《批量许可Microsoft在线服务数据保护补充协议2020年1月.docx》由会员分享,可在线阅读,更多相关《批量许可Microsoft在线服务数据保护补充协议2020年1月.docx(21页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、批量许可Microsoft在线服务数据保护补充协一2020年1月附录A -安全措施对于核心在线服务中的客户数据,Microsoft已经实施并将维持以下安全措施,这些措施连同本DPA (包括GDPR条款)中的安全承诺是 M icrosoft在此类数据安全性方面的唯一贡任。领域惯例信息安全组织安全责任方. Microsoft已任命一位或多位安全官负贡协调和监控安全规则及程序。 安全角色和责任,能够访问客户数据的Microsoft人员必须遵守保密义务.风险管理程序.在处理客户数据或启动在线服务之前,Microsoft已执行风险评估。在安全文档失效之后,Microsoft将根据相应保留要求来保留其安全
2、文档。资产管理资产清单 Microsoft维护存储客户数据的所有介质的清单。只有获得柠面访问授权的Microsoft人员方可访问此类 介质清单。资产处理- 微软对客户数据进行分类,以相助标识此类数据,并允许对访问进行适当限制。- 微软对打印客户数据实施限制,弁制定了处置包含客户数据的打印材料的程序。- 在将客户数据存储在便携式设备上、远程访问客户数据或在微软设施外部处理客户数据之前,微软人员必须获 得微软授权。人力资源安全安全培训,Microsoft向共员工通告有关安全程序及其相应角色的事宜。Microsoft还向其员工通告违反安全规则和 程序可能带来的后果。Microsoft在培训中将只使用
3、匿名数据。物理和环境安全出入设施,Microsoft只允许已确认身份的授权人员出入处理客户数据的信息系统所在的设施。访问组件. Microsoft维护包含客户数据的介腹的收发记录,包括介质类型、授权发送人/接收入、日期和时间、介 质数量、所含客户数据类型。防止中断,Microsoft使用各种行业标准系统,防止由于电源故障或线路干扰导致数据丢失。组件报废处置,不再需要客户数据时,Microsoft将使用行业标准流程来附除该数据。通信和运营管理运营策略Microsoft维护安全文档,此类文档描述Microsoft的安全措施和相关程序,以及能够访问客户数据的 Microsoft人员的责任.数据恢复程
4、序- 微软长期维护客户数据的多份副本,以便能够从该副本恢复客户数据,但备份频率不得低于每周次(除非在 该时段内没有更新任何客户数据)。- 微软将客户数据副本和数据恢复程序保存在不同于处理客户数据的主要计算机设备所在位过的地方。- 微软制定特定程序来监管对客户数据副本的访问。- Microsoft至少每六个月对数据恢复程序审核一次,但不包括Azure政府服务数据恢豆程序(该程序每1二个月 审核一次)。- Microsoft记录数据恢更工作,包括负责人员、所恢复数据的描述,以及在适用的怙况在数据恢复过程中必 须手动输入哪些数据(如果有).恶意软件. Microsoft实施了反恶意软件控制,帮助防止
5、恶意软件获得对客户数据的未授权访问权限,包括来自公 共网络的恶意软件。跨界数据- 微软会加密或允许客户加密通过公共网络传输的客户数据。- 微软限制对从其设施取出的介质上的客户数据的访问。活动记录,Microsoft会记录或允许客户记录信息系统的访问和使用情况,包含客户数据、注册访问ID、时间、授 予或拒绝的授权以及相关活动。访问控制访问策略,Microsoft维护能够访问客户数据的人员的安全权限记录。访问授权- 微软将维护并更新有权访问包含客户数据的微软系统的相关人员的记录。- 对于已有一段时间(不超过六(6)个月)未使用的身份验证凭据,Microsoft将予以停用。- 微软将指定可以授权、更
