华为遵从全球适用的隐私法律,包括GDPR。华为将确保相关业务遵从适用的GDPR要求。
隐私风险评估
我们使用隐私风险评估(PIA)方法来评估和削减产品和服务中的隐私风险。在隐私影响评估的流程中,我们要求项目充分评估项目场景中是否涉及处理个人数据、个人的数据清单和数据流图是什么、识别在数据处理场景中华为的角色。如果华为为数据控制者,且数据处理场景属于高风险场景,我们要求项目执行要求更高的DPIA来评估隐私风险影响。
1.我们首先要求项目充分评估项目场景中是否涉及处理个人数据,对于不涉及个人数据的项目不需要进行PIA;
2.如果涉及个人数据,项目需要建立数据清单和数据流图;
3.项目要分析在数据处理场景中华为的角色。如果华为是数据控制者,华为则需要判断是否要执行要求更高的DPIA评估;如果华为为数据处理者,则需要判断是否执行PIA评估;如果华为两个角色都不是,则需要符合隐私保护设计规范。
4.在执行完DPIA或者PIA之后,项目需要输出相应的报告。
数据泄露流程
华为建立了个人数据泄露应急响应机制,一旦发生个人数据泄露,华为会基于现有响应流程立即组建应急团队。为了尽可能保护用户隐私,我们努力减少个人数据泄露可能导致的损失以及确保受数据泄露影响的人员得到适当的通知。
1)个人数据泄露隐私风险定级公式
风险等级R = 个人数据敏感度(DC) X 个人数据可识别度(EI) + 个人数据泄露场景(CB),其定义及赋值描述如下:
个人数据敏感度(Data processing context):分为非敏感个人数据(基础分值1分)和敏感个人数据(基础分值2分)。
如果属于同一个数据主体的个人数据泄露数量过多,或个人的特殊特征明显,则该项分值可在原有基础分值上适当增加,最高可增加至4分;
个人数据可识别度(Ease of Identification):根据对泄露的个人数据识别相应数据主体的难易程度,分为加密数据(基础分值1分)和明文数据(基础分值2分)。
如果加密数据采用安全的最先进的密码算法加密,且密钥的机密性是完整的,从而导致泄露的个人数据无法破解为明文数据的,则该项分值设置为0.25分;
如果从泄露的明文数据或破解的加密数据识别数据主体的可能性较少或可以忽略时,则该项分值可在原有基础分值上适当减少,最低减少至0.25分。
个人数据泄露场景(Circumstances of breach):
A1、机密性损失,权限设置不当导致的个人数据泄露;
A2、完整性损失,个人数据被篡改或替换导致相应的数据主体利益受损;
A3、可用性损失,个人数据无法被正常访问导致相应的数据主体利益受损;
A4、恶意行为导致的个人数据泄露。
每个CB要素所获得的分数都会添加到最终分数,它们与DC和EI互补,具体赋值及描述举例如下表所示:
用户对隐私数据的处理请求
“华为数据主体权利请求”是由华为技术有限公司为您提供行使数据主体权利请求的平台。我们为您提供了多个提交请求的途径:
1: 打开华为官网,点击“隐私政策”,在第4章节找到“点击此处”,打开数据主体请求提交页面,提交请求。页面链接:
个人数据维护>>
2: 打开消费者官网,点击“隐私声明”,点击“告知我们”,打开数据主体请求提交页面,提交请求。页面链接:
隐私问题>>
3: 或在手机上打开HiCare应用,点击“隐私问题”,进入官网入口页面,提交请求
