- 定义和术语
| “数据保护法律” | 是指本协议生效前和生效后,中华人民共和国不时颁布生效的个人信息保护、数据合规相关的法律和法规,包括但不限于《网络安全法》《消费者权益保护法》《数据安全法》《个人信息保护法》(仅为本协议之目的,为避免疑义,不包括香港特别行政区、澳门特别行政区以及台湾地区的法律)。 |
|---|---|
| “数据处理” | 是指对个人信息等数据进行的任何操作或一系列操作,包括但不限于:访问、收集、存储、使用、加工、传输、提供、公开、删除。 |
| “数据处理者” | 是指在个人信息等数据的处理活动中自主决定处理目的、处理方式的组织或个人,本协议中甲方为数据处理者。 |
| “受托人” | 是指接受数据处理者委托,严格按照数据处理者的要求处理数据的组织或个人,本协议中的乙方为受托人。 |
| “个人信息” | 是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。根据数据保护法律,数据处理者对个人信息承担更高合规注意义务。 |
| “委托数据” | 是指数据处理者交给受托人、按照数据处理者的委托事项或目的处理的数据。 |
| “数据提供方” | 是指向数据接收方提供个人信息等数据的数据处理者。本协议中数据提供方为甲方。 |
| “数据接收方” | 是指从数据提供方处接收个人信息等数据的组织或个人。本协议中数据接收方为乙方。 |
| “分包商” | 是指从受托人处接收委托数据,并进行分包处理的任何个人或组织。 |
| “安全产品” | 是指旨在实现安全风控目的的安全技术、数据技术及数据处理相关的产品与服务。 |
- 数据提供方与数据接收方关系、委托事宜
- 本协议项下,甲方作为数据提供方,委托乙方(作为数据接收方)处理数据,仅限于本协议第3.1条列明的安全风控法定义务目的(以下简称“处理目的”)。
- 乙方代表甲方处理委托数据,处理数据的目的、类型、处理方式等委托事项,详见本协议附件。
- 甲方同意并指定其业务的个人信息保护官负责本协议的日常执行,并监督乙方满足本协议要求。
- 委托处理目的限制
- 乙方应当在甲方的委托处理目的范围内处理信息,委托处理目的仅限于为实现附件一所列明的数据处理目的之用途。未经甲方事先书面同意,不得用于任何其他用途或以任何形式向第三方进行披露。若超出上述处理目的双方经通过签署补充协议的方式另行约定。
- 甲方承诺和保证
- 甲方承诺,已按照适用数据保护法律开展收集、使用等数据处理行为。其提供委托数据给受托人的行为不违反数据保护法律,不违反与其他方的合同约定,或侵害第三方的合法权益等。
- 甲方认为乙方的数据安全能力与委托数据的敏感程度以及数量不匹配时,有权向乙方发出书面问询。
- 当甲方为受托人时,甲方应承诺其基于合法的数据处理委托获取委托数据,并保证其转委托乙方进行数据处理的行为已取得数据处理者的书面同意或授权,不会违反适用数据保护法律和/或其与数据处理者的协议、承诺或任何其他形式的约定。
- 甲方按照双方共识的技术方案,对数据进行必要的预加工、加密等处理后,通过指定数据传输方式将数据提供给乙方。
- 乙方承诺和保证
- 乙方承诺和保证:
- 将按照本协议的约定,遵守甲方的书面指示以及适用数据保护法律的要求处理其从甲方接收的个人信息等委托数据不得超过委托范围处理数据;
- 除非甲方书面同意,不得将从甲方接收的委托数据提供给其他第三方,适用数据保护法律另行规定除外;
- 不得以会导致甲方违反适用数据保护法律的方式处理委托数据,并为甲方履行与委托数据有关的适用数据保护法律下的义务提供必要协助;
- 在知晓甲方的书面指示违反适用数据保护法律时,应及时向甲方告知寻求进一步确认;经确认后,若乙方认为如继续执行甲方书面指示,仍有严重违反数据保护法律,进而导致乙方自身承担法律风险的,乙方有权拒绝执行甲方的书面指令,且不视为本协议项下违约;
- 提供必要证明或评估材料,以便利甲方合理评估乙方的数据安全能力,有能力保证本协议项下委托数据的安全保障;
- 将落实有关的技术措施和组织措施以使甲方履行适用数据保护法律下响应个人信息主体的行权请求的义务;以及
- 确保其授权处理委托数据的任何人(包括员工、代理和分包商等)应当受制于严格的保密义务,且不得允许任何不受制于该等保密义务的人处理委托数据。
- 乙方承诺在处理接收数据时,遵守如下安全条款:
- 按照适用数据保护法律要求,建立相对应的数据安全能力,落实必要的管理和技术措施,为委托数据提供充分的安全保障,防止委托数据遭受未经授权的使用、泄漏、损毁或丢失;
- 考虑到现有技术水平,实施成本,数据处理的性质、范围、背景和目的,以及给个人信息主体的权利和自由造成损害的风险的可能性,采取必要的数据安全保障措施;以及
- 作为基础要求,所采取的数据安全保障措施包括但不限于:
- 场所以及设施的权限控制。必须采取措施以防止对存放个人信息等委托数据的场所和设备未经授权的物理访问,例如权限控制系统,身份识别读卡器、磁卡以及芯片卡,监控设备,设施出/入记录等;
