数据处理协议

版本号：3.0.0

日期：2024年10月

前言

欢迎使用万傲瑞达及熵安云通产品或服务，包括综合管理平台、小程序、APP、H5、安防综合管理云平台！

熵基科技深知个人数据对您的重要性，并会尽全力保护您的个人数据安全可靠。我们致力于维持您对我们的信任，恪守以下原则，保护您的个人数据：权责一致原则、目的明确原则、选择同意原则、最小必要原则、确保安全原则、主体参与原则、公开透明原则等。同时，熵基科技承诺，我们将按业界成熟的安全标准，采取相应的安全保护措施来保护您的个人数据。

请用户务必审慎阅读、充分理解各条款内容。除非用户已阅读并接受本协议所有条款，否则用户无权下载、安装或使用本软件及相关服务。用户的下载、安装、使用万傲瑞达及熵安云通软件、登录账号等行为即视为用户已阅读并同意本协议的约束。

一、协议适用范围

本协议是用户与熵基科技之间关于用户下载、安装、使用本软件，以及使用熵基科技相关服务所订立的协议。“熵基科技”是指厦门熵基科技有限公司及其相关服务可能存在的运营关联单位，在本协议中称为“我们”。“用户”是指注册、登录、使用本软件及服务并获得管理权限的个人或组织，在本协议中称为“您”。

二、数据处理范围

在我们向您提供相关服务过程中，会涉及个人数据收集，详见下表所列信息。

三、定义

除非双方另有约定，本协议中使用的术语定义按英文首字母顺序排列如下。

（一）“数据主体”（Data Subject），是指已确认身份或可确定身份的自然人。可确定身份的自然人是指可直接或间接确定身份的个人，特别是通过参考身份标识确定身份，身份标识包括姓名、身份证号、位置数据、在线身份标识或特定于该自然人的身体、生理、基因、精神、经济、文化或社会身份的一个或多个因素等。

（二）“欧盟标准合同条款”（EU Standard Contractual Clauses）是指自欧盟法案2016年第79号第44条起（且根据欧盟指令95/46/EC第26(2)条）规定的，向成立于无法确保充分数据保护的第三方国家/地区的处理方传输个人数据的相关标准合同条款，这些条款已在欧盟委员会相关网站上发布，可能随时修改或更新。

（三）“个人数据”（Personal Data）是指与已确认身份或可确定身份的自然人（“数据主体”）有关的任何信息。

（四）“个人数据泄露”（Personal Data Breach）是指按照本地数据保护法规规定，包括但不限于意外或非法销毁、丢失、更改、未经授权披露或访问传输、存储或其他方式处理的个人数据的安全违规行为。

（五）“数据保护法规”（Privacy Laws）是指与个人数据的安全和保护有关的任何可能适用的法律和/或条例（如GDPR或其他国家可适用的隐私保护法律），根据其实施或制定的任何法律和条例，以及这些法律和条例的修订、更新或重新颁布版本。

（六）“监管机构”（Regulatory Bodies）是指有权根据法令、规则、条例、行为准则或其他文件进行监管、调查或影响与数据安全和个人数据及隐私保护有关事宜的政府部门、监管机构、法定机构和其它机构。

（七）“服务”（Service）是指熵基科技根据与用户订立的具体服务协议及其他合同文本提供的涉及处理个人数据的服务。

（八）“子处理者”（Sub-processor），指熵基科技及相关团体以外的涉及个人信息处理的组织或个人。

四、数据处理要求

（一）数据处理原则

我们按照“合法、正当、透明、目的限制、数据最小化、准确、存储期限最小化、完整性与保密性、可问责”的通用原则进行个人数据处理，我们将按照您的指示开展数据处理活动，不能超出您的指示以及本协议约定的目的和范围，不得将个人数据用于任何其他目的。我们认为您的指示违反适用的数据保护法规时，我们将立即通知您。我们将全力支持您保护数据主体的权利，如访问、更正、删除。

我们将以云服务提供商提供的时钟源配置为准，若我们产品的服务方式/服务内容发生变更，将第一时间邮件周知您。

（二）特殊类别的个人数据处理

我们不会以违反适用的数据保护法规的方式处理可能揭示种族或民族起源、政治观点，或行业工会成员资格的任何个人数据，唯一能识别自然人身份的生物数据。

（三）个人数据跨境转移

默认情况下，我们不会将个人数据进行跨境转移。只有根据您的指示且符合数据保护法规要求的情况下，我们才可以将个人数据进行跨境转移。在适用情况下，根据本地数据保护法规要求，在获得数据主体同意的情况下（如需要），我们将在必要时与您订立数据转移协议或标准合同（合同模板可参考：欧盟标准合同条款），双方同意履行与个人数据有关的跨境转移义务。

