盤古大模型-數(shù)據(jù)委托處理協(xié)議

Print

---

盤古大模型-數(shù)據(jù)委托處理協(xié)議

本數(shù)據(jù)委托處理協(xié)議由華為云計算技術有限公司（以下簡稱“受托人”或“華為云”）與您所代表的實體（以下簡稱“委托人”或“您”）簽訂。您向我們聲明并保證，您具有合法代表該實體之權限且有可約束該實體遵守本協(xié)議條款與條件之合法權限。除非華為云另有通知，本協(xié)議自您接受之日起生效。您與華為云在下文中單獨提及時會被稱作一方，一同提及時會被稱作雙方

1. 前言

1.1 適用范圍

本協(xié)議適用于委托人在使用盤古大模型服務過程中，若委托人無法對“您的輸入”中個人數(shù)據(jù)進行匿名化處理且必須向盤古大模型輸入個人數(shù)據(jù)的場景。委托人授權受托人為提供盤古大模型服務并履行相關合同而需處理上述場景下“您的輸入”中所含的個人數(shù)據(jù)。本協(xié)議建立在相關數(shù)據(jù)保護法律法規(guī)中規(guī)定的數(shù)據(jù)保護要求的基礎上。

2. 定義

就本協(xié)議而言，相關術語定義如下。

2.1 “數(shù)據(jù)主體”：是指個人數(shù)據(jù)所可被識別的自然人。

2.2 “您的輸入”：是指“盤古大模型服務協(xié)議”中所定義的“您的輸入”。

2.3 “個人數(shù)據(jù)”：是指與已確認身份或可確定身份的自然人有關的任何信息；可確定身份的自然人是指可直接或間接確定身份的個人，特別是通過參考身份標識確定身份，身份標識包括姓名、身份證號、位置數(shù)據(jù)、在線身份標識或特定于該自然人的身體、生理、基因、精神、經濟、文化或社會身份的一個或多個因素等。

2.4 “適用法律”：是指中國人民共和國個人信息保護法等有關個人信息保護的中國法律法規(guī)。

2.5 “監(jiān)管機構”：是指有權根據(jù)法令、規(guī)則、條例、行為準則或其他文件進行監(jiān)管、調查或影響與數(shù)據(jù)安全、個人數(shù)據(jù)有關事宜的政府部門、監(jiān)管機構、法定機構以及其它機構。

3.  數(shù)據(jù)處理要求

3.1 個人數(shù)據(jù)處理

受托人應按照“合法、正當、透明、目的限制、數(shù)據(jù)最小化、準確、存儲期限最小化、完整性與保密性、可問責”的通用原則進行個人數(shù)據(jù)處理，受托人應嚴格按照委托人指示開展數(shù)據(jù)處理活動，不能超出委托人指示以及本協(xié)議約定的目的和范圍，不得將個人數(shù)據(jù)用于任何其他目的。受托人應該全力支持委托人保護數(shù)據(jù)主體的權利，如訪問、修改、刪除、可攜帶等。

3.2 數(shù)據(jù)安全

（1）在處理個人數(shù)據(jù)期間，受托人應根據(jù)適用法律及委托人要求采取有效的技術和組織措施，保證在數(shù)據(jù)處理過程中對委托人提供的個人數(shù)據(jù)采取不低于自身信息保密程度的保密措施進行保密。除非存在適用法律另有規(guī)定的情形，未經委托人書面許可，受托人不得向任何第三方披露，保護個人數(shù)據(jù)免遭泄露。

（2）遵從適用法律的要求，受托人管理層應高度重視個人數(shù)據(jù)保護工作并指定專人負責或組建能有效運作的專門組織負責，同時應制定相應的運作流程、管理制度和目標并嚴格執(zhí)行。受托人應定期組織涉及個人數(shù)據(jù)處理的員工參加培訓，培訓內容應包括適用法律和個人數(shù)據(jù)保護要求、個人數(shù)據(jù)管理制度等。

（3）受托人應確保涉及數(shù)據(jù)保護的人員理解其職責和義務，并簽署數(shù)據(jù)保護承諾函。

（4）受托人應確保：涉及個人數(shù)據(jù)處理的終端設備具備有效的安全保護措施，并有配套的管理規(guī)則，明確系統(tǒng)安裝要求、病毒防護要求等。

（5）權限及賬號管理

    a）進行數(shù)據(jù)處理的人員應確保由具備資格的人員進行數(shù)據(jù)處理活動。

    b）遵守客戶賬號管理的要求，不共享賬號和密碼，不使用他人賬號或非授權賬號登錄設備進行操作。

    c）項目結束或人員離職\調崗應進行數(shù)據(jù)刪除。

    d）不進行超出協(xié)議范圍的任何操作。

3.3 數(shù)據(jù)泄露事故應急機制：

（1）一旦受托人發(fā)現(xiàn)其處理的個人數(shù)據(jù)可能或已經發(fā)生泄露，受托人依法履行其根據(jù)適用法律規(guī)定通知監(jiān)管機構和數(shù)據(jù)主體的義務。此類通知應至少包含如下內容：

