1. 适用范围与目的
本《数据处理协议》(以下简称"DPA")是明察(以下简称"处理者")与客户(以下简称"控制者")之间服务协议的组成部分。本 DPA 规定了处理者代表控制者处理个人信息的条款与条件。
2. 定义
- 个人信息: 与已识别或可识别自然人相关的任何信息
- 处理: 对个人信息进行的任何操作,包括收集、存储、使用与删除
- 信息主体: 个人信息所指向的自然人
- 次级处理者: 处理者为处理个人信息而委托的第三方
3. 处理者的义务
处理者应:
- 仅根据控制者书面指示处理个人信息
- 确保被授权处理个人信息的人员承担保密义务
- 实施适当的技术与组织安全措施
- 协助控制者响应信息主体的请求
- 在服务终止时删除或返还全部个人信息
- 提供证明合规所需的全部信息
4. 安全措施
处理者将实施以下安全措施:
- 对传输中与静态存储的个人信息进行加密
- 对安全措施进行定期测试与评估
- 访问控制与身份认证机制
- 事件检测与响应流程
- 定期备份与灾难恢复能力
- 员工安全意识培训
5. 委托第三方处理
未经控制者事先书面授权,处理者不得委托次级处理者。涉及次级处理者时:
- 处理者应对次级处理者施加同等的数据保护义务
- 处理者对次级处理者的行为承担全部责任
- 处理者应将拟变更次级处理者的事项告知控制者
6. 数据跨境传输
如个人信息需向中华人民共和国境外传输,应遵循适用的数据出境法律法规,并采取必要的合规保障措施,包括:
- 标准合同条款
- 信息出境安全评估
- 必要的政府主管部门审批
7. 数据安全事件通知
处理者应在发现个人信息安全事件后及时通知控制者(不晚于 48 小时)。通知内容应包括:
- 事件性质
- 受影响的信息主体的类别与大致数量
- 事件可能造成的后果
- 已采取或拟采取的应对措施
8. 审计权
控制者有权对处理者遵守本 DPA 的情况进行审计与检查。处理者应予以充分配合,并提供必要的设施、设备与记录的访问权限。
9. 期限与终止
本 DPA 在服务协议有效期内持续有效。服务终止后,处理者应根据控制者的选择,删除或返还全部个人信息,并提供相应的证明。
10. 责任
本 DPA 项下双方的责任受主服务协议中限制责任条款的约束。本 DPA 中的任何内容不限制任何一方因违反数据保护法律所承担的责任。