盘古大模型-数据委托处理协议

盘古大模型-数据委托处理协议

本数据委托处理协议由华为云计算技术有限公司(以下简称“受托人”或“华为云”)与您所代表的实体(以下简称“委托人”或“您”)签订。您向我们声明并保证,您具有合法代表该实体之权限且有可约束该实体遵守本协议条款与条件之合法权限。除非华为云另有通知,本协议自您接受之日起生效。您与华为云在下文中单独提及时会被称作一方,一同提及时会被称作双方

1. 前言

1.1 适用范围

本协议适用于委托人在使用盘古大模型服务过程中,若委托人无法对“您的输入”中个人数据进行匿名化处理且必须向盘古大模型输入个人数据的场景。委托人授权受托人为提供盘古大模型服务并履行相关合同而需处理上述场景下“您的输入”中所含的个人数据。本协议建立在相关数据保护法律法规中规定的数据保护要求的基础上。

2. 定义

本协议而言,相关术语定义如下。

2.1 “数据主体”:是指个人数据所可被识别的自然人。

2.2 “您的输入”:是指“盘古大模型服务协议”中所定义的“您的输入”。

2.3 “个人数据”:是指与已确认身份或可确定身份的自然人有关的任何信息;可确定身份的自然人是指可直接或间接确定身份的个人,特别是通过参考身份标识确定身份,身份标识包括姓名、身份证号、位置数据、在线身份标识或特定于该自然人的身体、生理、基因、精神、经济、文化或社会身份的一个或多个因素等。

2.4 “适用法律”:是指中国人民共和国个人信息保护法等有关个人信息保护的中国法律法规。

2.5 “监管机构”:是指有权根据法令、规则、条例、行为准则或其他文件进行监管、调查或影响与数据安全、个人数据有关事宜的政府部门、监管机构、法定机构以及其它机构。

3.  数据处理要求

3.1 个人数据处理

受托人应按照“合法、正当、透明、目的限制、数据最小化、准确、存储期限最小化、完整性与保密性、可问责”的通用原则进行个人数据处理,受托人应严格按照委托人指示开展数据处理活动,不能超出委托人指示以及本协议约定的目的和范围,不得将个人数据用于任何其他目的。受托人应该全力支持委托人保护数据主体的权利,如访问、修改、删除、可携带等。

3.2 数据安全

(1)在处理个人数据期间,受托人应根据适用法律委托人要求采取有效的技术和组织措施,保证在数据处理过程中对委托人提供的个人数据采取不低于自身信息保密程度的保密措施进行保密。除非存在适用法律另有规定的情形,未经委托人书面许可,受托人不得向任何第三方披露,保护个人数据免遭泄露。

(2)遵从适用法律的要求,受托人管理层应高度重视个人数据保护工作并指定专人负责或组建能有效运作的专门组织负责,同时应制定相应的运作流程、管理制度和目标并严格执行。受托人应定期组织涉及个人数据处理的员工参加培训,培训内容应包括适用法律个人数据保护要求、个人数据管理制度等。

(3)受托人应确保涉及数据保护的人员理解其职责和义务,并签署数据保护承诺函。

(4)受托人应确保:涉及个人数据处理的终端设备具备有效的安全保护措施,并有配套的管理规则,明确系统安装要求、病毒防护要求等。

(5)权限及账号管理

    a)进行数据处理的人员应确保由具备资格的人员进行数据处理活动。

    b)遵守客户账号管理的要求,不共享账号和密码,不使用他人账号或非授权账号登录设备进行操作。

    c)项目结束或人员离职\调岗应进行数据删除。

    d)不进行超出协议范围的任何操作。

3.3 数据泄露事故应急机制:

(1)一旦受托人发现其处理的个人数据可能或已经发生泄露,受托人依法履行其根据适用法律规定通知监管机构数据主体的义务。此类通知应至少包含如下内容:

    a)合理详细概述个人数据泄露的影响,包括但不限于描述个人数据泄露的性质、相关数据主体的类别和数量以及相关个人数据处理记录。

    b)个人数据泄露可能造成的风险和后果。

    c)受托人为处理个人数据泄露而采取的措施或提出的建议。

    d)受托人数据保护官、隐私保护官及任何能提供详细信息的相关联系人的姓名和联系方式。

    e)委托人合理要求的与个人数据泄露相关的任何其他信息。

(2)受托人应保留任何与已知或可疑的个人数据泄露有关的记录,并按要求将此类记录提供给委托人

3.4 求助和查询响应

(1)受托人应及时响应委托人要求其访问、修改、转移、删除、销毁个人数据的要求;

(2)根据委托人的要求,受托人应采取任何措施协助委托人履行适用法律或与其他方签订的法律协议中规定的委托人应履行的安全、数据泄露通知和沟通、数据保护影响评估、事前协商、问责或其它义务。

3.5 个人数据的删除或销毁

除非有相反要求或适用法律另有规定,在委托人履行通知义务后,受托人应根据委托人的要求立即删除或销毁相关个人数据

4. 期限与终止

本协议在双方业务关系存续期间有效。但以下两种情况除外:(1)双方同意以书面形式终止本协议;(2)双方签订了有关数据处理的新协议来取代本协议

5. 本协议附件

 

附件:《技术组织措施要求》

附件:技术和组织措施要求

华为云已经实施并将保持以下技术和组织措施:

 1. 物理访问控制

华为云实施了出入口控制、门禁系统、闭路电视系统等一系列措施来确保数据中心的物理安全,防止未经授权的访问、损坏或干扰华为云基础设施。

2. 网络安全

华为云部署了DDoS防护系统、入侵检测系统等防护机制保护网络免受攻击,制定漏洞管理策略、评估标准和管理流程,实现安全漏洞全生命周期管理。同时,定期运行漏洞扫描程序,及时发现潜在的安全漏洞,并采取应对措施。

3. 数据完整性

A. 华为云在数据存储和传输过程中,酌情使用推荐的行业标准协议对个人数据进行加密或假名化处理,以防止数据泄露和未经授权的访问。

B. 华为云对废弃的存储介质进行消磁处理后,再返回仓库,以确保介质在废弃前进行软件覆盖处理,防止数据泄露。在无法做到这一点的情况下(CD、DVD等),将进行物理销毁。

4. 身份认证和权限管理

A. 华为云根据业务需求和人员级别,部署访问控制机制,对人员访问数据进行身份认证并进行分级权限管理,确保只有授权人员才能访问个人数据。

B. 华为云通过对网络安全角色和职责的清晰定义和分配,通过风险评估,实现职责分离(SOD),降低风险,防止数据处理系统被未授权人员使用。

5. 运维安全

华为云实施适当的运维安全管理和技术措施,包括身份认证和访问控制、变更和事件管理、漏洞管理、配置管理、事件日志等,持续监控网络安全事件和威胁,及时发现异常情况并主动采取措施,确保个人数据不会被未授权的人员读取、复制、篡改或删除。

6. 组织和员工安全

A. 华为云已经成立了隐私保护组织,识别和管理个人数据保护风险。

B. 华为云制定了数据安全和个人数据保护政策,包括安全漏洞响应、数据泄露流程等,以降低个人数据泄露带来的隐私安全风险,指导相关部门依法合规处理个人数据。

C. 华为云通过举办安全与隐私保护培训、测试、宣传等活动,提升员工个人数据保护意识。

7. 子个人信息受托人管理

在授权阶段,华为云识别数据处理供应商,并与之签署数据保护协议(Data Protection Agreement,简称DPA),以确保供应商作为子个人信息受托人只能按照客户的指令处理客户数据,并采取足够的组织和技术措施保护客户数据。