VMware 隐私计划

我们具有全面的隐私计划,会对您的个人数据保密并以负责任的方式处理您的数据,让您可以安心无忧。

作为服务提供商保护个人数据

作为处理方的 VMware 使您能够符合数据保护和隐私要求。

合同协议

查看 VMware 关于持续保护您提交给 VMware 服务的个人数据的合同义务。

法院指令、政府访问、执法

了解 VMware 如何处理政府访问请求、传票、法院指令以及其他法律和法规要求。

数据传输机制

了解 VMware 在将个人数据从欧洲经济区、瑞士和英国传输到第三国/地区时所依赖的机制。

转包商

查看 VMware 招募的代表其执行服务的第三方合作伙伴的名单,并进行注册,以便在名单更改时得到通知。

VMware 产品和服务

VMware 收集和处理的个人数据因您购买的服务而异。通读隐私产品介绍和 UEM 披露,了解 VMware 处理的与其服务产品相关的个人信息。

作为企业保护个人数据

作为控制方的 VMware 符合数据保护和隐私要求。

隐私声明

VMware 隐私声明详细说明了所收集的个人信息、如何使用这些信息、数据存储时间以及谁有权访问这些信息。

VMware 的隐私文化

VMware 隐私权政策和培训计划可确保员工知道如何保护您的数据。如果需要,VMware 还会咨询其数据保护官。

隐私设计和处理记录

VMware 制定了全面的隐私计划,其中包括隐私审查、处理活动记录和传输影响评估。

市场推广首选项和数据主体权利

VMware 尊重您的隐私,为您提供个人信息选择权和控制权。

常见问题解答

“客户内容”(或“您的内容”)是指与您的帐户相关并且您(作为客户)或您的用户上传到云服务中以便处理、存储或托管的任何内容。在支持服务场景中,“客户内容”是指您提供给 VMware 且作为支持服务一部分的任何内容。“客户内容”的定义可在 VMware 一般条款中找到。例如,客户内容包括您或您的用户存储在 Workspace ONE 中的数据。重要的是,您的帐户信息(包括姓名、用户名、电话号码以及与您的帐户相关的计费信息)不包含在“客户内容”的定义中,也不包含在 VMware 收集的与您对云服务的使用相关的任何信息中。确切而言,VMware 将根据我们的隐私声明处理这些信息。

您对“客户内容”始终拥有所有权。您将决定使用哪些 VMware Cloud Services 来处理、存储和托管客户内容,以及将哪些信息作为客户内容上传到云服务。此外,VMware 不会出于任何目的访问或使用客户内容,除非为了向您提供云服务,或者在我们与您签订的 VMware 一般条款中有规定并且获得允许。最后,VMware 不会使用客户内容进行市场推广或广告宣传。

VMware 提供企业解决方案,使其客户能够跨多个系统和环境构建、管理、保护和运行应用。尽管 VMware 认为,鉴于自己提供给客户的服务产品的性质,政府直接访问客户内容的请求一般无法得到支持,但 VMware 还是执行了以下步骤,来应照 Schrems II 案判决并协助客户开展与其数据控制方身份相关的合规性工作:

加强有关政府访问请求的合同承诺
VMware 更新了 VMware 一般条款的“必需披露”部分,通过添加以下承诺来阐明 VMware 如何处理政府访问请求:

如果法律未禁止向客户发出通知,VMware 将:

  • - 通知客户:通知客户有关披露客户内容的任何要求。
  • - 告知政府机构直接联系客户:告知相关政府机构,VMware 是代表客户行事的服务提供商,如政府机构需要访问客户内容,应直接以书面形式向客户提供给我们的联系人或客户的法务部门发出请求。
  • 限制访问:仅在客户授权的情况下提供对客户内容的访问权限。如果客户提出请求,我们将执行合理的步骤来反对任何披露要求,费用由客户承担。

如果法律禁止 VMware 通知客户,VMware 将:

  • 评估法律效力:VMware 将评估披露要求,以判断其是否具有法律效力和约束力。
  • 质疑非法请求:如果 VMware 有理由认为指令不符合适用法律,则会质疑该指令。
  • 限制披露范围:VMware 会限制任何披露的范围,只披露要求披露的信息,并将根据适用法律披露这些信息。

