数据处理附录 08.2023
本数据处理附录(“DPA”)构成订单中被指定为“供应商”和“客户”的双方所达成的主服务协议的一部分。本文中所使用的术语具有主协议中所赋予的含义,除非本 DPA 中另有其他定义。
1. 定义
a. “主协议”是指双方所达成的主订购或服务协议。
b. “适用隐私法律”是指所有在其生效时适用于某一方的所有在关于收集、使用、披露和/或自由流动个人数据的法律,包括但不限于 (i) CCPA(定义见下文),以及《加州隐私权利法案(California Privacy Rights Act)》和据此颁布的法规(“CPRA");(ii) 《加拿大个人信息保护和电子文件法(Canada’s Personal Information Protection and Electronic Documents Act)》及类似的省级实施办法("PIPEDA")以及任何适用和基本类似的省级立法;(iii) 欧盟("EU")《通用数据保护条例(General Data Protection Regulation (EU) 2016/679)》及其任何成员国的实施立法("GDPR");(iv) 适用的欧盟成员国的《隐私和电子通信指令(Privacy and Electronic Communications Directive) 2002/58/EC》(经指令2009/136/E修订);(v) 亚太地区("APAC")的区域内框架,特别是《亚太经济合作组织跨境隐私规则(Asia-Pacific Economic Cooperation Cross Border Privacy Rules)》;(vi) UK GDPR(定义见下文);(vii) SFDPA(定义见下文);(viii) 巴西《通用数据保护法(General Data Protection Law)》(“LGPD”);(ix) 《中华人民共和国个人信息保护法》("PIPL");(x) 《弗吉尼亚州消费者数据保护法(Virginia Consumer Data Protection Act)》;(xi)《科罗拉多州隐私法(Colorado Privacy Act)》;(xii) 《康涅狄格州个人数据隐私和网络监测法(Connecticut Act Concerning Personal Data Privacy and Online Monitoring)》;(xiii) 《犹他州消费者隐私法(Utah Consumer Privacy Act)》;及(xiv) 适用于任何一方的实质性类似的隐私或数据保护法,上述每项法律可能会被不时地修正或取代。
c. “C2C SCC”是指 标准合同条款 (SCC) 中的模块 1。
d. “C2P SCC”是指 标准合同条款 (SCC) 中的模块 2。
e. “CCPA”是指 2018 年《加州消费者隐私法案(California Consumer Privacy Act of 2018)》(《加州民事法典(Cal. Civ. Code)》第 §1798.100 节及其后内容)及其实施法规。
f. “承包商”具有CPRA中所赋予的含义。
g. “客户数据”是指客户为了让供应商代表客户处理数据而向供应商提供的数据。
h. “客户个人数据”是指包括在客户数据中的任何个人数据。
i. “EEA”是指欧洲经济区。
j. “GDPR”是指《通用数据保护条例(General Data Protection Regulation)》((EU) 2016/679)。
k. “订单”是指规定了供应商将向客户提供的产品或服务的订购文档。
l. “受限传输”是指从欧洲经济区 (EEA)、英国、瑞士或任何其他国家/地区所进行的个人数据的传输,此类传输在缺乏标准合同条款 (SCC) 的情况下将受到适用隐私法律的禁止。
m. “安全控制措施”是指主协议中所指定的技术和组织措施,或者若主协议中未指定,则是指以下网页中所载明的各种措施:https://gdpr.cision.com/technicalorgmeasures。
n. “SCC”是指根据《 2021年6月4日欧盟委员会实施决定(欧盟)2021/914 号(European Commission Implementing Decision (EU) 2021/914)》构成本 DPA一部分的标准合同条款,涉及根据GDPR将个人数据传输至在第三国家/地区成立的控制者和/或处理者(请参见:https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en),在适用情况下,还包括经英国附录进行的修改,以及欧盟委员会可能不时批准的此类更新或替代性条款,或者与主协议项下任何传输相关的由任何国家/地区发布的、用以约束国际个人数据传输的合同条款的最新版本。
