五月婷婷丁香性爱|j久久一级免费片|久久美女福利视频|中文观看在线观看|加勒比四区三区二|亚洲裸女视频网站|超碰97AV在线69网站免费观看|有码在线免费视频|久久青青日本视频|亚洲国产AAAA

華為云數(shù)據(jù)處理附則
Print

華為云數(shù)據(jù)處理附則

本華為云數(shù)據(jù)處理附則(“附則”)是《華為云用戶協(xié)議》(以下簡稱《協(xié)議》)的組成部分。

 

1.各方的角色

 

1.1客戶作為個人信息處理者。如果客戶是適用的隱私法中的客戶數(shù)據(jù)的個人信息處理者,則:

 

1.1.1關(guān)于處理的細節(jié)詳見第2節(jié)“關(guān)于處理的說明”;

 

1.1.2華為云是適用的隱私法中的客戶數(shù)據(jù)的受托人;

 

1.1.3每一方都將履行適用的隱私法中的有關(guān)處理客戶數(shù)據(jù)的義務(wù)。

 

1.2客戶作為個人信息受托人。如果客戶是適用的個人信息保護法中的客戶數(shù)據(jù)的受托人,則除適用第1.1.1–1.1.3節(jié)外,客戶還:

 

1.2.1應(yīng)確保個人信息處理者持續(xù)有效的授權(quán)本附則中的(a) 指示;(b) 華為云作為另一個個人信息受托人;以及(c)華為云可以引入本附則第9節(jié)中的子個人信息受托人;

 

1.2.2將立即向相關(guān)個人信息處理者轉(zhuǎn)發(fā)華為云根據(jù)本附則發(fā)出的或涉及數(shù)據(jù)跨境的任何通知(如適用);

 

1.2.3向相關(guān)個人信息處理者提供華為云根據(jù)本附則提供的任何信息。

 

1.3 個人信息處理者請求。在本附則有效期內(nèi),如果華為云收到來自聲稱是客戶數(shù)據(jù)個人信息處理者的第三方的請求或指示,華為云將建議該第三方與客戶聯(lián)系。華為云不會執(zhí)行第三方的請求或指示,除非華為云得到客戶的書面授權(quán)或請求指示。

 

2. 關(guān)于處理的說明

 

2.1 處理的對象。處理的對象為客戶數(shù)據(jù)。

2.2 處理的期限。處理的期限由客戶決定。

2.3 處理的目的。處理的目的是根據(jù)客戶的指示,向客戶提供云服務(wù)。

2.4 處理的性質(zhì)。處理的性質(zhì)是向客戶提供云服務(wù)相關(guān)的計算、存儲、傳輸、加工、刪除等功能。

2.5 客戶數(shù)據(jù)的類型。客戶數(shù)據(jù)的類型是指您的內(nèi)容中有關(guān)個人的信息。

2.6 個人信息主體的類別。個人信息主體的類別包括,由客戶和/或最終用戶在使用云服務(wù)過程中,由云服務(wù)處理的所有內(nèi)容中有關(guān)個人信息的相關(guān)個人,如客戶和/或客戶的(a)雇員;(b)供應(yīng)商;(c)最終用戶;(d)顧客。

 

3. 處理的合法性

 

3.1 合法性。在執(zhí)行本附則時,各方將遵守并應(yīng)能夠證明其遵守適用的隱私法。

 

3.2 信息。華為云將向客戶提供所有必要信息以證明履行了本附則設(shè)定的義務(wù)。

 

3.3 客戶的指示。各方同意本附則及《協(xié)議》構(gòu)成客戶對華為云處理客戶數(shù)據(jù)的書面指示,包括客戶或客戶的最終用戶通過云服務(wù)的配置工具(如華為云管理Console)或API接口而做出的指示。華為云將僅按照指示處理客戶數(shù)據(jù)。

 

3.4 通知。考慮到處理的本質(zhì),客戶同意華為云一般不可能就指示是否違反適用的隱私法而形成意見。然而,如果華為云一旦形成這樣的意見,華為云將立即通知客戶,該情形可能出現(xiàn)在華為云認(rèn)為:(a) 適用的隱私法禁止華為云遵照指示;(b) 指示不遵從適用的隱私法;或(c) 華為云在其他方面無法遵守指示。本節(jié)不限制任何一方在《協(xié)議》其他條款中的權(quán)利和義務(wù)。

 

3.5 指示的范圍。作為受托人,華為云將在需要提供、保障和監(jiān)控服務(wù)時處理必要的客戶數(shù)據(jù),并且不會為與提供上述服務(wù)無關(guān)的目的,或違背《協(xié)議》、本附則設(shè)立的目的以及其他根據(jù)適用的隱私法所要求的任何目的,去收集、使用、保留、訪問、共享、出售、轉(zhuǎn)讓或以其他方式處理客戶數(shù)據(jù)。

 

4. 保密

 

4.1 人員。華為云將確保被授權(quán)處理客戶數(shù)據(jù)的人員已承諾保密或承擔(dān)適當(dāng)?shù)姆ǘūC芰x務(wù)。

 

4.2 披露。在不影響上述第4.1條和以下第9條的前提下,華為云不會訪問或使用,或向任何第三方披露任何客戶數(shù)據(jù),除非在特定情況下,為維護或提供服務(wù)所必需,或為遵守法律或有權(quán)公共機構(gòu)的有效和有約束力的命令(如傳票或法院命令)所必需。如果華為云被有權(quán)的公共機構(gòu)傳喚而披露客戶數(shù)據(jù),華為云將盡力將該傳喚轉(zhuǎn)達給客戶。這可能包括向有權(quán)公共機構(gòu)提供客戶的基本聯(lián)系信息。如果華為云在法律上有義務(wù)向有權(quán)的公共機構(gòu)披露客戶數(shù)據(jù),華為云將向客戶發(fā)出關(guān)于該命令的合理通知,讓客戶采取必要的補救措施,除非華為云在法律上被禁止這樣做。

 

5. 安全和安全協(xié)助

 

5.1 安全措施。華為云將貫徹和維護安全措施。安全措施包括:物理訪問控制、網(wǎng)絡(luò)安全、數(shù)據(jù)完整性保護,身份識別及權(quán)限管理、運維安全等;幫助確保華為云的系統(tǒng)和服務(wù)持續(xù)具備保密性、完整性、可用性和彈性;幫助在意外情況發(fā)生后及時恢復(fù)對個人信息的訪問;以及定期測試華為云系統(tǒng)和服務(wù)的有效性。華為云可能會不定期地更新安全措施,但發(fā)布這些更新不會導(dǎo)致服務(wù)的安全性產(chǎn)生實質(zhì)減損。

 

5.2 訪問客戶數(shù)據(jù)。華為云將 (a) 授權(quán)其員工、與單個客戶相關(guān)的子個人信息受托人僅在嚴(yán)格必要的情況下遵守指示訪問客戶數(shù)據(jù);以及 (b) 采取適當(dāng)措施確保其員工、與單個客戶相關(guān)的子個人信息受托人執(zhí)行其行為范圍內(nèi)適用的安全措施。

 

5.3 附加安全控制措施。客戶可根據(jù)自身業(yè)務(wù)需求,選擇實施附加安全控制措施來保護客戶數(shù)據(jù)。附加安全控制措施可從華為云獲取,或直接從第三方供應(yīng)商獲取華為云將為附加安全控制措施提供以下便利: (a) 允許客戶采取措施保護客戶數(shù)據(jù);以及 (b) 向客戶提供關(guān)于保護、訪問和使用客戶數(shù)據(jù)的信息。

 

5.4 安全協(xié)助。在考慮到客戶數(shù)據(jù)處理的本質(zhì)和華為云可獲得的信息的情況下,華為云將協(xié)助客戶確保遵守適用的隱私法規(guī)定的義務(wù),具體方式包括:

 

5.4.1 根據(jù)第 5.1 和 5.2 節(jié)以及附錄 1 貫徹和維護安全措施;

 

5.4.2 根據(jù)第 5.3 節(jié)向客戶提供附加安全控制措施的便利;

 

5.4.3 遵守第6條的條款;

 

5.4.4 如果上述第5.4.1-5.4.3款不足以使客戶(或相關(guān)控制人)履行上述義務(wù),在客戶要求下,向客戶提供額外的合理合作和協(xié)助。華為云因遵守本條規(guī)定而產(chǎn)生的任何合理費用將由客戶獨自承擔(dān)。

 

5.5 客戶的安全責(zé)任。在不影響第5.1-5.4節(jié)、第6節(jié)和本附則及《協(xié)議》其他條款中華為云的責(zé)任的情況下,客戶對其使用服務(wù)和在華為云或子個人信息受托人系統(tǒng)外存儲的任何客戶數(shù)據(jù)的副本負責(zé),包括:

 

5.5.1 使用服務(wù)和附加安全措施控制以確保安全等級與客戶數(shù)據(jù)風(fēng)險相適應(yīng);

 

5.5.2 確??蛻粲糜谠L問服務(wù)的賬號認(rèn)證憑證、系統(tǒng)和設(shè)備的安全;以及

 

5.5.3 適當(dāng)?shù)貍浞萜淇蛻魯?shù)據(jù)。

 

6. 個人信息泄露

 

6.1 通知。華為云在獲知個人信息泄露后,將在合理的時間內(nèi)通知客戶。華為云將根據(jù)客戶提供的聯(lián)系信息,通過華為云選擇的任何方式進行通知,通知方式包括但不限于電子郵件、短信等。客戶有責(zé)任確??蛻舻墓芾韱T/人員在任何時候都保持賬號里是準(zhǔn)確的聯(lián)系信息。

 

6.2 協(xié)助。如發(fā)生個人信息泄露,考慮到處理的本質(zhì)和華為云可獲得的信息,華為云將協(xié)助客戶確保遵守適用隱私法規(guī)定的義務(wù)。

 

7. 審核驗證

華為云聘用外部第三方獨立機構(gòu)驗證其安全措施的充分性,包括華為云提供服務(wù)的物理數(shù)據(jù)中心的安全性。這些審核驗證符合下列條件:(a)符合ISO/IEC 27001、ISO/IEC 27701、ISO/IEC 27017、ISO/IEC 27018、ISO/IEC 29151、ISO 27799、ISO 27034、ISO 22301、ISO/IEC 20000-1、CSA STAR、BS 10012、SOC等其他與所列出的標(biāo)準(zhǔn)實質(zhì)等同的替代標(biāo)準(zhǔn);(b)審核驗證工作由獨立的第三方機構(gòu)人員完成;(c)審核驗證工作至少每年進行一次,以及(d)審核驗證結(jié)果為審核報告或認(rèn)證證書。華為云已獲得的審核報告或認(rèn)證證書請見:http://m.cqfng.cn/securecenter/compliance/compliance-center.html,以證明華為云遵守相關(guān)的義務(wù)。

 

8. 其他協(xié)助

 

8.1 法律遵從。考慮到客戶數(shù)據(jù)處理的本質(zhì)和華為云可獲得的信息,除上述第5條規(guī)定的協(xié)助義務(wù)外,華為云將協(xié)助客戶確保遵守適用隱私法規(guī)定的義務(wù)。

 

8.2 個人信息主體權(quán)利。考慮到處理的本質(zhì),華為云將協(xié)助客戶完成其義務(wù)以滿足個人信息主體根據(jù)適用的隱私法行使權(quán)利的請求。華為云通過賬號的功能向客戶提供采取必要行動的可能性以滿足任何個人信息主體關(guān)于客戶數(shù)據(jù)的請求。華為云將個人信息主體的請求向客戶轉(zhuǎn)達以及華為云提供賬號功能應(yīng)被視為華為云按照適用的隱私法的要求窮盡所應(yīng)當(dāng)提供的協(xié)助。

 

8.3 個人信息主體的請求。華為云將通過商業(yè)上合理的努力,及時向客戶轉(zhuǎn)發(fā)其收到的來自個人信息主體的任何請求。除非客戶指示,否則華為云不會對該請求作出回應(yīng)。華為云在遵守本條規(guī)定時產(chǎn)生的任何合理費用將由客戶獨自承擔(dān)。

 

9. 子個人信息受托人處理

 

9.1 一般授權(quán)。客戶同意,自《協(xié)議》簽訂之日起,華為云有權(quán)授權(quán)子個人信息受托人代表客戶進行特定的處理行為,您可在以下網(wǎng)址參閱詳細信息:http://m.cqfng.cn/declaration/dpa-ie.html。與單個客戶相關(guān)的子個人信息受托人將取決于客戶選擇的服務(wù)所在區(qū)域及客戶使用的特定華為云服務(wù)。若客戶不同意華為云授權(quán)前述子個人信息受托人代表客戶進行特定的處理行為,客戶可以:(a)將相關(guān)客戶數(shù)據(jù)從前述您選擇的服務(wù)所在區(qū)域中遷出;(b) 停止使用前述子個人信息受托人提供的云服務(wù)。

 

9.2 子個人信息受托人的義務(wù)。當(dāng)華為云按照第 9.1 或 9.2 條委托一個子個人信息受托人,華為云將:

 

9.2.1 通過書面合同確保:

 

9.2.1.1 子個人信息受托人僅在履行被轉(zhuǎn)讓的義務(wù)所需的范圍內(nèi)訪問和使用客戶數(shù)據(jù),并且按照《協(xié)議》(包括本附則)的規(guī)定進行;以及

 

9.2.1.2 本附則中提及的數(shù)據(jù)保護義務(wù)適用于子個人信息受托人;并且

 

9.2.2 對轉(zhuǎn)讓至子個人信息受托人的所有義務(wù),包括所有作為和不作為行為,仍負有全部責(zé)任。

 

10. 客戶數(shù)據(jù)跨境

 

10.1 客戶數(shù)據(jù)處理的服務(wù)所在區(qū)域。華為云在中華人民共和國大陸境內(nèi)及境外提供了服務(wù),中華人民共和國大陸境外提供服務(wù)的區(qū)域,您可在以下網(wǎng)址參閱詳細信息:http://m.cqfng.cn/declaration/dpa-ie.html??蛻魯?shù)據(jù)處理的服務(wù)所在區(qū)域僅能由客戶指定。

 

10.2 客戶數(shù)據(jù)處理的位置。客戶數(shù)據(jù)處理的位置是客戶指定的服務(wù)所在區(qū)域。只有在以下情況下,華為云可能將客戶數(shù)據(jù)轉(zhuǎn)移出客戶所選區(qū)域: (a)取得客戶的同意,或者 (b) 為遵守適用的法律和法規(guī)以及法院或有權(quán)公共機構(gòu)發(fā)出的具有約束力的命令所必需的。

 

10.3 客戶數(shù)據(jù)跨境轉(zhuǎn)移。當(dāng)客戶指定服務(wù)所在區(qū)域為中華人民共和國大陸境外,根據(jù)適用的隱私法,客戶應(yīng)負責(zé)開展數(shù)據(jù)出境安全評估或者履行附錄2“數(shù)據(jù)出境合同”(以下簡稱“合同”)等數(shù)據(jù)出境方的義務(wù),華為云應(yīng)為客戶開展數(shù)據(jù)出境安全評估提供必要協(xié)助或者履行附錄2“數(shù)據(jù)出境合同”的數(shù)據(jù)境外接收方的義務(wù)。

 

11. 個人信息的退還或刪除

 

11.1 個人信息的退還或刪除。在《協(xié)議》有效期內(nèi),通過賬號的功能,華為云將根據(jù)《協(xié)議》的條款為客戶提供在任何時候刪除全部客戶數(shù)據(jù)的能力,除非適用的隱私法要求存儲客戶數(shù)據(jù)。在基于客戶要求,或客戶關(guān)閉其賬號時,或《協(xié)議》中另有說明時(例如,在延長和/或保留期終止時),華為云將刪除客戶數(shù)據(jù)。

 

11.2 刪除授權(quán)。客戶指示華為云根據(jù)第11.1條刪除所有客戶數(shù)據(jù)。

 

12. 文件材料

 

12.1 處理記錄。按照適用隱私法的規(guī)定華為云將保存其處理活動的適當(dāng)文件材料。在適用的隱私法要求華為云收集和保留有關(guān)客戶的特定信息的記錄時,客戶可使用華為云提供的控制措施和功能以提供此類信息并確保信息是準(zhǔn)確且是不時更新的。如果適用的隱私法要求,華為云可以向監(jiān)督機構(gòu)提供任何此類信息。

 

13. 整體協(xié)議

 

本附則還包括所附的附錄1“安全措施”和附錄2“數(shù)據(jù)出境合同”。

 

14. 協(xié)議層級

 

