更新日期：2023年07月07日

生效日期：2023年07月12日

用户订购小满SaaS软件服务即意味着用户以有偿的方式使用小满SaaS软件服务提供的标准化委托处理的服务。用户有意委托小满科技作为受托人，按照用户指令处理个人信息等数据。为规范个人信息等数据处理事宜，维护个人信息主体的合法权益，保证个人信息应用安全，根据适用数据保护法律的要求，经双方协商一致达成本数据委托处理协议（以下简称“本协议”）。

1. 定义

1.1 “个人信息”是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

1.2 “处理”是指对个人信息进行的任何操作或一系列操作，包括但不限于：访问、收集、存储、使用、加工、传输、提供、公开、删除。

1.3 “适用数据保护法律”是指全世界范围内适用于相关个人数据的所有数据保护及隐私法律法规，包括根据不同情况适用的中华人民共和国（“PRC”）《个人信息保护法》，PRC《数据出境安全评估办法》，欧盟数据保护法及其他州、地区及国家的所有（现在或未来的）类似隐私法律，包括2018年《加利福尼亚州消费者隐私法》（“CCPA”）、2018年英国《数据保护法案》等；以及对前述法律法规的不时修订或取代。。

1.4 “数据处理者”是指在个人信息等数据的处理活动中自主决定处理目的、处理方式的组织、个人；根据适用数据保护法律的不同，亦可能指欧盟数据保护法项下的“数据控制者”或CCPA项下“企业”。为避免歧义，本协议项下，用户为数据处理者，即“数据提供方”。

1.5 “受托人”是指接受数据处理者委托，按照数据处理者的要求处理数据的组织或者个人，根据适用数据保护法律的不同；亦可能指欧盟数据保护法项下“数据处理者”或CCPA项下“服务提供方”。为避免歧义，本协议项下，小满科技为受托人，即“数据接收方”。

1.6 “接收的数据”是指为履行本协议所必需的范围内，用户向小满科技提供的数据。

1.7 “生成的数据”是指在履行本协议过程中，小满科技为履行本协议下的受托数据处理行为而生成的数据。接收的数据和生成的数据统合称为“委托数据”。

1.8 “处理目的”是指小满科技从用户处获得个人信息等数据，仅限用于双方在本协议附件1约定的服务目的。

1.9 “欧盟数据保护法”是指（i）在2018年5月25日前，欧洲议会及欧洲理事会颁发的第95/46/EC号指令《关于个人数据的处理和此类数据的自由流动对个人的保护》；（ii）2018年5月25日当日及之后，欧洲议会及欧洲理事会颁布的第2016/679号条例《关于个人数据的处理和此类数据的自由流动对自然人的保护》（《通用数据保护条例》）（“GDPR”）；（iii）欧盟电子隐私指令（第2002/58/EC指令）；及（iv）基于或根据第（i）、（ii）或（iii）项制定的任何及全部适用的国家数据保护法律；在每种情况下，均包括对其的不时被修订或取代。

2. 个人信息保护原则

双方均认可并同意，双方应根据适用数据保护法律的规定，保障用户个人信息权益，其中，双方应履行各自以下义务：

2.1 尊重个人信息主体的知情权。数据处理者应当用简明易懂的语言，明确向个人信息主体告知采集、使用其控制的个人信息的目的、方式、范围、用途等。数据处理者应当确保不违法违规采集个人信息主体的个人信息。

2.2 尊重个人信息主体的控制权。数据处理者确保不强迫用户进行不合理的“一揽子授权”，依法向个人信息主体提供个人信息权利主张的途径。个人信息主体向受托人主张个人信息权利的，受托人将转交由数据处理者负责处理，数据处理者应根据使用于其的适用数据保护法律的规定及要求，保障个人信息主体权利。

2.3 尊重个人信息主体授权，强化自我约束。数据处理者确保严格遵守其与个人信息主体约定的授权范围，不采集与授权范围外或与附件1约定服务目的无关的信息。

2.4 保障个人信息主体的信息安全。数据处理者应采取充分有效的技术手段和管理措施，防止个人信息泄漏、毁损、丢失。

2.5 保障产品和服务的安全可信。数据处理者不应在产品和服务中设置隐蔽功能进行用户不知情的操作，发现安全缺陷、漏洞时，及时采取补救措施。

2.6 联合抵制黑色产业链。数据处理者及受托人均不采集通过非法渠道获取的信息，坚决杜绝与个人信息黑色产业链的任何交易及往来。

2.7 倡导行业自律。共同探索可推广、可复制并与国际接轨的个人信息保护最佳实践，带动和帮助行业整体水平提升。

2.8 接受社会监督。切实履行企业承诺，积极配合监管机构的监督检查，主动接受社会各方的监督。

2.9 遵守个人信息主体的个人信息适用数据保护法律要求。数据处理者委托受托人处理数据的目的及方式应遵守适用数据保护法律项下全部必要的透明性、必要性、合法性、正当性要求，以及其他相关法律法规要求；受托人仅可基于第3条约定的目的、方式及数据范围和附件1所述处理数据。

3. 委托处理的目的、方式及数据范围

3.1 本协议项下，用户委托小满科技处理数据仅限于为履行双方合作之目的，小满科技应当按照约定的范围和方式处理所接收的数据。

3.2 用户依据本协议向小满科技提供的个人信息等数据的范围、方式、处理目的等方面的指示，详见本协议附件1：委托数据明细清单。

4. 数据提供方权利和职责

4.1  数据提供方承诺，已按照适用数据保护法律开展收集、使用等数据处理行为。其提供委托数据给受托人的行为不违反数据保护规定，不违反与其他方的合同约定，或侵害第三方权益等。

4.2  数据提供方认为数据接收方数据安全能力与委托数据的敏感程度及数量不匹配时，有权向数据接收方发出问询。

5. 数据接收方权利和职责

5.1 数据接收方承诺，将按照本协议及适用数据保护法律的要求处理其从数据提供方接收的个人信息等数据。

5.2 受托人如需将委托数据转委托他人处理，需事先取得数据处理者同意，但受托人转委托其关联公司或转委托予附件2披露的第三方受托方处理的除外。如需增加除受托人关联公司及附件2披露的第三方受托方外的转委托范围，受托人应提前三个工作日向数据提供方发送更新的附件2第三方受托方清单除非双方已书面约定的情形或为数据处理活动所必需，且符合适用数据保护法律的要求，否则受托人不得将全部或者任何部分的受托处理数据提供给任何第三方或者进行公开披露；以及

5.3 受托人理解并同意仅基于向委托人提供相关服务的目的及方式处理委托数据；数据处理者同意在向受托人提供委托数据前，按照适用的数据保护法律的要求获得个人信息主体的授权同意，并确保使得受托人及其关联公司、高管、员工等对于数据处理者违法收集个人信息主体的个人信息免责，如因受托人因处理委托数据导致受到监管机构、个人信息主体及/或任何第三方的处罚、索偿、或遭至任何损失，数据处理者应赔偿受托人的损失以及受托人因追索该等损失而产生的费用。

5.4 数据接收方应当按照适用数据保护法律要求，建立相对应的数据安全能力，落实必要的管理和技术措施，为委托数据提供充分的安全保障，防止委托数据遭受未经授权的使用、泄漏、损毁、丢失。

5.5 数据安全保障措施应当考虑到现有技术水平，实施成本，处理的性质、范围、背景和目的，以及给个人信息主体的权利和自由造成损害的风险的可能性。包括但不限于：

(a)场所及设施的权限控制。必须采取措施以防止对存放个人信息等数据的场所和设备未经授权的物理访问，例如权限控制系统，身份识别读卡器、磁卡及芯片卡，监控设备，设施出/入记录等。

(b)访问限制。贯彻访问权限的人数最小化以及访问信息的数量最小化原则，仅供确有需要，且经授权的员工访问。未经授权的人员不得访问数据接收方获取的委托数据及其处理系统，无论是物理接触还是逻辑访问。

(c)可用性控制。采取措施确保委托数据得到保护而不受意外破坏或丢失，至少应包括以下内容：确保已安装的系统在发生中断后能够恢复，确保系统正常运行并报告故障，确保储存的个人信息等数据不会因系统故障而被损坏。

(d)密码和加密。数据接收方应采用合理的商业物理安全技术和电子安全技术来创建和保护密码。如存储个人敏感信息、与关键信息基础设施有关的信息、重要数据，数据接收方应使用行业标准加密工具实施加密措施。

数据接收方应对技术和组织措施进行定期检查，以确保这些措施持续提供适当的安全水平。

5.6 受托人存储数据的期限为实现处理目的所必要的最短时间；超出上述存储期限后，对数据 (包括所有备份) 进行删除或匿名化处理。

5.7 以下任一情形发生时，数据接收方应当立即停止使用接收的数据，并删除和销毁或匿名化处理对应的委托数据及所有副本/备份，并向数据提供方提供书面确认：

(a)收到数据提供方书面通知；

(b)个人信息主体撤回同意且经过数据提供方书面确认的；

(c)根据地5.6条约定删除或匿名化处理；

(d)其他不删除信息可能会导致违法违规的情形。

6. 安全事件处置

6.1 数据接收方应当落实必要的监测和响应措施，如果发生数据泄露事件，数据接收方应当本着及时、有效、诚信的原则采取行动及措施。

6.2 数据处理者应按照适用数据保护法律的要求，对数据安全事件进行处理。包括但不限于： 

(a)按照适用数据保护法律的要求采取补救措施以降低安全事件的影响；

(b)根据适用数据保护法律通知个人信息主体，告知其可采取何种措施避免泄漏造成损害；

(c)记录所有与数据泄漏相关的事实，包括其影响以及采取的任何补救措施，根据适用数据保护法律向监管报告的内容，并留存相应的记录;