o. “SFDPA”是指《瑞士联邦数据保护法案(Swiss Federal Data Protection Act)》。
p. “分处理者”是指供应商根据本 DPA 聘用的代表供应商以处理者的身份处理供应商负责处理之任何个人数据的第三方。
q. “供应商数据”是指供应商在提供服务时所使用的供应商数据库中的任何数据,但不包括客户数据。供应商数据的定义意在包括主协议中具有类似定义的术语,例如“公司数据”、“Cision 数据”或“Brandwatch 数据”。
r. “供应商个人数据”是指包括在供应商数据中的任何个人数据。
s. “英国附录”是指标准合同条款 (SCC)的涵盖经英国信息专员批准的、从英国向第三国家/地区所进行的个人数据的传输的附录,具体详情请参见:https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf。
t. “UK GDPR”是指根据 《2018 年退出欧盟法案(European Union (Withdrawal) Act 2018)》的第 3 条构成英国法律一部分的GDPR。
u. 术语“控制者”、“处理者”、“个人数据”、“处理”、“特殊类别数据”和“数据主体”都具有 GDPR 或 UK GDPR 中所赋予其的含义。
v. 为澄清起见,本 DPA 涵盖根据CCPA及CPRA所进行的任何处理。因此在本 DPA 中提及 CCPA及CPRA 中的如下语汇时,均具有以下含义:
-
-
- “企业”是指“控制者”
- “服务提供商”是指“处理者”
- “第三方”是指“分处理者”
- “个人信息”是指“个人数据”
- “消费者”是指“数据主体”
-
2. 总则
a. 控制者数据:供应商和客户是供应商个人数据的独立控制者,各方均以控制者的身份处理此类数据。如果客户从供应商处或通过供应商收到供应商个人数据,或者获得供应商个人数据的访问权限,则第 3 条规定适用。
b. 处理者数据:客户是客户个人数据的控制者,而供应商是客户个人数据的处理者。如果供应商代表客户处理客户个人数据,则第 4 条规定适用。
c. 各方在根据主协议处理个人数据时均应遵守适用隐私法律。
d. 如果本 DPA 和主协议之间存在冲突,则以本 DPA 为准。
e. 双方应实施并维持适当的技术和组织措施,以确保个人数据的安全性,包括提供保护以免遭未经授权或非法丢失、销毁、更改、未经授权披露或访问个人数据。
f. 双方应采取合理的步骤,以确保经授权负责处理个人数据的人员会适当行事以妥善履行其保密义务,而且仅限于出于主协议目的需要访问的人员访问。
g. 修订:供应商可随时修改本DPA,但前提是必须至少提前 30 天发出通知,以便将任何强制性标准合同条款 (SCC) 或欧盟、瑞士或英国的任何主管数据保护机构所要求的其他条款纳入其中。双方同意采用欧盟委员会 (EC) 和/或英国信息专员办公室 (ICO) 或其他适用国家/地区可能会不时采用的任何必要的替代性或补充性标准合同条款 (SCC)。如果客户未按照供应商的要求签署此类条款,则供应商有权在至少提前 30 天发出书面通知的情况下终止主协议。
3. 供应商数据(控制者与控制者关系)
a. 出于主协议目的而处理:各方均将出于行使主协议项下权利和履行主协议项下义务之目的而处理供应商个人数据。供应商个人数据的类别详细信息、供应商的处理目的以及处理的持续时间均已在附件 1 第 1 部分中载明。
b. 国际数据传输:
i) 如果为从 欧洲经济区 (EEA) 进行的受限传输,则各方均将受 C2C SCC 的约束,其已按照第 5 条的规定纳入本 DPA 中。
ii) 如果为从英国进行的受限传输,则各方除了受 C2C SCC 的约束之外还将受英国附录的约束,而在这些情况下,C2C SCC(按照第 5 条规定)和英国附录(按照第 6 条规定)均会纳入到本 DPA 中。
iii) 如果为从瑞士进行的受限传输,则双方均将按照第 5 条规定及第 7 条所修订的规定受 C2C SCC 的约束,而在这些情况下且在此基础上,C2C SCC 会纳入到本 DPA 中。
iv) 如果为从任何其他国家/地区进行的受限传输,则双方均将受 C2C SCC 的约束,而在这些情况下,其已按照第 5 条的规定纳入到本 DPA 中。
