(jù)處理的新協(xié)議來(lái)取代本協(xié)議。

5. 本協(xié)議附件

 

附件：《技術(shù)組織措施要求》

附件：技術(shù)和組織措施要求

華為云已經(jīng)實(shí)施并將保持以下技術(shù)和組織措施：

 1. 物理訪問(wèn)控制

華為云實(shí)施了出入口控制、門禁系統(tǒng)、閉路電視系統(tǒng)等一系列措施來(lái)確保數(shù)據(jù)中心的物理安全，防止未經(jīng)授權(quán)的訪問(wèn)、損壞或干擾華為云基礎(chǔ)設(shè)施。

2. 網(wǎng)絡(luò)安全

華為云部署了DDoS防護(hù)系統(tǒng)、入侵檢測(cè)系統(tǒng)等防護(hù)機(jī)制保護(hù)網(wǎng)絡(luò)免受攻擊，制定漏洞管理策略、評(píng)估標(biāo)準(zhǔn)和管理流程，實(shí)現(xiàn)安全漏洞全生命周期管理。同時(shí)，定期運(yùn)行漏洞掃描程序，及時(shí)發(fā)現(xiàn)潛在的安全漏洞，并采取應(yīng)對(duì)措施。

3. 數(shù)據(jù)完整性

A. 華為云在數(shù)據(jù)存儲(chǔ)和傳輸過(guò)程中，酌情使用推薦的行業(yè)標(biāo)準(zhǔn)協(xié)議對(duì)個(gè)人數(shù)據(jù)進(jìn)行加密或假名化處理，以防止數(shù)據(jù)泄露和未經(jīng)授權(quán)的訪問(wèn)。

B. 華為云對(duì)廢棄的存儲(chǔ)介質(zhì)進(jìn)行消磁處理后，再返回倉(cāng)庫(kù)，以確保介質(zhì)在廢棄前進(jìn)行軟件覆蓋處理，防止數(shù)據(jù)泄露。在無(wú)法做到這一點(diǎn)的情況下（CD、DVD等），將進(jìn)行物理銷毀。

4. 身份認(rèn)證和權(quán)限管理

A. 華為云根據(jù)業(yè)務(wù)需求和人員級(jí)別，部署訪問(wèn)控制機(jī)制，對(duì)人員訪問(wèn)數(shù)據(jù)進(jìn)行身份認(rèn)證并進(jìn)行分級(jí)權(quán)限管理，確保只有授權(quán)人員才能訪問(wèn)個(gè)人數(shù)據(jù)。

B. 華為云通過(guò)對(duì)網(wǎng)絡(luò)安全角色和職責(zé)的清晰定義和分配，通過(guò)風(fēng)險(xiǎn)評(píng)估，實(shí)現(xiàn)職責(zé)分離（SOD），降低風(fēng)險(xiǎn)，防止數(shù)據(jù)處理系統(tǒng)被未授權(quán)人員使用。

5. 運(yùn)維安全

華為云實(shí)施適當(dāng)?shù)倪\(yùn)維安全管理和技術(shù)措施，包括身份認(rèn)證和訪問(wèn)控制、變更和事件管理、漏洞管理、配置管理、事件日志等，持續(xù)監(jiān)控網(wǎng)絡(luò)安全事件和威脅，及時(shí)發(fā)現(xiàn)異常情況并主動(dòng)采取措施，確保個(gè)人數(shù)據(jù)不會(huì)被未授權(quán)的人員讀取、復(fù)制、篡改或刪除。

6. 組織和員工安全

A. 華為云已經(jīng)成立了隱私保護(hù)組織，識(shí)別和管理個(gè)人數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)。

B. 華為云制定了數(shù)據(jù)安全和個(gè)人數(shù)據(jù)保護(hù)政策，包括安全漏洞響應(yīng)、數(shù)據(jù)泄露流程等，以降低個(gè)人數(shù)據(jù)泄露帶來(lái)的隱私安全風(fēng)險(xiǎn)，指導(dǎo)相關(guān)部門依法合規(guī)處理個(gè)人數(shù)據(jù)。

C. 華為云通過(guò)舉辦安全與隱私保護(hù)培訓(xùn)、測(cè)試、宣傳等活動(dòng)，提升員工個(gè)人數(shù)據(jù)保護(hù)意識(shí)。

7. 子個(gè)人信息受托人管理

在授權(quán)階段，華為云識(shí)別數(shù)據(jù)處理供應(yīng)商，并與之簽署數(shù)據(jù)保護(hù)協(xié)議（Data Protection Agreement，簡(jiǎn)稱DPA），以確保供應(yīng)商作為子個(gè)人信息受托人只能按照客戶的指令處理客戶數(shù)據(jù)，并采取足夠的組織和技術(shù)措施保護(hù)客戶數(shù)據(jù)。