最后更新:2025 年 7 月 22 日
本数据处理附录(包括其附录)(以下简称 "本附录增编")构成《天神软件即服务许可协议》的一部分,并受该协议的条款和条件约束,该协议可在 https://tenjin.com/terms(以下简称"《协议》")上查阅。协议")之间的协议。客户")和天神公司及其关联公司("Tenjin, Inc.Tenjin").
1. 主题和持续时间。
a) 主题事项。 本附录反映双方承诺遵守有关天神执行协议时处理客户个人资料的数据保护法。本附录中未明确定义的所有大写术语将具有协议中赋予的含义。如果本附录或其任何附录中的语言与《协议》相冲突,则以本附录为准。
b) 持续时间和存活率。 本附录自协议生效之日起具有法律约束力,若本附录在协议生效后完成,则自双方签署本附录之日起具有法律约束力。天神将处理客户的个人数据,直至双方关系按协议规定终止。
2. 定义
在本附录中,以下术语和本附录正文中定义的术语适用。此处未定义的所有大写术语应具有协议和适用数据保护法中规定的含义。
a) "广告网络条款"指适用于任何第三方广告网络上的任何广告活动或与之相关的任何广告活动的所有条款、条件和/或政策,客户打算通过该广告网络投放广告或以其他方式进行整合。
b) "附属机构对于一方而言,"控制权 "系指直接或间接控制该方、受该方控制或与该方处于共 同控制下的任何实体。在本附录中,"控制权 "指至少百分之五十(50%)的经济利益或投票权 益,或在没有这种经济利益或投票权的情况下,指有权力指导或促使指导该实体的管理和 制定政策。
c) "授权用户"指客户明确授权通过客户天神账户使用和访问服务的客户员工。
d) "客户个人资料个人数据 "是指由客户或任何授权用户或代表客户或通过客户使用服务向天神或服务提供的个人数据,包括但不限于广告活动数据。
e) "数据保护法数据保护法 "是指客户个人数据所适用的数据隐私、数据保护和网络安全法律、法规和规章。数据保护法 "可能包括但不限于《2018 年加利福尼亚消费者隐私法》(以下简称"《加州隐私法》")。CCPA");欧盟《通用数据保护条例 2016/679》("GDPR")及其各自的国家实施立法;《瑞士联邦数据保护法》;《英国通用数据保护条例》;以及《2018 年英国数据保护法》(在每种情况下,均不时修订、通过或取代)。
f) "营销渠道"是指在本页添加到天神账户的公司和服务: https://dashboard.tenjin.com/dashboard/integrations.
g) "个人资料个人数据 "或 "个人信息 "具有适用的数据保护法赋予 "个人数据 "或 "个人信息 "的含义。
h) "过程"或"加工个人数据 "是指对个人数据或个人数据集进行的任何操作或一系列操作,无论是否通过自动方式进行,例如收集、记录、组织、构建、存储、改编或更改、检索、咨询、使用、通过传输、传播或以其他方式提供而披露、排列或组合、限制、删除或销毁。
i) "安全事件"指违反安全规定,导致可归咎于天神的客户个人资料意外或非法损毁、丢失、更改、未经授权披露或访问。
j) "服务"指天神根据本协议提供的服务。
k) "服务个人资料根据 GDPR,"个人数据 "指天神为提供服务而处理的任何个人数据,客户为数据控制方,天神为数据处理方。
l) "子处理器"指天神授权的供应商和处理客户个人资料的第三方服务提供商。
3. 客户个人数据处理条款。
a) 文件指示。天神应根据本协议、本附录、任何适用的工作说明以及双方商定的任何指示处理客户个人资料,以提供服务。如果天神有理由认为客户的指示与适用法律之间存在冲突,或试图以不符合客户指示的方式处理客户个人数据,天神将书面通知客户,除非法律禁止天神这样做。
b) 使用分包商的授权。在履行本协议规定的天神合同义务所必需的范围内,客户特此授权天神聘用分包商。
