抄作业 | 蚂蚁集团更新《数据安全与隐私保护特别约定》
7月3日,蚂蚁科技集团股份有限公司发布《数据安全与隐私保护特别约定》更新通知。
通知表示,为规范个人信息等数据处理事宜,维护个人信息主体和其他数据利益相关方的合法权益,保证数据应用安全,根据可适用数据保护法律的要求,蚂蚁集团制定了《数据安全与隐私保护特别约定》以兹与合作伙伴共同遵守。
以下为《数据安全与隐私保护特别约定》全文:
数据安全与隐私保护特别约定
20230531版本
蚂蚁科技集团股份有限公司及其关联公司(以下合称“蚂蚁集团”或“我们”)一直致力于数据安全与隐私保护。我们合作的金融机构、供应商和其他第三方(以下合称“合作伙伴”或“您”)可能会在开展合作的过程中处理个人信息或其他受保护的数据。
为规范个人信息等数据处理事宜,维护个人信息主体的合法权益,保证数据应用安全,根据可适用数据保护法律的要求,达成本数据安全与隐私保护特别约定(以下简称“本约定”)。
1 定义
1.1 “个人信息”是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
1.2 “数据”是指任何以电子或其他方式对信息的记录,包括含有个人信息的数据和不包含个人信息的数据。本约定所指数据包括但不限于在履行约定所必需的范围内,数据提供方向数据接收方提供的数据,以及数据接收方的数据处理行为而生成的数据。
1.3 “处理”是指对个人信息或数据进行的任何操作或一系列操作,包括但不限于访问、收集、存储、使用、加工、传输、提供、公开、删除。
1.4 “可适用数据保护法律”是指本约定生效前和生效后中国不时颁布生效的个人信息保护、数据合规相关的法律和法规,包括但不限于《网络安全法》《消费者权益保护法》《数据安全法》《个人信息保护法》(仅为本约定之目的,为避免疑义,不包括中华人民共和国香港特别行政区、澳门特别行政区及台湾地区的法律)。
1.5 “数据处理者”是指在个人信息等数据处理活动中自主决定处理目的、处理方式的组织、个人。
1.6 “数据提供方”是指向数据接收方发送个人信息等数据的组织、个人。
1.7 “数据接收方”是指从数据提供方处接收个人信息等数据的组织、个人。数据接收方接收数据后,在(a)共享模式下,有权根据双方约定,自主决定个人信息等数据的处理目的、方式;或在(b)受托处理模式下,应接受数据提供方委托,严格按照数据提供方的要求处理数据,此时“数据接收方”亦为“受托方”。
1.8 “蚂蚁集团”是指蚂蚁科技集团股份有限公司及其关联公司。
1.9 “成员机构”是指蚂蚁集团旗下各独立的公司实体。
2 个人信息保护原则
各方均认可并同意,本约定项下个人信息处理应共同遵循以下原则,保障个人信息主体个人信息权益。
2.1 遵守合法、正当、必要和诚信原则。本约定项下所涉个人信息处理,需要遵循合法、正当、必要和诚信的原则,符合中华人民共和国法律法规及相关监管机关要求。
2.2 尊重个人信息主体的知情权。以明确、易懂和合理的方式公开个人信息处理规则,包括处理个人信息的范围、目的、方式等,并提供便于访问、查阅和保存的展示界面。个人信息处理规则发生变化时,应及时更新并通过适当方式告知个人信息主体。
2.3 尊重个人信息主体的选择权。坚决杜绝通过误导、欺诈、胁迫等方式处理个人信息,不强迫个人信息主体进行不合理的“一揽子授权”,依法向个人信息主体提供个人信息权利主张的途径。
2.4 尊重个人信息主体授权,强化自我约束。严格遵守与个人信息主体约定的授权范围,不收集与提供服务无关的信息。
2.5 保障个人信息主体的信息安全。采取充分有效的技术手段和管理措施,并对委托处理个人信息的第三方进行筛选,防止个人信息泄漏、毁损、丢失。
2.6 保障产品和服务的安全可信。不在产品和服务中设置隐蔽功能进行个人信息主体不知情的操作,发现安全缺陷、漏洞时,及时采取补救措施。