c. 数据泄露:各方在获悉涉及供应商个人数据的个人数据泄露情况或收到来自数据主体涉及供应商个人数据的要求或投诉后,将立即通知另一方,不得有不当延误。
4. 客户数据:控制者与处理者关系
a. 书面指示:供应商将按照本 DPA 中所载规定,仅在获得客户的书面指示之后才会处理客户个人数据。供应商不会出售或分享客户的个人数据,也不会将其与其他来源的个人数据相结合,更不会在与客户的直接业务关系之外保留、使用或披露客户的个人数据。但是供应商保留仅为提高服务质量而使用汇总或匿名版本的客户数据的权利。如果适用隐私法律另有其他规定,则供应商将在处理之前将相关法律要求告知客户,除非该法律出于公共利益的重要理由禁止此类告知。客户个人数据的类别详细信息、供应商的处理目的以及处理的持续时间均已在本DPA附件 1 第 II 部分中载明。
b. 合法使用和指示:客户将确保其对于服务的使用以及有关根据本 DPA 对任何个人数据进行处理的指示将遵守所有适用隐私法律,且供应商按照客户指示所进行的处理将不会导致供应商违反任何适用隐私法律。如果供应商认为客户的指示违反了适用法律或无法履行其在任何适用隐私法律项下的义务,则供应商应告知客户。
c. 特殊类别数据:如果客户个人数据中包括任何特殊类别数据,则客户应将相关情况告知供应商。供应商可拒绝处理此类数据或者施加任何必要的限制,费用由客户承担,以确保供应商遵守其法律和合同义务。
d. 国际数据传输:
i) 如果为从 欧洲经济区 (EEA) 的客户(以控制者身份)向任何第三国家/地区的供应商(以处理者身份)所进行的传输,则双方同意受 C2P SCC 的约束,其已按照第 5 条规定纳入到本 DPA 中。
ii) 如果为从英国进行的受限传输,则双方除了受 C2P SCC 的约束之外还将受英国附录的约束,而在这些情况下,C2P SCC(按照第 5 条规定)和英国附录(按照第 6 条规定)均会纳入到本 DPA 中
iii) 如果为从瑞士进行的受限传输,则双方均将按照第 5 条规定及第 7 条所修订的规定受 C2P SCC 的约束,而在这些情况下且在此基础上,C2P SCC 会纳入到本 DPA 中。
iv) 如果为从任何其他国家/地区进行的受限传输,则双方均将受 C2P SCC 的约束,其已按照第 5 条的规定纳入到本 DPA 中。
v) 如果供应商按照第 4.g 条规定指定了任何分处理者,而此类指定涉及受限传输,则供应商可依赖于标准合同条款 (SCC) 以使客户个人数据的传输合法化。
e. 合规记录:供应商将维护完整且准确的记录和信息,以表明其遵守了本DPA。
f. 审计:供应商将支持客户执行审计以确保合规(自己执行或通过外部审计员),由客户承担相关费用和开销。根据本 DPA 所执行的任何审计均须符合以下条件:
i) 客户应至少提前 60 天发出任何审计的书面通知。
ii) 任何审计仅应在供应商的正常工作时间内执行。
iii) 客户执行审计应尽可能降低对供应商正常业务运营所造成的中断影响。
iv) 任何第三方审计员应与供应商达成直接的且供应商应能合理予以接受的保密义务。
v) 任何审计应仅限于供应商以处理者身份所进行的处理活动,以及客户为评估供应商是否遵守本 DPA 中条款而合理必要的此类信息。
vi) 在任何审计过程中,客户(或其外部审计员)将不可访问供应商的机密信息。
vii) 对于供应商合理且可经证实的任何审计相关费用和开销,客户应予以报销。
viii) 在以下情况下,客户同意接受供应商所提供的审计报告,而代替自己执行审计:
1. 在客户提出要求之后的十二 (12) 个月内,所要求审计的范围已经由经认可独立第三方审计员所执行的审计所解决,而供应商已提供书面确认函,确认对于要审计的控制措施和系统方面未做出任何重大变更,或者
2. 此类审计意在提出要求之后的六个月内执行,且供应商在完成审计后向客户提供此类审计的报告。
g. 分处理者:客户授权供应商指定与提供服务相关的分处理者。如欲获取供应商最新分处理者的清单,请参见:https://gdpr.cision.com/Sub-Processors。
i) 如有任何与新增或替换任何经许可的分处理者有关的拟议变更,供应商应至少提前 30 天通知客户,以便客户能够有机会对此类变更提出异议。供应商聘用的任何分处理者也将遵守与根据本 DPA 对供应商施加的条款实质上相等同的数据保护条款。
ii) 如果任何分处理者未能履行其数据保护义务,则供应商应对分处理者义务的履行情况负责,但受主协议项下的责任免除和限制的规定。
iii) 如果任何承包商可以访问客户个人数据,其将只根据书面合同进行访问并在项下证明其了解并遵守适用隐私法律。
h. 数据泄露:如果发生与客户个人数据相关的个人数据泄露情况:
i) 供应商应真诚地配合客户,以确保客户履行其在适用隐私法律项下的各种义务。
ii) 供应商应在获悉个人数据泄露情况(定义见适用隐私法律)之后的 36 小时内通知客户。
iii) 供应商应协助客户履行将任何数据泄露情况通知监管机构的任何相关义务。
i. 协助:考虑到处理的性质及可提供的信息,在可能的情况下,供应商应向客户提供有关以下方面的合理、适当协助(须向供应商支付合理且可经证实的费用和开销):(i) 客户履行其根据适用隐私法律回应行使个人权利相关要求的客户相关义务,在这种情况下,供应商需根据本 DPA 处理此类个人的个人数据;以及 (ii) 客户在 GDPR 和/或 UK GDPR(如适用)第 32 至 36 条项下的相关义务。
j. 终止:
i) 如果供应商违反了其在本 DPA 项下的任何义务,客户可指示供应商暂时中止对客户个人数据的处理,等待对此类违反情况进行补救,如果此类违反情况无法加以补救,则客户可指示供应商终止对客户个人数据的处理。
ii) 终止本 DPA 之后,供应商应删除客户个人数据,除非欧盟、欧盟成员国或(如适用于处理)英国或瑞士的适用隐私法律要求保留客户个人数据。
5. 标准合同条款 (SCC)
a. 如果 C2C SCC 或 C2P SCC 根据第 3.b. 或 4.d. 条纳入到本 DPA 中,则:
i) 该等条款将在开始相关受限传输之时生效;
ii) 完全可选的任何条款均不包括在内;
iii) 就第 13 条而言,第一个选项包括在内;
iv) 就第 17 和 18 条以及管辖法律和管辖权而言,成员国为客户成立所在的成员国。如果客户不在成员国成立,则所指定的成员国应为爱尔兰;
v) 就 SCC 的附录 1.A 而言,“数据输入者”和“数据输出者”均已在本 DPA 附件 2 的第 1 或第 2 部分(如适用)中列明;
vi) 就 SCC 的附录 1.B 而言,传输的相关说明已在本 DPA 附件 2 的第 1 或第 2 部分(如适用)中列明;
vii) 就 SCC 的附录 1.C 而言,主管监管机构应为客户成立所在国家/地区的主管监管机构;以及
viii) 就 SCC 的附录 2 而言,技术和组织措施应为安全控制措施。
b. 如果 C2P SCC 根据第 4.d. 条纳入到本 DPA 中,则:
i) 第 9 条的选项 2(“一般书面授权”)已选择;以及
ii) 新增或替换分处理者的时间期限应以本 DPA 的第 4.g.1 条中载明为准。
6. 英国附录
如果英国附录根据第 3.b. 或 4.d. 条纳入到本 DPA 中,则:
a. 其将在开始相关受限传输之时生效;
b. 就表 1 而言,开始日期应为相关受限传输开始的日期,双方的详细信息及关键联系人已在本 DPA 的附件 2 和主协议的双方条款中列明;
c. 就表 1 而言,不需要提供签名;
d. 表 2 中的第一个选项已选择,经批准的欧盟 SCC 已在本 DPA 的第 1 条中定义,而 SCC 将于相关受限传输开始日期生效;
e. 表 3 中的附录信息已在本 DPA 的附件 1 和 2 中列明;以及
f. 表 4 中的前两个选项(“输入者”和“输出者”)均已选择。
7. 从瑞士进行的受限传输
如果 C2C SCC或 C2P SCC根据第 3.b. 或 4.d. 条纳入到本 DPA 中,且为从瑞士进行的受限传输,则应对 C2C SCC 或 C2P SCC(如适用)进行修订,以遵守瑞士数据保护法律,包括但不限于以下修订:
a) 对“欧盟法规 2016/679”或“该法规”的任何提及均替换为 SFDPA,对“欧盟法规 2016/679”中特定条款的提及均替换为 SFDPA 中的同等条款内容;
b) SCC 中的所有定义均应按照 SFDPA 予以解释;
c) 对“欧盟法规 2018/1725”的提及已经删除;
d) 对“联盟”、“欧盟”和“欧盟成员国”的任何提及均替换为“瑞士”;
e) 不再使用附录 II 中的第 13(a) 条和第 C 部分;
f) “主管监管机构”是指联邦数据保护和信息专员;
g) 第 17 条已替换,改为“这些条款受瑞士法律的管辖”;以及
h) 第 18 条已替换,改为“由这些条款引发的任何争议应通过瑞士法院解决。此外,数据主体还可能会针对数据输出者和/或数据输入者而向瑞士法院提起法律程序。双方同意遵从此类法院的司法管辖权。”。
8. 杂项条款
a. 责任:各方在本 DPA 项下的责任应遵守主协议中所载明的责任限制和免除相关规定。
b. 管辖法律:主协议的管辖法律适用于本 DPA,但标准合同条款 (SCC) 受第 5.a.iv) 条中所指定的法律管辖。
附件 1 - 处理信息
处理、个人数据和数据主体
第 1 部分:供应商个人数据(作为数据控制者的供应商)
处理的性质和目的 |
客户可处理接收服务和履行其在主协议项下义务所必要的供应商数据。 |
处理的持续时间 |
客户可在主协议期限内处理供应商数据,除非双方另有其他约定。 |
个人数据的类型 |
可能包括:姓名、头衔、职务、电子邮件地址、业务电话号码、手机号码、雇主、社交媒体名称、已由数据主体自己公开的信息、例如:身份识别数据(如:姓名、用户名、社交媒体名称、所在地理位置)以及各种媒介(如图片、音频和视频)。 |
数据主体的类别 |
个人媒体联系人包括记者和其他媒体“影响者”以及在互联网上公开发布信息的个人,包括社交媒体用户、博主和网络内容写手。 对于法国机构数据库:诸如政治和当选代表等联系人、公共管理机构内的联系人、相关业界的名人、财务分析师、股东和咨询顾问。 |
第 2 部分:客户个人数据(作为数据处理者的供应商)
处理的性质和目的 |
供应商可处理履行服务及其在主协议项下义务所必要的客户个人数据。 |
处理的持续时间 |
供应商可在主协议期限内处理客户数据,除非双方另有其他约定。 |
个人数据的类型 |
可能包括:姓名、头衔、职务、雇主、电子邮件地址、业务电话号码、手机号码、社交媒体名称、职业生涯数据(其中可能包括与过往工作经历有关的数据、与技能、奖项或兴趣有关的数据,或者与职业生涯相关的其他数据)、个人生活数据(其中可能包括与兴趣、喜恶相关的数据,或者与个人生活相关的其他数据)、位置数据和各种媒介(例如图片、音频和视频)以及影响者付款信息。 |
数据主体的类别 |
客户自己的潜在客户、客户、合作伙伴或供应商;客户提供的个人媒体或政府相关联系人(包括公共管理机构的工作人员和相关业界的名人);客户的员工或联系人。 |
附件 2 - 传输信息
第 1 部分 – 供应商个人数据
数据输出者 |
供应商或根据主协议输出数据的任何其他供应商关联方 |
数据输入者 |
客户 |
数据主体 |
数据主体是具有以下特征的个人,其个人数据包含在客户作为接收服务一部分所处理的供应商个人数据中。 |
传输的目的 |
传输的目的在于允许客户根据主协议处理供应商个人数据。 |
数据的类别 |
个人数据的类别已在本 DPA 附件 1 第 I 部分中列明 |
接收者 |
个人数据的接收者已在主协议中指明,通常包括客户的员工、承包商、顾问和客户。 |
特殊类别数据 |
特殊类别个人数据已在本 DPA 附件 1 第 I 部分中列明(注:不会有意收集特殊类别数据) |
适用法律 |
数据输出者成立所在国家/地区的法律。 |
公司的技术措施(附件 2) |
主协议中所指定的技术和组织措施,或者如果主协议中未指明,则是指以下网页中所载明的各种措施:https://gdpr.cision.com/technicalorgmeasures。 |
有关数据保护询问的供应商联系人 |
|
有关数据保护询问的客户联系人 |
已在主协议中指明。 |
第 2 部分 – 客户个人数据
数据输出者 |
客户 |
数据输入者 |
根据主协议输入数据的供应商或任何其他供应商关联方。 |
数据主体 |
数据主体的类别已在本 DPA 附件 1 第 II 部分中列明。作为数据输出者,客户控制供应商所处理个人数据的类型和范围。 |
传输的目的 |
允许供应商根据主协议处理客户个人数据。 |
数据的类别 |
个人数据的类别已在本 DPA 附件 1 第 II 部分中列明,客户确认,作为控制者和输出者,客户控制个人数据的类型和范围,而这些个人数据可能会被传输给作为处理者的供应商。 |
接收者 |
个人数据的接收者已在主协议中指明,通常包括供应商、任何其他供应商关联方和任何供应商分处理者。 |
特殊类别数据 |
数据输出者可向供应商提交特殊类别个人数据,由数据输出者全权控制并确定此类数据的范围。个人数据的任何类别已在本 DPA 附件 1 第 I 部分中列明。 |
适用法律 |
数据输出者成立所在国家/地区的法律。 |
供应商的技术措施 |
主协议中所指定的技术和组织措施,或者如果主协议中未指明,则是指以下网页中所载明的各种措施:https://gdpr.cision.com/technicalorgmeasures。 |
有关数据保护询问的供应商联系人 |
|
有关数据保护询问的客户联系人 |
已在主协议中指明 |