数据处理协议

1. 背景信息

1.1. 鉴于旷视与客户双方之间已达成关于本服务(下称“旷视服务”)的采购和提供的合作协议(下称“主合同”),本数据处理协议是纳入主合同约定,构成主合同条款不可分割的一部分。

1.2. 范围与生效。本数据处理协议适用于旷视包括其子处理者(如有)与提供旷视服务有关的数据处理(下称“数据处理”)。本数据处理协议无需单独签署,双方一经签署主合同,即同时认可并接受本数据处理协议中相关约定之约束。

1.3. 结构。附录部分纳入本数据处理协议,并构成本数据处理协议的一部分。其中,附录 1 规定了处理的性质、指示和目的,和涉及的个人信息、数据主体类别、期限;附录 2 明确了旷视在本数据处理协议下提供的、技术和组织层面的安全保障措施。

1.4. 管理。在本数据处理协议项下,客户是本数据处理协议项下处理的个人信息的控制者,旷视是本数据处理协议项下处理的个人信息的处理者,客户全权负责对旷视需要执行的数据处理行为获得批准、授权和许可。

1.5. 术语和定义。

1) “适用数据保护法”是指中国或其他有关国家/地区所适用的个人信息、隐私权保护、网络安全及通信领域的法律法规,且该等法律法规对数据保护已有规定;相关国家/地区并未通过法律法规对数据保护进行规定的,适用数据保护法应指该等国家/地区的宪法及其他基础性法律、规定、制度中对于数据保护的相关要求、原则。

2) “个人信息”是指以电子或者其他方式记录的,能够单独或者与其他信息结合识别特定自然人身份或者关联特定自然人的各种信息。

3) “数据主体”是指个人信息识别或关联到的自然人。

4) “控制者”是指单独或共同决定数据处理的目的和/或方式的主体。

5) “处理者”是指基于控制者委托、以控制者名义开展数据处理的主体。

6) “数据保护机构”是指适用数据保护法下依法履行数据保护监管职责的机构。

7) 适用数据保护法中对个人信息、数据主体、控制者、处理者、数据保护机构等的具体含义和表述另有特别规定的,本数据处理协议项下的术语同时具有适用数据保护法下所规定的具体含义。

2. 处理安全

2.1. 相应技术措施和组织措施。

1) 旷视已根据当前技术发展水平,实施了主合同项下服务适用的技术措施和组织措施保护数据处理安全,具体参见数据处理协议附录 2 – 安全措施。

2) 客户已查看此类措施并同意,考虑目前的技术发展水平、实施成本,以及数据处理性质、范围、背景和目的,旷视正采取的相应措施是恰当的。

2.2. 变更。旷视不得擅自调整、变更所采取的技术和组织措施,尤其是当可能降低本数据处理协议项下数据处理过程中所提供的安全保护等级时;在维持相当或更高的安全保护水平的情况下,旷视可进行变更且无需另行通知客户。

3. 双方的一般责任

3.1. 客户承诺并保证:

3.2. 旷视承诺并保证,在代表客户处理个人信息时:

4. 指示

4.1. 客户明确授权,在本数据处理协议项下,旷视应履行的数据处理指示如以下数据处理协议附录 1 - 个人信息处理指示所示。除法律另有规定外,在代表客户处理个人信息时,旷视应且仅应根据本数据处理协议进行。

4.2. 在本数据处理协议生效期间,客户可通过书面形式告知旷视,以变更本数据处理协议第 4.1 条所述的指示。除本数据处理协议中规定的其他通知义务之外,如果旷视认为任何指示违反了适用数据保护法(“被质疑的指示”),旷视在收到客户根据本条发出的书面告知之日起三个工作日内可以书面通知客户,并在通知中指明可能违反的适用数据保护法要求;在客户对被质疑的指示进行确认之前,旷视无需执行该被质疑的指示。

5. 数据安全事件

5.1. 如果发生数据安全事件(含个人信息泄露),应客户要求,旷视应及时按照适用数据保护法向客户提供必要的相关信息。

5.2. 数据安全事件发生后,在商业合理的范围内,应客户要求,旷视可向客户提供相关协助,以使客户履行客户在适用数据保护法中应当承担的通知数据主体和报告数据保护机构的义务。

5.3. 旷视向客户提供第 5.2 条中的协助所发生的一切合理费用,由客户承担。如客户对该等费用有疑问,应当以书面形式向旷视告知并与旷视进行协商。

6. 响应数据主体的请求

6.1. 根据客户的要求,旷视在技术可行、合理的范围内,根据适用数据保护法协助客户对数据主体的请求作出响应。客户应负责确认数据主体是否有权行使任何该等权利,并书面向旷视明确需要进行协助的范围与形式。

6.2. 旷视向客户提供第 6.1 条中的协助响应而产生的合理费用,由客户承担。如客户对该等费用有疑问,应当以书面形式向旷视告知并与旷视进行协商;但客户不得以此为依据,迟延向旷视支付该等费用;如客户拒绝或延迟支付该等费用的,旷视可根据情况自行决定中止或终止向客户提供第 6.1 条下的协助。