2.7 联合抵制黑色产业链。不采集通过非法渠道获取的信息,坚决杜绝与个人信息黑色产业链的任何交易及往来。
2.8 倡导行业自律。共同探索可推广、可复制并与国际接轨的个人信息保护最佳实践,带动和帮助行业整体水平提升。
2.9 接受社会监督。切实履行企业承诺,主动接受社会各方的监督。
3 合作模式及范围
3.1 本约定项下,各方理解并认同,各方可能基于不同的角色开展合作,各方亦可能同时开展以下两种合作模式:
3.1.1 委托处理。数据提供方委托数据接收方处理数据仅限于为履行各方合作之目的的,数据接收方应当按照约定的范围和方式处理所接收的数据。
3.1.2 数据共享。各方均基于数据处理者的身份履行本约定项下的权利义务。数据提供方向数据接收方提供数据后,将由数据接收方按照本约定之目的决定处理个人信息等数据的目的、方式等。
3.2 代理签约
为有效约束各方数据活动,保护个人信息主体权益,各方同意,若合作伙伴过往与一个或者多个成员机构达成合作关系,则我们(当前签约的成员机构)有权代理成员机构(过往签约过的蚂蚁主体)与合作伙伴签署本约定。本约定生效后,合作伙伴与成员机构间应互相履行本约定下的各方权利义务。
3.3 适用优先
本约定主要适用于本条3.1款中的合作模式。因业务场景的不同,若各方另行签署的合作协议中对各方的数据活动存在特殊约定,则特殊约定将优先适用;合作协议中未涵盖的内容,以本约定内容为准。
4 数据提供方权利和职责
4.1 数据提供方承诺,已按照可适用数据保护法律开展收集、使用等数据处理行为。其提供数据给数据接收方的行为不违反数据保护规定,不违反与其他方的协议约定,或侵害第三方权益等。
4.2 数据提供方认为数据接收方数据安全能力与数据的敏感程度及数量不匹配时,有权向数据接收方发出问询。
4.3 数据提供方应当按照相关法律规定采取有效的技术和管理措施,确保在向数据接收方提供信息前,其提供的信息是准确的且是最新的,并应确保提供过程的安全。
4.4 数据提供方准确记录和存储所提供数据的处理情况,包括委托处理、共享的日期、规模、目的等。
4.5 若数据提供方提供的数据包含个人信息,则:
4.5.1 该方应当说明个人信息来源并保证信息来源合法;
4.5.2 该方承诺已获得的个人信息处理的授权同意,包括使用目的、范围,个人信息主体是否同意转让、共享、公开披露、删除等;
4.5.3 开展业务所需进行的个人信息处理活动超出已获得的授权同意范围的,应在处理个人信息前,征得个人信息主体的明示同意;
4.5.4 承担因未取得合法有效的授权而需要承担的侵权责任,数据接收方有权就其所遭受的经济损失向数据提供方进行追偿。
5 数据接收方权利和职责
5.1 数据接收方承诺,将按照本约定及可适用数据保护法律的要求处理其从数据提供方接收的数据。数据接收方严格遵守本约定项下义务,仅可将数据用于被允许的范围、处理目的和方式,对任何超越范围和违反协议的处理行为承担法律责任。
5.2 除非各方书面约定的情形或为数据处理活动所必需,且符合可适用数据保护法律的要求,数据接收方不得将全部或者任何部分的数据提供给任何第三方或者进行公开披露,但政府机关、司法部门另有要求除外。
5.3 在任何情况下,数据接收方都不得以将导致数据提供方违反其在可适用数据保护法律下的任何义务的方式处理数据。
5.4 在受托处理情形下,受托方如需将受托处理的数据转委托他人处理,需事先取得数据处理者同意。受托方在任何情况下都不得以将导致委托方违反其相关法律规定下的任何义务的方式进行受托处理活动。
5.5 数据接收方应当按照可适用数据保护法律要求,建立相对应的数据安全能力,落实必要的管理和技术措施,为数据传输及处理提供充分的安全保障,防止数据遭受未经授权的使用、泄漏、损毁、丢失。如数据接收方在处理数据过程中无法提供足够的安全保护水平或落实必要的管理和技术措施,应及时向数据提供方反馈,数据提供方有权采取管控措施,数据接收方应根据数据提供方的要求及时对安全保护系统进行升级和调整,但这并不能视为数据接收方对其任何违约行为的免责。
