数据处理附录

上次更新:2023 年 10 月 25 日

本数据处理附录(以下简称“附录”)构成 LexisNexis Risk Solutions 实体或各实体(以下简称 “LNRS”)之间协议(以下简称“协议”)的一部分,LNRS 根据协议向客户或被许可人(定义见协议,以下简称“客户”),以及其关联方(如适用)提供某些产品或服务(以下简称“服务”),并在该协议中引用了本附录。
I.                 定义
               
 
 1.           “数据保护法”指所有适用的隐私和数据保护法律、规则、条例、法令、命令和其他政府要求。

 
 2.       术语“个人数据”、“个人数据泄露”、“处理”、“处理者”和“数据主体”,应具有数据保护法赋予它们的相同含义,如果数据保护法使用等效或相应术语,如“个人信息”代替“个人数据”,它们在本附录中应被视为具有相同的含义。
II.           适用范围
             
 
            本附录适用于 LNRS 代表客户和本协议项下的客户关联方(如适用)处理个人数据的情况。
III.        处理范围
         
 
1.            LNRS 处理过程应受本附录的约束,特别是 LNRS 应仅根据客户的书面指示处理个人数据,包括将个人数据传输到第三国/地区或国际组织,除非根据适用法律要求 LNRS 必须这样做;在这种情况下,LNRS 应在处理前将该法律要求告知客户,除非该法律基于公共利益的重要理由禁止 LNRS 这样做。

 
2.   处理的标的是就本协议项下服务提供的个人数据。处理期限为根据本协议提供服务的期限,直至根据本协议处置个人数据为止。处理性质和目的与根据本协议提供的服务相关。处理的个人数据类型是指,由客户提交或按客户指示作为服务一部分提交给 LNRS 的类型。数据主体类别是指,其个人数据由客户提交或按客户指示作为服务一部分提交给 LNRS 的主体。

 
3.    本协议,包括本附录,以及客户对服务的使用和配置,是向 LNRS 提供的关于处理个人数据的完整最终说明文件。附加或替代性说明必须由双方另行商定。除非适用法律要求,否则 LNRS 应确保其参与处理个人数据的人员,仅根据客户提供的书面指示来处理此类数据。
         
IV.            保密  
        LNRS 应确保获得授权处理个人数据的人员已承诺保密,或有适当的法定保密义务。  
         
V.          处理的安全性  
         
    1.    考虑到技术水平、实施成本和处理的性质、范围、背景和目的,以及自然人权利和自由可能发生的不同可能性和严重程度的风险,客户和 LNRS 应实施适当的技术和组织措施,以确保应对相应风险的安全水平(如本协议中所述),尤其包括:   
         
         (a) 假名化和加密个人数据;
         
         (b) 能够始终确保处理系统和服务的保密性、完整性、可用性和弹性;
         
         (c) 在发生物理或技术事故的情况下,能够及时恢复个人数据的可用性和访问;以及
         
         (d) 定期测试、评估和评价技术和组织措施的有效性,确保处理过程的安全性。
         
    2.    在评估适当的安全水平时,应特别考虑到处理过程中出现的风险,特别是意外或非法破坏、丢失、篡改、未经授权披露,或访问经传输、存储或以其他方式处理的个人数据。  
         
    3.    客户和 LNRS 应采取措施,确保在客户或 LNRS 授权下行事、有权访问个人数据的任何自然人,除根据客户的指示处理数据外,不会对数据进行任何处理,除非适用法律要求其如此行事。
         
    4.    尽管存在相反规定,LNRS 可酌情修改或更新其安全措施,只要该等修改或更新不会导致本协议提供的保护发生实质性减损。  

VI.  

        分处理
 
1.            客户特此向 LNRS 提供一般授权,允许其根据本附录聘用其他处理者来处理个人数据。 LNRS 应在 https://risk.lexisnexis.com/corporate/dpa/sub-processors 保存一份此类处理者的名单,LNRS 可能会不时更新该名单。在授权任何新的此类处理者处理个人数据前至少 14 天,LNRS 应在其网站上更新该名单。根据本协议的争议解决程序,或客户根据本协议可能拥有的任何适用的退款或终止权利,客户可对变更提出异议而不支付罚款。
         
    2.    如果 LNRS 聘用另一处理者代表客户进行具体的处理活动,应通过签订合同的方式,或根据数据保护法,该另一处理者必须履行本附录中规定的相同的数据保护义务。 如果该其他处理者未能履行这些数据保护义务, LNRS 应(根据本协议条款)继续就该其他处理者履行的义务对客户全权负责。

 VII. 
    数据主体权利
    
 
 
1.       考虑到处理的性质,LNRS 应在可能的情况下,通过适当的技术和组织措施,协助客户履行对行使数据主体权利的请求的响应义务。
    2.    在法律允许的范围内,LNRS 应及时通知客户有关 LNRS 收到的任何数据主体请求,并与客户合理合作,履行其在数据保护法下有关该等请求的义务。因 LNRS 协助客户履行该等义务而产生的任何合理费用均应由客户承担。