关于处理政府访问请求和美国权威规定的流程的透明度

为帮助客户进一步了解 VMware 处理政府访问请求的承诺和流程,包括 VMware BCR 中规定的承诺,VMware 制定了 VMware 关于处理政府访问客户内容请求的原则

此外,VMware 还制定了 VMware 鉴于 Schrems II 而应用 FISA 第 702 条和行政命令第 12333 条的声明,来消除客户对美国情报机构有权访问从欧盟传输到美国的数据的担忧,并帮助客户了解可能应用的两种美国权威规定:行政命令 (EO) 第 12333 条和《外国情报监视法》(FISA) 第 702 条。VMware 坚信,鉴于自己提供的服务的性质,自己在提供服务产品方面受 FISA 第 702 条或行政命令第 12333 条约束的可能性很小。

更新了与转包商签订的合同,以确保传输个人数据的法律依据

自《欧盟-美国隐私盾》失效以来,VMware 已对其之前依赖《欧盟-美国隐私盾》作为数据传输机制的所有转包商实施了标准合同条款。按照 VMware 数据处理补充条款中的规定,作为数据处理方的 VMware 遵循企业约束规则将个人数据传输到欧盟以外,以便提供适用的 VMware 服务产品。

技术和组织措施

VMware 承诺按照 VMware 数据处理补充条款中的规定实施和维护适当的技术和组织措施。VMware 信任中心概述了 VMware 维护的和其服务产品相关的第三方认证和审核。鉴于 VMware 服务产品的性质,客户还可以控制他们配置服务产品的方式,并且可以根据需要实施任何必要的管理和技术控制措施,以保护所处理的和他们使用适用服务产品相关的数据。在许多情况下,VMware 都提供本地部署和托管解决方案,以供客户在管理其系统和基础架构时选用。

有关 VMware 服务处理的数据类型的透明度 - 产品介绍
欧洲数据保护委员会 (EDPB) 在其关于“Schrems II”的常见问题解答中这样概述:当判断是否为在欧盟外部传输的个人数据提供充分的保护水平时,有必要将传输的数据类型作为一个考虑因素,并且控制方应逐个案例地进行分析,以确定此类传输带来的风险。为帮助客户了解所处理的与其使用 VMware 服务产品相关的数据的类型,VMware 提供了每种服务产品的服务说明,并在 VMware 信任中心的“隐私”部分提供了某些服务产品的产品介绍。对于 Workspace ONE 服务产品,VMware 还提供了 Workspace ONE 披露。

VMware 招募第三方来代表自己执行相关服务,以便提供 VMware 服务产品或支持和订阅服务。在招募第三方作为转包商来处理个人数据(这些术语的定义见于数据处理补充条款)方面,VMware 实施了以下流程和步骤:

  1. 合同承诺和国际数据传输:VMware 和所有转包商签订了数据处理协议,要求转包商按照与 VMware 在“数据处理补充条款”中向自己的客户做出的合同承诺基本相似的条款,维护个人数据的适当隐私、安全性和机密性。除非存在其他合法的数据传输机制并且转包商做出适当的合同承诺,否则 VMware 会依赖欧盟标准合同条款。
  2. 隐私审查流程和隐私设计:VMware 创建了一个集中的端到端第三方供应商管理流程来纳管新供应商,其中包括使用集中式工具启动、执行和跟踪第三方隐私和安全审查,以便协助执行合规性工作。VMware 隐私团队对转包商提供的服务执行详细的隐私审查,其中包括确定所处理的个人数据的类别和处理目的。审查包括实施隐私控制,以便降低与转包商访问和处理个人数据相关的风险,并确保合规性。
  3. 安全审查流程:VMware 负责维护对转包商进行安全审查的政策和流程。VMware 安全团队会对所有新的转包商进行初步安全审查,并根据确定的安全风险级别进行持续监控。
  4. 转包商名单和新转包商通知:VMware 维护一个供各个服务产品使用并且与支持和订阅服务相关的转包商名单。对于已选择订阅接收特定服务通知的客户,当 VMware 招募了任何新的转包商时,会提前通知客户。