7. 对外共享与全球性处理

7.1. 未经客户的事先书面同意并采取适用数据保护法下必要的合规措施,旷视不得将主合同项下的任何个人信息向其他第三方共享。

7.2. 客户同意并认可,旷视将基于全球分布的基础设施提供旷视服务,并开展本数据处理协议项下的数据处理;旷视可视具体情况合理调整该等基础设施分布,且无需另行通知客户,但如果旷视对基础设施的调整影响客户正常使用旷视服务,应及时告知客户并与客户协商。目前旷视的基础设施在全球分布情况如下:

7.3. 客户明确授权并认可,旷视应按照以下规则在相关地区内开展本数据处理协议项下的数据处理:

7.4. 除法律另有规定或客户另行书面提出要求,按照第 7.3 条所述规则确定数据处理开展的地区后,旷视不得将本数据处理协议项下的个人信息传输至未经客户授权同意的其他国家和/或地区。

7.5. 客户应自行履行适用数据保护法下被有效实施和/或不时更新的数据跨境传输限制(如有),并且确保采取了适当的防范措施。确有必要的,经客户书面请求,旷视可视情况向客户提供必要的协助,以使其遵守适用数据保护法的相关,该等必要协助所发生的合理费用应由客户承担。

8. 子处理

8.1. 客户特此书面授权同意,旷视可根据具体需求情况,将本数据处理协议项下规定的数据处理全部或部分地委托给其他第三方(含旷视关联企业及其他经旷视明确书面授权的合作伙伴,下称“子处理者”)。

8.2. 在满足其他条件的前提下,旷视在选择子处理者时应尽合理商业努力,并特别注意它在执行数据处理业务方面的信誉和经验,以及它的技术和组织措施的适当性。

8.3. 旷视应当与子处理者签订协议,并且该等协议应当(i)对需要子处理者处理个人信息的分包服务进行描述(包括处理的个人信息类型及处理目的);以及(ii)对子处理者必须执行的适用于该分包服务的技术和组织措施进行描述。

9. 通知

9.1. 除非适用数据保护法明确禁止,旷视应及时通知客户如下内容:

9.2. 如旷视查明或事实证明以下情形,旷视应向客户发出书面通知:

9.3. 如果旷视收到数据主体或第三方的投诉和/或要求提供关于数据处理的具体信息,旷视应及时将该等投诉和/或问询以及相关材料书面转交客户。

10. 违约责任

10.1.如果任何一方违反适用数据保护法或者本数据处理协议的义务,应当根据主合同承担相应的责任;如果主合同或者本数据处理协议中没有相关规定,则应当按照适用数据保护法承担责任。

10.2.即使主合同确定或者由于其他原因适用的责任条款出现减损,由于任何一方违反个人信息保护义务而产生的或者与其有关的任何责任也仅受本数据处理协议的管辖。

11. 一般规定

11.1.转让。未经另一方的书面同意,任何一方均不得转让它在本数据处理协议项下的任何权利或者义务。

11.2.可分性。本数据处理协议中不可执行的条款将会并且仅在使这些条款可以执行的必要范围内被修改,以反映双方当事人的意图。其他条款将仍然继续有效,而不会进行任何修改。

11.3.期限和终止。本数据处理协议中的义务在主合同终止后继续有效,且在旷视(包括旷视在本数据处理协议项下委托的子处理者)终止代表客户处理个人信息前应充分有效。

数据处理协议附录 1 - 个人信息处理指示

控制者

- 客户。

处理者

- 旷视及其子处理者(含旷视关联企业及其他经旷视明确书面授权的合作伙伴,如适用)。

数据主体

- 指客户视其具体需求而使用旷视服务过程中涉及到相关个人信息的被采集方,包括客户的最终用户和/或雇员等。

数据类别

- 涉及的数据类型包括但不限于:身份信息(如姓名),证件信息(如身份证件及相关信息),图片、视频和音频信息(如关于人脸、肢体动作、服饰),以及其他在具体项目下客户明确提出的数据类型。

处理操作/目的

- 旷视被指示开展的数据处理操作包括为提供主合同或特定订单项下旷视服务而必须的数据处理行为,以及旷视为履行法定义务和主合同项下合同约定而开展的数据处理行为;

- 旷视开展数据处理操作的目的应仅限于主合同项下所明确的范围,具体而言:1)提供旷视服务之必要;2)用于安全防范、反欺诈;3)履行法律法规规定义务之必要;4)与国家安全、国防安全直接相关;5)与公共安全、公共卫生、重大公共利益直接相关;6)与刑事侦查、起诉、审判和判决执行等直接相关;7)维护旷视服务的安全稳定运行之必要;8)在合法前提下优化升级旷视服务之必要。

处理期间

- 旷视接受客户委托开展本数据处理协议项下所涉及的数据处理操作的期间限于旷视履行主合同(含特定订单及本数据处理协议等附件)项下全部义务的期限;

- 无论旷视是否全部履行主合同项下义务,在本数据处理协议项下所涉及的数据被妥善删除和/或返还客户(视客户要求)前,旷视作为处理者在本数据处理协议项下的相关义务持续有效,但旷视前述相关义务的有效期最长不长于旷视全部履行主合同项下义务后 6 个月。

数据处理协议附录 2 – 安全措施

A. 物理访问控制。

措施:

针对数据中心/服务器的额外措施:

B. 系统访问控制。

措施:

C. 数据访问控制。

措施:

D. 数据传输控制。

措施:

E. 作业控制。

措施:

F. 完整性与可用性控制。

措施:

G. 数据隔离控制。

措施: