数据处理协议(DPA)
生效日期:2025 年 9 月 30 日
本数据处理协议(”DPA“)构成 速达报价 应用程序及相关服务(”服务“)使用条款的一部分。本协议由使用服务的客户实体(”
1.定义
“适用数据保护法 “指与数据保护、隐私和安全有关的法律和法规,包括(如适用)GDPR/英国GDPR、新加坡PDPA和加州CPRA/CPRA法规,在每种情况下均经修订。“客户个人数据 “指速达报价代表客户通过服务处理的个人数据(定义见适用资料保护法)。“次级处理者 “指速达报价为处理与服务有关的客户个人数据而聘用的第三方。
2.角色和范围
客户是客户个人数据的控制者,速达报价 是客户个人数据的处理者。本 DPA 规范 速达报价 为提供服务而对客户个人数据的处理,包括存储记录、生成报价单和 PDF、为搜索有限字段编制索引、向客户指定的收件人发送包含报价单的交易电子邮件、支持/维护、安全和遵守法律。
3.客户指示
速达报价仅根据客户的书面指示处理客户个人数据,包括本DPA、隐私政策和客户在服务中使用的功能中规定的内容。客户对客户个人数据及其获取方式的准确性、质量和合法性负责。
4.处理器的义务
速达报价 将:(a) 确保获授权处理客户个人数据的人员受保密性约束;(b) 实施附件 C 中的技术和组织措施;(c) 在知悉涉及客户个人数据的个人数据泄露后,无不当延迟地通知客户;(d) 在合理必要的范围内,协助客户处理数据主体请求、DPIA 和与监管机构的协商;以及 (e) 在终止时,按照第 10 条所述删除或归还客户个人数据。
5.安全;访问;搜索索引
加密与控制。 速达报价 对客户数据使用传输中加密(TLS)和静态加密,并酌情对个人身份识别字段进行字段级加密,同时根据最低权限进行访问控制。
支持访问。 除非客户明确要求提供所需的支持,否则 速达报价 人员不会访问客户内容;任何此类访问均有时间限制、最少权限、记录在案,且客户可撤销。
搜索索引。为了提高应用程序内的搜索性能,速达报价 管理的搜索服务仅对商品名称和货号进行索引,并且不存储直接的个人识别信息,仅用于搜索功能。
6.次级处理者
客户授权 速达报价 聘用提供服务所合理需要的次级处理者。速达报价 将与次级处理者签订书面协议,规定不低于本 DPA 中规定的数据保护义务,并对其履行情况负责。速达报价 在附件 B中保留一份当前次级处理者的列表,并将提供重大变更通知;客户可基于合理的数据保护理由提出异议,双方将真诚合作以解决异议。
7.数据居住地和国际传输
主要数据驻留地。速达报价 在亚洲(新加坡)存储和处理客户数据。
狭义例外。 在美国,指定的子处理程序会进行某些有限的处理,用于 (i) 错误监控和诊断(最小化/匿名化)和 (ii) 发送交易电子邮件所需的电子邮件发送和相关元数据/内容。详见附件 B。
转移保障。 在适用的数据保护法要求的情况下,速达报价将执行适当的转移机制(如欧盟标准合同条款和英国附件),并进行转移风险评估。对于新加坡 PDPA,速达报价 通过与次级处理者的合同措施确保提供类似的保护。
8.无销售;无针对性广告
速达报价 不会出售客户个人数据,也不会将其 “共享 “用于跨情境行为广告。速达报价 处理客户个人数据的唯一目的是提供服务并按照客户的指示。
9.审计与信息
经合理要求,速达报价 将提供必要信息以证明遵守本 DPA,并在法律要求的情况下,允许客户或客户授权的独立审计师进行审计,但须遵守保密性、安全性和频率限制。速达报价 可通过提供最近的第三方安全证明或报告(如适用)来履行审计义务。
10.退回和删除
一旦终止或应客户要求,速达报价 将删除或归还客户个人数据,并将在商业上合理的时限内删除其系统和次级处理者系统内的现有副本,但须遵守法律义务。删除相关记录后,将刷新或删除搜索索引条目(项目名称/货号)。
11.责任与优先适用
各方在本 DPA 下的责任均受服务管辖协议中规定的除外责任和限制的约束,但法律禁止的除外。如果本 DPA 与其他条款发生冲突,则本 DPA 对客户个人数据的处理具有控制权。
12.变化
速达报价 可在必要时更新本 DPA,以反映法律要求或服务的变更。重大变更将通过服务或其他合理方式通知。在更新的 DPA 生效日期后继续使用服务即表示接受。
13.联系方式
有关本 DPA 的问题,请联系:[email protected]。
附件 A – 处理详情
主题事项:提供 速达报价 服务(报价生成、PDF 创建、搜索、交易电子邮件发送、支持和安全)。
期限:在客户使用服务期间,直至根据第 10 条删除/退还为止。
性质和目的:存储、组织、传输、生成和交付报价单及相关 PDF 文件;代表客户发送交易电子邮件;诊断、安全和支持。
数据主体类别:客户人员和客户指定的最终接收者(如客户的客户、潜在客户或供应商)。
个人数据类别:姓名、业务联系详情(如电子邮件、电话、地址)、公司信息、报价信息和元数据、通信元数据以及客户提交的任何其他个人数据。速达报价 的搜索索引仅存储商品名称和货号(无直接标识符)。
特殊类别:无意处理。客户不会向服务提交特殊类别或高度敏感数据(如健康、生物识别、支付卡号)。
客户责任:向数据主体发出通知并获得必要的同意;确定合法依据;避免上传违禁/敏感数据;适当配置服务。
附件 B – 次级处理者
主要托管和搜索(亚洲/新加坡):在新加坡提供云基础设施(包括托管数据库)和托管 ElasticSearch 服务,用于存储、计算和搜索。存储客户数据和搜索索引(仅项目名称/货号)。
电子邮件交付(美国):Postmark – 向客户指定的收件人发送交易电子邮件(如报价单/PDF);处理收件人地址、发件人详细信息、时间戳、交付元数据和交付所需的邮件内容。
错误监控(美国):Sentry – 处理最小化/匿名诊断和错误数据,以实现稳定性和故障排除;配置为排除客户内容字段。
速达报价 可根据第 6 条雇用额外或替代次级处理者,并将在法律或协议要求的情况下,在替代之前提供重大变更通知。
附件 C–技术和组织措施(TOMs)
- 加密:传输中数据的 TLS;数据库/存储的静态加密;适当情况下 PII 的字段级加密;角色分离的托管密钥服务。
- 访问控制:基于角色的访问;最小特权;管理访问需启用 MFA;访问/事件的记录和监控。
- 数据最小化:搜索索引仅限于商品名称和货号;索引中不存储直接的个人识别信息。
- 安全开发与测试:代码审查;依赖性管理;环境分离;机密管理。
- 漏洞和补丁管理:定期打补丁;漏洞扫描;修复过程。
- 事件响应:记录在案的程序;发现违规行为并及时通知客户。
- 恢复和备份:备份和恢复测试;与服务相适应的可用性/冗余性;受控保留和处置。
- 支持访问请求:客户授权的、有时间限制的、最少权限的和可审计的支持访问;客户可撤销。
- 供应商管理:与次级处理商签订书面合同,规定数据保护义务;在得到支持的情况下,向亚洲(新加坡)进行区域配置;为美国次级处理商提供转移保障。
最后更新:2025 年 9 月 30 日