除非經(jīng)本附則調(diào)整,否則《協(xié)議》將保持完全效力。如果各方之間的任何其他協(xié)議,包括《協(xié)議》和本附則之間存在沖突,則以本附則為準(zhǔn)。

 

15. 準(zhǔn)據(jù)法和管轄

 

考慮到本附則中相互的義務(wù),各方同意本附則受《協(xié)議》中規(guī)定的準(zhǔn)據(jù)法和管轄的約束。

 

16. 定義

 

除非《協(xié)議》中另有定義,本附則中使用的所有術(shù)語將具有以下含義:

 

 “隱私法”是指與本附則和《協(xié)議》項下的客戶個人信息安全和保護有關(guān)的任何可能適用的中華人民共和國法律(如《個人信息保護法》、《數(shù)據(jù)安全法》、《網(wǎng)絡(luò)安全法》及其他可適用的隱私保護法律),根據(jù)其實施或制定的任何法律、行政法規(guī)或規(guī)范性文件,以及這些法律、行政法規(guī)或規(guī)范性文件的修訂、更新或重新頒布版本。

客戶數(shù)據(jù) ”是指您的內(nèi)容中包含的個人信息。

您的內(nèi)容”是指根據(jù)《協(xié)議》中定義的您的內(nèi)容。指由您和/或您的最終用戶以任何格式在服務(wù)上處理(包括收集、存儲、使用、加工、傳輸、提供、公開、刪除等)的所有數(shù)據(jù)、軟件、文本、圖像、視頻、音頻等。我們的材料、數(shù)據(jù)和信息不屬于您的內(nèi)容。

個人信息”是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息,不包括匿名化處理后的信息。

最終用戶”是指客戶允許訪問和使用服務(wù)和/或您的內(nèi)容的任何人。

安全措施”是指本附則的附錄1所述的保護客戶數(shù)據(jù)免遭意外或非法破壞、損失、更改、未經(jīng)授權(quán)的披露或訪問的技術(shù)和組織措施。

附加安全控制措施”是指客戶通過其選擇和/或決定使用的安全資源、特征、功能和/或控制,包括加密、記錄和監(jiān)控、身份和訪問管理、安全掃描、隔離防護和容災(zāi)備份。

子個人信息受托人”是指經(jīng)華為云聘用并被授權(quán)為另一處理者,為提供部分服務(wù)的可對客戶數(shù)據(jù)進行合理地訪問和處理的第三方。

監(jiān)督機構(gòu)”是指適用隱私法中定義的 “監(jiān)督機構(gòu)”(如適用)。

此外,術(shù)語“個人信息”、“個人信息泄露”、“個人信息主體”、“處理”、“個人信息處理者”和 “受托人”的含義應(yīng)適用隱私法中賦予它們的含義。

 

附錄1 - 安全措施

 

華為云已經(jīng)實施并將保持以下技術(shù)和組織措施:

 

1. 物理訪問控制

華為云實施了出入口控制、門禁系統(tǒng)、閉路電視系統(tǒng)等一系列措施來確保數(shù)據(jù)中心的物理安全,防止未經(jīng)授權(quán)的訪問、損壞或干擾華為云基礎(chǔ)設(shè)施。

2. 網(wǎng)絡(luò)安全

華為云部署了DDoS防護系統(tǒng)、入侵檢測系統(tǒng)等防護機制保護網(wǎng)絡(luò)免受攻擊,制定漏洞管理策略、評估標(biāo)準(zhǔn)和管理流程,實現(xiàn)安全漏洞全生命周期管理。同時,定期運行漏洞掃描程序,及時發(fā)現(xiàn)潛在的安全漏洞,并采取應(yīng)對措施。

3. 數(shù)據(jù)完整性

  A. 華為云在數(shù)據(jù)存儲和傳輸過程中,酌情使用推薦的行業(yè)標(biāo)準(zhǔn)協(xié)議對個人數(shù)據(jù)進行加密或假名化處理,以防止數(shù)據(jù)泄露和未經(jīng)授權(quán)的訪問。

