保持資料安全與合規
客戶資料安全是最重要的。 下列資訊概述客戶資料在使用 IBM watsonx 時受到保護的部分方式,以及您預期如何協助這些工作。
- 客戶責任感
- HIPAA 就緒
- IBM對 GDPR 的承諾
- 內容及資料保護
- 適用於 IBM Watson Machine Learning 日誌檔的 GDPR 聲明
- 從 IBM Watson Machine Learning 服務安全刪除
客戶責任感
客戶負責確保其自己符合各個法律法規,其中包括《歐盟一般資料保護法 (GDPR)》。 就一切相關法律法規之確認與解釋,客戶應自行負責向法律顧問取得諮詢意見,該等確認與解釋可能影響客戶之業務,以及客戶為遵守該等法律法規所應採取之行為。 本文所述的產品、服務及其他功能並不適合所有客戶情況,並且可用性可能受到限制。 IBM 不提供法律、會計或審核意見,亦不聲明或保證其服務或產品可確保客戶符合任何法律或法規。
HIPAA 就緒
Watson Studio 和 Watson Machine Learning 符合必要的 IBM 控制措施,這些措施與 1996 年頒佈的「醫療保險轉移和責任法 (HIPAA)」中的「安全和隱私權規則」的各項需求一致。
這些要求包括 45 CFR 第 160 部分及第 164 部分之 A 和 C 子部分中「商業合作夥伴」所需的適當管理保護、實體保護及技術保護。 HIPAA 就緒適用於下列方案:
- 達拉斯(美國南部)區域的 Watson Studio Enterprise 方案
- 達拉斯(美國南部)區域的 Watson Machine Learning Professional 方案
對於其他服務,您必須檢查 IBM Cloud 中每一個的方案頁面,以判斷是否已備妥 HIPAA ,以及在啟用 HIPAA 支援之後是否需要重新佈建服務。
IBM 提供的 HIPAA 支援需要您同意與 IBM 就 IBM Cloud 帳戶簽訂的商業夥伴附約 (BAA) 合約條款。 BAA 概述了 IBM 的責任,同時還概述了您維護 HIPAA 相符性的責任。 在 IBM Cloud 帳戶中啟用 HIPAA 支援之後,您無法將其停用。 請參閱 IBM Cloud 文件:啟用支援 HIPAA 的設定。
若要針對 IBM Cloud 帳戶啟用 HIPAA 支援,請執行下列動作:
- 登入 IBM Cloud 帳戶。
- 按一下 管理> 帳戶 ,然後按一下 帳戶設定。
- 在支援 HIPAA 區段中,按一下開啟。
- 閱讀 BAA 後選取接受,然後按一下提交。
IBM對 GDPR 的承諾
進一步瞭解 IBM 自己的 GDPR 就緒旅程,以及支援實現相符性的 GDPR 功能與供應項目的相關資訊。
內容及資料保護
「資料處理及保護」資料表(以下簡稱「資料表」)提供了 IBM Cloud 服務特定的資訊,這些資訊涉及要處理的內容類型、所涉及的處理活動、資料保護特性,以及關於「內容」保留和傳回的具體資料。 有關本「雲端服務」及資料保護特性之詳細內容或澄清及條款,包括客戶責任,於本節定之。 根據客戶選取的選項,客戶使用「 IBM Cloud 服務」時可能有多個適用的 Data Sheet。 該資料表可能僅提供英文版,不提供當地語言版本。 縱使有當地法律或習俗的任何慣例,但各方皆同意其理解英文,並且英文是取得及使用 IBM Cloud 服務的適當語言。 下列資料表適用於 IBM Cloud 服務及其可用的選項。 「客戶」確認 i) IBM 得自行決定隨時修改 Data Sheet ,且 ii) 前項修改將取代舊版本。 IBM 對資料表進行任何修改的目的為:
- 完善或闡明現有承諾。
- 與現行採用的標準及適用法律保持一致,或者
- 提供額外承諾。 修改資料表不會顯著降低 IBM Cloud 服務的資料保護。
如需您可以檢視之部分資料表的鏈結,請參閱 進一步瞭解 一節。
您(客戶)需負責採取必要的動作來訂購、啟用或使用 IBM Cloud 服務的可用資料保護特性,並接受在您未採取此類動作(包括滿足有關內容的任何資料保護或其他法律需求)的情況下使用 IBM Cloud 服務的責任。 若歐盟一般資料保護規章 (EU/2016/679) (GDPR) 適用於「內容」所包含的個人資料,則 IBM之資料處理附錄 (DPA) 及 DPA 附件適用於本合約,並在本合約中參照。 此 IBM Cloud 服務的適用資料表將充當 DPA 展示品。 若本 DPA 適用,則 IBM對「再處理者」之變更提供通知之義務,以及「客戶」對該等變更之反對權利,依 DPA 之規定適用。
適用於 IBM Watson Machine Learning 日誌檔的 GDPR 聲明
在為訓練資料選取資料集時,請密切注意資料隱私主體。 PI 的處理受嚴格的法律要求拘束,僅在基於明確的法律依據情況下才允許處理。 這些法規要求 PI 的處理僅限於其收集目的。 不允許以與此初始目的不符的方式進行其他處理。 對於這些法規對您使用 PI 的限制,我們強烈建議您不要在訓練資料集中使用「實際」PI ,除非允許或允許。 您可以使用公用領域中可用的測試資料來替換實際 PI。
從 IBM Watson Machine Learning 服務安全刪除
在使用 IBM Watson Machine Learning 服務過程中儲存個人識別資訊及資料 (PII) 的任何人,都有權從管理人取得消除該資料的權利,不得無故拖延。 管理人有義務在存在下列其中一種狀況時消除個人資料,不得無故拖延:
IBM Watson Machine Learning 服務中儲存有 PII 資料
使用者電子郵件位址及完整名稱儲存為與 Machine Learning 儲存庫資產相關的 meta 資料。
使用者提供的服務認證。
儲存庫資產內容通常不受 Machine Learning 服務控制,且其中可能會包含任意類型的 PII 資料。 在此情況下,當使用者想要追蹤儲存在資產(例如模型)中的 PII 資料時,他們必須:
- 從模型 meta 資料取得訓練資料參照。
- 掃描訓練資料,確定是否出現特定使用者的 PII 資料。
- 如果在訓練資料集中找到此類資料,則應將模型視為其內容中可能保存有該資料。
透過執行用於永久刪除個人資料的其中一種方法,可以安全地刪除儲存庫資產內容(如模型)。
用於永久刪除個人資料的選項
有數個選項可供使用者選擇來永久刪除其個人資料:
從 IBM Cloud 中移除整個 IBM Watson Machine Learning 服務實例。 透過不同的通道(如 IBM Cloud UI、CLI 或 REST API)傳送取消供應要求,即可實現此目的。
使用 Watson Machine Learning REST 來刪除模型或模型部署。
對於 IBM Watson Machine Learning 服務,個人識別資訊及資料會在 30 天後從所有資料來源(包括備份)中完全移除。
進一步瞭解
- watsonx 術語
- IBM Watson Machine Learning 團隊
- IBM Watson Studio 團隊
- IBM Cloud Object Storage 條款
- 如何知道我的資料是安全的?
- IBM Cloud 服務的資料安全與隱私權原則
- IBM 及 GDPR
- 軟體產品相容性報告:IBM Watson Studio
- 軟體產品相容性報告:IBM Watson Machine Learning
- 軟體產品相容性報告:IBM Watson Machine Learning 服務
上層主題: 安全