c) 天神与分包商的合规性。天神应:(i) 就分包商对客户个人数据的处理,与分包商签订书面协议,对分包商提出与本附录一致的客户个人数据保护要求;(ii) 若天神的分包商未能履行其处理客户个人数据的义务,天神仍应对客户负责。
d) 反对分包商的权利。在数据保护法要求的情况下,天神将在聘用任何处理客户个人数据的新分包商之前,通过电子邮件通知客户,并允许客户在十(10)天内提出异议。如果客户对任何新的分包商的任命有合法异议,双方将真诚合作,解决异议理由。
e) 保密性。任何被授权处理客户个人数据的人员必须在合同上同意对此类信息保密,或承担适当的法定保密义务。
f) 个人资料查询和请求。在数据保护法要求的情况下,天神同意提供合理的协助,并遵守客户的合理指示,以满足个人行使数据保护法赋予的客户个人数据权利的要求。
g) 禁止出售客户个人资料。天神不得出售CCPA定义的 "出售 "一词所指的客户个人资料。
h) 数据保护影响评估和事先咨询。在数据保护法要求的情况下,天神同意在客户判断天神进行的处理类型需要进行数据保护影响评估和/或事先咨询相关数据保护机构时,向客户提供合理协助,费用由客户承担。
i) 可证明的合规性。天神同意应客户的合理要求,提供证明遵守本附录所需的合理信息。
j) 优化服务。在数据保护法允许的情况下,天神可能会在以下情况下处理客户个人数据:(i) 内部使用,以建立或提高服务质量;(ii) 检测安全事故;(iii) 防止欺诈或非法活动。
k) 聚合与去识别。天神可以(i) 汇编与提供服务有关的汇总和/或去标识化信息,前提是此类信息不能合理地用于识别客户或与客户个人数据相关的任何数据主体("客户个人数据")。汇总和/或去标识化数据");以及 (ii) 为其合法商业目的使用汇总和/或去身份化数据。
4. 信息安全计划。
a) 安全措施。天神应尽商业上的合理努力,实施并维护合理的管理、技术和物理保障措施,以保护客户个人数据。
5. 安全事件。
a) 通知。一旦发现安全事故,天神同意在数据保护法规定的时限内向客户指定的 POC 发出书面通知,不得无故拖延。在可能的情况下,该通知将包括数据保护法要求的所有可用详细信息,以便客户履行其通知监管机构或受安全事件影响的个人的义务。
6. 客户个人数据的跨境传输。
a) 客户个人数据的跨境传输。客户授权天神及其分包商跨境传输客户个人数据,包括从欧洲经济区、瑞士和/或英国到美国。
b) 数据传输影响评估问卷。天神同意已对本文件所附的数据传输影响评估问卷作出真实、完整和准确的答复。 证据 A.
c) 欧洲经济区、瑞士和英国标准合同条款。如果客户将来源于欧洲经济区、瑞士和/或英国的客户个人数据传输给天神,而天神所在的国家尚未根据适用的数据保护法提供足够的保护,则双方同意该传输应受本合同所附的标准合同条款管辖,即 证据 B.双方同意(i) 《标准合同条款》第 8.5 条和第 16(d)条所要求的删除证明将应客户的书面要求提供; (ii) 《标准合同条款》第 8.6(c)条要求天神采取的措施将仅涵盖天神受影响的系统; (iii) 《标准合同条款》第 8.9 条所述的审计应根据本附录第 7 条进行; (iv) 天神可使用欧盟委员会 C(2010 5.5) 号决定聘用子处理程序; (v) 天神可根据《标准合同条款》第 8.5 条和第 16(d)条的要求提供删除证明。(iv) 天神可利用欧盟委员会第 C(2010)593 号决定《控制者对处理者的标准合同条款》或任何其他适当机制聘用次级处理者,但该适当机制须符合适用的数据保护法,且次级处理者的使用不应被视为符合《标准合同条款》第 9 条的规定;(v) 《标准合同条款》第14(f)条和第16(c)条规定的终止权仅限于《标准合同条款》的终止,在此情况下,除非双方另有约定,否则受终止影响的客户个人数据的相应处理应予停止; (vi) 除非天神另有规定,客户应负责根据《标准合同条款》第15.(vii) 第15.1(c)条规定的信息将应客户的书面要求提供;以及 (viii) 尽管有任何相反规定,客户将向天神偿付天神因履行标准合同条款第15.1(b)条和第15.2条规定的天神义务而产生的所有成本和费用,而不考虑协议中规定的任何责任限制。在标准合同条款适用于本协议的范围内,客户对本协议的接受应被视为对标准合同条款的签署。
