ICS 35. 240 CCS L77 YD 中华人民共和国通信行业标准 YD/TXXXX-XXXX [代替YD/T] 云服务商用户数据处理合约参考框架 Cloud service provider customer data processing contract framework [点击此处添加与国际标准一致性程度的标识] (报批稿) [点击此处添加本稿完成日期] 行业标准信息服务平台 [××××]-[××]-[××]发布 [×xx×]-[××]-[××]实施 中华人民共和国工业和信息化部 发布
YD/TXXXXXXXX 目次 前 言 1范围, 2规范性引用文件 2术语和定义.
3具体指标... 3.1信息披露.
3.2数据处理安全性 3.3子处理者的授权与责任声明 3.4用户权利.. 3.5数据泄露事件的通知, 3.6监控 3.7赔偿与保险 3.8协议变更和终止, 行业标准信息服务平台
YD/TXXXXXXXX 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起 草.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别这些专利的责任.
本文件由中国通信标准化协会提出并归口.
本文件起草单位:中国信息通信研究院、华为技术有限公司、中国电信集团有限公司、上海蓝云 网络科技有限公司.
本文件主要起草人:栗蔚、郭雪、武倩聿、段晓蓉、康和、陈测.
行业标准信息服务平台 II
YD/T XXXXXXXX 云服务商用户数据处理合约参考框架 1范围 本文件规定了云服务商用户数据处理合约应具备的框架,包括:信息披露、数据处理安全性、子 处理者的授权与责任声明、用户权利、数据泄露事件的通知、监控、赔偿与保险、协议变更和终止.
本文件适用于承诺具有数据保护能力的云服务提供者、云服务合作者等,可以应用于云服务提供 者与云服务客户之间,以规范云服务提供者对用户数据处理的承诺内容,保障用户信息安全:也可以 应用于云服务商与云服务合作者之间,以划分数据处理过程中用户数据保护的相关职责,保障云服务 数据处理全流程的安全性.
2规范性引用文件 下列文件对于本文件的应用是必不可少的,凡是注日期的引用文件,仅所注日期的版本适用 于本文件.
凡是不注日期的引用文件,其最新版本(包括的修改单)适用于本文件.
GB/T29246-2017信息技术安全技术信息安全管理体系概述和词汇 GB/T32400-2015信息技术云计算概览与词汇 3术语和定义 3. 1 云计算cloudputing 一种通过网络将可伸缩、弹性的共享物理和虚拟资源池以按需自服务的方式供应和管理的模 式.
注:资源实例包括服务器、操作系统、网络、软件、应用和存储设各等.
[来源:GB/T32400-2015,定义3.2.5] 3. 2 云服务提供者cloud service provider 提供云服务的参与方.
[来源:GB/T32400-2015,定义3.1.6] 3.3 云服务客户cloudservice customer
YD/TXXXXXXXX 使用云服务而处于一定业务关系中的参与方.
注:业务关系不一定包含经济条款.
[来源:GB/T32400-2015,定义3.2.11] 3. 4 云服务客户数据cloudservice customer data 基于法律或其他方面的原因,由云服务客户所控制的一类数据对象.
这些数据对象包括输入 到云服务的数据,或云服务客户通过已发布的云服务接口执行云服务所产生的数据.
注1:法律原因包括等.
注2:云服务可包含或操作非云服务客户数据.
非云服务客户数据可包括云服务提供者可访问的数据,其他来源的 数据,或公开可获取的数据.
但是,按照一般的原则,云服务客户通过使用云服务在非云服务客户数据上所产生 的数据可能是云服务客户数据,除非在云服务协议中有相反的条款规定.
[来源:GB/T32400-2015,定义3.2.12] 3. 5 云服务衍生数据cloudservice derived data 由云服务客户和云服务交互所产生的云服务提供者控制的一类数据对象.
注:云服务行生数据包括日志数据,授权用户数以及授权用户的身份,配置数据和定制化数据.
其中,日志数据 记录了谁在什么时间使用了服务,使用了什么功能和数据等.
配置数据和定制化数据用于云服务的配置和定制化.
[来源:GB/T29246-2017,定义3.2.13] 3. 6 云服务提供者数据cloud service provider data 由云服务提供者控制,与云服务运营相关的一类数据对象.
注:云服务提供者数据包括但不限于资源的配置和使用信息、云服务特定的虚拟机信息、存储和网络资源配置信 息、数据中心的整体配置和使用信息、物理和虚拟机资源的故障率和运 营成本等.
[来源:GB/T29246-2017,定义3.2.16] 4具体指标 4.1信息披露 云服务提供者应在协议中明确的企业基本信息.
其规范性描述,应包括以下信息: 一一企业的名称和联系方式,包括名字、地址、邮箱、电话号码等: 4.2数据处理安全性 云服务提供者应保证数据处理过程的保密性,承诺采取适当措施保障数据处理过程的安全性,对 云服务客户存储在云端的数据安全负责.
其规范性描述,应包括以下信息: 一一承诺在用户未授权的情况下,不会访问或使用,也不会向任何第三方泄露用户数据,但为向 用户提供服务,或根据法律法规规定、应国家机关要求提供的情形除外: 一一承诺与本企业相关人员签订适当的合同,规定有关保密的相关义务,限制其处理未经授权的 用户数据:
