China
数据保护协议
1. 范围
MotivIT 应根据隐私法律和规范、适用的隐私政策以及本协议的条款处理客户数据。如果本协议的条款与双方之间有关数据使用和保护的任何其他协议的条款存在冲突,则以本协议的条款为准。
2. 定义
2.1. “数据泄露”是指任何实际或疑似的挪用、非法或未经授权的访问、披露或使用客户数据的行为。
2.2. “数据保护法律”是指客户在其开展业务的任何国家的数据保护和隐私法律,包括但不限于《通用数据保护条例》(GDPR)和《加利福尼亚消费者隐私法》(CCPA)。
2.3. “选择加入”是指数据主体自愿、具体、知情和明确表示其意愿的任何方式,通过声明或明确的积极行为,表示同意处理与其相关的个人数据。
2.4. “数据主体”是指个人数据所指的自然人。
2.5. “个人数据”是指任何与可以直接或间接识别的自然人相关的信息,特别是通过参考诸如姓名、识别号码、位置信息、在线标识符或与该自然人的身体、心理、遗传、经济、文化或社会身份特定的一个或多个因素,个人数据包括敏感个人数据。
2.6. “处理/过程”是指对个人数据或个人数据集所进行的任何操作或一组操作,无论是否通过自动化手段进行,例如收集、记录、组织、结构化、存储、适应或更改、检索、咨询、使用、通过传输、传播或以其他方式披露、提供、对齐或组合、限制、删除或销毁。
2.7. “客户数据”是指在客户的委托下,MotivIT 提供或处理的任何和所有数据、信息和内容(包括个人数据),无论其是否机密。
2.8. “敏感个人数据”是指识别种族或民族来源、政治意见、宗教或哲学信仰或工会成员资格的特殊类别个人数据,基因数据、生物特征数据、有关健康的数据或有关自然人的性生活或性取向的数据。
3. 合规与合作
MotivIT 将在处理客户数据时遵守数据保护法律。如果数据保护法律对 MotivIT 的义务比本协议规定的更为严格,则以数据保护法律为准。MotivIT 将与客户合作,处理客户数据,以使客户能够遵守任何数据保护法律。MotivIT 将指定一名代表,及时并全面地回应客户关于客户数据处理的查询。
4. 客户数据的安全与管理
MotivIT 应:
4.1. 始终确保以不低于对 MotivIT 自有机密信息所适用的关怀程度和安全措施,实施并维护合理的管理、技术和物理保障措施,旨在:(i)维护客户数据的安全性和机密性;(ii)保护客户数据的安全或完整性免受合理预期的威胁或危害;以及(iii)保护客户数据不被未经授权的访问或使用。这些保障措施包括但不限于对所有设备和可移动媒体上客户数据的加密,以及对涉及客户数据的任何电子通信在公共网络上传输时使用传输层安全性(“TLS”)加密或其他合理可接受的加密方法,并保持所有客户数据在静态时加密。
4.2. 仅为履行客户的书面指示而处理客户数据。MotivIT 不得出于自身目的或其他任何目的处理客户数据;
4.3. 限制对客户数据的访问,仅限于有合法知情需要的人员;
4.4. 维护与处理客户数据的任何系统相关的最新灾难恢复程序;
4.5. 如果发生实际或疑似的数据泄露,立即通知客户,并采取缓解措施以最小化数据泄露的影响,并持续向客户更新状态。
4.6. 如果法律允许,及时通知客户有关任何与数据保护相关的询问(包括来自任何监管机构、执法机关或政府机构的询问)或与客户数据相关的投诉;
4.7. 向客户提供合理的协助,迅速回应或解决收到的任何请求、问题、询问或投诉;
4.8. 来自任何数据主体或任何监管机构、执法机关或政府机构的请求;
4.9. 除非法律强制要求,不得披露客户数据或处理细节,除非根据客户的书面指示;如果法律强制要求,立即通知客户,以便客户寻求保护令;
4.10. 及时执行客户关于修改、转移或销毁客户数据的请求;并且
4.11. 在其隐私声明中做出更改;或(b)如果通过电话,提供简短且相关的收集通知,并指向隐私声明的 URL 以获取更多信息;或(c)对于所有其他收集,隐私声明将会提供。
4.12. MotivIT 代表客户行动时,声明并保证:
4.12.1. 在未根据适用的数据保护法律向数据主体提供公平、合法和充分的通知之前,不会收集个人数据(包括通过 cookies 或其他技术);
4.12.2. 仅在隐私声明(位于 *URL)在收集之前明确提供给数据主体时,才会代表客户收集个人数据:
(a)如果在线,隐私声明必须紧邻“提交”(或类似)按钮并且必须获得数据主体的同意(例如,数据主体可以选择勾选的框,说明“我理解并同意我的个人信息将按照隐私声明中所述使用”);或(b)如果通过电话,提供简短且相关的收集通知,并指向隐私声明的 URL 以获取更多信息;或(c)对于所有其他收集,隐私声明将会提供;
4.12.3. 不收集年龄在 16 岁以下儿童的个人数据;
4.12.4. 对于为营销或特定目标目的收集的任何个人数据,需与协议中规定的具体目的相一致,并需获得数据主体的主动同意;
4.12.5. MotivIT 发送的任何商业电子邮件都需要积极的选择加入同意,并包含有效的退订选项;
4.12.6. MotivIT 为短信获取的选择加入必须是数据主体的书面(如电子格式)且可审计的同意;且 MotivIT 代表客户发送到移动设备的短信必须遵守移动营销协会(“MMA”)的全球行为准则及任何基于 MMA 的地区指南(例如,在美国,遵循美国消费者最佳实践)或任何相应的和适用的国家指导或最佳实践。
5. 数据转移
MotivIT 不得转移,也不得允许任何下游处理者(定义如下)转移客户数据至 MotivIT 和客户书面同意的数据托管管辖区以外,除非事先获得客户的书面同意。遵守最低数据保护要求可以通过实施适用数据保护法律下提供的至少一种机制来证明,或通过确保适用的豁免适用来证明。
6. 数据主体请求
如果 MotivIT 收到数据主体关于访问其个人数据的请求,或关于更正或删除此类个人数据的请求,或任何与其个人数据相关的其他请求或查询(“数据主体请求”),MotivIT 将:
a)立即通知客户该请求(在未获得客户授权的情况下,不得回应该数据主体请求);
b)在收到数据主体请求后的五个工作日内提供请求的详细信息(及客户可能合理要求的任何其他相关信息);并且
c)根据客户合理的要求提供协助,以响应该请求。
6.1. 如果客户收到有关 MotivIT 正在处理、存储或使用的个人数据的数据主体请求,MotivIT 应根据客户的合理要求提供协助,以响应该数据主体请求。
7. 下游处理者
MotivIT 在未获得客户事先书面同意的情况下,不得将处理委托或分包给其他方(“下游处理者”)。在请求同意时,MotivIT 将提供有关与处理、安全、数据和服务器位置相关的下游处理者的详细信息。MotivIT 必须与下游处理者签订条款与本协议实质相似的协议,向下游处理者施加与 MotivIT 对客户的义务相同的义务,并向客户提供下游处理者的第三方受益权。
8. 赔偿
MotivIT 对客户数据的处理负有主要责任,包括其人员、代理人和下游处理者(各称为“代表”)的行为或不作为。MotivIT 应赔偿并保护客户及其董事、高管、员工、股东和代理人,按照客户的要求,为第三方提起的任何及所有损害、责任、成本、费用、索赔、罚款和损失(包括合理的律师费用)进行辩护,这些损失与 MotivIT 和/或任何代表违反本协议有关,部分或全部均可。
9. 数据保护影响评估
如果 MotivIT 对个人数据的处理可能导致数据主体的数据保护权利和自由面临高风险,MotivIT 应立即通知客户,并提供进行数据保护影响评估所需的所有合理和及时的协助,必要时与相关的数据保护主管机关进行咨询。
10. 审计、基础设施和通知
10.1. 审计。MotivIT 应在保密条款的条件下,允许客户或其授权代表访问 MotivIT 的相关场所、系统、设备和其他材料及处理设施,以便客户(或其授权代表)检查其是否遵守本协议下的义务。如果审计发现不符合本协议,MotivIT 应采取一切合理措施迅速弥补任何违反行为,或提供详细报告说明为何该违反无法补救,并支付客户合理的审计费用。
10.2. 基础设施变更。如果 MotivIT 计划对其基础设施或涉及客户数据的流程进行任何变更,且此变更可能显著增加客户数据受到损害的可能性或导致违反任何适用的数据保护法律,应在变更前通知客户。在客户要求时,MotivIT 将修改或延迟此类变更,直到解决客户可能存在的任何合理顾虑。
11. 处理记录
MotivIT 应保持处理记录。根据客户的要求,MotivIT 应在客户的书面指示下,免费提供这些记录。
12. 数据归还
在收到书面请求或本协议终止或到期时,MotivIT 应:(i) 立即停止处理客户数据;并且 (ii) 在五(5)天内按照媒体清理指南,以客户的首选格式将客户数据归还给客户,或者根据客户的选择销毁或删除客户数据及其所有副本或提取。