数据处理附录
版本:2023 年 1 月 1 日
本数据处理附录(“DPA”)构成客户与 CM.com 就客户使用服务订立的协议的组成部分。
本《条款和条件》中包含的以粗体显示的术语已给出定义,具有本条中所载明的含义。
控制者:单独或与他人共同决定个人数据处理目的和方式的自然人或法人、公共机关、机构或其他机构。
数据主体:与个人数据相关的已识别或可识别身份的自然人。
技术和组织措施:旨在保护个人数据免受意外或非法破坏或意外丢失、更改、未经授权披露或访问以及所有其他非法处理形式的措施。
个人数据泄露:导致意外或非法破坏、丢失、更改、未经授权披露或访问所传输、存储或以其他方式处理的个人数据的安全漏洞。
处理方:代表控制者处理个人数据的自然人或法人、公共机关、机构或其他机构。
处理:对个人数据或对个人数据组执行的任何操作或一组操作,无论是否通过自动方式进行,例如收集、记录、组织、结构设计、存储、改编或更改、检索、咨询、使用、通过传输、传播或以其他方式提供而披露、调整或组合、限制、删除或销毁。
子处理方:由 CM.com 聘请负责处理活动的一方,其中 CM.com 是 DPA 项下的处理方,见 www.cm.com/trust-center/privacy/ 上所列。“数据保护影响评估”一词具有适用的数据保护法律中赋予的含义。
1.2. 凡提述适用的数据保护法律,应替换为或包含提述替代或修订这些适用的数据保护法律的任何法律,以及该等法律中定义的同等术语(前提是已生效并适用)。
1.3. 本《数据处理条款和条件》仅适用于 CM.com 作为处理方代表客户处理个人数据的活动。如有冲突,本《数据处理条款和条件》中有关个人数据处理的规定应优先于《一般条款和条件协议》的规定而适用。 如果本《数据处理条款和条件》中的个别条款无效或不可执行,其他条款的有效性和可执行性不受影响。 信任中心:www.cm.com/trust-center/。
2.1 本《数据处理条款和条件》适用于个人数据处理活动,而 CM.com 是受适用的数据保护法律约束的处理方。
2.2 CM.com 是本《数据处理条款和条件》第 6 条中所述的处理活动的处理方。
3.1 在使用服务方面,客户应依照适用的数据保护法律的要求处理个人数据。客户有关个人数据处理的指示应符合适用的数据保护法律的规定。客户对个人数据的准确性、质量、合法性以及客户获取个人数据的方式负责。客户应确保其遵守适用法律中规定的处理和传输个人数据的所有要求,包括但不限于确保处理和/或跨境传输具有合法依据。如果客户不再能够履行其在适用法律和/或协议项下关于处理个人数据的义务,应立即通知 CM.com,不得无故拖延。
3.2 在不限制协议任何其他规定普遍有效性的前提下,在使用服务前,客户应获得最终用户可核实的知情同意,或能够提供处理的任何其他适用合法依据的证明,且应维护上述知情同意和/或合法依据的记录。在收到合理的书面通知后,客户应按照 CM.com、任何运营商、监管机构或其他主管部门的要求,根据合法依据提供信息。
4.1 指示
4.1.1 CM.com 应为了客户不时在协议中规定的目的,采用客户不时在协议中规定的方式,依照本 DPA 和协议的规定及客户在协议范围内的进一步指示处理个人数据。
4.2 技术和组织措施
4.2.1 考虑到处理的技术发展水平、性质、范围、背景和目的,以及自然人权利和自由可能遭受的各种不同可能性和严重程度的风险,CM.com 应实施适当的技术和组织措施(包括提供保护,以避免个人数据受到未经授权或非法处理及意外或非法破坏、丢失、更改或损坏、未经授权披露或访问),以保证与风险相适应的安全级别。有关技术和组织措施的最新信息,请参见 www.cm.com/trust-center/security/。
4.2.2 CM.com 应持续测试、评估和评价技术和组织措施的有效性,以确保处理的安全性。CM.com 应酌情不断加强和改进技术和组织措施。
4.3 人员要求
CM.com 应确保经授权处理个人数据的人员均已承诺保密或承担适当的法定保密义务。只有因提供协议项下的服务而需要接触个人数据的人员方可获得相关访问权限。
4.4. 保密
CM.com 同意,其应对个人数据保密。特别是,CM.com 同意,除非预计依据协议提供服务时需要或强制性法律要求,否则 CM.com 不得在客户未事先同意的情况下,向任何第三方披露由客户、为了客户或代表客户提供给 CM.com 的任何个人数据。
4.5.数据主体权利
4.5.1 如果客户收到数据主体提出的行使其访问权、纠正权、处理限制权、删除权(“被遗忘权”)、数据可携带权、反对处理权或其不受自动化个人决策约束的权利的请求(下称“数据主体请求”),CM.com 应按照客户指示,传输、更正、删除或屏蔽个人数据。
4.5.2 如果 CM.com 收到数据主体请求,则其应通知客户。在考虑到处理性质的情况下,CM.com 应根据适用的数据保护法律的规定协助客户回应数据主体请求。CM.com 应在其依法获准的范围内协助客户,并确保回应该等数据主体请求是数据保护法所要求的。
4.6 协助客户合规
CM.com 应向客户提供其合理要求的进一步协助,以确保客户遵守数据保护法规定的义务,此类协助包括:
(a) 数据保护影响评估,具体而言,为协助客户进行数据保护影响评估和定期检查以评估个人数据处理是否符合数据保护影响评估的要求,应客户的要求提供相关信息并予以配合;
(b) 事先与数据保护监督部门就高风险处理进行协商。
4.7 合规、信息和审查
4.7.1 CM.com 已获得信任中心(位于 CM.com 的网站:www.cm.com/trust-center/) 中所载的第三方认证,该中心提供技术和组织措施、隐私、合规、风险管理和数据安全方面的信息。收到客户的书面要求后,CM.com 应在遵守协议规定的保密义务的前提下,向非 CM.com 竞争对手的客户(或非 CM.com 竞争对手的客户的独立第三方审计师)提供 CM.com 的最新第三方认证证书和有关 IT 架构和安全性的信息的副本(如适用并经合理请求)。客户负责评估 CM.com 提供的信息,并确定这些信息是否符合适用的数据保护法律规定的客户要求和义务。客户同意,根据本条款提供的信息用于履行适用的数据保护法律规定的客户审查权。
4.7.2 如果 CM.com 提供的信息不足以证明符合本 DPA 的规定,则客户有权每年最多指定一名经认可的外部专家,由其审查关于为客户数据处理的程序。CM.com 将配合该等审查,但客户须提前至少十个工作日合理书面通知 CM.com。客户应按 CM.com 届时有效的专业服务收费标准,就 CM.com 为该等审查所花费的任何时间向 CM.com 报销相关费用,收费标准应在客户要求时提供给客户。在开始任何上述审查前,除客户应负责的报销费用之外,双方还应相互约定该审查的范围、时间和期限。
4.7.3 CM.com 有权要求上述外部专家签署一份以 CM.com 为受益人的保密声明。该保密声明应包含该类声明通常需要涵盖的条款和条件。外部专家提供的任何报告或声明应提供给 CM.com。客户应确保上述审查尽可能少地妨碍 CM.com 的运营。
4.8 记录
CM.com 应维护与代表其客户开展的处理活动有关的完整、准确和最新记录。
4.9 关联方和子处理方
4.9.1 CM.com 在协议项下的部分或全部义务可由 CM.com 的关联方代为履行。CM.com 对其关联方遵守协议规定负责。
4.9.2 客户确认并同意:(a) 可聘请 CM.com 的关联方作为子处理方;且 (b) CM.com 和 CM.com 的关联方可各自聘请第三方子处理方以提供服务。但前提是,CM.com 或 CM.com 关联方应与各子处理方签订书面协议,其中包含的数据保护义务在适用于该等子处理方提供的服务性质的范围内,保护力度不次于协议规定的关于个人数据保护的义务,且 CM.com 保留一份最新的子处理方名单。CM.com 的现有子处理方名单详见:www.cm.com/trust-center/privacy/。 如子处理方名单发生任何变更,CM.com 应在变更前三十 (30) 天通知客户。在该期限内,客户可以对子处理方名单的变更提出异议,但该等异议必须以书面形式提交,且有符合适用的数据保护法律的合理理由。双方将真诚地努力解决客户的异议。异议未能在三十 (30) 天内解决的,任一方均可终止协议。
4.9.3 CM.com 应对其各子处理方的行为承担责任,如同 CM.com 根据协议的条款直接提供各子处理方的服务。
4.10 泄露通知
对于个人数据泄露,CM.com 应:
(a) 立即通知客户涉及 CM.com 或分包商的个人数据泄露,不得无故拖延(但在任何情况下,应在知悉个人数据泄露后的四十八小时内通知)。
(b) 就根据适用的数据保护法律(如《通用数据保护条例》第 33(3) 和 34(3) 条)针对个人数据泄露采取的任何行动,包括向数据主体和数据保护机构通知个人数据泄露事件,向客户提供合理的协助,并予以合理的配合。 CM.com 将立即调查个人数据泄露,并采取合理措施确定其根本原因并防止再次发生。在收集信息或以其他方式获得信息时,除非法律禁止,否则 CM.com 将向客户提供个人数据泄露的说明、构成个人数据泄露对象的数据类型,以及客户可能合理要求的其他信息。双方同意真诚地协调,为受影响的数据主体和/或相关数据保护机构编写任何相关公开声明或任何所需通知的内容。
如果根据第 4.9 条规定聘请子处理方需要依据适用的数据保护法律建立跨境传输机制,以将个人数据从某一司法管辖区(即欧洲经济区、英国或任何其他相关司法管辖区)合法地传输给位于该司法管辖区以外的第三方,则下列条款应适用。 客户授权 CM.com 将个人数据传输至 CM.com 所在的以及首次收到个人数据所在的司法管辖区之外,前提是 CM.com 应确保该等传输将根据本 DPA 以及依据适用的数据保护法律的规定提供充分保护水平的合法数据传输机制执行。
CM.com 应依照适用法律法规(包括但不限于国家电信法律和适用的数据保护法律)处理和保留数据,包括个人数据。提交到 CM.com 平台的数据(包括个人数据)应依照 CM.com 的数据保留政策进行处理和存储。个人数据只能在适用法律要求和/或允许的范围内保留,保留期限不得超过提供协议项下服务所需的期限,且保留目的只能为协议中规定的目的。CM.com 应在适用的保留期限结束后对数据进行去识别化或去个性化处理,使其成为匿名数据。这将使数据不含有个人数据或可随后用于索引曾经所关联个人数据的唯一标识。
7.1 处理的性质和目的
CM.com 将在依照协议条款提供服务而必要时、按照协议中的进一步规定以及客户在协议范围内做出的进一步指示处理个人数据。
7.2 处理持续时间
CM.com 将在协议期限内根据本 DPA 第 6 条的规定处理个人数据。
7.3 数据主体类别
客户在使用服务期间可向 CM.com 提交数据,内容由客户自行决定和控制,可能包括但不限于与附件 1 所列数据主体类别相关的个人数据。
7.4 个人数据类型
客户可向服务提交个人数据,其范围由客户自行决定和控制,可能包括但不限于附件 1 所列的个人数据类别。
附件 1:数据主体和个人数据类别描述
数据主体:
对话式 AI 云
对话渠道
客户数据平台
移动营销云
移动服务云
支付平台
签名
短信
• 客户或其客户的(潜在)顾客(自然人);
• 客户(的顾客)雇用的员工、承包商、顾问、自由职业者或人员;
• 客户潜在顾客、现有顾客和业务合作伙伴的联系人;
• 客户授权使用服务的客户用户。
售票
语音
个人数据类别:
对话式 AI 云
对话渠道
客户数据平台
移动营销云
移动服务云
支付平台
签名
短信
售票
语音