6、改或取消数据和资源的访问权限的人员.- 微软确保如果有多个人员具有访问客户数据所在系统的权限,则每个人都具有单独的标识符/登录名。最小权限- 仅允许技术支持人员在需要时访问客户数据.- 微软只允许需要访问客户数据才能履行其工作职能的人员访问客户数据。完整性和保卷性- Microsoft指示Microsoft人员在离开Microsoft控制的场所或在计算机无人照看时禁用管理会话。- Microsoft以一种在生效期间确保不会泄密的方式来存储密码。身份验证- Microsoft使用行业标准做法来确定试图访问信息系统的用户的身份,并对他们进行身份验证。- 如果身份脸证机制是基于密码的,则Micros
7、oft要求该密码必须定期更新,- 如果身份验证机制是基于密码的,则Microsoft要求该密码长度至少为八个字符。- Microsoft确保不料已停用或过期的标识符授予其他人力。- 微软将监控或允许客户监控使用无效密码反组尝试访问信息系统的行为.- Microsoft维护行业标准程序,以停用已被破坏或无意中泄露的密码.- Microsoft使用行业标准密码保护做法,包括在分配或分发密科时和存储期间保持密码的机密性和完整性的做 法。网络设计.Microsoft采取控制措施,避免人员获取对未授权他们访问的客户数据的访问权限。信息安全事件管理事件响应流程- Microsoft维护安全违规行为的记录,
8、包括违规行为的描述、时间、违规行为的后果、报告者名称、接收违规报 告的人员,以及恢史数据的程序.- 对丁,屈于安全事件的每次安全违规,Microsoft应在72小时内发出通知(见上文中“安全事件通知”一节的规 定),任何情况下均不得无正当理由拖延。- Microsoft会跟踪或允许客户跟踪客户数据的披露情况,包括披露的具体数据、披露对象和披密时间。服务监控,Microsoft安全人员至少每六个月验证一次日志,如果需要将会提议修正措施。业务连续性管理-微软维护处理客户数据的微软信息系统所在的设施的应急计划。-微软的冗余存储及其恢更数据的程序旨在尝试按照客户数据丢失或破坏之前的原始或卜.次亚制的状
9、态来重建数 据.领域惯例附件1-声明专业服务专业服务依照下面的“专业服务条款”提供。不过,如果专业服务根据单独的协议提供,则适用该单独协议的条款。适用本声明的专业服务不是在线服务,并且在线服务条款和DPA的其余部分将不适用,除非下面的专业服务条款另有明确规定。专业服务数据的处理:所有权Microsoft将仅出于以下目的使用和以其他方式处理专业服务数据:(a)根据客户记录在案的指令向客户提供专业服务以及(b)保证 Microsoft的合法经营活动,这两种情况的详情及限制如卜文所示在双方之间,客户拥有对专业服务数据的所有权利、所有权和权益。除 了客户授予Microsoft的向客户提供专业服务的权利
10、之外,Microsoft不获得有关专业服务数据的任何权利。本段落不影响Microsoft向客户 许可的软件或服务中包含的Microsoft的权利。处理数据以便为客户提供专业服务就本DPA而言,“提供”专业服务包括: 提供专业服务,包括提供技术支持、专业计划、建议、指导、数据迁移、部署和解决方案/软件开发服务: 故障排除(预防、检测、调查、缓解和修夏问题,包括安全事件);以及 持续改进(维护专业服务,包括安装最新更新,以及对可能性、效力、质量和安全性进行改进)。提供专业服务时,Microsoft不会出于以卜.目的使用或以其他方式处理专业服务数据:(a)用户概况分析、(b)广告或类似商业目的,或者
11、 (0旨在创建新功能、眼务或产品的市场调研或任何其他目的,除非此类使用或处理符合客户记浆在案的指令。为保证Microsoft的合法经营活动而进行处理就本DPA而言,Microsoft的合法经营活动”包括以下各项:帐单和帐户管理;(2)报酬(例如计算员工佣金);(3)内部报告和建模 (例如,预测、收入、产能规划、产品战略);(4)打击可能影响Microsoft或Microsoft产品的欺诈、网络犯罪或网络攻击:(5)改进可 访问性、隐私或能效等核心功能;以及(6)财务报告或遵守法律义务(遵守下文概述的披露限制),上述每项都是一个向客户提供专业 服务的事件。在为保证Microsoft的合法经营活动
12、而进行处理时,Microsoft将不会出于以卜目的使用或以其他方式处理专业服务数据:(a)用户概况分 析,或(b)广告或类似的商业目的。专业服务数据的披露OST数据保护条款”部分中关于“已处理数据的披露”的规定适用于客户针对专业服务数据签订的专业服务协议。个人数据的处理:GDPR通过与Microsoft合作以获得专业服务而由客户或代衣客户提供给Microsoft的个人数据也属于专业服务数据。如果Microsoft是受GDPR约束的个人数据的处理方或子处理方,则该处理活动受附件3中GDPR条款的约束,并且双方还同意本小节 (“个人数据的处理:GDPR”)中的以下条款:处理方和控制方的角色和责任客
13、户和Microsoft同意,客户是专业服务数据中所含个人数据的控制方,而Microsoft是处理方,但以下情况除外:(a)由客户充当个人数 据处理方,此时Microsoft是子处理方:或(b)本专业服务条款另有规定。当Microsoft充当个人数据的处理方或子处理方时,只能依照 记录在案的客户指令来处理个人数据。客户同意,其批量许可协议(包括本DPA和OST)以及双方之间达成的任何服务声明是客户就专 业服务数据中所含个人数据的处理向Microsoft作出的最终且完整的记录在案指令。任何附加或替代的说明必须依照修订客户的批量许 可协议或服务声明的流程得到认可。在GDPR适用且客户是处理方的情况下
14、,客户向Microsoft保证,客户的指令(包括指派Microsoft 作为处理方或子处理方)已获得相关控制方的授权。如果Microsoft按照GDPR或其他数据保护要求使用或以其他方式处理与Microsoft合法经营活动有关的专业服务数据,则Microsoft将成 为此类用途的独立数据控制方,并将负责遵守所有适用的法律和控制方义务。Microsoft使用保护措施保护正在处理的专业服务数据, 包括本DPA中指明以及GDPR第6(4)条中所述的数据。处理详细信息双方确认并同意: 主题事项。处理活动的主题事项仅限于这些专业服务条款的上述“专业服务数据的处理;所有权”一节以及GDPR范围内的个人数据
15、。 处理活动的持续时间。处理活动的持续时间应遵照客户指令和这些专业服务条款。 处理活动的性质和目的。处理活动的性质和目的应为依照客户的批量许可协议和任何服务声明提供专业服务(详见这些专业服务 条款的上述“专业服务数据的处理:所有权”一节)。 数据类别。处理的与提供专业服务相关的个人数据的类型包括(i)客户选择包含在专业服务数据中的个人数据;以及(ii) GDPR第4 条中明确标明的类型。对于客户选择包含在客户数据中的专业服务数据的类型,可以是客户根据GDPR第30条作为控制方所维护 记录中指明的个人数据的任何类别,包括/DPA的附件2的附录据标准合同条款(处理方)”中规定的个人数据的类别。 数
16、据主体。数据主体的类别为客户的代表和最终用户(如员工、承包商、合作方和客户),可能包括客户根据GDPR第30条作为 控制方所维护记录中指明的数据主体的任何其他类别,包括一DPA的附件2的附录广标准合同条款(处理方)中规定的数据主体 的类别。数据主体权利:协助完成请求对于客户在在线服务中存储的专业服务数据,Microsoft将履行DPA的“数据保护条款”部分的数据主体权利:协助完成请求”条款中规定 的义务。对于其他专业服务数据,Microsoft将根据下面的“数据删除或退回“部分删除或退回专业服务数据的所有副本。处理活动的记录如果GDPR要求Microsoft收集和维护与客户有关的某些信息的记录
17、,客户将应要求将此类信息提供给Microsoft,并保持其准确和最新。 如果GDPR要求,Microsoft可将任何此类信息提供给监管机关。数据安全性安全实践和策略Microsoft将实施并维持适当的技术和组织措施来保护专业服务数据,防止传输、存储或以其他方式处理的个人数据遭到意外或非法破 坏、丢失、更改、未经授权的披露或访问。这些措施应在Microsoft安全策略中规定。Microsoft将向客户提供该策略,以及客户合理要 求获取的有关Microsoft安全实践和策略的其他信息。客户责任DPA数据保护条款中关于“客户责任”的规定适用于客户针对专业服务数据签订的专业服务协议。此外,关于客户的专
18、业服务合约,客户 同意不向Microsoft提供除支持数据以外的任何专业服务数据,对于这些专业服务数据,应遵守家庭教育权利和除私法案20 U.S.C. 1232g (FERPA)或 1996 年健康保险流通与责任法案(Pub.L. 104-191)伸IPAA)。安全事件通知DPA的“数据保护条款部分的安全事件通知”条款适用于客户关于专业服务数据的专业服务合约。数据传输关于专业服务数据,Microsoft在DPA的“数据保护条款”部分的数据传输”条款中做出了适用于个人数据的承诺。数据删除或退回在实现收集或传输专业服务数据的商业目的之后,或在这之前但客户提出请求后,Microsoft将删除或退回专
19、业服务数据的所有副本,除 非适用法律允许或要求Microsoft保留此类数据,或者本DPA授权Microsoft予以保留。处理方保密承诺Microsoft将确保其负贡处理专业服务数据的人员(i)仅依照客户指令或这些专业服务条款中的规定处理此类数据:且(ii)有义务维护此类数 据的机密性和安全性,即便在任务结束之后仍把如此。Microsoft应依照适用的数据保护要求和行业标准,定期为具有专业服务数据访问 权限的Microsoft员工提供强制性数据隐私和安全培训与教育。关于使用子处理方的通知和控制Microsoft可能会聘用第三方来代表Microsoft提供某些有限或辅助服务。客户同意,这些第三方
20、和Microsoft附属公司可以以子处理方的身 份进行参与。如果标准合同条款或GDPR条款要求征得此类同意,上述授权将构成客户对“Microsoft分包对专业服务数据处理工作”的事先 书面同意。Microsoft应负贡保证其专业服务数据子处理方履行DPA附住1中规定的Microsoft义务。Microsoft将通过书面合同确保子处理方仅会出于 交付Microsoft委托其提供的服务之目的而访问和使用专业服务数据,并禁止其将专业服务数据用于任何其他目的。Microsoft应确保子处 理方受相应书面协议的约束,且此类协议要求子处理方至少提供这些专业股务条款要求Microsoft提供的数据保护级别。
21、Microsoft同意监 督子处理方,以确保履行这些合同义务。关于支持数据以外的专业服务数据,在接到请求后,Microsoft会提供其子处理方列表。如果接到了要求提供此类列表的请求,则在授权 任何新的子处理方访问个人数据之前,Micros。代将至少提前十四(30)天更新此列表,并为客户提供用于获得该更新通知的机制。如果客户不认可新的子处理方,则可以终止受影响的专业服务合约,但前提是应在相关通知期结束之前提供书面终止通知。客户还可以随 终止通知一起解释不认可的理由,以便Microsoft能够根据适用的顾虑重新评估任何此类新的子处理方。关于支持数据,Microsoft在提供在线服务技术支持时使用子
22、处理方的活动须遵守一些限制和程序,这些限制和程序与其对在线服务使用 子处理方的活动时应遵守的限制和程序相同,如DPA关于使用子处理方的通知和控制的条款所述。针对支持数据的附加条款支持数据的保护措施Microsoft将实施并维护适当的技术和组织措施来保护支持数据。这些措施应符合ISO 27001、ISO 27002和ISO 27018中规定的要求教育机构Microsoft的确认和协议以及DPA的“数据保护条款”部分的教育机构”条款中规定的客户须征得家长同意和传达通知的责任同样适用于 支持数据。加州消费者隐私法(CCPA)如果Microsoft在CCPA范围内处理个人数据,则Microsoft对客
23、户作出以下额外承诺。Microsoft将代表客户处理专业服务数据,不会出于 本DPA规定目的以及CCPA (包括任何“销售”豁免)允许目的以外的任何其他目的保留、使用或披露这些数据。在任何情况下,Microsoft 都不会出售任何此类数据。这些CCPA条款并不会限制或减少Microsoft在与客户签署的DPA、在线服务条款或其他协议中向客户作出的数 据保护承诺。附件2 -标准合同条款(处理方)客户签署批量许可协议的同时会签署本附件2,后者由微软公司进行会签。如欲选择不接受“标准合同条款,客户必须(依据客户的批量 许可协议条款)向Microsoft发送包含以下信息的书面通知:不接受条款的客户及任
24、何关联公司依法登记的完整名称; 适用不接受这一意思表示的批量许可协议(如果客户拥有多个批量许可协议):以及 客户(或关联公司)不接受标准合同条款的声明。根据欧盟委员会2010/87/EU (2010年2月)的规定,在使用标准合同条款需要监管机构批准的国家/地区,标准合同条款无法用于从该国 家/地区合法出口数据,除非客户获得了监管机构的批准。2018年5月25日起,在下面的标准合同条款中引用指令95/46/EC中的各个条款将被视为引用GDPR中相关及相应的条款。依据有关将个人数据传输至位于第三方国家/地区(无法确保提供充分的数据保护)的处理方事宜的95/46/EC指令第26(2)条,客户(作 为
25、数据导出者)和微软公司(作为答名出现在下方的数据导入者,单独使用时称为“各方”,合称双方”)均同意以下合同条款(以下简称 条款或标准合同条款”),以便针对数据导出者将本附录1中指定的个人数据传输给数据导入者事宜,给予隐私保护以及个人的基本权 利和自由方面的充分保护。条款1:定义(a)“个人数据、特殊类别的数据、处理、控制方、处理方、数据主体和“监督机构”沿用欧洲议会和欧盟理事会1995年10月24 口关于涉及个人数据处理的个人保护以及此类数据自由流动的95/46/EC指令中的定义:(b)“数据导出者“指传输个人数据的控制方:数据导入者”指同意从数据导出者接收个人数据,以依照其指示和标潴合同条款
26、中的条款,在传输之后代表其自身对数据进行处理的处 理方。该处理方不受95/46/EC指令第25条所定义的确保充分保护的第三方国家/地区系统的约束;(d)子处理方”指由数据导入者或数据导入者的任何其他子处理方雇用的处理方,其同意从数据导入者或数据导入者的任何其他子处理方 接收个人数据(专门用于处理数据传输之后、代表数据导出者进行的活动,并且依照其指示、条文中的条款和节面子合同中的条款);(e)适用的数据保护法”指保护个人的基本权利和自由(特别是其关于处理个人数据的隐私权)的法律,适用于在其中建立数据导出者的成 员国中的数据控制方:技术和组织安全措施指旨在保护个人数据免受意外或非法破坏,或者避免意
27、外丢失、更改、未经授权的披露或访问(特别是数据处理 涉及通过网络进行数据传输),以及所有其他非法形式的数据处理的措施。条款2:转让详细信息有关转让的详细信息,特别是特殊类别的个人数据(如果适用),将在下面构成条款的组成部分的附录1中指定。条款3:第三方受益人条款L数据主体可以作为第三方受益人,对数据导出者实施本条款、条款4(b)至(i)、条款5(a)至(e),以及(g)至(j)、条款6(1)和(2)、条款7、 条款8(2)和条款9至12。2 .如果数据导出者事实上已消失或者在法律上已不复存在,数据主体可以对数据导入者实施本条款、条款5(a)至(e)和(g)、条款6、条款 7、条款8(2)和条款
28、9至12,除非任何后续实体已根据协议或依照现行法律承担数据导出者的全部法定义务,从而享有数据导出者的权利 并承担其义务,在此情况下,数据主体可以对此类实体实施这些条款。3 .如果数据导出者和数据导入者事实上已消失、在法律上已不且存在或者已经破产,数据主体可以对子处理方实施本条款、条款5(a)至(e) 和(g)、条款6、条款7、条款8(2)和条款9至12,除非任何后续实体已根据协议或依照现行法律承担数据导出者的全部法定义务,从而 享有数据导出者的权利并承担其义务,在此情况下,数据主体可以对此类实体实施这些条款。子处理方的此类第三方责任应限于其根据条 款的门有的处理操作。4 .如果数据主体明确表明
29、此类意愿且国家/地区法律允许,双方不反对数据主体由关联公司或其他机构进行代表。条款4:数据导出者的义务数据导出者同意并保证:个人数据的处理(包括传输本身)已经并将继续根据适用的数据保护法的相关规定(在适用时已通知在其中建立数据导出者的成员国 中的有关当局)执行,并且不违反与该成员国的相关规定。(b)其已指示并将在整个个人数据处理服务期间指示数据导入者仅代表数据导出者,旦根据适用的数据保护法和条款来处理传输的个人数 据;(c)数据导入者将提供关于下面的附录2中指定的技术和组织安全措施的充分保证;(d)在评估适用的数据保护法要求之后,安全措施是适当的,可以保护个人数据免受意外或非法破坏,或者避免意
30、外丢失、更改、未经授 权的披露或访问(特别是数据处理涉及通过网络进行数据传输),以及所有其他非法形式的数据处理,并且这些措施可以确保适当的安全 级别来应对要保护的数据的处理及其性质所带来的风险,同时还考虑到技术现状以及实施这些措施的成本;其将确保遵守这些安全措施:如果传输涉及特殊类别的数据,数据主体已被通知,或者在传输之前(或在之后尽快)被通知其数据可传输至未根据95/46/EC指令中 的定义提供充分保护的第三方国家/地区:(g)在数据导出者决定继续传输或取消暂停的情况下,将从数据导入者或任何子处理方接收到的通知转发给数据保护监督机构(依照条款 5(b)和条款8(3);(h)根据请求向数据主体
31、提供条款的副本(附录2除外)、安全措施的概述,以及须根据条款签订的任何子处理服务协议的副本,除非条 款或合同包含商业信息,在此情况下,其可以删除此类商业信息:(i)在进行子处理时,处理活动须由子处理方根据条款11执行,并且应根据条款,至少提供与个人数据保护相同的保护级别,以及与数据 主体相同的权利;以及(j)其将确保遵守条款4(a)至。条款5:数据导入者的义务数据导入者同意并保证:仅代表数据导出者处理个人数据,并且遵守其指示和条款;如果出于任何原因,无法遵守此类指示和条款,其同意立即通知数据导出 者,此时数据导出者有权暂停数据传输并且/或者终止协议:(b)其没有任何理由相信,对其适用的法律可使
32、其免于遵守从数据导出者获得的说明、免于根据协议履行义务,并且在该法律发生变更, 且可能会对条款提供的保证和义务产生重大不利影响时,其旦知道,会立即就这变更通知数据导出者,此时数据导出者有权暂停数据 传输并且/或者终止协议;(c)在处理传输的个人数据之前,其已实施附录2中指定的技术和组织安全措施:(d)其将立即通知数据导出者关于:由执法机构提出、要求披露个人数据的任何具有法律约束力的请求,除非另有规定禁止,例如根据刑法保持执法调查的机密性而 禁止披露的情况,(ii)任何意外或未授权的访问,以及(iii)直接从数据主体收到且未进行回应的请求,除非其已被授权这样做:及时妥善处理数据导出者提出的关于其
33、处理传输的个人数据的所有查询,以及遵守监督机构关于处理传输数据的建议;在数据导出者的请求下,提交其数据处理设备以进行条款规定的处理活动审查,该审查应由数据导出者或由独立成员构成、具有受保 密义务约束的所需专业资格的检查机构执行,并且在征得监督机构同意的情况下,应由数据导出者选定(如果适用):(g)根据请求向数据主体提供条款或任何现有子处理协议的副本,除非条款或协议包含商业信息,在此情况下,其可以删除此类商业信息 (应由安全措施概述替换的附录2除外,此时数据主体无法从数据导出者获得副本):(h)如果进行子处理,其之前已通知数据导出者,并已事先获得数据导出者的书面同意:(i)子处理方提供的处理服务
34、将依照条款11执行:以及立即向数据导出者发送根据条款达成的任何子处理方协议的副本。条款6:责任1 .双方同意因任何一方或子处理方违反条款3或条款11中所提及的义务而遭受损失的任何数据主体均有权针对所遭受的损失从数据导出 者那里得到相应补偿。2 .如果由于数据导出者事实上已消失、在法律上已不宜存在或者已经破产,数据主体无法根据第1段的内容对数据导出者提出索赔(由数 据导入者或其子处理方违反任何条款3或条款11中所提及的义务而产生),数据导入者同意数据主体可以对数据导入者提出索赔,如同 其就是数据导出者,除任何后续实体已根据协议或依照现行法律承担数据导出者的全部法定义务,在此情况下,数据主体可针对
