数据处理附录
本《数据处理附录》(“DPA”)规范 Anysphere, Inc.(“Anysphere”或“Vendor”)根据 Anysphere 与客户之间的《主服务协议》(“Agreement”)通过服务处理客户提供的个人数据的行为。本 DPA 载明了客户就个人数据处理向 Anysphere 发出的指示,以及双方的权利和义务。除本 DPA 另有规定外,Agreement 仍保持不变并继续完全有效。如本 DPA 与 Agreement 存在任何冲突,在该冲突范围内以本 DPA 为准。
-
定义。 就本《数据处理协议》(DPA)而言,以下术语具有下列含义。本《数据处理协议》中使用但未作定义的首字母大写术语,应具有《协议》中赋予其的含义。本《数据处理协议》中所有其他在《协议》中未另行定义的术语,应具有适用隐私法律中赋予其的相应含义。
-
“控制者向处理者条款(Controller to Processor Clauses)”是指:(a)就受 GDPR 约束的个人数据传输而言,指 2021 年 6 月 4 日欧盟委员会决议 2021/914 中规定的向第三国传输个人数据的标准合同条款,尤其包括模块 2(控制者向处理者)(“EU SCCs”);以及(b)就受 UK GDPR 约束的个人数据传输而言,指由英国信息专员发布的《欧盟委员会标准合同条款国际数据传输附录》(版本 B.1.0)(“UK Addendum”),在每种情况下,均以其不时修订、更新或替换的版本为准。
-
“欧盟/英国隐私法(EU/UK Privacy Laws)”是指:(a)《通用数据保护条例》(General Data Protection Regulation)2016/679(“GDPR”);(b)《隐私及电子通信指令》2002/58/EC;(c)《英国 2018 年数据保护法》、“英国通用数据保护条例”(由《英国 2018 年数据保护法》界定,并经《2019 年数据保护、隐私及电子通信(修正等)(脱欧)条例》修订)(与《英国 2018 年数据保护法》合称为“UK GDPR”),以及《2003 年隐私及电子通信条例》;以及(d)任何实施上述任何一项的相关法律、指令、命令、规则、法规或其他具有约束力的文书,在每种情况下,均为不时适用且有效,并可不时修订、合并、重新颁布或替换。
-
“个人数据(Personal Data)”是指供应商为向客户提供服务而代表客户处理的,并在任何隐私法下被定义为“personal data”或“personal information”的任何信息。
-
“隐私法(Privacy Laws)”是指(如适用)欧盟/英国隐私法、美国隐私法,以及任何与数据保护、隐私或个人数据的使用相关的、任何司法管辖区内的类似法律,在每种情况下,均为不时适用且有效,并可不时修订、合并、重新颁布或替换。
-
“处理者向处理者条款(Processor to Processor Clauses)”是指:(a)就受 GDPR 约束的个人数据传输而言,指 2021 年 6 月 4 日欧盟委员会决议 2021/914 中规定的向第三国传输个人数据的标准合同条款,尤其包括模块 3(处理者向处理者);以及(b)就受 UK GDPR 约束的个人数据传输而言,指由英国信息专员发布的《欧盟委员会标准合同条款国际数据传输附录》(版本 B.1.0),在每种情况下,均以其不时修订、更新或替换的版本为准。
-
“第三国(Third Country)”是指不在欧洲经济区或英国数据保护法律适用范围之内的任何国家或地区(视情况而定),但不包括经相关主管机构不时批准为对个人数据提供充分保护的国家或地区。
-
“美国隐私法(US Privacy Laws)”是指(如适用)《加利福尼亚州消费者隐私法》(California Consumer Privacy Act),经《加利福尼亚州隐私权利法》(California Privacy Rights Act)修订,《弗吉尼亚州消费者数据保护法》(Virginia Consumer Data Protection Act),《科罗拉多州隐私法》(Colorado Privacy Act),《康涅狄格州数据隐私法》(Connecticut Data Privacy Act),《犹他州消费者隐私法》(Utah Consumer Privacy Act),以及任何与数据保护、隐私或个人数据的使用相关的、任何州的类似法律。
-
-
修订。 为使 Vendor 能够在遵守隐私法的前提下,继续根据协议或本 DPA 的约定处理个人数据,或为应对有关隐私法的法律解释而需对本 DPA 作出变更时,双方同意本着诚信原则就本 DPA 的修改进行协商。Vendor 保留在为遵守隐私法或适应不断演进的法律要求所必需时更新本 DPA 的权利,但前提是任何此类更新均不得在实质性上减损 Customer 在本 DPA 下的权利,或在实质性上增加 Customer 在本 DPA 下的义务。除非法律要求更短的通知期限,否则 Vendor 应至少在任何此类更新生效日前三十(30)天以书面形式通知 Customer。
-
各方的角色。 双方确认,就隐私法而言,Customer 为“服务接受方”、“控制者”、“企业”或隐私法项下的任何类似术语,而 Vendor 为“服务提供方”、“处理者”、“承包商”或隐私法项下的任何类似术语。
-
处理细节。 双方同意,处理的详细内容如本协议所附 附件一 所述。
-
客户义务。 客户应在就服务向供应商提供个人数据时遵守所有适用的隐私法律。客户陈述并保证:(a) 适用于客户的隐私法律不禁止或以其他方式阻止供应商履行其根据客户指示以及本 DPA 所承担的义务;(b) 所有个人数据均由客户或代表客户收集,并在任何时候均依照所有适用的隐私法律进行处理和维护,包括就向个人提供通知和/或取得其同意所承担的任何义务;以及 (c) 客户就向供应商披露个人数据并使供应商按照本 DPA 所述处理个人数据具有合法依据。若客户认定根据协议对个人数据的处理不符合或将不符合隐私法律,客户应毫不迟延地通知供应商,在此情况下,供应商无义务继续处理该等个人数据。
-
个人数据的处理。 客户保留在本 DPA 下所处理的所有个人数据的所有权。Vendor 仅可在以下情形下处理个人数据:(i) 为履行附件 1 中进一步描述的服务,并依照客户不时发出的、载明目的的书面指示(包括通过服务提供的同意与授权);(ii) 为遵守适用于 Vendor 的法律义务;以及 (iii) 依照客户的其他书面指示。若 Vendor 判定其不再能够履行适用隐私法项下的义务,或无法遵守客户就个人数据使用所发出的任何指示,Vendor 应毫不迟延地通知客户。在隐私法要求的范围内,并且在客户合理书面通知且有合理理由相信 Vendor 正在以违反隐私法或本 DPA 的方式使用个人数据时,Vendor 应授予客户采取合理且适当措施的权利,以帮助确保 Vendor 以符合客户依据隐私法所承担义务的方式使用个人数据,并制止并补救任何未获授权使用个人数据的行为。Vendor 应要求每一位员工或其他处理个人数据的人员,依照本协议的规定,就该等个人数据负有适当的保密义务。
-
禁止事项。 在适用隐私法要求的范围内,Vendor 不得:(a)出售个人数据,但以去标识化、汇总或匿名化形式提供的除外;(b)为跨情境行为(定向)广告之目的共享个人数据;(c)为以下情形之外的任何目的保留、使用或披露个人数据:(i) 为履行服务这一特定目的;(ii) 通过使用去标识化、汇总或匿名化数据来开发、改进或增强服务;或 (iii) 适用隐私法另有允许的情况;(d)在 Vendor 与 Customer 之间的直接业务关系之外保留、使用或披露个人数据,除前述情形外不得作其他用途;以及(e)将从 Customer 或代表 Customer 接收的个人数据,与 Vendor 在与该等个人数据相关的个人进行单独互动时可能收集到的任何个人数据,或从任何其他来源获得的任何个人数据进行合并,除为履行业务目的或适用隐私法另有允许的情况外不得为之。