    a）合理詳細概述個人數(shù)據(jù)泄露的影響，包括但不限于描述個人數(shù)據(jù)泄露的性質、相關數(shù)據(jù)主體的類別和數(shù)量以及相關個人數(shù)據(jù)處理記錄。

    b）個人數(shù)據(jù)泄露可能造成的風險和后果。

    c）受托人為處理個人數(shù)據(jù)泄露而采取的措施或提出的建議。

    d）受托人數(shù)據(jù)保護官、隱私保護官及任何能提供詳細信息的相關聯(lián)系人的姓名和聯(lián)系方式。

    e）委托人合理要求的與個人數(shù)據(jù)泄露相關的任何其他信息。

（2）受托人應保留任何與已知或可疑的個人數(shù)據(jù)泄露有關的記錄，并按要求將此類記錄提供給委托人。

3.4 求助和查詢響應

（1）受托人應及時響應委托人要求其訪問、修改、轉移、刪除、銷毀個人數(shù)據(jù)的要求；

（2）根據(jù)委托人的要求，受托人應采取任何措施協(xié)助委托人履行適用法律或與其他方簽訂的法律協(xié)議中規(guī)定的委托人應履行的安全、數(shù)據(jù)泄露通知和溝通、數(shù)據(jù)保護影響評估、事前協(xié)商、問責或其它義務。

3.5 個人數(shù)據(jù)的刪除或銷毀

除非有相反要求或適用法律另有規(guī)定，在委托人履行通知義務后，受托人應根據(jù)委托人的要求立即刪除或銷毀相關個人數(shù)據(jù)。

4. 期限與終止

本協(xié)議在雙方業(yè)務關系存續(xù)期間有效。但以下兩種情況除外：（1）雙方同意以書面形式終止本協(xié)議；（2）雙方簽訂了有關數(shù)據(jù)處理的新協(xié)議來取代本協(xié)議。

5. 本協(xié)議附件

 

附件：《技術組織措施要求》

附件：技術和組織措施要求

華為云已經實施并將保持以下技術和組織措施：

 1. 物理訪問控制

華為云實施了出入口控制、門禁系統(tǒng)、閉路電視系統(tǒng)等一系列措施來確保數(shù)據(jù)中心的物理安全，防止未經授權的訪問、損壞或干擾華為云基礎設施。

2. 網絡安全

華為云部署了DDoS防護系統(tǒng)、入侵檢測系統(tǒng)等防護機制保護網絡免受攻擊，制定漏洞管理策略、評估標準和管理流程，實現(xiàn)安全漏洞全生命周期管理。同時，定期運行漏洞掃描程序，及時發(fā)現(xiàn)潛在的安全漏洞，并采取應對措施。

3. 數(shù)據(jù)完整性

A. 華為云在數(shù)據(jù)存儲和傳輸過程中，酌情使用推薦的行業(yè)標準協(xié)議對個人數(shù)據(jù)進行加密或假名化處理，以防止數(shù)據(jù)泄露和未經授權的訪問。

B. 華為云對廢棄的存儲介質進行消磁處理后，再返回倉庫，以確保介質在廢棄前進行軟件覆蓋處理，防止數(shù)據(jù)泄露。在無法做到這一點的情況下（CD、DVD等），將進行物理銷毀。

4. 身份認證和權限管理

A. 華為云根據(jù)業(yè)務需求和人員級別，部署訪問控制機制，對人員訪問數(shù)據(jù)進行身份認證并進行分級權限管理，確保只有授權人員才能訪問個人數(shù)據(jù)。

B. 華為云通過對網絡安全角色和職責的清晰定義和分配，通過風險評估，實現(xiàn)職責分離（SOD），降低風險，防止數(shù)據(jù)處理系統(tǒng)被未授權人員使用。

5. 運維安全

華為云實施適當?shù)倪\維安全管理和技術措施，包括身份認證和訪問控制、變更和事件管理、漏洞管理、配置管理、事件日志等，持續(xù)監(jiān)控網絡安全事件和威脅，及時發(fā)現(xiàn)異常情況并主動采取措施，確保個人數(shù)據(jù)不會被未授權的人員讀取、復制、篡改或刪除。

6. 組織和員工安全

A. 華為云已經成立了隱私保護組織，識別和管理個人數(shù)據(jù)保護風險。

B. 華為云制定了數(shù)據(jù)安全和個人數(shù)據(jù)保護政策，包括安全漏洞響應、數(shù)據(jù)泄露流程等，以降低個人數(shù)據(jù)泄露帶來的隱私安全風險，指導相關部門依法合規(guī)處理個人數(shù)據(jù)。

C. 華為云通過舉辦安全與隱私保護培訓、測試、宣傳等活動，提升員工個人數(shù)據(jù)保護意識。

7. 子個人信息受托人管理

在授權階段，華為云識別數(shù)據(jù)處理供應商，并與之簽署數(shù)據(jù)保護協(xié)議（Data Protection Agreement，簡稱DPA），以確保供應商作為子個人信息受托人只能按照客戶的指令處理客戶數(shù)據(jù)，并采取足夠的組織和技術措施保護客戶數(shù)據(jù)。