上次更新:2023 年 10 月 25 日
本数据保护附录(以下简称“附录”)构成 LexisNexis Risk Solutions 实体或各实体(以下简称 “LNRS”)之间协议(以下简称“协议”)的一部分,LNRS 根据协议向客户或被许可人(定义见协议,以下简称“客户”),以及其关联方(如适用)提供某些产品或服务(以下简称“服务”),并在该协议中引用了本附录。
I. | 定义 |
|||
1. | “数据保护法”指所有适用的隐私和数据保护法律、规则、条例、法令、命令和其他政府要求。 | |||
2. | 术语“控制者”、“个人数据”、“处理”和“数据主体”,将具有数据保护法赋予它们的相同含义,如果数据保护法使用等效或相应术语,如“个人信息”代替“个人数据”,它们在本附录中将被视为具有相同的含义。 |
II. | 适用范围 |
|||||
本附录适用于各方根据协议从另一方及其关联方(如适用)接收的个人数据的处理情况,不包括任何一方代表另一方处理的任何个人数据。 |
III. |
缔约方角色及限制 | |||
1. | 双方承认,各自独立确定处理的目的和方式,因此双方均为个人数据的独立控制者。双方没有也不会以共同控制者的身份处理个人数据。 | |||
2. | 双方应遵守其在数据保护法下的义务,且应分别对其自身的遵守情况负责。本附录中的任何规定,均不应更改适用于任何一方在本协议项下,使用或以其他方式处理个人数据的权利的限制。 | |||
3. | 客户同意,LNRS 接收的个人数据已按照数据保护法要求收集、传输和以其他方式处理,包括提供适用的 LexisNexis Risk Solutions 处理通知中所规定的信息,网址是 https://risk.lexisnexis.com/corporate/processing-notices。 | |||
4. | 客户同意,LNRS 可在必要时处理任何认证详情、账户数据、使用数据、服务日志和其他个人数据,以便提供、管理或者确保服务符合 LexisNexis Risk Solutions 的隐私政策,网址是 https://risk.lexisnexis.com/corporate/privacy-policy。 | |||
5. | 客户同意,处理任何个人数据的人员应接受适当的隐私培训(包括数据保护法可能要求的培训)。 |
IV. | 数据主体权利 |
|||||
各方应负责响应数据主体的询问。任何一方均无义务将数据主体的请求通知另一方,或代表另一方作出响应。 |
V. |
协助 |
||||||
各方应在合理需要的情况下,配合并协助另一方,以使另一方能够履行其在数据保护法下的义务,同时考虑到处理的性质和该方可获得的信息。 |
VI. | 跨境传输 |
||||||
任何一方应确保,如果该方将个人数据传输到另一国家/地区,该等传输行为应受到适当保障措施的约束,以提供符合数据保护法的充分程度的保护。 |
VII. | 管辖权特定条款 |
|||||
如果任何一方正在处理源自以下列出的任何司法管辖区的数据保护法,或以其他方式受其约束的个人数据,则除上述条款外,还应适用其中针对适用司法管辖区规定的条款。 | ||||||
欧洲经济区、英国和瑞士 | ||||||
1. |
如果任何一方将个人数据从欧洲经济区、英国或瑞士传输到位于欧洲经济区、英国或瑞士以外的另一方,除非双方可以依赖数据保护法下的其他传输机制或依据,否则双方将被视为已就此类传输签订了欧盟委员会 2021 年 6 月 4 日第 2021/914 号执行决定 (EU) 批准的标准合同条款(以下简称“标准合同条款”),该决定可在 http://data.europa.eu/eli/dec_impl/2021/914/oj 查阅,其中:
|
|||||
2. |
关于从英国传输个人数据,根据上文第 1 条执行的标准合同条款将适用,但需进行以下修改:
|
|||||
3. |
关于从瑞士传输个人数据,根据上述第 1 条执行的标准合同条款将适用,但需进行以下修改;
|
|||||
美国 | ||||||
U.S. Privacy Laws Addendum | ||||||
巴西 | ||||||
1. | 双方应:
|
|||||
2. | 如果任何一方将个人信息从巴西传输到位于巴西以外的另一方,接收方应遵守数据主体的原则和权利,以及 LGPD 规定的数据保护制度。 |