- 访问限制。贯彻访问权限的人数最小化以及访问信息的数量最小化原则,仅供确有需要,且经授权的员工访问。未经授权的人员不得访问乙方获取的委托数据以及其处理系统,无论是物理接触还是逻辑访问;
- 可用性控制。采取措施确保委托数据得到保护而不受意外破坏或丢失,至少应包括以下内容:确保已安装的系统在发生中断后能够恢复,确保系统正常运行并报告故障,确保储存的个人信息等委托数据不会因系统故障而被损坏,业务连续性程序,远程存储和防病毒/防火墙系统;
- 密码、加密和/或匿名化。乙方应采用合理的商业物理安全技术和电子安全技术来创建和保护密码,和/或采取匿名化处理。如存储个人敏感信息、与关键信息基础设施有关的信息、重要数据,乙方应使用行业标准加密工具实施加密措施;以及
- 乙方应对数据安全保障措施进行定期检查,以确保这些措施持续提供适当的安全水平。
- 乙方承诺和保证:
- 安全事件处置
- 乙方应当按照适用数据保护法律和甲方关于安全事件应急响应制度的要求,落实必要的监测、预警和响应措施。
- 在知晓安全事件时,乙方应当:
- 毫不迟延地通知甲方并在甲方为履行适用数据保护法律下的安全事件上报义务而要求时向甲方提供所有该等及时的信息和合作;
- 按照适用数据保护法律的要求立即采取补救措施以降低安全事件的影响,按照适用数据保护法律规定及时告知用户并向有关主管部门报告,且应当使甲方及时知晓与安全事件相关的进展;
- 根据适用数据保护法律通知个人信息主体,告知其发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害,以及可采取何种措施避免、减轻危害。如乙方采取的措施能够有效避免数据泄漏、篡改、丢失造成危害的,可不通知个人信息主体;以及
- 记录所有与数据泄漏、篡改、丢失相关的事实,包括其影响以及采取的任何补救措施,向监管报告的内容,并留存相应的记录,视情况按照甲方的需求向甲方提供该记录。
- 跨境传输
- 未经甲方书面同意,乙方不应将委托数据向中华人民共和国大陆地区以外的国家和区域提供。为避免歧义,在本协议项下,向香港、澳门或台湾地区的组织或个人提供委托数据,亦视为本条约定下的跨境传输情形。
- 经甲方同意后,乙方向境外传输委托数据的,应当按照适用数据保护法律,以及双方之间的合同约定(如有),由乙方自行或指定部门,完成数据跨境传输合规自评估且通过有关部门评估(如需要)后方可实施跨境传输。
- 违约责任
- 任何一方违反本协议约定,导致另一方被执法部门调查、触发或者被第三方索赔的,应赔偿另一方因此造成的直接损失。
- 不可抗力
- 任何一方遇有不可抗力而全部或部分不能履行本协议或迟延履行本协议,应自不可抗力事件发生之日起五日内,将事件情况以书面形式通知另一方,并于事件发生之日起二十日内,向另一方提交导致其全部或部分不能履行或迟延履行的证明。发生不可抗力的一方在不可抗力影响的范围内免除其相应的责任,若任何一方未能依据本条款约定及时将不可抗力的情况通知对方或者未能及时提交相关证明的,应当依照本协议约定承担相应的违约责任。
- 遭受不可抗力的一方应采取一切必要措施减少损失,并在事件消除后立即恢复本协议的履行,除非此等履行已不可能或者不必要。
- 本条所称“不可抗力”系指不能预见、不能避免或不能克服的客观事件,包括但不限于自然灾害如洪水、火灾、爆炸、雷电、地震和风暴等,社会事件如战争、动乱、全国性疫情、政府行为、国家政策的突然变动和罢工,政策变化如法律法规、政府命令、规定、条例或指令变化,以及机器设备损坏、网络故障、黑客攻击等。
- 其他
- 如果本协议条款同其他与秒悟官网和服务相关的适用协议中的任何其他数据处理相关条款存在冲突,则应以本协议为准。本协议将取代秒悟隐私政策中的所有冲突条款。
- 乙方可能时不时会对本协议进行修订,该等修订构成本协议的一部分并具有同等效力。本协议更新后,我们会在秒悟网站公布更新后的版本,并在更新后的条款生效前通过官方网站公告或其他适当的方式提醒甲方,以便您及时知悉本协议的最新版本。如您继续使用秒悟相关平台和服务,视为您同意接受修订后的全部条款。
- 信息主体的种类
| 信息的处理目的 | 信息类型 | 信息处理方式 |
|---|---|---|
| 为最终用户提供账户注册、登录及管理服务 | 基础账户信息:用户昵称、加密后的登录密码、头像 | 收集、存储、使用、验证、展示 |
| 实现代码编辑、存储、管理等核心功能 | 用户代码与项目文件:用户编写的源代码、项目配置文件、资源文件等 项目元数据:文件名、文件路径、创建/修改时间 | 存储、传输、解析、渲染、展示、备份 |
| 支持多人在线协作、代码审查等功能 | 协作信息:用户间的@信息、共享编辑记录 用户在线状态 | 实时传输、存储、展示 |
| 用于产品优化、问题排查、保障服务安全稳定运行 | 设备与日志信息:浏览器类型与版本、操作系统、IP地址、操作日志(如功能点击、页面跳转)、错误日志 | 收集、存储、加密、脱敏、统计分析 |
| 提供代码在线运行与调试功能 | 运行时数据:用户为运行代码而输入的临时数据、代码执行输出的日志和结果 | 接收、编译/解释、执行、临时存储、展示 |