-
使用分处理者。 若供应商聘用任何分处理者代表其处理个人数据:
-
客户特此授予供应商一般书面授权,以聘用附件 2中列明的次处理方,但须符合本第 8 条的要求。
-
如供应商拟委任新的次处理方,或就任何次处理方的新增或替换作出任何变更,供应商应通过在 trust.cursor.com/subprocessors 发布更新的方式,提前三十(30)个工作日向客户发出书面通知。在此期间,客户可基于与个人数据保密性或安全性相关,或与该次处理方遵守隐私法情况相关的合理且有据可查的理由,对该委任或替换提出异议(如客户未提出异议,供应商即可继续进行该委任或替换)。在因紧急情况需要立即变更次处理方的情形下(例如安全事件、服务中断),供应商可先行进行变更,并于其后十(10)个工作日内发出通知。若客户按照本条规定对次处理方的委任或替换提出异议,供应商应尽商业上合理的努力以回应客户的关切,包括但不限于提议更换为另一家次处理方,或实施额外防护措施以减轻已识别的风险。若双方自客户发出书面异议通知之日起三十(30)日内仍无法解决该异议,客户可向供应商发出书面通知,以终止受影响部分的服务。若发生此类终止,供应商应就客户已预付且对应于被终止服务剩余未使用部分的费用,向客户提供按比例计算的退款。
-
供应商仅可依据书面协议聘用次处理方,该协议应对次处理方设定义务,使其至少受制于不低于本 DPA 所规定的数据保护水平的约束。对于此类次处理方未能履行其各自义务的情形,供应商应向客户承担责任。
-
-
协助。 在隐私法要求的范围内,并考虑到处理活动的性质,供应商应就个人数据的处理,并为使客户能够履行其因此产生的义务,通过适当的技术和组织措施向客户提供合理的协助,包括:(a) 回应个人依据隐私法享有的权利所提出的请求,包括在可能的范围内,通过提供、删除或更正相关个人数据,或使客户能够执行上述操作;(b) 实施与个人数据性质相适应的合理安全程序和实践,以保护个人数据免遭未经授权或非法访问、销毁、使用、修改或披露;(c) 就个人数据泄露事件通知相关主管机关和/或受影响的个人;(d) 开展数据保护影响评估,并在需要时与相关主管机关进行预先咨询;以及 (e) 签署本 DPA。
-
安全措施。 供应商应在考虑技术发展状况、实施成本以及处理活动的性质、范围、背景和目的的情况下,实施适当的技术和组织措施,并确保其获授权的人员遵守此类措施,以提供与风险相适应的安全水平,该等措施如附件 3所列,或由客户与供应商不时另行协商并书面记录。供应商在处理期间不得在整体上实质性降低服务的安全水平。在隐私法要求且适用的范围内,供应商应在不无故拖延的情况下,并在任何情况下不迟于四十八(48)小时内,以书面形式通知客户任何导致个人数据被意外或非法销毁、丢失、更改、未经授权披露或访问的安全事件,并在获取更多细节后分阶段向客户提供有关该事件的进一步信息。客户同意,在不限制前述规定的情况下,客户对其自身对服务的使用负全部责任,包括但不限于:(a) 保护客户用于访问服务的账户认证凭据、系统和设备的安全;(b) 保护客户与服务配合使用的系统和设备的安全;以及 (c) 维护其自身的客户数据备份。
-