例如:数据接收方从数据提供方获取用户个人信息进行个人信息处理活动时,需要提供数据安全能力证明或通过数据提供方组织的周期性数据安全能力评估,确保用户个人信息被共享后能够持续有效地得到保护。当数据接收方未按要求按时、如实完成评估或安全管控能力不足以有效保证用户个人信息得到持续保护时,数据提供方有权采取管控措施,包括但不限于开放接口限流/禁用/回收、应用下架/隐藏等。
5.6 数据安全保障措施应当考虑到现有技术水平,实施成本,处理的性质、范围、背景和目的,以及给个人信息主体的权利和自由造成损害的风险的可能性。包括但不限于:
5.6.1 场所及设施的权限控制。必须采取措施以防止对存放个人信息等数据的场所和设备未经授权的物理访问,例如权限控制系统,身份识别读卡器、磁卡及芯片卡,监控设备,设施出/入记录等。
5.6.2 访问限制。贯彻访问权限的人数最小化以及访问信息的数量最小化原则,仅供确有需要,且经授权的员工访问。未经授权的人员不得访问数据处理方获取的数据及其处理系统,无论是物理接触还是逻辑访问。
5.6.3 可用性控制。采取措施确保数据得到保护而不受意外破坏或丢失,至少应包括以下内容:确保已安装的系统在发生中断后能够恢复,确保系统正常运行并报告故障,确保储存的个人信息等数据不会因系统故障而被损坏,业务连续性程序,远程存储和防病毒/防火墙系统。
5.6.4 密码、加密和匿名化。数据处理方应采用合理的商业物理安全技术和电子安全技术来创建和保护密码,以及采取匿名化处理。如存储个人敏感信息、与关键信息基础设施有关的信息、重要数据,数据处理方应使用行业标准加密工具实施加密措施。
5.6.5 数据接收方应对技术和组织措施进行定期检查,以确保这些措施持续提供适当的安全水平。
5.7 数据接收方储存数据的期限应为实现其处理目的所需或可适用数据保护法律所要求的最短时间,超出上述储存期限后,数据接收方应对数据进行删除或匿名化处理。
5.8 当本约定因任何原因终止或解除、或者数据存储期间到期(以先发生的为准)或应数据提供方要求时,除数据接收方另行取得个人信息主体的同意外,数据接收方应立即停止处理数据并以数据提供方合理要求的方式和格式将相关信息返还;或者,经数据提供方明确指示,数据接收方应删除其所掌握或控制的部分或全部信息,并向数据提供方提供删除的证明。如果法律、行政法规规定的保存期限未届满,或者删除数据从技术上难以实现的,数据接收方应当停止除存储和采取必要的安全保护措施之外的处理。本约定不生效、无效、被撤销或者终止的,数据接收方应当将数据返还给数据提供方并且删除和销毁委托处理的信息及所有副本/备份。
5.9 数据接收方应当指定数据安全负责人,负责与数据提供方间的数据安全相关事务。数据接收方应当将数据安全负责人的姓名和联系方式提供至数据提供方,并保证信息的准确、畅通和有效更新。
5.10 数据接收方应当建立数据安全应急处置机制,当发生数据安全事件时应及时启动应急响应机制。
6 监测及安全事件处置
6.1 各方开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。
6.2 安全事件:本约定所指安全事件,包含数据安全缺陷、漏洞、威胁等风险事件以及其他安全事件。
6.3 任何一方知晓或怀疑发生相对方违反本约定条款的情形,或发现相对方无法提供足够的安全保护水平或发生了安全事件的,应当毫不迟延地通知相对方。
6.4 违约方或安全事件发生方以及其合作的受托方应本着及时、有效、诚信的原则采取必要的应急和补救措施,包括但不限于:
6.4.1 毫不迟延地通知本约定相对方。若数据接收方发生安全事件,则数据提供方可通过网页提示、网页公告、站内信、电子邮件、手机短信或常规的信件传送等方式中的一种或多种方式通知数据接收方,该等通知自公告之日或发送之日视为已送达。通知后未及时响应造成的影响,由数据接收方自行承担;
6.4.2 积极配合相对方的调查取证要求;积极配合相对方的应急及安全管控措施,包括但不限于开放接口限流/禁用/回收、应用下架/隐藏等;
6.4.3 按照可适用数据保护法律的要求采取补救措施以降低安全事件的影响,且应当使相对方知晓与安全事件相关的进展;
6.4.4 根据可适用数据保护法律通知个人信息主体,告知其可采取何种措施避免泄漏造成损害。如各方采取的措施能够有效避免数据泄漏造成危害的,可不通知个人信息主体;
6.4.5 记录所有与数据泄漏相关的事实,包括其影响以及采取的任何补救措施,向监管报告的内容,并留存相应的记录,视情况按照相对方的需求提供该记录;
6.4.6 履行己方安全事件上报义务,并在相对方为履行可适用数据保护法律下的安全事件上报义务而要求时向相对方及时提供相关信息和协助;
6.4.7 根据相对方的要求配合改造,避免安全事件再次发生。
6.5 违约方或安全事件发生方应承担相对方及个人信息主体合法权益造成的损失,包括但不限于相对方的调查费用,相对方因安全事件所支出的监管处罚费用、调查费用、律师费用、诉讼费用以及相对方向个人信息主体支付的赔偿费用。
7 监管及审计配合
7.1 数据接收方应当按照数据提供方的要求配合监管机关,并向数据提供方提供为了证明数据提供方遵守可适用数据保护法律等相关目的而需要的必要信息。数据接收方应当将从监管机关收到的关于数据处理的任何要求、通知或其他通讯立即同步告知数据提供方,但法律法规有相反规定的除外。
7.2 数据接收方应当向数据提供方提供合理和及时的帮助以使数据提供方可以响应:
7.2.1 个人信息主体要求行使其在可适用数据保护法律下的任何权利的请求;以及
7.2.2 从个人信息主体或者其他与数据处理相关的第三方处收到的任何其他通信、询问或者投诉。如果该等通信、询问或者投诉直接向数据接收方做出,数据接收方应当通知数据提供方并提供所有该等通信、询问或者投诉的细节。
7.3 经各方事先协商一致或另有协议约定,数据接收方应当允许数据提供方或者数据提供方委派的第三方审计机构对数据接收方进行审计,以确认数据接收方处理数据是否符合可适用数据保护法律和本约定的要求。
7.4 数据接收方应向数据提供方的授权代表或者数据提供方委托的第三方提供进行该等审计必要的协助。
8 数据跨境传输
8.1 本约定通常不涉及各方之间的数据跨境传输,若各方涉及数据跨境传输,应当另行签署《个人信息出境标准合同》或者其他相关协议。
8.2 未经数据提供方书面同意,数据接收方不应将数据向中华人民共和国以外的国家和区域提供。为避免歧义,在本约定项下,向中华人民共和国香港、澳门或台湾地区的组织或个人提供数据,亦视为本条约定下的跨境传输情形。
8.3 经数据提供方同意后,数据接收方向境外传输数据的,应当按照可适用数据保护法律,以及各方之间的协议约定(如有),由数据接收方自行或指定部门,完成跨境安全评估、取得监管机关的批准/备案(如适用)后方可实施跨境传输。
9 生效和终止
9.1 本约定自签署之日起开始生效,持续有效直至当事方最后一次的数据处理事项完成。
9.2 主协议不生效、无效、被撤销或者终止的,不影响本约定的效力。
10 其他约定
10.1 如果司法机关或监管机构认为本约定条款的任何部分全部或部分无效或不可执行,本约定其他条款的有效性以及所涉条款的其余部分均不受影响。
10.2 各方同意并确认可以在线签署本约定,且以在线形式签署的协议视为书面协议,与以纸质形式签署的文件具有相同法律效力,各方均应同样遵守。同时,鉴于本约定项下的内容均未超出各方法定义务范畴,为确保各方合作项下的数据处理活动满足可适用法律法规的合法合规要求,本约定亦可通过由蚂蚁集团向合作伙伴通知送达的方式进行签署。
10.3 本约定由中华人民共和国法律法规管辖并据其解释,如各方因本约定发生争议,各方应友好协商解决,如协商不成,参照主协议争议解决。
微信扫码关注该文公众号作者