(d)给予个人信息主体行使数据权利及获得救济的途径。

数据处理者在此确认并同意，在本条项下安全事件或任何可能影响个人信息主体权益的事件发生时，除非适用于受托人的适用数据保护法律明确规定，否则受托人并无义务针对相关事件通知数据处理者或采取相关措施。

7. 数据出境及跨境传输

7.1数据处理者在此确认并同意，委托数据可在中国大陆地区、中国香港地区、菲律宾由受托人进行处理。为避免歧义，在本协议项下，向香港、澳门或台湾地区的组织或个人提供委托数据，亦视为本条约定下的跨境传输情形。

7.2 数据处理者出境或跨境传输委托数据的，应当满足以下要求，并陈述、保证、承诺如下：

（a）出境或跨境传输的委托数据系按照相关法律法规进行收集、使用等处理；出境或跨境传输的委托数据如涉及重要数据和个人信息的，范围仅限于实现处理目的所需的最小范围；

（b）应按照适用数据保护法律获得个人信息主体的同意或单独同意（根据数据类型而定），以及双方之间的合同约定（如有），由数据处理者自行或指定部门，完成跨境安全评估后方可实施跨境传输。涉及敏感个人信息出境的，已向个人信息主体告知传输敏感个人信息的必要性及对个人的影响。

（c）应确保已采取必要措施确保该等传输符合适用数据保护法律要求，包括但不限于已对委托数据出境及跨境传输涉及的国家级区域的数据保护环境进行评估、并已采取足够的管理及技术措施保护委托数据的安全及个人信息主体权益得到足够保护。

（d）将答复来自监管机构关于委托数据境外数据处理活动的询问。

7.3 受托人对出境或跨境传输的委托数据，应履行下述义务：

（a）按照本协议约定的目的、方式及范围处理数据，出境数据范围仅限于实现处理目的所需的最小范围。

（b）采取有效的技术和管理措施，以确保数据安全。

（c）存储数据的期限为实现处理目的所必要的最短时间；超出上述存储期限后，对数据 (包括所有备份) 进行删除或匿名化处理，除非数据处理者取得个人信息主体的单独同意或授权。

（d）如发生数据泄露，按照第6条约定提供合理协助。

（e）受托人可选择指定第三方受托人（包括但不限于关联主体）基于本协议项下目的对数据进行处理，但前提是：该等第三方受托人应书面同意按照受托人书面指示对数据进行处理、受托人应以本协议约定的同样标准向该等第三方受托人附加充分的数据保护条款、要求第三方受托人实施适当的技术及组织安全措施以保护数据免遭安全事件。

（f）受托人如实际控制权或者经营范围发生实质性变化， 或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时，应在知道前述变化发生时，立即通知数据处理者，并采取安全措施尽可能保护委托数据安全。

7.4 双方同意如欧盟数据保护法及/或英国适用数据保护法律适用情况下，本协议项下数据传输亦适用附件3项下条款约束。

8. 生效和终止

8.1 本协议自用户点击、勾选确认/同意或以其他方式选择接受本协议之日起开始生效，持续有效直至用户委托期限届满时止。

8.2 尽管有第8.1条的上述规定，但双方仍可依据如下方式终止本协议：

（a）双方可以随时通过书面协议的方式终止本协议；以及

（b）本协议任何一方向另一方提前三个月发出书面通知的方式，终止本协议。

但数据提供方知悉，若本协议终止，则意味着用户无法使用小满SaaS软件的相关功能或服务，请用户慎重考虑。

9. 其他约定

9.1如果监管机构认为本协议条款的任何部分全部或部分无效或不可执行，本协议其他条款的有效性以及所涉条款的其余部分均不受影响。

9.2 本协议作为服务合同的附件，与服务合同具有同等法律效力，亦具有独立性可单独使用。如本协议中就数据处理相关约定与服务合同不一致的，以本协议约定为准；如双方另行签订的协议就数据处理相关约定与本协议不一致，以本协议约定为准。

9.3本协议由中华人民共和国法律法规管辖并据其解释。如双方因本协议及其附件发生争议，双方应友好协商解决，如协商不成，任何一方均有权向小满科技所在地人民法院发起诉讼。

9.4数据处理者应赔偿受托人因数据处理者违反本协议而遭至的所有损失、成本、危害、费用（包括合理的法律费用）、责任或损害（ “损害”）。如数据处理者违反本协议，其应立即通知受托人，并提供与违约相关的全部详细信息，包括但不限于违约原因、受影响数据的类别及潜在风险。数据处理者亦应在违约后七十二（72）小时内采取有效救济措施，以避免对受托人及/或相关数据主体造成任何形式的损失。

用户再次确认并声明：已经仔细阅读并完全理解本协议的条款，并愿意接受上述所有条款的约束。