35、此类实 体行使其权利。数据导入者不得依赖于子处理方违反其义务的行为,来逃避其自身的责任。3 .如果由于数据导出者和数据导入者事实上已消失、在法律上已不复存在或者已经破产,数据主体无法对第1段和第2段中所提及的数据 导出者或数据导入者提出索赔(由数据导入者或其子处理方违反任何条款3或条款11中所提及的义务而产生),子处理方同意数据主体 可以根据条款对数据子处理方就其自有的处理操作提出索赔,如同其就是数据导出者或数据导入者,除非任何后续实体已根据协议或依照 现行法律承担数据导出者的全部法定义务,在此情况下,数据主体可针对此类实体行使其权利。子处理方的责任应限于其根据条款的自有 的处理操作。条款7:
36、仲裁和管辖权L数据导入者同意,如果数据主体根据条款对其提出第三方受益者权利和/或损失索赔,数据导入者将接受数据主体的决定:将争议提交独立人士或监督机构(如果适用)进行调解;(b)将争议提交到数据导出者所在成员国的法院。2.双方同意数据主体作出的选择不会影响其依照其他国家/地区或国际法规定寻求补救措施的实体和程序权利。条款8:与监督机构协作1 .数据导出者同意备案与监督机构签署的协议的副本(如果其要求备案,或者适用的数据保护法要求备案)。2 .双方同意,监督机构有权对数据导入者和任何子处理方进行审查,审查范围和所依据的条件与根据适用的数据保护法审查数据导出者相 同。3 .数据导入者应立即就存在对
37、其或任何子处理方适用的法律(使其免于依照第2段对数据导入者或任何子处理方进行的审查)一事通知数 据导出者。在此情况下,数据导出者应有权采取条款5(b)中预见的措施。条款9:管辖法律。这些条款应受在其中建立数据导出者的成员国的法律的约束。条款10:合同的变动双方保证不改变或修改条款。但这并不排除双方还会在需要时就业务相关的问题添加条款(只要不与条款相矛盾)。条款11:子处理L在未事先获得数据导出者的书面同意时,数据导入者不应分包根据条款代表数据导出者执行的处理操作。当数据导入者征得数据导出者 的同意并根据条款分包其义务时,其只应通过与子处理方签署书面协议的方式进行分包,该协议将向子处理方施加与根
38、据条款向数据导入 者施加的义务相同的义务。当子处理方无法根据此类书面协议履行其数据保护义务时,数据导入者应对数据导出者根据此类协议履行子处 理方的义务完全负责。4 .数据导入者和子处理方事先签署的书面协议还应提供条款3中规定的第三方受益人条款,该条款适用于由于数据导出者或数据导入者事 实上已消失或者在法律上已不复存在,或者己经破产且无后续实体根据协议或依照现行法律承担数据导出者或数据导入者的全部法定义务, 数据主体无法对他们提出条款6第1段中所提及索赔的情况。子处理方的此类第三方贡任应限于其根据条款的自有的处理操作。5 .第1段所提及的与合同中的子处理数据保护方面有关的规定应受在其中建立数据导
39、出者的成员国的法律的约束。6 .数据导出者应保留根据条款签署、由数据导入者依照条款5 (j)通知的子处理协议的列表(应至少每年更新一次)。该列表应提供给数据 导出者的数据保护监督机构。条款12:个人数据处理服务终止之后的义务1 .双方同意,在数据处理服务的规定终止之后,数据导入者和子处理方应根据数据导出者的选择,向数据导出者退回所有传输的个人数据 和副本,或者应销毁所有个人数据并向数据导出者证明数据已销毁,除非法律禁止数据导入者退回或销毁传输的全部或部分个人数据。在 此情况下,数据导入者应保证它能保证传输的个人数据的机密性,而且将不再主动处理传输的个人数据。2 .数据导入者和子处理方保证,其将