d) 数据传输影响评估结果。考虑到本附录中规定的信息和义务,以及(可能对一方而言)该方的独立研究,就双方所知,根据所附标准合同条款转移到未被认定可根据适用数据保护法提供适当保护水平的国家/地区的源于欧洲经济区、瑞士和/或英国的客户个人数据,将获得基本等同于适用数据保护法所保证的保护水平。
7. 审计。
a) 客户审核。在数据保护法赋予客户审核权的情况下,客户(或其指定代表)可对天神处理客户个人数据的相关政策、程序和记录进行审核。任何审核必须:(i) 在天神正常营业时间内进行;(ii) 合理地提前通知天神;(iii) 以防止对天神业务造成不必要干扰的方式进行;(iv) 遵守合理的保密程序。此外,任何审计应限于每年一次,除非审计是根据具有适当管辖权的政府当局的指示进行的。
8. 客户个人数据删除。
a) 资料删除。协议期满或终止时,天神将删除所有客户个人数据(不包括任何备份或存档副本,这些副本将根据天神的数据保留时间表进行删除),除非适用法律要求天神保留副本,在此情况下,天神将隔离并保护客户个人数据,除适用法律要求的范围外,不再对其进行任何处理。
b) 服务个人资料保留时间表:
- 天神将根据以下时间表保留代表客户处理的服务个人资料:
| 个人资料类别 | 保存期限 | 说明 |
| 归因数据 | 30 天至 24 个月 | 保存期限由客户和合作伙伴的合同要求决定。 |
除非适用法律另有规定或客户书面同意,否则天神将在适用的保留期限到期后,安全地删除或匿名化个人数据。
9. 客户的义务。
a) 客户的义务。客户声明并保证(i) 已遵守并将遵守数据保护法;(ii) 已向客户个人数据将根据本协议进行处理的数据主体提供隐私通知或类似文件,允许根据本协议处理客户个人数据,并遵守所有广告网络条款;(iii) 已获得并将获得且在期限内继续拥有根据本协议处理客户个人数据所需的所有权利、合法依据、授权、同意和许可;且 (iv) 根据本协议处理客户个人数据不会违反数据保护法、任何第三方的权利(包括但不限于任何知识产权或隐私权),或导致违反客户与任何第三方之间的任何协议或义务(包括但不限于任何广告网络条款)。
b) 不得出售客户个人数据。客户不得使用服务或 DataVault 出售客户个人数据(除非客户个人数据的相关数据主体已明确同意客户出售其客户个人数据)。
c) 数据仓库附加条款。如果客户使用天神的 DataVault,则客户声明并保证,任何客户个人数据的获取和存储均已获得数据主体的知情同意。客户还声明并保证,不会将 DataVault 及其中包含的客户个人数据用于任何违反数据保护法的目的。
d) 处理美国敏感数据。
1.本条款 d) 适用于使用服务涉及处理大量美国敏感个人数据的客户。
本条款 d) 中使用的术语 "大量美国敏感个人数据"、"相关国家"、"受保人 "和 "数据经纪商 "应具有美国司法部最终规则(正式引用为 28 CFR 第 202 部分,题为 "关于防止相关国家或受保人访问美国敏感个人数据和政府相关数据的规定")("数据安全计划")中赋予的含义。
3.客户声明并保证,截至本协议生效之日,客户并非受保护人士,且天神根据客户指示向其传输或提供批量美国敏感个人数据的营销渠道均非受保护人士。客户还同意,在协议有效期内的任何时候,如果客户或任何营销渠道成为受保人,或发生可能导致客户或任何营销渠道被视为受保人的状态变化,客户应立即书面通知天神。此类通知应在事件发生后尽快提供,在任何情况下不得迟于事件发生后二十四 (24) 小时。如果客户向天神发出上述通知,或天神有合理理由认为客户已成为受保人,天神有权立即以书面通知的方式单方面终止本协议。如客户向天神发出上述通知,或天神有合理理由认为任何营销渠道已成为受保人,天神可在书面通知客户后立即暂停履行与该营销渠道相关的协议,直至天神认为合适为止。天神不以任何方式对客户的终止或中止负责。天神可要求客户立即归还或销毁根据本协议允许客户访问的所有批量美国敏感个人数据("受限数据"),包括尽一切合理努力确保此类营销渠道立即销毁受限数据。
