上次更新:2023 年 10 月 25 日
| I. | 定义 |
||||
| 1. | “数据保护法”指所有适用的隐私和数据保护法律、规则、条例、法令、命令和其他政府要求。 |
||||
| 2. | 术语“个人数据”、“个人数据泄露”、“处理”、“处理者”和“数据主体”,应具有数据保护法赋予它们的相同含义,如果数据保护法使用等效或相应术语,如“个人信息”代替“个人数据”,它们在本附录中应被视为具有相同的含义。 |
| II. | 适用范围 |
|||
| 本附录适用于 LNRS 代表客户和本协议项下的客户关联方(如适用)处理个人数据的情况。 |
| III. | 处理范围 |
|||
| 1. | LNRS 处理过程应受本附录的约束,特别是 LNRS 应仅根据客户的书面指示处理个人数据,包括将个人数据传输到第三国/地区或国际组织,除非根据适用法律要求 LNRS 必须这样做;在这种情况下,LNRS 应在处理前将该法律要求告知客户,除非该法律基于公共利益的重要理由禁止 LNRS 这样做。 |
|||
| 2. | 处理的标的是就本协议项下服务提供的个人数据。处理期限为根据本协议提供服务的期限,直至根据本协议处置个人数据为止。处理性质和目的与根据本协议提供的服务相关。处理的个人数据类型是指,由客户提交或按客户指示作为服务一部分提交给 LNRS 的类型。数据主体类别是指,其个人数据由客户提交或按客户指示作为服务一部分提交给 LNRS 的主体。 |
|||
| 3. | 本协议,包括本附录,以及客户对服务的使用和配置,是向 LNRS 提供的关于处理个人数据的完整最终说明文件。附加或替代性说明必须由双方另行商定。除非适用法律要求,否则 LNRS 应确保其参与处理个人数据的人员,仅根据客户提供的书面指示来处理此类数据。 |
|||
| IV. | 保密 |
|||
| LNRS 应确保获得授权处理个人数据的人员已承诺保密,或有适当的法定保密义务。 | ||||
| V. | 处理的安全性 | |||
| 1. | 考虑到技术水平、实施成本和处理的性质、范围、背景和目的,以及自然人权利和自由可能发生的不同可能性和严重程度的风险,客户和 LNRS 应实施适当的技术和组织措施,以确保应对相应风险的安全水平(如本协议中所述),尤其包括: | |||
| (a) 假名化和加密个人数据; | ||||
| (b) 能够始终确保处理系统和服务的保密性、完整性、可用性和弹性; | ||||
| (c) 在发生物理或技术事故的情况下,能够及时恢复个人数据的可用性和访问;以及 | ||||
| (d) 定期测试、评估和评价技术和组织措施的有效性,确保处理过程的安全性。 | ||||
| 2. | 在评估适当的安全水平时,应特别考虑到处理过程中出现的风险,特别是意外或非法破坏、丢失、篡改、未经授权披露,或访问经传输、存储或以其他方式处理的个人数据。 | |||
| 3. | 客户和 LNRS 应采取措施,确保在客户或 LNRS 授权下行事、有权访问个人数据的任何自然人,除根据客户的指示处理数据外,不会对数据进行任何处理,除非适用法律要求其如此行事。 | |||
| 4. | 尽管存在相反规定,LNRS 可酌情修改或更新其安全措施,只要该等修改或更新不会导致本协议提供的保护发生实质性减损。 |
|
VI. |
分处理 | |||
| 1. | 客户特此向 LNRS 提供一般授权,允许其根据本附录聘用其他处理者来处理个人数据。 LNRS 应在 https://risk.lexisnexis.com/corporate/dpa/sub-processors 保存一份此类处理者的名单,LNRS 可能会不时更新该名单。在授权任何新的此类处理者处理个人数据前至少 14 天,LNRS 应在其网站上更新该名单。根据本协议的争议解决程序,或客户根据本协议可能拥有的任何适用的退款或终止权利,客户可对变更提出异议而不支付罚款。 | |||
| 2. | 如果 LNRS 聘用另一处理者代表客户进行具体的处理活动,应通过签订合同的方式,或根据数据保护法,该另一处理者必须履行本附录中规定的相同的数据保护义务。 如果该其他处理者未能履行这些数据保护义务, LNRS 应(根据本协议条款)继续就该其他处理者履行的义务对客户全权负责。 |