访问与审计。 经客户合理要求,供应商应向客户提供其所持有的、在合理范围内为证明供应商遵守其在本《数据处理协议》项下义务所必需的信息,并允许并配合由客户或由客户指定且经供应商合理接受的其他审计机构进行的审计(包括检查),该等审计费用由客户自行承担全部费用,除非发现重大违规行为。客户每十二(12)个月内最多可进行一次此类审计,且需提前三十(30)天向供应商发出书面通知,并仅在双方就审计范围达成一致且审计方受保密义务约束的前提下方可进行。此外,如在发生个人数据泄露,或监管机构或数据保护机构提出要求后,对供应商遵守数据保护义务存在合理担忧,客户可再进行一次额外审计。作为由客户执行或在客户指示下执行的审计的替代方案,在隐私法允许的范围内,供应商可自费安排具备资质且独立的审计方,依据适当且被接受的控制标准或框架以及评估程序,对供应商为履行其在隐私法项下义务而采取的政策以及技术和组织措施进行评估,并在客户合理要求时向客户提供该评估报告。尽管有上述规定,在任何情况下,如提供访问会导致供应商违反其对其他客户承担的保密义务或其法律义务,供应商均无义务向客户提供对信息、场所或系统的访问权限。
-
个人数据的删除。 在服务提供结束时,根据客户的书面指示,供应商应在收到该等请求后三十(30)天内,按照客户要求删除或返还全部个人数据,除非适用法律要求保留该等个人数据;并且在客户要求时,供应商应就此提供书面证明。
-
数据传输。 在供应商于第三国(地区)处理受欧盟/英国隐私法约束的个人数据且作为数据接收方的情况下,供应商应遵守控制者向处理者条款中规定的数据接收方义务,客户应遵守其中规定的数据输出方义务,上述条款特此并入并构成本《数据处理协议》的一部分,并且:
-
为该等控制者向处理者条款的附件 I 或第 1 部分(视情况而定)之目的,客户为控制者,Vendor 为处理者,协议、本数据处理附录(DPA)及附件 1中所载的各方信息、联系人信息及处理详情均应适用,开始日期为协议的生效日期,与一方签署本协议有关的签名(任何形式)及其签署日期应视为该方所需的注明日期之签名;
-
如适用,为英国补充文件第 1 部分之目的,相关补充文件欧盟 SCC(该术语在英国补充文件中有定义)为根据本第 13 条并入本 DPA 的欧盟标准合同条款(SCC)。如本 DPA 与 SCC 存在任何冲突或歧义,则以 SCC 为准;
-
为该等控制者向处理者条款的附件 II 或第 1 部分(视情况而定)之目的,附件 3中所载的技术和组织安全措施,以及 Vendor 为协助客户而采取的技术和组织措施,均应适用;以及
-
如适用,为该等控制者向处理者条款的附件 III 或第 1 部分(视情况而定)之目的,附表 4(授权分包商)中列明的授权分包商名单应适用;
-
如适用,为以下目的:(i) 对于第 9 条,视为选择了选项 2(“一般书面授权”),并适用第 8 条中规定的通知期;(ii) 对于第 11(a) 条,视为删去与独立争议解决相关的可选措辞;(iii) 对于第 13 条及附件 I.C,主管监管机构应为爱尔兰数据保护委员会;(iv) 对于第 17 和 18 条,视为选择了选项 1,适用的管辖法律及有管辖权的法院应为爱尔兰共和国;(vi) 对于第 1 部分,Vendor 作为接收方可依据该英国补充文件第 19 条终止英国补充文件;
-
Vendor 可指定关联公司或第三方次处理者在第三国处理个人数据。在此情况下,Vendor 应代表客户与其指定的任何相关次处理者(包括关联公司)签署处理者向处理者条款;以及
-
Vendor 可依赖适当性认定、欧盟-美国数据隐私框架(EU-US Data Privacy Framework)、隐私法项下针对特定情形的例外,或任何其他合法的数据传输机制,以确保遵守隐私法。
-
任何与此类跨境传输相关,或与适用的隐私法在该等传输方面的合规性相关的争议,应根据协议中规定的适用法律及管辖权予以解决。
附件 1
处理详情
1. 处理的性质
- 供应商为按照协议所述向客户提供其服务,而对个人数据进行访问、使用、披露、存储、删除和/或其他处理。
2. 处理的目的
- 供应商按照协议所述向客户提供服务。
3. 被处理个人数据所涉及的个人类别
