数据保护附录

上次更新:2023 年 10 月 25 日

本数据保护附录(以下简称“附录”)构成 LexisNexis Risk Solutions 实体或各实体(以下简称 “LNRS”)之间协议(以下简称“协议”)的一部分,LNRS 根据协议向客户或被许可人(定义见协议,以下简称“客户”),以及其关联方(如适用)提供某些产品或服务(以下简称“服务”),并在该协议中引用了本附录。

I.          定义
    
 
 
   1.          “数据保护法”指所有适用的隐私和数据保护法律、规则、条例、法令、命令和其他政府要求。
 
   2.      术语“控制者”、“个人数据”、“处理”和“数据主体”,将具有数据保护法赋予它们的相同含义,如果数据保护法使用等效或相应术语,如“个人信息”代替“个人数据”,它们在本附录中将被视为具有相同的含义。

II.                     适用范围
    
 


 
             本附录适用于各方根据协议从另一方及其关联方(如适用)接收的个人数据的处理情况,不包括任何一方代表另一方处理的任何个人数据。

III.  

        缔约方角色及限制
 
1.      
双方承认,各自独立确定处理的目的和方式,因此双方均为个人数据的独立控制者。双方没有也不会以共同控制者的身份处理个人数据。
         
        
2.      双方应遵守其在数据保护法下的义务,且应分别对其自身的遵守情况负责。本附录中的任何规定,均不应更改适用于任何一方在本协议项下,使用或以其他方式处理个人数据的权利的限制。
         
    3.    客户同意,LNRS 接收的个人数据已按照数据保护法要求收集、传输和以其他方式处理,包括提供适用的 LexisNexis Risk Solutions 处理通知中所规定的信息,网址是 https://risk.lexisnexis.com/corporate/processing-notices
         
    4.    客户同意,LNRS 可在必要时处理任何认证详情、账户数据、使用数据、服务日志和其他个人数据,以便提供、管理或者确保服务符合 LexisNexis Risk Solutions 的隐私政策,网址是 https://risk.lexisnexis.com/corporate/privacy-policy
         
    5.    客户同意,处理任何个人数据的人员应接受适当的隐私培训(包括数据保护法可能要求的培训)。
IV.                   数据主体权利
    
 


 
             各方应负责响应数据主体的询问。任何一方均无义务将数据主体的请求通知另一方,或代表另一方作出响应。
V.                     

协助

 
               各方应在合理需要的情况下,配合并协助另一方,以使另一方能够履行其在数据保护法下的义务,同时考虑到处理的性质和该方可获得的信息。
VI.                      跨境传输

 
               任何一方应确保,如果该方将个人数据传输到另一国家/地区,该等传输行为应受到适当保障措施的约束,以提供符合数据保护法的充分程度的保护。
VII.            管辖权特定条款
           
            如果任何一方正在处理源自以下列出的任何司法管辖区的数据保护法,或以其他方式受其约束的个人数据,则除上述条款外,还应适用其中针对适用司法管辖区规定的条款。
             
            欧洲经济区、英国和瑞士
             
     
1.   如果任何一方将个人数据从欧洲经济区、英国或瑞士传输到位于欧洲经济区、英国或瑞士以外的另一方,除非双方可以依赖数据保护法下的其他传输机制或依据,否则双方将被视为已就此类传输签订了欧盟委员会 2021 年 6 月 4 日第 2021/914 号执行决定 (EU) 批准的标准合同条款(以下简称“标准合同条款”),该决定可在 http://data.europa.eu/eli/dec_impl/2021/914/oj 查阅,其中:
  1.  接收方为“数据输入方”,另一方为“数据出境方”;
  2.  模块一适用,模块二、模块三、模块四、脚注,第 11(a) 条选项和第 17 条选项 2 省略,适用附件分别填写本附录和协议中规定的信息(如适用);
  3.  “主管监管机构”是爱尔兰的监管机构;
  4.  标准合同条款受爱尔兰法律管辖;
  5.  因标准合同条款引起的任何争议将交由爱尔兰法院裁决;以及
  6.  如协议条款与标准合同条款有冲突,应以标准合同条款为准。

     
2.   关于从英国传输个人数据,根据上文第 1 条执行的标准合同条款将适用,但需进行以下修改:
  1.  标准合同条款按照欧盟委员会根据《2018 年英国数据保护法》第 119A 条发布的标准合同条款的国际数据传输附录第 2 部分的规定(可不时修订或被取代)(“英国附录”)进行修订;
  2.  英国附录第 1 部分的表 1 至表 3 分别填写本附录和协议(如适用)中规定的信息;以及
  3.  英国附录第 1 部分的表 4 通过选择“非任何一方”来填写。

     
3.    关于从瑞士传输个人数据,根据上述第 1 条执行的标准合同条款将适用,但需进行以下修改;
  1.  提及“法规 (EU) 2016/679”,应被解释为提及瑞士《联邦数据保护法》(“FADP”);
  2.  提及“法规 (EU) 2016/679”具体条款,应替换为 FADP 的等效条款或部分;
  3.  提及“欧盟”、“联盟”、“成员国”和“成员国法律”,应替换为提及“瑞士”或“瑞士法律”(如适用);
  4.  对“成员国”一词的解释,不应排除瑞士数据主体获得其权利的可能性;
  5.  第 13(a) 条和附件一的 C 部分未被使用,“主管监管机构”为瑞士联邦数据保护信息专员;
  6.  本条款受瑞士法律管辖;以及
  7.  因标准合同条款引起的任何争议将交由瑞士法院裁决。
             
            美国 
             
       
  U.S. Privacy Laws Addendum
             
            巴西
             
         1.            双方应:
  1. 遵守其在 2018 年第 13.709 号巴西《一般数据保护法》(Lei Geral de Proteção de Dados Pessoais) (LGPD) 规定的义务;
  2. 应保存其所执行的个人数据处理操作记录;
  3. 委任一名数据保护专员;以及
  4. 采取安全、技术和行政措施,能够保护个人数据免遭未经授权的访问,以及意外或非法破坏、丢失、篡改、通信或任何形式的不当或非法处理,包括国家/地区当局规定的适用最低技术标准。
         2.            如果任何一方将个人信息从巴西传输到位于巴西以外的另一方,接收方应遵守数据主体的原则和权利,以及 LGPD 规定的数据保护制度。