4.天神向客户提供不可转让、可撤销的访问受限数据的许可。客户不得从事或试图从事,或允许他人从事或试图从事,并须尽一切合理努力确保任何营销渠道不得从事以下行为:
(a) 将受限数据或其中的任何部分出售、许可访问或进行其他类似的商业交易,如转售、分许可、租赁或转让以换取有价值的对价,并将其出售给数据安全计划中定义的相关国家或受保护人员; (b) 将受限数据或其中的任何部分出售给数据安全计划中定义的相关国家或受保护人员;
如果客户知道或怀疑有关国家或受保人通过数据经纪交易获取受限数据,客户应立即通知天神。不遵守上述规定将构成违反本协议,并可能构成违反数据安全计划。
客户确认,就本协议而言,客户遵守数据安全计划以及适用于受限数据的任何其他禁令、限制或规定。客户同意定期以书面形式向天神证明其遵守数据安全计划的情况。客户同意不逃避或规避、导致违反或试图违反第 14117 号行政命令或数据安全计划中规定的任何禁令。
违反本条款将构成对本协议的实质性违约,如果发生此类违约或天神有理由认为发生了此类违约,天神有权单方面立即终止本协议而无需对客户承担任何责任,有权要求客户立即退回或销毁所有受限数据,并有权寻求本协议规定的所有可用补救措施。
10. 杂项
a) 客户资料。客户承认并同意,天神可处理客户授权用户的个人资料(以下简称 "客户资料")。账户数据")的隐私声明,详情请访问 https://tenjin.com/privacy。账户数据不属于客户个人数据。
b) 第三方服务。服务中的某些特性和功能可能允许客户或其授权用户通过服务与兼容的第三方服务、产品、技术、内容和营销媒体(统称 "第三方服务")进行对接或互动,访问、使用和/或披露客户个人数据。为明确起见,天神可能向客户添加到客户天神账户的某些营销媒体发送客户个人资料,包括但不限于设备信息,如广告ID和IP地址,用于安装归属和服务的其他方面。天神将根据客户与营销媒体的协议以及适用的服务条款进行上述操作。客户声明并保证,客户添加至客户账户的所有营销媒体均符合所有数据保护法,且客户个人数据的转移具有合法有效的依据。天神不提供第三方服务的任何方面,也不对第三方服务或其任何更新或升级全部或部分导致的服务或第三方服务的任何兼容性问题、错误或漏洞负责。客户应自行负责维护第三方服务,并获得客户在使用服务时使用第三方服务所需的任何相关许可和同意。
11. 处理细节。
a) 标的物。处理的标的物是根据本协议提供的服务。
b) 期限。处理将持续到协议到期或终止。
c) 数据主体类别。其客户个人数据将根据协议进行处理的数据主体。
d) 处理的性质和目的。天神处理客户个人资料的目的是提供服务。
e) 客户个人数据的类型。根据本协议处理的客户个人数据。
12. 联系信息。
a) 客户和天神同意就紧急隐私和安全问题指定一个联系人("联系人")。指定 POC").双方的指定 POC 是
- 客户指定的 POC:协议中指定的或创建天神账户时在天神系统中识别的客户 POC。
- 天神指定 POC:Francesco Perrone,数据安全与合规总监,privacy@tenjin.com
数据处理增补件附录 A
数据传输影响评估问卷
本附录 A 构成增补件的一部分。本附录 A 中未定义的术语具有增补件中规定的含义。
1. 传输到欧洲经济区、瑞士和/或英国以外的客户个人数据将在哪些国家存储或从哪些国家访问?如果因地区而异,请注明每个地区的每个国家。
a. 答: 美国
2. 客户个人数据将被转移到欧洲经济区、瑞士和/或英国以外的哪些类别的数据主体?