  B. 華為云對廢棄的存儲介質(zhì)進行消磁處理后,再返回倉庫,以確保介質(zhì)在廢棄前進行軟件覆蓋處理,防止數(shù)據(jù)泄露。在無法做到這一點的情況下(CD、DVD等),將進行物理銷毀。

4. 身份認(rèn)證和權(quán)限管理

  A. 華為云根據(jù)業(yè)務(wù)需求和人員級別,部署訪問控制機制,對人員訪問數(shù)據(jù)進行身份認(rèn)證并進行分級權(quán)限管理,確保只有授權(quán)人員才能訪問個人數(shù)據(jù)。

  B. 華為云通過對網(wǎng)絡(luò)安全角色和職責(zé)的清晰定義和分配,通過風(fēng)險評估,實現(xiàn)職責(zé)分離(SOD),降低風(fēng)險,防止數(shù)據(jù)處理系統(tǒng)被未授權(quán)人員使用。

5.運維安全

華為云實施適當(dāng)?shù)倪\維安全管理和技術(shù)措施,包括身份認(rèn)證和訪問控制、變更和事件管理、漏洞管理、配置管理、事件日志等,持續(xù)監(jiān)控網(wǎng)絡(luò)安全事件和威脅,及時發(fā)現(xiàn)異常情況并主動采取措施,確保個人數(shù)據(jù)不會被未授權(quán)的人員讀取、復(fù)制、篡改或刪除。

6. 組織和員工安全

  A. 華為云已經(jīng)成立了隱私保護組織,識別和管理個人數(shù)據(jù)保護風(fēng)險。

  B. 華為云制定了數(shù)據(jù)安全和個人數(shù)據(jù)保護政策,包括安全漏洞響應(yīng)、數(shù)據(jù)泄露流程等,以降低個人數(shù)據(jù)泄露帶來的隱私安全風(fēng)險,指導(dǎo)相關(guān)部門依法合規(guī)處理個人數(shù)據(jù)。

  C. 華為云通過舉辦安全與隱私保護培訓(xùn)、測試、宣傳等活動,提升員工個人數(shù)據(jù)保護意識。

7. 子個人信息受托人管理

在授權(quán)階段,華為云識別數(shù)據(jù)處理供應(yīng)商,并與之簽署數(shù)據(jù)保護協(xié)議(Data Protection Agreement,簡稱DPA),以確保供應(yīng)商作為子個人信息受托人只能按照客戶的指令處理客戶數(shù)據(jù),并采取足夠的組織和技術(shù)措施保護客戶數(shù)據(jù)。

 

附錄2數(shù)據(jù)出境合同

一、數(shù)據(jù)出境方的義務(wù)

1. 按照相關(guān)法律法規(guī)規(guī)定處理個人信息,向境外接收方提供的個人信息僅限于實現(xiàn)處理目的所需的最小范圍。

2. 向個人信息主體告知境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個人信息的種類、保存期限,以及行使個人信息主體權(quán)利的方式和程序等事項。向境外接收方提供敏感個人信息的,還應(yīng)當(dāng)向個人信息主體告知提供敏感個人信息的必要性以及對個人權(quán)益的影響。但是法律、行政法規(guī)規(guī)定不需要告知的除外。

3. 基于個人同意向境外接收方提供個人信息的,應(yīng)當(dāng)取得個人信息主體的單獨同意。涉及不滿十四周歲未成年人個人信息的,應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護人的單獨同意。法律、行政法規(guī)規(guī)定應(yīng)當(dāng)取得書面同意的,應(yīng)當(dāng)取得書面同意。

4. 盡合理地努力確保境外接收方采取本附則附錄1的技術(shù)和管理措施,以履行本合同約定的義務(wù)。

5. 根據(jù)境外接收方的要求向境外接收方提供相關(guān)法律規(guī)定和技術(shù)標(biāo)準(zhǔn)的副本。

6. 答復(fù)監(jiān)管機構(gòu)關(guān)于境外接收方的個人信息處理活動的詢問。

7. 按照相關(guān)法律法規(guī)對擬向境外接收方提供個人信息的活動開展個人信息保護影響評估。重點評估以下內(nèi)容:

  1)數(shù)據(jù)出境方和境外接收方處理個人信息的目的、范圍、方式等的合法性、正當(dāng)性、必要性。

  2)出境個人信息的規(guī)模、范圍、種類、敏感程度,個人信息出境可能對個人信息權(quán)益帶來的風(fēng)險。

  3)境外接收方承諾承擔(dān)的義務(wù),以及履行義務(wù)的管理和技術(shù)措施、能力等能否保障出境個人信息的安全。

  4)個人信息出境后遭到篡改、破壞、泄露、丟失、非法利用等的風(fēng)險,個人信息權(quán)益維護的渠道是否通暢等。

  5)評估當(dāng)?shù)貍€人信息保護政策和法規(guī)對合同履行的影響。

  6)其他可能影響個人信息出境安全的事項。

    保存?zhèn)€人信息保護影響評估報告至少3 年。

8. 根據(jù)個人信息主體的要求向個人信息主體提供本合同的副本。如涉及商業(yè)秘密或者保密商務(wù)信息,在不影響個人信息主體理解的前提下,可對本合同副本相關(guān)內(nèi)容進行適當(dāng)處理。

9. 對本合同義務(wù)的履行承擔(dān)舉證責(zé)任。

 

二、數(shù)據(jù)境外接收方的義務(wù)

1.按照本附則所列約定處理個人信息。如超出約定的處理目的、處理方式和處理的個人信息種類,基于個人同意處理個人信息的或涉及不滿十四周歲未成年人個人信息的,應(yīng)當(dāng)事先取得數(shù)據(jù)出境方的單獨同意。

2.受數(shù)據(jù)出境方委托處理個人信息的,應(yīng)當(dāng)按照與數(shù)據(jù)出境方的約定處理個人信息,不得超出與數(shù)據(jù)出境方約定的處理目的、處理方式等處理個人信息。

3.采取對個人權(quán)益影響最小的方式處理個人信息。

4.個人信息的保存期限為實現(xiàn)處理目的所必要的最短時間,保存期限屆滿的,應(yīng)當(dāng)刪除個人信息(包括所有備份)。受數(shù)據(jù)出境方委托處理個人信息,委托合同未生效、無效、被撤銷或者終止的,應(yīng)當(dāng)將個人信息返還數(shù)據(jù)出境方或者予以刪除,并向數(shù)據(jù)出境方提供書面說明。刪除個人信息從技術(shù)上難以實現(xiàn)的,應(yīng)當(dāng)停止除存儲和采取必要的安全保護措施之外的處理。

5.按下列方式保障個人信息處理安全:

  1)采取包括但不限于本附則附錄1的技術(shù)和管理措施,并定期進行檢查,確保個人信息安全。

  2)確保授權(quán)處理個人信息的人員履行保密義務(wù),并建立最小授權(quán)的訪問控制權(quán)限。

6. 如處理的個人信息發(fā)生或者可能發(fā)生篡改、破壞、泄露、丟失、非法利用、未經(jīng)授權(quán)提供或者訪問,應(yīng)當(dāng)開展下列工作:

  1)及時采取適當(dāng)補救措施,減輕對個人信息主體造成的不利影響。

  2)立即通知數(shù)據(jù)出境方,并根據(jù)相關(guān)法律法規(guī)要求報告監(jiān)管機構(gòu)。通知應(yīng)當(dāng)包含下列事項:

    a)發(fā)生或者可能發(fā)生篡改、破壞、泄露、丟失、非法利用、未經(jīng)授權(quán)提供或者 訪問的個人信息種類、原因和可能造成的危害。

    b)已采取的補救措施。

    c)個人信息主體可以采取的減輕危害的措施。

    d)負責(zé)處理相關(guān)情況的負責(zé)人或者負責(zé)團隊的聯(lián)系方式。

  3)相關(guān)法律法規(guī)要求通知個人信息主體的,通知的內(nèi)容包含本項第2條的事項。受數(shù)據(jù)出境方委托處理個人信息的,由數(shù)據(jù)出境方通知個人信息主體。

  4)記錄并留存所有與發(fā)生或者可能發(fā)生篡改、破壞、泄露、丟失、非法利用、未經(jīng)授權(quán)提供或者訪問有關(guān)的情況,包括采取的所有補救措施。

7. 同時符合下列條件的,方可再向中華人民共和國境外的第三方提供個人信息:

  1)確有業(yè)務(wù)需要。向境外第三方提供的個人信息范圍應(yīng)當(dāng)僅限于實現(xiàn)處理目的所需的最小范圍。

  2)已告知數(shù)據(jù)出境方該第三方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個人信息種類、保存期限以及行使個人信息主體權(quán)利的方式和程序等事項。向第三方提供敏感個人信息的,還應(yīng)當(dāng)向數(shù)據(jù)出境方告知提供敏感個人信息的必要性以及對個人權(quán)益的影響。但是法律、行政法規(guī)規(guī)定不需要告知的除外。

  3)基于個人同意處理個人信息的或涉及不滿十四周歲未成年人個人信息的,應(yīng)當(dāng)取得數(shù)據(jù)出境方的單獨同意。

  4)與境外第三方達成書面協(xié)議,確保第三方的個人信息處理活動達到中華人民共和國相關(guān)法律法規(guī)規(guī)定的個人信息保護標(biāo)準(zhǔn),并承擔(dān)因向中華人民共和國境外的第三方提供個人信息而侵害個人信息主體享有權(quán)利的法律責(zé)任。

  5)根據(jù)數(shù)據(jù)出境方的要求向數(shù)據(jù)出境方提供該書面協(xié)議的副本。如涉及商業(yè)秘密或者保密商務(wù)信息,在不影響數(shù)據(jù)出境方理解的前提下,可對該書面協(xié)議相關(guān)內(nèi)容進行適當(dāng)處理。

8. 受數(shù)據(jù)出境方委托處理個人信息,轉(zhuǎn)委托第三方處理的,應(yīng)當(dāng)事先征得數(shù)據(jù)出境方同意,要求該第三方不得超出本合同第三章“個人信息出境說明”約定的處理目的、處理方式等處理個人信息,并對該第三方的個人信息處理活動進行監(jiān)督。

9. 未經(jīng)數(shù)據(jù)出境方同意,不得利用個人信息進行自動化決策。

10.承諾向數(shù)據(jù)出境方提供已遵守本合同義務(wù)所需的必要信息,允許數(shù)據(jù)出境方對必要數(shù)據(jù)文件和文檔進行查閱。

11.對開展的個人信息處理活動進行客觀記錄,保存記錄至少3 年,并按照相關(guān)法律法規(guī)要求直接或者通過數(shù)據(jù)出境方向監(jiān)管機構(gòu)提供相關(guān)記錄文件。

12.根據(jù)相關(guān)法律法規(guī)規(guī)定,為數(shù)據(jù)出境方針對出境的個人信息開展個人信息保護影響評估等提供必要協(xié)助。

13.當(dāng)個人信息主體依據(jù)相關(guān)法律法規(guī),要求對已經(jīng)出境的個人信息行使相關(guān)權(quán)利時,個人信息主體請求數(shù)據(jù)出境方采取適當(dāng)措施實現(xiàn)而數(shù)據(jù)出境方無法實現(xiàn)的,應(yīng)為數(shù)據(jù)出境方提供必要協(xié)助。

14.在組織內(nèi)部建立有關(guān)個人信息處理的詢問或投訴機制,并應(yīng)及時處理數(shù)據(jù)出境方的任何有關(guān)個人信息處理的詢問或投訴。將詢問或投訴渠道的聯(lián)系方式通過單獨通知或在其網(wǎng)站發(fā)布公告的方式告知。

 

三、個人信息出境說明

根據(jù)本合同向境外提供個人信息的詳情約定如下:

(一)個人信息主體:

客戶和/或最終用戶在使用云服務(wù)過程中,由云服務(wù)處理的所有內(nèi)容中有關(guān)個人信息的相關(guān)個人。如客戶和/或客戶的(a)最終用戶; (b)雇員;(c)供應(yīng)商;(d)顧客。

(二)處理目的:

向客戶提供云服務(wù)。

(三)處理方式:

云服務(wù)相關(guān)的計算、存儲、傳輸、加工、刪除等功能。

(四)出境個人信息的類別:

您的內(nèi)容中有關(guān)個人的信息。

(五)傳輸方式:

公共互聯(lián)網(wǎng)加密傳輸。

(六)個人信息出境后存儲時間:

客戶通過云服務(wù)提供的能力刪除其客戶數(shù)據(jù)或客戶關(guān)閉其華為云賬號時,華為云將刪除客戶數(shù)據(jù)。

(七)個人信息出境后存儲地點:

客戶指定的服務(wù)所在區(qū)域。

 

更新時間:2024年3月