VMware 制定了一个内部流程,用来跟踪、分析和评估可能对 VMware 提供服务或运营业务适用的新法律、法规、约束性指南和判例法。隐私团队依靠外部法律顾问、外部隐私研究工具和律师事务所新闻快讯来了解新法律法规的颁布时间。

一旦确定某个特定隐私法适用于 VMware,例如当中国、日本、加利福尼亚、科罗拉多、弗吉尼亚和犹他州出台了新的相关法律时,VMware 就会跟踪法律要求并实施项目计划来确保合规性。作为实施流程的一部分,VMware 隐私团队会与内部相关人员互动,确定需要更新的流程和控制措施,以符合新的法律要求。VMware 隐私团队依靠公司内部的隐私委员会生态系统(由市场推广、人力资源、销售等职能部门推动),及时有效地协助实施新的或变更后的法律。

VMware 隐私团队还利用其标准隐私培训和其他培训,来确保所有员工和合同工都接受了有关可能影响其业务职能的任何新法律要求的适当培训。例如,为遵守处理方企业约束规则,VMware 通过其年度强制性安全和意识培训实施了必要的培训,并更新了其业务行为准则以反映新要求。

云服务的安全性对于 VMware 来说是重中之重。有关 VMware 如何保护其云服务的更多信息,请参阅信任中心的“安全性”页面。VMware 运行着一项符合 ISO 27001 标准的信息安全管理计划,该计划至少每年接受一次审核,以确保实施适当的控制、惯例和规程。

在您使用 VMware Cloud Services 时,您有责任配置和实施必要的技术、组织和管理控制措施,以便能够遵守对于您使用云服务的情况适用的任何法律,具体可能取决于您选择使用服务处理的数据类型。适用协议中规定了您在客户内容安全性方面的责任,具体包括 (a) 控制向您的用户提供的访问权限;(b) 适当地配置云服务;(c) 确保客户内容在传入和传出云服务时的安全性;(d) 在您认为必要时使用加密技术来保护客户内容;以及 (e) 备份客户内容。

作为服务提供商,我们如何保护数据

作为处理方,VMware 制定了全面的隐私计划,使您能够在使用服务时遵守数据保护法。

合同承诺

这些隐私协议是对 VMware 一般条款的补充,可在 VMware ONE 合同中心查看。
数据处理补充条款

数据处理补充条款

VMware 通过合同承诺来保护您的个人数据的安全性、保密性和完整性。

GDPR 补充措施附录

GDPR 补充措施附录

VMware 数据处理补充条款的组成部分,与 Schrems II 案判决所产生的修订后的欧盟标准合同条款保持一致。

业务伙伴协议

当所服务的客户属于 HIPAA 适用主体时,VMware 承诺为相应服务提供受保护健康信息。

数据传输机制

VMware 可能会将您提交给服务的个人数据作为您的内容从欧洲经济区、瑞士和英国传输到作为处理方的第三方国家/地区。

企业约束规则

作为处理方,VMware 依赖企业约束规则 (BCR-Ps) 将个人数据从欧洲经济区(“EEA”)、瑞士和英国(“UK”)传输到第三方国家/地区。BCR 是《通用数据保护条例》(“EU GDPR”)、《瑞士联邦数据保护法案》(“FADP”)和《英国数据保护法案》下的数据传输机制。VMware BCR-P 通过集团内部协议(“IGA”)对 VMware 公司集团的成员具有法律约束力,并且适用于成员之间的所有个人数据传输,而在与客户签订的合同中会引用 BCR-P。

欧洲经济区和瑞士

VMware EEA BCR-P 已于 2018 年 5 月 23 日获得欧洲数据保护机构的批准,爱尔兰数据保护局为该机构的牵头者。2021 年 5 月,这些 BCR-P 进行了更新,以实施 GDPR 之后的控制措施。2022 年 10 月,这些 BCR-P 再次更新,以实施 Schrems II 之后的要求。VMware 每年都会向爱尔兰 DPA 提供更新,其中包括根据需要修订 BCR-P。年度更新在每年 5 月进行。

