客户数据处理附录

本数据处理协议（DPA）是Magma的主云协议（“MCA”）或选择客户服务条款（"ToS"）的一部分。 如果您有一个执行订单并提及我们的MCA（或者如果您的签署合同或服务条款以其他方式通过引用纳入此DPA），则在我们代表您处理个人数据的范围内，本DPA适用。购买或继续使用Magma的企业服务即表示您同意本DPA，它是我们MCA（或适用条款）的补充。

第A部分 – 关键术语

第B部分 – 法律条款

1. 目的和范围

1.1 遵守数据保护法。 本DPA旨在确保遵守任何适用的数据保护或隐私法律法规，包括欧盟条例2016/679（GDPR），英国GDPR，瑞士联邦数据保护法（FADP），美国州隐私法（如CCPA/CPRA，以及其他要求基本相同的州），以及任何等效或后续法律（统称为“数据保护法”）。

1.2 适用性。 本DPA仅在Magma根据Magma主云协议（“MCA”）或提及本DPA的等效签署协议代表客户处理个人数据的范围内适用。它是基础协议的补充。在发生冲突的情况下，本DPA优先，除非另有书面声明。

1.3 客户保证。 客户负责确保其收集和处理个人数据的合法基础（如同意、合法利益）。客户保证其已向数据主体（或在美国法律下的“消费者”）提供必要通知，已获得任何所需的同意，并且通过向Magma提供数据未违反任何第三方权利或适用法律。

2. 解释

2.1 “控制者”、“处理者”、“个人数据”、“处理”、“子处理者”和“数据主体”等术语在GDPR中定义，并在其他数据保护法中具有类似定义。

2.2 根据美国州隐私法律（如CCPA/CPRA），“业务”、“服务提供商”、“出售”、“分享”、“消费者”和“个人信息”具有该等法律中的含义，在该等法律适用的范围内。

2.3 如本DPA与数据保护法的强制性要求之间存在任何不一致之处，后者将优先。

3. 处理描述

3.1 处理详情。 处理的性质、类别、时间和目的及个人数据的类型见第A部分（关键术语）和基础协议。

3.2 控制者的责任。 客户应确保个人数据与预期目的相关、准确并限于必要范围内。Magma不负责审查个人数据本身的合法性。

4. 各方的义务

4.1 指示和目的限制

• Magma将仅根据客户的书面指示处理个人数据，包括本DPA和基础协议中的指示，除非法律要求。

• 如果Magma认为某指示违反任何数据保护法，将及时通知客户。

4.2 数据删除或返回

• 在基础协议终止或客户要求时，Magma将删除或返回所有个人数据并证明此类删除，除非法律要求进一步保留。

• 客户应在基础协议结束前导出或检索数据，若希望保留副本。

4.3 处理安全

• Magma实施了技术和组织措施以保护个人数据，详见下面的第C部分（技术和组织措施）。

• 在发生个人数据泄露的情况下，Magma应毫不延迟地（无论如何在察觉起的72小时内）通知客户，提供已知细节以使客户能够履行泄露通知义务。

• Magma确保被授权处理个人数据的人员已签署保密协议。

4.4 文档和合规性

• 各方应各自维护记录，以证明遵守本DPA。

• Magma应配合客户合理的请求，提供信息以确认Magma的合规性。

4.5 使用子处理者

• 一般授权：客户授权Magma聘用在第A部分中列出的子处理者或Magma在线上的子处理者列表中发布的子处理者。

• 变更：Magma应在添加或更换子处理者至少15天前通知客户，使客户有机会在合理的情况下书面反对。

• 责任：Magma对子处理者在本DPA下的义务履行负有完全责任。

• 子处理者必须受与本DPA同等保护的条款的约束。

4.6 国际传输

• Magma（及其子处理者）可以在符合数据保护法的情况下在欧盟/欧洲经济区/瑞士/英国境外处理个人数据。

• 如需，标准合同条款、数据隐私框架，或其他合法传输机制将适用。

• 如果任何合法传输机制被视为无效，各方应以善意合作，采用替代的合规机制。

5. 数据主体权利

5.1 请求处理：如果Magma直接收到数据主体请求（如访问、修改、删除、可携性），Magma将立即将其转发给客户并等待指示（法律禁止除外）。

5.2 协助：Magma应合理协助客户履行数据主体请求和其他义务（如数据保护影响评估、泄露通知），只要Magma具备相关信息或能力。

6. 个人数据泄露通知

• Magma应在意识到涉及客户个人数据的个人数据泄露事件后毫不延迟地（在意识到的72小时内）通知客户，包括泄露事件的性质、受影响的数据类别和已采取或拟采取的措施的细节。