| VII. | 数据主体权利 | |||
| 1. | 考虑到处理的性质,LNRS 应在可能的情况下,通过适当的技术和组织措施,协助客户履行对行使数据主体权利的请求的响应义务。 | |||
| 2. | 在法律允许的范围内,LNRS 应及时通知客户有关 LNRS 收到的任何数据主体请求,并与客户合理合作,履行其在数据保护法下有关该等请求的义务。因 LNRS 协助客户履行该等义务而产生的任何合理费用均应由客户承担。 |
| VIII. | 协助客户 |
|||
| LNRS 应在考虑到处理的性质和 LNRS 可获得的信息的情况下,协助客户确保遵守数据保护法规定的数据安全、个人违约通知和其他义务。 |
| IX. | 终止处理 | |||
| 在客户对服务的使用期满或终止后,除非适用法律要求存储个人数据,否则客户应指示 LNRS 按照本协议中规定的条件和时间表(如有)删除或返还个人数据。如果本协议规定客户可以选择删除或返还个人数据,而客户在本协议终止后 30 天内未作出上述选择,则客户应在此指示 LNRS 删除个人数据,除非适用法律要求存储个人数据。在此情况下,LNRS 应在切实可行的范围内尽快删除该等个人数据。 |
| X. | 审计 | ||||||||
| 协议中规定了开展审计的权利。在本协议中没有此类要求的情况下,如数据保护法要求,应:(i) 签署适当的保密或不披露协议;(ii) 每年进行不超过一次审计, 除非有证据表明存 在不遵守本协议的情况,但须提前 30 天书面通知并提供此类审计计划;以及 (iii) 在双方商定的时间、地点和方式进行审计。 |
| XI. | 跨境传输 |
|||
| LNRS 应确保,如果 LNRS 将任何源自客户国家/地区的个人数据传输到另一国家/地区,该等传输行为应受到适当保障措施的约束,以提供符合数据保护法的充分程度的保护。 |
| XII. | 个人数据泄露 |
|||
| 在意识到涉及根据本附录处理的个人数据泄露后,LNRS 应立即通知客户,并对客户要求提供进一步信息的要求作出合理响应,以便客户履行其在数据保护法下的义务。 |
| XIII. | 处理活动的记录 |
||
| LNRS 应维护数据保护法要求的所有记录,并在代表客户处理个人数据时适用的范围内,按要求提供这些记录。 |
| XIV. | 处理的合法依据 |
||
| 客户保证,在数据保护法要求的情况下,其已向任何及所有数据主体发出通知,并已获得数据主体或其合法授权代表或监护人的必要同意。 |
| XV. | 管辖权特定条款 |
||||||
| 如果 LNRS 正在处理源自以下列出的任何司法管辖区的数据保护法,或以其他方式受其约束的个人数据,则除上述条款外,还应适用其中针对适用司法管辖区规定的条款。 | |||||||
| 欧洲经济区、英国和瑞士 | |||||||
| 1. |
如果客户将个人数据从欧洲经济区、英国或瑞士传输到位于欧洲经济区、英国或瑞士以外的 LNRS,除非双方可以依赖数据保护法下的其他传输机制或依据,否则双方将被视为已就此类传输签订了欧盟委员会 2021 年 6 月 4 日第 2021/914 号执行决定 (EU) 批准的标准合同条款(以下简称“标准合同条款”),该决定可在 http://data.europa.eu/eli/dec_impl/2021/914/oj 查阅,其中:
|
||||||
| 2. |
关于从英国传输个人数据,根据上文第 1 条执行的标准合同条款将适用,但需进行以下修改:
|
||||||
| 3. |
关于从瑞士传输个人数据,根据上述第 1 条执行的标准合同条款将适用,但需进行以下修改;
|
||||||
| 美国 | |||||||
| U.S. Privacy Laws Addendum | |||||||
| 南非 | |||||||
| 1. | 如果 LNRS 在 2013 年第 4 号南非《个人信息保护法》(POPIA) 范围内为客户处理任何个人信息,LNRS 应进一步制定和维护 POPIA 第 19 条中提及的安全措施。 | ||||||
| 2. | 如果有合理根据认为,数据主体的个人信息已为未经授权人员所访问或获取,LNRS 应立即通知客户。 |