VIII.           
协助客户
         
 
         LNRS 应在考虑到处理的性质和 LNRS 可获得的信息的情况下,协助客户确保遵守数据保护法规定的数据安全、个人违约通知和其他义务。

IX.       终止处理
    
 
                          在客户对服务的使用期满或终止后,除非适用法律要求存储个人数据,否则客户应指示 LNRS 按照本协议中规定的条件和时间表(如有)删除或返还个人数据。如果本协议规定客户可以选择删除或返还个人数据,而客户在本协议终止后 30 天内未作出上述选择,则客户应在此指示 LNRS 删除个人数据,除非适用法律要求存储个人数据。在此情况下,LNRS 应在切实可行的范围内尽快删除该等个人数据。
X.                
  审计
                          
                      协议中规定了开展审计的权利。在本协议中没有此类要求的情况下,如数据保护法要求,应:(i) 签署适当的保密或不披露协议;(ii) 每年进行不超过一次审计,   除非有证据表明存   在不遵守本协议的情况,但须提前 30 天书面通知并提供此类审计计划;以及 (iii) 在双方商定的时间、地点和方式进行审计。

XI. 

    跨境传输
         
                 LNRS 应确保,如果 LNRS 将任何源自客户国家/地区的个人数据传输到另一国家/地区,该等传输行为应受到适当保障措施的约束,以提供符合数据保护法的充分程度的保护。

XII.              个人数据泄露
                在意识到涉及根据本附录处理的个人数据泄露后,LNRS 应立即通知客户,并对客户要求提供进一步信息的要求作出合理响应,以便客户履行其在数据保护法下的义务。

XIII.             处理活动的记录
   

             LNRS 应维护数据保护法要求的所有记录,并在代表客户处理个人数据时适用的范围内,按要求提供这些记录。

XIV.              处理的合法依据
       
              客户保证,在数据保护法要求的情况下,其已向任何及所有数据主体发出通知,并已获得数据主体或其合法授权代表或监护人的必要同意。
XV.              管辖权特定条款
               
              如果 LNRS 正在处理源自以下列出的任何司法管辖区的数据保护法,或以其他方式受其约束的个人数据,则除上述条款外,还应适用其中针对适用司法管辖区规定的条款。
               
              欧洲经济区、英国和瑞士
               
   
    1.            如果客户将个人数据从欧洲经济区、英国或瑞士传输到位于欧洲经济区、英国或瑞士以外的 LNRS,除非双方可以依赖数据保护法下的其他传输机制或依据,否则双方将被视为已就此类传输签订了欧盟委员会 2021 年 6 月 4 日第 2021/914 号执行决定 (EU) 批准的标准合同条款(以下简称“标准合同条款”),该决定可在 http://data.europa.eu/eli/dec_impl/2021/914/oj 查阅,其中:
  1.  客户是“数据出境方”,而 LNRS 是“数据输入方”;
  2.  脚注、第 9(a) 条选项 1、第 11 (a) 条选项和第 17 条选项 1 被省略,第 9(a) 条选项 2 中的时间期限为 14 天,适用附件分别填写本附录和协议中规定的信息;
  3.  如果客户作为控制者,而 LNRS 作为处理者,则模块二适用,模块一、三、四省略;如果双方都作为处理者,则模块三适用,模块一、二、四省略;
  4.  “主管监管机构”是爱尔兰的监管机构;
  5.  标准合同条款受爱尔兰法律管辖;
  6.  因标准合同条款引起的任何争议将交由爱尔兰法院裁决;以及
  7.  如协议条款与标准合同条款有冲突,应以标准合同条款为准。
             
   
    2.   关于从英国传输个人数据,根据上文第 1 条执行的标准合同条款将适用,但需进行以下修改:
  1.  标准合同条款按照欧盟委员会根据《2018 年英国数据保护法》第 119A 条发布的标准合同条款的国际数据传输附录第 2 部分的规定(可不时修订或被取代)(“英国附录”)进行修订;
  2.  英国附录第 1 部分的表 1 至表 3 分别填写本附录和协议(如适用)中规定的信息;以及
  3.  英国附录第 1 部分的表 4 通过选择“非任何一方”来填写。
               
   
    3.    关于从瑞士传输个人数据,根据上述第 1 条执行的标准合同条款将适用,但需进行以下修改;
  1.  提及“法规 (EU) 2016/679”,应被解释为提及瑞士《联邦数据保护法》(“FADP”);
  2.  提及“法规 (EU) 2016/679”具体条款,应替换为 FADP 的等效条款或部分;
  3.  提及“欧盟”、“联盟”、“成员国”和“成员国法律”,应替换为提及“瑞士”或“瑞士法律”(如适用);
  4.  对“成员国”一词的解释,不应排除瑞士数据主体获得其权利的可能性;
  5.  第 13(a) 条和附件一的 C 部分未被使用,“主管监管机构”为瑞士联邦数据保护信息专员;
  6.  标准合同条款受瑞士法律l管辖;以及
  7.  因标准合同条款引起的任何争议将交由瑞士法院裁决。
               
              美国 
               
         
  U.S. Privacy Laws Addendum
               
              南非  
               
          1.    如果 LNRS 在 2013 年第 4 号南非《个人信息保护法》(POPIA) 范围内为客户处理任何个人信息,LNRS 应进一步制定和维护 POPIA 第 19 条中提及的安全措施。  
          2. 
如果有合理根据认为,数据主体的个人信息已为未经授权人员所访问或获取,LNRS 应立即通知客户。