天润融通国内版产品数据处理附录
本文摘要
数据处理附录
[使用说明]本附录作为与国内机构客户所签署的服务协议的组成部分,发布在指定网页并不时更新。在与客户的服务/产品协议中明确约定客户在使用天润融通的产品和服务时所涉及的数据处理活动中双方的权利与义务受本附录的约束。
1. 适用范围
双方同意,本数据处理附录规定了北京天润融通科技股份有限公司(“天润融通”)与客户(定义如下)就天润融通的产品和服务涉及的客户的业务数据(包括所含的个人信息)的处理活动和安全性相关的义务。本数据处理附录作为天润融通与客户所签署的产品协议(“主协议”)的组成部分并在主协议有效期内持续有效。
2. 定义
为本数据处理附录之目的,下列术语具有如下所规定的含义:
“客户”:指与天润融通签署产品协议,订购并使用天润融通所提供的产品和服务的机构,在主协议中也称“甲方”。
“业务数据”:指客户在使用天润融通的产品和服务过程中向天润融通提供或以客户的名义提供的数据以及在此过程中所产生的与客户的业务活动相关的通话录音、会话日志、语音转写记录等数据,包括所有文本、音频、视频或图像文件以及软件。
“数据保护法律”:指适用于客户使用天润融通的产品和服务的数据处理相关的中国法律、行政法规、部门规章和具有约束力的监管规则,包括但不限于《数据安全法》《网络安全法》《个人信息保护法》及为实施上述法律而发布的行政法规、部门规章和监管政策。
“个人信息处理者”: 是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
“受托人”:指代表个人信息处理者或受其委托而协助其处理个人信息的组织或个人。
“个人信息”:指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
“敏感个人信息”:指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
3. 业务数据的所有权
客户使用天润融通的产品和服务过程中所生成、存储、上传、下载的数据均为客户的业务数据,客户完全拥有该等业务数据。客户应就其形成、保存、利用天润融通的产品和服务处理上述业务数据取得所有必要的权利人的授权及同意;客户涉及利用天润融通的产品和服务收集和处理个人信息的,客户应当遵守数据保护法律对个人信息收集、处理及存储的规定。为免疑义,天润融通自有软件、系统、平台上所有的数据(客户的业务数据除外)、信息、资料相关的知识产权归天润融通所有。
4. 天润融通对业务数据的处理
就业务数据,天润融通除(i)向客户提供主协议约定的产品和服务和执行客户的服务和支持请求(包括但不限于:故障及问题排查等);(ii)在客户授权的范围内处理客户向天润融通提供的业务数据;(iii)履行适用法律(包括但不限于数据保护法律)规定的义务;或(iv)主协议约定的其他情形外,不开展任何未获授权的访问、使用或披露;但以下情形除外:(a)客户另行事先书面同意的披露或因提供主协议项下服务所需要的;(b)在国家有关机关依法规查询或调阅客户业务数据时,乙方负有按照适用法律法规或其他有约束力的监管规则要求提供配合,在法律许可及合理可行的范围内向行政、司法等机关进行披露和协助调查的义务。
5. 处理个人信息的角色与责任
如果客户使用天润融通的产品和服务收集、处理、存储个人信息的,双方同意,客户是该等个人信息的个人信息处理者,而天润融通则是受托人。客户进一步同意,主协议的约定、天润融通的服务及产品说明文档、以及客户使用和配置天润融通服务及产品中相关功能的活动,系客户就处理个人信息向天润融通作出的完整委托处理指示。任何对委托处理指示的增减、修改或更换必须依照主协议的修订条款规定的程序签署书面协议方为有效。
如果客户使用天润融通的服务处理敏感个人信息,客户应负责:(i) 向个人信息主体提供通知,包括关于该等处理的必要性及对其利益的潜在影响;(ii) 征得个人信息主体的单独同意(如客户依赖于同意作为处理敏感个人数据的合法基础);以及 (iii) 根据适用法律的要求,采取必要措施保护敏感个人信息的安全。
如果天润融通在为向客户提供产品和服务的相关经营活动中须使用或以其他方式处理个人信息的,天润融通将就此遵守适用的数据保护法律对个人信息处理者所规定的义务。而客户同意协助并配合从相关的个人信息主体(例如客户的雇员)处获得所有必要的同意,以便向天润融通提供此类个人信息并允许天润融通为向客户提供产品和服务之目的而处理该等个人信息。
6. 个人信息主体权利的行使
如果天润融通收到客户业务数据中的个人信息主体发出的要求行使适用的数据保护法律赋予其的一项或多项与天润融通作为受托人的天润融通产品或服务相关的权利的请求,则天润融通应提示个人信息主体直接向客户提出权利请求。客户应负责回应任何此类请求,天润融通在合理范围内向客户提供必要的协助。
7. 天润融通所采取的数据安全举措
天润融通将实施并维持适当的技术和组织措施来保护客户的业务数据,防止在天润融通的产品和服务中被传输、处理、存储的业务数据遭到意外或非法的破坏、丢失、篡改、未经授权的披露或访问。天润融通采用最低访问权限机制来控制对客户的业务数据(包括其中涉及的任何个人信息)的访问。天润融通实施基于角色的访问控制,以确保就提供服务所需的对客户业务数据的访问出于合理目的,并受到限制与监控。
8. 客户的安全评估
客户需自行负责独立确定天润融通服务的技术和组织措施是否符合客户的要求,包括客户在适用的数据保护法律要求下的任何安全义务。客户承认并同意,(考虑到技术现状、实施成本以及个人信息处理活动的性质、范围、场景、目的及对个人信息主体的风险)天润融通实施和维持的安全实践和政策能够提供与个人信息相关的风险相适应的安全级别。
9. 数据安全事件及其通知
如果天润融通发现存在由天润融通所存储或处理的客户业务数据遭受意外或非法的丢失、被破坏、被篡改、发生未经授权的披露或访问的活动(简称为“数据安全事件”),天润融通应立即(i)根据适用的数据保护法律向客户通知数据安全事件;(ii)调查数据安全事件并向客户提供有关数据安全事件的详细情况;并(iii)采取合理措施减缓影响并最大限度地减少数据安全事件导致的损坏,且不得出现不当延误。客户须自行负责遵守适用于客户的数据保护法律下的通知义务,并履行与数据安全事件相关的第三方通知义务。天润融通根据本节规定通知或响应数据安全事件不表示天润融通承认与数据安全事件有关的任何过错或责任。
如有客户发生或了解任何账号或密码验证凭据的丢失、泄露或任何与其所使用的天润融通的产品或服务有关的数据安全事件,客户必须立刻通知天润融通并提供相应支持性文件。
10. 数据存储位置
天润融通将客户的业务数据仅存储在中国境内。但天润融通不会限制客户或其最终用户访问、提取、复制或下载业务数据的地区。如果客户允许中国境外的任何人士访问、提取、复制或下载其业务数据(包括该等业务数据中包含的个人信息),或将该等业务数据传输出境,客户应当自行负责遵守适用的数据保护法律就此等访问或传输的所有规定。
11. 附录更新
天润融通保留不时更新本数据处理附录的权利,以反映天润融通产品和服务的新功能的特征或遵守适用数据保护法律的最新变化和监管要求。
对本附录的更新将发布在https://www.ti-net.com.cn/news/9475.html,并在客户的操作人员登录天润融通的产品及服务时提示客户。客户应当定期访问并查看本附录以确保掌握本附录的更新与变化。
虽然有上述规定,天润融通承诺不会通过更新条款的方式单方降低或贬损客户在本数据处理附录项下所享有的权利,除非这种变化是适用的数据保护法律强制要求所致。
若转载请注明出处:
https://m.ti-net.com.cn/news/9475.html