对于在瑞士境外传输个人数据,VMware 同样依赖于 EEA BCR-P。

VMWARE BCR-P

处理方 BCR 常见问题解答

英国

VMware 的英国处理方企业约束规则(“UK BCR-P”)申请目前处于待处理状态,一旦 UK BCR-P 生效,VMware 的数据处理补充条款将更新。同时,VMware 已在其数据保护补充条款中以合同形式同意,将 EEA BCR-P 中规定的保护措施扩展到 VMware 作为处理方从英国向第三方国家/地区传输个人数据。

国际数据传输常见问题解答

转包商

在招募代表 VMware 执行服务的第三方时,VMware 会遵循既定的流程和规程来保护您的个人数据。

国际数据传输标准合同条款

VMware 和所有转包商签订了数据处理协议,要求转包商按照与我们的数据处理补充条款中的合同承诺基本类似的条款,维护个人数据的隐私、安全性和机密性。为了确保从欧洲经济区、瑞士或英国安全、可靠、合法地传输数据以及保护任何后续传输,除非存在其他合法的数据传输机制,否则 VMware 将依赖欧洲经济区标准合同条款(“EEA SCC”)、英国国际数据传输协议或 EEA SCC 的英国补充条款。

转包商名单和通知

VMware 负责维护每个 VMware 服务使用的转包商名单。

当您的服务招募到新的转包商时,您可以通过订阅接收通知。

法院指令、政府访问和执法请求

VMware 致力于在遵守适用法律的前提下保护客户的内容。

VMware 在其 VMware 一般条款(必需披露)企业约束规则处理方政策 (BCR-Ps) 中,针对应政府访问请求、传票、法院指令、代理诉讼或其他法律法规要求披露任何客户内容的方式做出了承诺。

VMware 不知道是否有任何适用法律会影响自己履行 VMware 一般条款中规定的有关政府访问请求和必需披露的承诺的能力。

在任何情况下,VMware 都不会大量地、不相称地、不加选择地披露任何超出民主社会中所需范围的个人数据。

透明度报告

此报告每年发布一次,显示了 VMware 在全球范围内收到的政府和执法机构请求的数量。

美国权威规定 - FISA

VMware 关于《外国情报监视法》(FISA) 第 702 条和行政命令 (EO) 第 12333 条的声明。

政府访问请求

VMware 在响应与您的内容相关的访问请求时遵循一系列核心原则。

VMware 产品和服务

VMware 提供了产品介绍,以帮助您了解其服务处理的个人数据,并提供了概述其统一端点管理和数据使用计划的其他资源。

 结果

VMware Carbon Black Cloud 隐私

了解这个云原生安全解决方案收集的个人数据类型,以及 VMware 如何处理和保护这些数据。

VMware Cloud on AWS 隐私

了解哪一方对 VMware Cloud on AWS SDDC 中的个人数据负责,以及 VMware 如何保护辖下所有数据。

VMware Cloud Disaster Recovery 隐私

了解 VMware 如何处理和保护与 VMware Cloud Disaster Recovery 服务产品相关的个人数据。

VMware Cloud Web Security 隐私

了解该安全 Web 网关收集的个人数据类型,以及 VMware 如何处理和保护这些数据。

CloudHealth by VMware 隐私

了解 VMware 如何在可信平台上处理和保护个人数据,以优化多云环境。

VMware Horizon 隐私

了解 VMware 如何处理和保护与 VMware Horizon Service 相关的个人数据。

VMware SD-WAN 隐私

了解这个网络叠加解决方案收集的个人数据类型,以及 VMware 在保护这些数据方面发挥的作用。

VMware Secure Access

了解 VMware 如何处理和保护 Secure Access 托管产品中的个人数据。

VMware Tanzu Mission Control

了解 VMware 如何处理和保护与 VMware Tanzu Mission Control 产品相关的个人数据。

VMware Tanzu Service Mesh 隐私

了解 VMware 如何处理和保护与 VMware Tanzu Service Mesh 相关的个人数据。

VMware Workspace ONE 隐私

了解这个数字化工作空间平台收集的个人数据类型,以及 VMware 如何处理和保护这些数据。

Workspace ONE Unified Endpoint Management

VMware Workspace ONE Unified Endpoint Management 是一款单一解决方案,提供可扩展的方法来实现流程自动化、终端用户设备和应用管理以及企业级安全性。为了帮助客户遵守法律规定的透明度义务,VMware 提供了 Workspace ONE 披露。作为控制方,客户可以根据此披露以及客户对 Workspace ONE 的配置、使用和部署,向其用户提供隐私声明。要了解更多信息,请访问 Workspace ONE Unified Endpoint Management (UEM) 产品页面。

改进我们的产品和服务

VMware 会收集有关客户企业使用 VMware 产品和服务的信息,用于分析和客户体验提升计划,旨在改善产品和服务及客户体验。

隐私设计和处理记录

隐私审查、传输影响评估和处理活动记录是 VMware 隐私计划的组成部分,旨在降低风险并确保合规性。

隐私审查

VMware 产品和服务

VMware 在其本地部署产品和托管服务的生命周期中实施了隐私设计框架。

隐私设计框架包括:

  • 指导提交产品或服务以接受隐私审查的文件说明。
  • 指定法律顾问进行隐私审查。
  • 进行数据处理影响评估(可能需要)。
  • 遵循通用隐私要求以设计符合适用数据保护和隐私法的产品和服务。

第三方供应商

VMware 建立了一个集中的端到端第三方供应商管理流程来纳管新的供应商。

VMware 隐私团队会对供应商提供的服务进行隐私审查,包括:

  • 确定所处理的个人数据的类别和处理目的。
  • 实施隐私控制,降低与供应商访问和处理个人数据相关的风险,以确保合规性。

传输影响评估

VMware 会对从欧洲经济区、瑞士或英国传输到未获得充分认证的第三方国家/地区的个人数据进行传输影响评估 (TIA)。

VMware 具有执行 TIA 的内部流程,该流程遵循欧洲数据保护委员会 (EDPB) 的指导原则和英国信息专员办公室的国际传输风险评估和工具

这包括:

  • 进行国家/地区级分析。
  • 从 VMware 供应商处收集其他信息以评估政府部门的访问权限。
  • 在对 VMware 产品和服务、第三方转包商和公司职能部门进行隐私审查时执行 TIA。

有关更多信息(包括 VMware 如何处理政府访问请求以及此类请求的可能性),请参阅 TIA 常见问题解答

处理活动记录

处理活动记录 (RoPA) 概述了 VMware 作为一个企业保存哪些个人数据以及将其保存在何处。通过信息审核和数据映射创建的 RoPA 是 VMware 个人数据处理活动的全面记录,包括以下方面的信息:

  • 数据类别
  • 数据主体
  • 处理的目的和法律依据
  • 数据接收方
  • 保留时间表
  • 技术和组织措施说明以及保护措施文档
  • 我们的转包商执行的处理活动

VMware 会定期审查和更新 RoPA。VMware 将向数据保护机构提供履行法律义务所需的访问权限。

VMware 的隐私文化

我们每天都需要做出影响数据隐私的选择。VMware 的政策、培训和数据保护官咨询服务可确保做出的每一个决定都是正确的。

隐私权政策和实践

VMware 制定了全面的政策和实践,以确保个人数据得到充分保护,并帮助识别、预防和消除其产品和服务中的安全漏洞。

我们会不断审查和更新这些政策和实践。

隐私培训计划

VMware 员工定期完成常规和特定于角色的强制性隐私培训。所有员工还需要签订保密协议。

数据保护官

VMware 隐私团队会酌情招募数据保护官,来处理与个人数据保护、法规义务与合规性、数据保护影响评估相关的问题,该数据保护官将作为 VMware 与监管机构沟通交流的联系人。

掌控您的数据隐私

VMware 尊重您为保护个人数据所做的选择,并尊重您的隐私权。
首选营销沟通方式

更新您对广告和促销通讯的偏好,包括活动邀请、时事通讯和学习计划产品。

隐私联系表单

请联系 VMware,获取有关个人数据保护的答案或根据隐私法行使您的权利。

Cookie 管理

VMware Cookie 声明概述了我们对 Cookie 和类似技术的使用情形。单击任意 VMware 网页右下角的“Cookie Settings”(Cookie 设置)按钮来管理您的首选项。