数据处理协议 | Infonity AI

前言

本数据处理协议（"DPA"）是 Infonity AI 服务条款的补充，适用于企业客户（"客户"或"控制者"）使用 Infonity AI（"处理者"或"我们"）服务时涉及的个人数据处理。

本 DPA 旨在确保符合适用的数据保护法律，包括但不限于：

欧盟《通用数据保护条例》(GDPR, Regulation (EU) 2016/679)
中华人民共和国《个人信息保护法》(PIPL)
其他适用的数据保护和隐私法律法规

1. 定义和解释

本 DPA 中使用的术语定义如下：

"个人数据"：指与已识别或可识别的自然人（"数据主体"）相关的任何信息
"处理"：指对个人数据执行的任何操作，包括收集、记录、组织、结构化、存储、改编或更改、检索、查询、使用、通过传输披露、传播或以其他方式提供、对齐或组合、限制、删除或销毁
"控制者"：指单独或与他人共同决定处理个人数据的目的和方式的实体（即客户）
"处理者"：指代表控制者处理个人数据的实体（即 Infonity AI）
"分包处理者"：指受处理者委托处理个人数据的第三方实体
"数据保护法律"：指适用于处理个人数据的所有法律和法规，包括 GDPR、PIPL 等
"个人数据泄露"：指导致传输、存储或以其他方式处理的个人数据被意外或非法破坏、丢失、更改、未经授权披露或访问的安全事件

2. 双方角色和责任

2.1 角色确定

双方确认并同意：

客户是使用我们服务处理的个人数据的控制者
Infonity AI仅作为处理者，按照客户的指示处理个人数据
本 DPA 不适用于我们作为独立控制者处理的数据（如客户的账户信息和使用数据，这些数据根据我们的隐私政策处理）

2.2 客户作为控制者的责任

客户应：

确保有合法依据处理个人数据并使用我们的服务
向数据主体提供适当的隐私通知
在必要时获得数据主体的同意
确保处理指示符合适用的数据保护法律
对提交给我们服务的个人数据的准确性、质量和合法性负责

2.3 Infonity AI 作为处理者的责任

我们将：

仅按照客户的书面指示处理个人数据（通过服务使用提供的指示被视为书面指示）
确保有权处理个人数据的人员承诺保密义务
实施适当的技术和组织措施以保护个人数据
仅在客户事先书面同意后使用分包处理者
协助客户履行其义务
在服务终止后删除或返还所有个人数据

3. 处理的详细信息

3.1 处理的主题事项

处理与提供 Infonity AI 服务有关，包括 AI 模型推理、数据分析、存储和相关技术服务。

3.2 处理的性质和目的

处理的性质和目的包括：

根据客户的请求执行 AI 模型推理和数据处理
存储和管理客户的数据以提供服务
提供技术支持和维护服务
监控和改进服务性能和安全性

3.3 处理的期限

个人数据将在客户使用服务期间以及服务终止后的合理时间内被处理，以履行合同义务和法律要求。

3.4 个人数据的类型

可能被处理的个人数据类型取决于客户的使用情况，可能包括：

客户在使用服务时输入或上传的任何个人数据
AI 生成的包含个人信息的输出内容
与服务使用相关的技术数据（IP 地址、日志等）

3.5 数据主体的类别

数据主体可能包括：

客户的员工、承包商和授权用户
客户的最终客户或用户
其他自然人，其数据由客户通过服务处理

4. 安全措施

我们实施适当的技术和组织措施，以确保与风险相适应的安全级别，包括：

4.1 技术措施

加密：传输中的数据使用 TLS/SSL 加密；静态数据使用行业标准加密
访问控制：基于角色的访问控制和最小权限原则
身份验证：多因素身份验证和强密码策略
网络安全：防火墙、入侵检测系统和 DDoS 防护
数据隔离：逻辑或物理隔离不同客户的数据
备份：定期备份和灾难恢复程序

4.2 组织措施

人员培训：定期对员工进行数据保护和安全培训
保密协议：所有有权访问个人数据的员工签署保密协议
安全政策：维护全面的信息安全政策和程序
事件响应：建立个人数据泄露响应计划
定期审计：进行安全评估和渗透测试
供应商管理：审查分包处理者的安全实践

4.3 认证和合规

我们努力获得和维护相关的安全认证，包括但不限于：

ISO 27001（信息安全管理体系）
SOC 2 Type II（安全、可用性和机密性）
其他适用的行业认证和标准

5. 分包处理者

5.1 授权使用分包处理者

客户授权我们委托分包处理者处理个人数据。我们当前使用的分包处理者类别包括：

云基础设施和托管服务提供商
内容交付网络（CDN）服务
监控和分析工具提供商
客户支持和沟通平台

5.2 分包处理者的义务

我们将：

仅选择提供充分保证的分包处理者
与分包处理者签订书面协议，施加与本 DPA 基本相同的数据保护义务
对分包处理者的行为向客户承担全部责任

5.3 分包处理者变更通知

我们将通过以下方式通知客户新增或更换分包处理者的计划：

在我们的网站上维护当前分包处理者列表
在增加或更换分包处理者前至少 30 天通过电子邮件通知客户

如果客户对新的分包处理者有合理的数据保护方面的反对意见，客户可以终止受影响的服务并获得按比例退款。

6. 数据主体权利

6.1 协助义务

考虑到处理的性质，我们将通过适当的技术和组织措施协助客户履行其响应数据主体权利请求的义务，包括：

访问权（获取个人数据副本）
更正权（纠正不准确的数据）
删除权（"被遗忘权"）
限制处理权
数据可携带权（以结构化、常用格式接收数据）
反对权

6.2 请求转发

如果我们收到数据主体直接提出的权利请求，我们将及时通知客户并将请求转发给客户处理，除非法律禁止这样做。

6.3 协助费用

对于合理的协助请求，我们不收取费用。如果请求明显过度或重复，我们可能会收取合理的管理费用。

7. 个人数据泄露

7.1 泄露通知

如果发生个人数据泄露，我们将：

在知晓泄露后 72 小时内通知客户（通过电子邮件发送至客户账户邮箱）
提供泄露的性质、涉及的数据类别和大致数量、可能的后果以及我们采取或建议的补救措施的信息
及时提供进一步的信息和更新

7.2 调查和补救

我们将：

及时调查泄露并采取合理措施来补救和减轻损害
协助客户履行其向监管机构报告和通知数据主体的义务
记录泄露事件并保留相关证据

7.3 免责

如果泄露是由客户的行为或疏忽造成的，我们将不承担责任。

8. 国际数据传输

8.1 数据位置

个人数据主要在中国境内的数据中心处理和存储。对于国际客户，数据可能在您所在区域的数据中心处理。

8.2 跨境传输的保障措施

如果个人数据被传输到欧洲经济区（EEA）、英国或其他具有数据保护法律的司法管辖区之外，我们将采用以下保障措施之一：

欧盟委员会批准的标准合同条款（SCC）
适当性认定（如果数据传输到被认定为具有充分保护水平的国家）
获得客户或数据主体的明确同意
其他适用法律认可的传输机制

8.3 标准合同条款

如果适用，欧盟委员会的标准合同条款（2021 年 6 月版）构成本 DPA 的一部分并纳入本协议。如有冲突，以标准合同条款为准。

9. 审计和合规

9.1 审计权

客户有权：

请求我们提供有关安全措施和合规性的信息
审查相关的审计报告、认证和评估（如 SOC 2 报告）

9.2 现场审计

如果数据保护法律要求或监管机构要求，客户可以进行或委托第三方进行现场审计，前提是：

提前至少 30 天书面通知
审计在正常工作时间进行
审计范围合理且与处理个人数据相关
审计人员签署保密协议
客户承担审计费用

此类审计不得超过每年一次，除非发生个人数据泄露或监管机构要求。

10. 数据删除和返还

10.1 服务终止

服务终止后，根据客户的选择，我们将：

在 30 天内删除所有个人数据和现有副本，或
以客户指定的格式返还个人数据

10.2 删除证明

应客户书面要求，我们将提供已删除个人数据的书面证明。

10.3 例外情况

如果适用法律要求保留某些数据，我们可以保留这些数据，但将停止所有其他处理并继续保护数据。

11. 责任和赔偿

11.1 处理者责任

我们对因违反本 DPA 造成的损害承担责任，除非我们能证明损害的发生与我们无关。

11.2 责任限制

根据本 DPA 产生的我们的总责任受服务条款中规定的责任限制条款的约束。

11.3 赔偿链

如果我们因分包处理者的行为向客户承担责任，我们有权向该分包处理者追偿。

12. 一般条款

12.1 协议层级

本 DPA 是服务条款的一部分。如有冲突，本 DPA 优先于服务条款中与数据处理相关的条款。

12.2 协议修订

我们可能会不时修订本 DPA，以反映法律变更、监管要求或服务更新。重大变更时，我们将提前至少 30 天通知客户。

12.3 生效

本 DPA 在客户接受服务条款时或客户首次使用服务时生效（以较早者为准），并在服务终止和所有个人数据被删除或返还后终止。

12.4 可分割性

如果本 DPA 的任何条款被认定为无效或不可执行，该条款将被删除，其余条款将继续有效。

12.5 适用法律和管辖权

本 DPA 受服务条款中规定的适用法律和争议解决条款的约束。

13. 联系方式

有关本 DPA 或数据处理的问题，请联系：

数据保护负责人：[email protected]
法务部门：[email protected]
地址：中国北京市朝阳区（具体地址待补充）

企业客户专用 DPA

对于需要签署独立 DPA 文件或有特殊合规要求的企业客户，请联系我们的企业销售团队（[email protected]）讨论定制化的数据处理协议。我们可以根据您的具体需求和监管要求调整条款。