a. 答: 客户移动应用程序的最终用户和客户在线广告的浏览者
3. 转移到欧洲经济区、瑞士和/或英国以外的客户个人数据有哪些类别?
a. 答: 根据本协议处理的客户个人数据,包括但不限于广告 ID、供应商 ID、IP 地址、设备类型、设备型号、设备所在地、设备所在国家/地区、操作系统平台、捆绑 ID 和 Apple 搜索属性,以及最终用户使用客户移动应用程序的相关信息。
4. 是否会将任何显示种族或民族血统、政治观点、宗教或哲学信仰或工会会员身份的客户个人数据、遗传数据或用于唯一识别自然人身份的生物识别数据、有关健康或个人性生活或性取向的数据、或与刑事定罪和违法行为有关的数据传输到欧洲经济区、瑞士和/或英国境外?如果是,是否有任何充分考虑到数据性质和所涉风险的限制或保障措施,例如严格的目的限 制、访问限制(包括只有经过专门培训的工作人员才能访问)、保存访问数据的记录、对转发的限 制或额外的安全措施?
a. 答: 天神不知道。
5. 天神从事什么行业?
a. 答: 为在线广告商提供软件即服务。
6. 概括地说,客户个人数据被转移到欧洲经济区、瑞士和/或英国以外的地方,将提供哪些服务以及相应的目的是什么?
a. 答: 天神提供广告和分析服务。为提供服务,客户个人资料会被转移到欧洲经济区、瑞士和/或英国以外的地区。
7. 将客户个人数据传输到欧洲经济区、瑞士和/或英国以外的频率是多少?例如,客户个人数据是一次性传输还是持续传输?
a. 答: 客户将决定向天神传输客户个人数据的频率。
8. 客户个人资料在欧洲经济区、瑞士和/或英国以外传输到天神时,是如何传输到天神的?客户个人数据是否为纯文本、化名和/或加密?
a. 答: 通过天神的 SDK 和 API 集成收集的数据。数据在传输过程中和静止时均已加密。
9. 客户个人数据的保留期限是多长?如果无法保留,确定保留期限的标准是什么?
a. 答: 客户个人数据将根据附录予以保留。
10. 请列出可以访问转移到欧洲经济区、瑞士和/或英国以外的客户个人数据的分包商:
| 分处理器名称 | 处理的主题、性质和持续时间 | 地点(国家) | 支持转账的充足性机制 |
| AWS | 云计算 IAAS,持续进行 | 美国 | 校董会 |
| GCP | 云计算 IAAS,持续进行 | 美国 | 校董会 |
| 数据狗 | 性能指标和事件监测 | 美国 | 校董会 |
11. 天神在欧洲经济区、瑞士和/或英国以外的国家存储或访问客户个人资料时,是否受到任何可能妨碍天神履行所附标准合同条款规定义务的法律的约束?例如,《外国情报监视法》第 702 条。如果是,请列出这些法律。
a. 答: 截至本增补件生效之日,没有任何法院认定天神有资格接受根据问题 11 所设想的法律(包括《外国情报监视法》第 702 条)签发的诉讼程序,也没有任何此类法院诉讼待决。
12. 天神是否收到过公共当局根据上述问题 11 所述法律要求提供信息的请求(如果有)?如有,请说明。
a. 答: 不
13. 天神是否曾收到公共当局要求提供欧洲经济区、瑞士和/或英国境内个人的个人资料?如果是,请说明。
a. 答: 不
数据处理附录 B
本附录 B 构成增补件的一部分。
标准合同条款