（四）数据安全

在处理个人数据期间，我们根据适用的数据保护法规及您的要求采取有效的技术和组织措施，保证在数据处理过程中对可能接触的个人数据采取不低于自身信息保密程度的保密措施进行保密，未经您的书面许可，不得向任何第三方披露，保护个人数据免遭泄露。

（五）数据泄露事故应急机制

1、在发现个人数据泄露事件后，我们会在二十四（24）小时内向您发送书面通知，以履行根据适用的数据保护法规规定通知监管机构和数据主体的义务。此类通知包含如下内容：

（1）概述个人数据泄露的影响，包括但不限于描述个人数据泄露的性质、相关数据主体的类别和数量以及相关个人数据处理记录。

（2）个人数据泄露可能造成的风险和后果。

（3）我们为处理个人数据泄露而采取的措施或提出的建议。

（4）我们的数据保护官联系方式：Service-AF-XM@zkteco.com。

（5）您合理要求的与个人数据泄露相关的任何其他信息。

（6）如果上述信息不能在同一时间提供，则应在三十六（36）小时或者是在您要求的时间内分阶段提供。

2、对于任何发生的个人数据泄露，我们将立即调查，识别、防止并降低影响，并在您事先同意的情况下，采取必要的补救措施。

（六）子处理者引入

1、未经您的允许，我们不会将任何个人数据处理业务转包或外包给子处理者。

2、根据适用的法律要求，我们应和子处理者签订数据处理协议并做尽职调查。我们将向子处理者传递您的要求，并对子处理者或其指定的任何第三方的数据处理行为导致的负面影响或不利后果承担责任。

（七）个人数据的删除

除非有相反要求或数据保护法规另有规定，根据您的要求，一旦履行完双方之间适用的协议中约定的我们的义务，我们会立即删除相关个人数据，并向您证明其已经履行该义务。

（八）云平台安全责任

1、熵基负责熵基云平台上的服务和数据交互的安全管理和运营，对提供的云服务平台和基础架构的安全性负责。客户通过调用API接口、SDK自行开发的软件或硬件嵌入式软件，接入熵基云平台需要客户自己保障其应用及数据，包括硬件设备、软件的安全合规。其中熵基云的主要责任是研发并运维各项基础服务、平台服务和应用服务，而客户的主要责任是在使用熵基云服务之上定制开发的第三方客户端和搭建的第三方云服务等。下图为基础云服务提供商、熵基以及客户信息安全责任共同承担责任模型。

2、熵基云的安全责任

（1）熵基云通过选择全球知名的云主机服务商亚马逊、腾讯云、阿里云等一流云计算平台，确保安全管理和运营的基础设施，物理设备的安全。

（2）熵基云安全覆盖数据安全和云服务安全。熵基承诺利用其安全团队以及全球范围知名的安全服务厂商的专业攻击防护技术经验，提供云平台的安全运维和运营服务，切实保护熵基云的安全运营，以及保障客户、用户隐私和数据的安全。包括但不限于：

1. 数据安全：指客户在云业务环境中的业务数据自身的安全管理，包括收集与识别、分类与分级、权限与加密以及隐私合规等方面；
2. 访问控制管理：对资源和数据的访问权限管理，包括用户管理、权限管理、身份验证等；
3. 云服务安全：指在云计算环境下的业务相关应用系统的安全管理，包括应用和服务接口的设计、开发、发布、配置和使用等方面。

3、客户的安全责任

（1）客户在使用熵基云的解决方案的时候，需要严格按照熵基的安全配置和接入要求执行。同时客户需要保证自己的云端、客户端或者硬件产品本身的安全性。

（2）基于熵基SDK/API开发的应用软件，熵基仅提供技术支持，但是无法为该软件整体提供安全保障。

（3）对于基于熵基方案的定制产品的数据安全合规、隐私政策等相关信息，隐私政策声明以及法律合规性由客户负责，必要时候，熵基安全合规团队愿意提供安全解决方案的帮助和咨询服务。

（九）数据备份

为防止数据因硬件故障、自然灾害等各种不可预见原因造成丢失，我们将定期备份云端数据库，并与（四）数据安全保持一致。备份频率为一天一备份，且备份数据加密存储，并在服务结束时在7天内依法删除您相关备份。

五、责任

您作为数据控制者，必须对遵守适用的数据保护法规承担责任。您有义务评估存储在软件上的个人数据处理的合法性。您应确保向我们披露的任何个人数据披露均合法。

六、审计权

您可以每年审核一次我们对协议条款和本数据处理协议的遵守情况。

七、适用法律

本协议将受用户所在成员国的法律管辖。