一、前言
双方同意,本数据处理协议(“DPA”)规定了双方与开发者数据(包括其中涉及的个人信息)相关的处理和安全性相关的义务。双方还同意,除非存在单独的专门协议,否则扣子产品及功能服务中数据的处理和安全均受DPA约束。
如果DPA条款同其他与扣子官网和服务相关的适用协议(以下简称“扣子协议”)中的任何其他数据条款存在任何冲突或不一致,则应以DPA条款为准。DPA条款将取代扣子隐私政策中的任何冲突条款,这些冲突条款原本适用于此处定义的开发者数据和个人信息的处理。
我们可能适时对DPA进行修订,该等修订构成DPA的一部分并具有等同于DPA的效力。 DPA更新后,我们会在官网公布更新版本,并在更新后的条款生效前通过官方网站公告或其他适当的方式提醒您更新的内容,以便您及时了解DPA的最新版本。如您继续使用官网及相关服务,视为您同意接受修订后的DPA的全部内容。
二、用语释义
除上下文另有所指外,DPA中下列词汇具有以下涵义:
三、数据及个人信息保护条款
1. 适用范围
DPA 条款适用于所有扣子官网和服务。
为清楚起见,DPA 条款仅适用于在扣子和扣子的获准转委托方控制的环境中处理的数据,不包括保留在开发者环境或开发者选择的任何第三方操作环境中的数据。
2. 数据处理的性质及目的
开发者权利及权益
扣子将仅按照以下说明使用和以其他方式处理开发者数据和个人信息,并在: (a) 根据开发者记录的指令向开发者提供官网和服务,以及 (b) 进行以向开发者提供官网和服务为目的的经营活动时,遵守下述条款限制。在双方之间,开发者拥有对开发者数据所有权利和权益。除了DPA及/或扣子协议中开发者授予扣子的权利之外,扣子未获得有关开发者数据的任何其他权利。本段不影响扣子向开发者提供的服务中包含的扣子的权利。
扣子将不会披露或允许任何人访问已处理的数据,除非:(a) 开发者授权或指示;(b) 本 DPA 规定;或者 (c) 法律要求。就DPA而言,“已处理数据”指:(a) 开发者数据(含个人信息);以及 (b) 扣子根据扣子协议处理的与官网和服务相关的、属于开发者机密信息的任何其他数据。所有已处理数据的处理都应遵守扣子在扣子协议中的保密义务。
扣子不会向任何第三方提供以下内容:(a) 对已处理数据的直接、间接、全部或自由访问权限;(b) 用于保护已处理数据安全的平台加密密钥或破解此类加密的能力。
为满足上述条款承诺,扣子可能会向第三方提供开发者的基本联系信息。
在经安全加密技术处理、严格去标识化且无法重新识别特定个人的前提下,扣子可能会将开发者数据用于改善扣子功能。
3. 个人信息保护
个人信息范围
所有由扣子处理的与提供官网和服务相关的个人信息都将以以下形式获得:开发者提供的数据或扣子基于开发者数据及提供服务及功能的场景生成、衍生或收集的数据,包括由于开发者使用基于服务的功能而发送给扣子的数据或扣子提供的产品及服务中获取的数据。个人信息包括假名化或去标识化但不匿名的任何个人信息。匿名化信息不属于个人信息,其中匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程。
委托方和受托方的角色及责任
开发者和扣子同意,开发者是个人信息的处理者和委托方,根据开发者指示和目的扣子作为接受开发者委托的受托方,但以下情况除外:(a) 由开发者作为个人信息受托处理者,此时扣子是开发者的获准转委托方;或 (b) 特定产品或服务的条款或本 DPA 中另有规定的情况。
当扣子作为个人信息的受托处理方或获准转委托方时,只能依照开发者指示和目的处理数据,同时开发者承诺其处理的个人信息来源合法合规,收集、使用、加工等处理行为已经获得相关个人信息主体合法授权,符合国家关于个人信息保护、数据安全相关法律法规,未侵犯任何第三人合法权益,同时开发者承诺有权对个人信息进行转委托处理。
开发者同意,扣子协议(包括 DPA 条款和任何适用的更新)连同开发者使用和配置扣子相关功能的说明文档以及开发者对专业服务的使用,系开发者就个人信息的处理向扣子作出的完整的指示。开发者可以在coze.cn或包含本 DPA 的其他协议中找到有关产品的使用和配置的信息。
委托方权利义务
委托方有权:
(a)得知或者发现受托方未遵守DPA、扣子协议及适用法律的规定处理个人信息,或受托方未能有效履行个人信息安全保护责任的,有权要求受托方停止相关行为,并采取或要求受托方采取有效补救措施控制或消除个人信息面临的安全风险,由此产生的费用由受托方承担;
(b)除法律法规对于特定信息留存期限另有规定外,当开发者注销扣子账户或永久停止使用扣子服务后,扣子应根据法律法规规定对账户相关内容及信息以包括但不限于删除、匿名化等方式进行处理。
委托方承诺:
(a)获得个人信息主体授权:委托方保证其获取的个人信息均具有符合法律要求的合法性基础,以便在DPA期限和目的范围内合法地将DPA约定的个人信息提供给受托方以开展约定的个人信息处理活动;
(b)委托方应当遵守DPA、扣子协议及适用法律对于个人信息处理的相关规定;作为委托方,应当按照《个人信息保护法》等相关法律要求履行个人信息处理者的相关义务;
(c)委托方应当在受托方处理委托方提供的个人信息之前,进行个人信息保护影响评估,确保委托处理事宜及DPA目的合法合规,不侵犯任何第三方的合法权益。
受托方权利义务
若受托方有正当理由认为委托方关于个人信息处理活动的书面指示不满足个人信息安全需要或违反任何适用法律的规定,受托方应当及时通知委托方,并有权要求委托方停止相关行为,并采取或要求委托方采取有效补救措施控制或消除个人信息面临的安全风险,由此产生的费用由委托方承担,若委托方在合理期限内未解决本条所述风险和问题,则视为对DPA的实质性违约,受托方有权单方解除DPA及扣子协议。
受托方承诺:
(a)受托方应当遵守DPA、扣子协议及适用法律对于个人信息理的相关规定;作为受托处理方,应当按照《个人信息保护法》等相关法律要求履行受托者的相关义务;
(b)受托方应采取必要措施保障委托方提供的个人信息安全,并协助委托方履行法定义务;
(c)受托方应在DPA约定的范围内使用和处理个人信息;
(d)委托方可在实施本委托处理活动前对委托处理数据的行为进行个人信息安全影响评估, 在不损害受托方、受托方关联方在内的所有第三方的合法利益的前提下,受托方应根据委托方合理要求提供必要的协助;
(e)受托方承认并保证其将代表委托方进行个人信息处理活动,并会采取适当的措施以保证在其授权下访问个人信息的员工仅在委托方指示的范围内处理个人信息;
(f)受托方应当要求其所有参与个人信息处理活动的工作人员、任何第三方服务商,对受托处理的个人信息严格保密、接受过适当的培训并严格遵守DPA的规定;
(g)受托方不得超出DPA目的处理委托方提供的个人信息,DPA不生效、无效、被撤销或者终止的,受托方应当将委托方提供的个人信息进行删除或做匿名化处理。
个人信息主体权利请求
DPA双方将按照适用法律的规定及双方个人信息保护政策等规定及时响应并处理个人信息主体的法定权利请求, 双方应给予对方必要的协助:(a)如受托方收到个人信息主体的权利请求,除非适用法律有禁止性规定,应当将该权利请求在合理期限内转交给委托方;(b)如果适用法律相关规定要求委托方作为主体响应个人信息主体的权利请求, 受托方将与委托方展开充分的合作以保障个人信息主体的权利,委托方应给予受托方必要协助。
个人信息安全事件
如个人信息处理过程中发生个人信息安全事件的,双方应当:
(a)及时通知对方,告知对方:(i)该个人信息安全事件的性质,包括其涉及的个人信息的种类、规模;(ii)该个人信息安全事件可能的后果;(iii)已经采取的补救措施;
(b)协助对方调查该个人信息安全事件并提供所有相关的记录、文档、日志、报告及其他合理材料;
(c)依照应急预案及时采取必要的措施进行处置;
(d)如个人信息安全事件涉及个人信息泄露等问题,应遵守适用法律及时上报有关主管部门并履行法律法规要求的向个人信息主体的告知义务。
数据传输及位置
(a)一般情况
除非扣子协议或者 DPA 条款中另有规定,否则开发者应委托扣子将开发者数据或个人信息传输到中国大陆并在这一地点存储和处理开发者数据和个人数据以提供产品。除非开发者指定,否则扣子不会将代表开发者处理的开发者数据和个人信息传输到中国大陆之外地理位置,或在该地理位置进行存储和处理。
(b)数据海外存储
对于根据开发者需要及特定的场景,可能存在扣子根据开发者委托将开发者数据或个人信息传输到中国大陆之外的地区并在这些地点存储和处理开发者数据和个人数据以提供产品。原则上开发者应当对可能的数据出境情况承担数据安全、个人信息及隐私保护等承担合规责任,扣子作为受托方将配合开发者履行数据出境可能存在的监管及法律责任。
安全技术及权限
扣子将实施并维持适当的技术和组织措施来保护开发者数据(包括其中涉及的个人信息),防止传输、存储或以其他方式处理的数据遭到意外或非法破坏、丢失、更改、未经授权的披露或访问。
对于服务活动所需的开发者数据访问,采用了基于权限的访问控制,以确保只有在目的合理符合开发者产品及服务需要的情况下方可访问。
开发者责任
开发者需自行负责独立确定产品和专业服务的技术和组织措施是否符合开发者的要求,包括其在适用的数据保护要求下的任何安全义务。开发者承认并同意,(考虑到技术现状、实施成本以及数据处理活动的性质、范围、情境和目的及对个人的风险)扣子实施和维持的安全实践和政策能够提供与数据相关的风险相适应的安全级别。开发者负责针对开发者提供或控制的组件实施和维持隐私保护及安全措施。
安全事件通知
如果扣子意识到存在导致意外或非法地破坏、丢失、更改、在未经授权情况下披露或访问扣子处理的开发者数据或个人信息的违反安全性规定的活动(以下均简称“安全事件”),扣子应立即: (a) 向开发者通知安全事件;(b) 调查安全事件并向开发者提供有关安全事件的详细信息;并 (c) 采取合理措施减缓影响并最大限度地减少安全事件导致的损坏,且不得出现不当延误。
安全事件通知将通过扣子选择的任何方式(包括电子邮件)发送给开发者。开发者须自行负责确保开发者就每项适用的产品和专业服务向扣子提供准确的联系信息。开发者须自行负责遵守并履行与任何安全事件相关的任何第三方通知义务。
如有任何可能的帐户或身份验证误用或任何与官网和服务有关的安全事件,开发者必须立刻通知扣子。
数据保留及删除
受托方对数据的保存和处理期限不得超过为实现约定数据处理目的所需的必要期限,除非根据适用法律规定对个人信息保留期限有特殊规定。当开发者注销扣子账户或永久停止使用扣子服务后,扣子根据法律法规要求对账户相关内容及信息以包括但不限于删除、匿名化等方式进行处理。
若扣子负有相关法律义务应在DPA所规定的期限之外保留个人信息,扣子将在相关法律要求的保留期限结束后按照DPA规定尽快删除或匿名化处理相关个人信息。
数据处理期限届满或者数据留存相关法律义务到期之后,除非为满足以下目的:开发者帐单和帐户管理、报酬(例如计算员工佣金和合作伙伴奖励),扣子将不再响应开发者的数据及个人信息处理及请求。
保密条款
(a)除为实现DPA目的所必须外或遵循国家法律法规规定或获得开发者授权或个人信息主体的同意外,扣子不会以任何形式向任何特定或不特定的第三方公开或披露,也不会以明示或默示的方式许可或授权任何特定或不特定的第三方使用。
(b)协议约定的个人信息只能在DPA目的所需的范围内使用,不得以公开、转委托等任何形式披露, 但以下情形除外:(i)向需要知悉上述信息或委托方提供的个人信息以执行DPA目的的受托方的代理、代表、高管、和员工及获准第三方披露的;(ii) DPA任何一方被法院要求或基于相关法定义务披露该等信息或委托方提供的个人信息,但仅限于遵守该法院命令或法定义务所需的最低限度予以披露。
4. 效力及其他
终止及后果
(a)若委托方违反其在DPA项下或与受托方之间签署的任何其他协议项下的任何义务的,受托方有权随时通过书面通知立即终止DPA。
(b)在委托方与受托方之间签署的与委托方要求受托方处理委托方提供的数据相关的最后一份协议期限届满或终止之日,DPA自动终止,无需送达任何通知,扣子协议及DPA终止后,双方应当继续履行各自的法定义务。
其他事宜
(a)无论扣子协议及其部分条款的效力如何,当扣子进行DPA规定的数据处理活动时,双方应依照DPA履行相应的权利及义务;
(b)任何由DPA引起或与之相关的争议,包括任何有关DPA的存续、有效性或终止的问题,双方约定由被告所在地有管辖权的法院管辖。除有争议的条款外,在争议的解决期间,不影响DPA其它条款的继续履行;
(c)DPA未规定事宜可以参照扣子协议进行解释,如在数据处理及保护方面DPA与扣子协议不一致,则应当以DPA为准。