• Magma将配合客户的努力，通知监督机构或受影响的个体，法律要求时。

7. 安全报告和检查

7.1 信息共享：收到书面请求时，Magma将提供足够证明遵守本DPA的认证或相关文档（如第三方审计摘要）的副本。

7.2 审核：

• 在确认的个人数据泄露后或由数据保护机构要求，客户可自费对Magma的相关系统或记录进行一次合理的审核。

• 任何此类审核的范围、时间和持续时间必须事先商定，至少提前30天通知。

• 审核不得不合理地中断Magma的操作，并受保密义务约束。

7.3 本节满足欧盟SCCs条款8.9或其他数据传输框架下的同等规定的任何审核义务。

8. 美国州隐私法（如CCPA/CPRA）

8.1 服务提供商关系：在客户个人数据受加州消费者隐私法（经加州隐私权利法案修订，统称“CCPA”），或任何类似美国州隐私法的情况下，Magma作为“服务提供商”（或“处理者”，如果该法律使用类似GDPR的术语），而客户是“企业”。

8.2 禁止出售或共享：Magma不得出售或共享（这些术语在适用的美国隐私法中定义）任何客户个人数据或以任何目的以外的特定业务目的收集、保留、使用或披露这些数据，除非法律要求外。Magma不因“有价值的对价”接收或处理任何客户个人数据。

8.3 数据主体请求（CCPA）：在Magma协助回应消费者请求（如知情权、删除权、拒绝出售/共享权）时，Magma仅在客户指示或法律要求下进行。

8.4 认证：Magma认证其理解并将遵守适用的美国隐私法律中关于其作为服务提供商角色的限制和义务，不会使用客户个人数据进行跨情境行为广告或任何超出基础协议和本DPA之外的目的。

9. 终止

• 本DPA在以下较晚发生者时终止：（i）基础协议的终止或到期；或（ii）Magma依据客户的指示完成对个人数据的处理。

• 如果Magma因任何原因无法遵守本DPA，应立即通知客户，客户可以暂停或终止相关处理或基础协议，如果该违约无法补救。

10. 责任和赔偿

9.1 责任限制：因本DPA引起或与本DPA相关的所有责任，除非数据保护法（包括美国州隐私法）另有规定，否则均受基础协议中规定的限制/排除适用。

9.2 直接责任：法律规定处理者/服务提供商（Magma）负有直接责任的地方，本DPA不限制Magma对数据主体/消费者的责任。但是，Magma与客户之间的合同责任仍受基础协议的限制。

第C部分 – 技术和组织措施（TOMs）

Magma实施以下措施（等）以确保适当的安全水平以应对潜在风险：

1. 安全管理和政策

   • 记录了的数据处理方案，涵盖角色、责任和处理程序。

   • 定义的变更管理流程跟踪对系统的修改。

2. 访问控制和身份验证

   • 唯一用户帐户，严格的密码策略（复杂性，轮换）。

   • 基于“需知”的原则授予或撤销访问权限。

   • 加密传输凭证。

3. 日志记录和监控

   • 系统/应用程序日志跟踪用户访问和关键事件。

   • 监控以检测未经授权访问或异常活动。

4. 服务器和工作站安全

   • 及时应用安全补丁和操作系统更新。

   • 通过防火墙和入侵检测/预防系统保护。

   • 传输中的数据使用TLS/SSL或同等加密技术。

5. 备份和业务连续性

   • 定期数据备份安全存储；测试恢复程序。

   • 为业务连续性制订的灾难恢复计划。

6. 物理安全

   • 限制对数据中心的访问（如锁定设施、保安、徽章/卡系统）。

   • 在处理介质退役时安全销毁/擦除。

7. 事件响应

   • 具备升级程序的事件处理计划。

   • 24/7监控和日志记录以应对潜在的安全威胁。

8. 移动/便携设备管理

   • 需要授权的设备才能访问个人数据。

   • 适用时具备加密和远程删除功能。

9. 安全开发和测试

   • 安全编码和测试实践（代码审查，漏洞扫描）。

   • 定期评估应用程序堆栈的潜在漏洞。

第D部分 – 数据传输和标准合同条款

• 在欧盟/欧洲经济区，瑞士，或英国数据保护法律适用于跨境数据传输的情况下，各方依赖于：

  • EU-US 数据隐私框架，或瑞士-美国 / 英国扩展，其中Magma自我认证，

  • 和/或欧洲委员会通过的标准合同条款（包括适用的英国附录），

  • 或其他合法机制。

• 这些机制通过引用纳入。在需要时，第A部分和第C部分中的附录作为SCCs的附件。

第E部分 – 最终条款

1. 层次结构。如本DPA与任何其他协议之间存在冲突，本DPA在个人数据处理方面优先，除非明确另有说明。

2. 法律适用。本DPA遵循基础协议相同的法律和管辖地，除非数据保护法另有要求。

3. 完整协议。本DPA连同基础协议构成客户数据处理方面的完整协议。

4. 更改。我们可能会不时更新本DPA。如果修订实质上影响客户的权利，我们将提前根据基础协议的通知条款通知客户。