- 客户的授权用户。
4. 被处理的个人数据类别
- 由供应商代表客户收集的,或由客户以其他方式提供给供应商的与个人相关的数据。
5. 受处理且根据隐私法被视为“敏感”或“特殊类别”的个人数据类型
- 客户及/或其人员不得根据本协议提供任何敏感或特殊类别数据,对于客户提供的敏感数据的处理,供应商不承担责任。供应商不会有意收集或处理任何特殊类别的个人数据。
6. 处理的频率(例如一次性或持续性)和持续时间
- 相关个人数据将以持续方式进行处理,处理期限为协议有效期内以及协议中规定的任何终止后的保留期间。
7. 根据第 8 条授权的任何子处理方所进行处理的标的、性质和持续时间
- 如本附件 1和附件 2中所述。
附件 2
授权子处理方
供应商维护并更新其授权子处理方名单,详见 https://trust.cursor.com/subprocessors。
附件 3
技术和组织措施
本附件 3 载明了 Anysphere, Inc.(“Anysphere”)根据《数据处理协议》(“DPA”)实施的技术和组织安全措施。Anysphere 已通过 SOC 2 Type II 认证,您可通过我们的 Trust Center(https://trust.cursor.com)(“Trust Center”)获取我们的认证副本。此外,Anysphere 的安全实践还在我们的安全页面中作了进一步说明,参见 https://www.cursor.com/security。Anysphere 的技术和组织安全措施包括:
-
访问控制: 对个人数据的访问仅限授权人员,并通过基于角色的访问控制以及多因素认证等强身份验证机制来确保访问安全。
-
员工培训与意识提升: 员工会定期接受关于数据保护、隐私和安全最佳实践的培训。
-
数据加密: Anysphere 采用行业标准的加密协议,确保个人数据在静态存储和传输过程中均保持加密状态。加密密钥得到安全管理并定期轮换。
-
基础设施安全: Anysphere 的基础设施框架和安全协议在我们的 Trust Center 中进行了说明。
-
网络安全: 通过部署防火墙、入侵检测与防御系统来维护网络安全,并定期开展漏洞评估和渗透测试。您可以通过我们的 Trust Center 请求一份渗透测试报告副本。
-
应用安全: 遵循安全的软件开发实践,包括代码审查和安全测试,并使用 Web 应用防火墙来防御常见的 Web 攻击。
-
数据备份与恢复: 定期对个人数据进行备份并安全存储,制定并定期测试灾难恢复和业务连续性计划。
-
数据中心安全: 数据中心通过物理安全控制进行防护,包括访问控制、监控系统和安保人员。对数据中心的访问仅限授权人员。
-
办公场所安全: 办公场所通过访问控制、报警系统和监控摄像头进行安全防护,访客须登记并由授权人员陪同。
-
安全监控: Anysphere 持续监控系统和网络,以发现并响应安全事件。采用安全信息与事件管理系统来关联和分析安全事件。
-
事件响应: 已建立事件响应计划,以便及时且有效地处理安全事件,并确保数据泄露通知流程符合适用的法律和监管要求。
-
隐私内嵌设计(Privacy by Design): 通过实施 Privacy by Design,将数据保护原则融入系统和流程的设计与开发之中。定期开展隐私影响评估,以识别并降低风险。
-
数据最小化: 个人数据的收集和处理仅限于实现特定目的所必需的范围,并在适当情况下采用数据匿名化和假名化技术。
-
持续监控与改进: Anysphere 持续监控其数据隐私和安全策略,根据需要实施改进和更新,以确保为用户数据提供最高水平的保护。我们努力始终走在行业最佳实践和不断演进的法律要求前沿,以维护客户的信任与信心。
通过实施这些措施,Anysphere 致力于坚持高标准的数据隐私和安全,使我们的用户能够安心使用本服务。