40、按照数据导出者和/或监督机构的请求,提交其数据处理设备以进行第1段中所提及的措施的审查。标准合同条款的附录1数据导出者:客户是数据导出者。数据导出者是DPA和OST中定义的在线服务用户。数据导入者:数据导入者是微软公司(全球软件和服务生产商)。数据主体:数据主体包括数据导出者的代表和最终用户,包括数据导出者的员工、承包商、合作者和客户。数据主体还可以包括尝试与 数据导入者提供的服务的用户进行通信或向其传输个人信息的个人。Microsoft承认,根据客户对在线服务的使用情况,客户可以选择在 客户数据中包含以下任何数据主体类型的个人数据: 数据导出者的(当前、以前或准)员工、承包商和临时员工; 上
41、述人员的家属: 数据导出者的合作方/联系人(自然人)或者法律实体合作方/联系人的员工、承包商或临时员工(当前、以前或准员工); 用户(例如,顾客、客户、患者、访客等)以及作为数据导出者服务用户的其他数据主体: 与数据导出者的员工进行枳极协作、交流或以其他方式互动,和/或使用数据导出者提供的应用程序和网站等通信工具的合作伙 伴、利益相关方或个人; 被动地与数据导出者互动的利益相关方或个人(例如,因为他们是调查研窕的主体,或在与数据导出者的往来文档或通信中被提 及): 未成年人:或者 拥有专业特权的专业人员(例如,医生、律师、公证人、宗教工作者,等等)。数据类别:传输的包含在电子邮件或文档中的个人
42、数据,以及在线服务环境中的其他电子形式的数据。Microsoft承认,根据客户对在线 服务的使用情况,客户可以选择在客户数据中包含以下任何类别的个人数据: 基本个人数据(例如出生地点、街道名称和门牌号(地址)、邮政编码、居住城市、居住国家/地区、手机号码、名字、姓氏、 姓名的首字母、电子邮件地址、性别、出生日期),包括有关家庭成员和子女的基本个人数据: 身份验证数据(例如用户名、密码或PIN码、安全性问题、审计线索): 联系人信息(例如地址、电子邮件、电话号码、社交媒体标识符;紧急联系人详细信息); 唯一标识号和签名(例如社会保障号、银行帐号、护照和身份证号、驾照号码和车辆登记号码、IP地址、
43、员工编号、学号、门诊 号、签名、采用跟踪Cookie或类似技术的唯一标识符); 假名标识符; 财务和保险信息(例如保险号、银行帐户名称和帐号、信用卡名称和号码、发票号码、收入、保险类别、支付行为、信用状况): 商业信息(例如购买历史记录、特别优惠、订购信息、付款历史记录); 生物特征信息(例如DNA、指纹和虹膜扫描): 位苴数据(例如小区标识、地理位置网络数据、开始呼叫/结束呼叫的位置。使用WiFi接入点获得的位置数据): 照片、视频和音频; Internet活动(例如浏览历史记录、搜索历史记录、阅读、看电视、听收音机活动): 设备标识(例如IMEI号码、SIM卡号、MAC地址); 概况分析(
44、例如基于观察到的犯罪或反社会行为,或基于访问过的URL、点击流、浏览口志、IP地址、域、安装的应用程序的匿 名配置文件,或基于营销偏好的配置文件): 人力资源和招聘数据(例如就业状况声明、招聘信息(如履历、就业经历、教育经历详细信息)、工作和职位数据(包括工作时 问、评估和工资)、工作许可详细信息、工作机会、雇用条款、税收详细信息、付款详细信息、保险详细信息以及位置和组织): 教育数据(例如教育经历、当前教育、分数和成绩、获得的最高学位、学习障碍); 公民和居住信息(例如公民身份、入籍状态、婚姻状况、国籍、移民身份、护照资料、居住详细信息或工作许可证); 为执行维护公共利益或行使官方权力的任务
45、而处理的信息: 特殊数据类别(例如种族或民族、政见、宗教或哲学信仰、工会成员资格、遗传数据、用于唯一识别自然人的生物数据、有关健 康的数据、有关自然人的性生活或性取向的数据,或与刑事定罪或犯罪有关的数据);或者GDPR第4条规定的任何其他个人数据。处理操作:传输的个人数据将受以下基本处理活动的约束:a.数据处理的持续时间和目标。数据处理的持续时间应为数据导出者与向其附加这些标准合同条款的Microsoft实体(以下简称 “Microsoft)之间签订的适用批量许可协议下指定的期限。数据处理的目标是履行在线服务。b.数据处理的范围和目的.DPA的“个人数据的处理:GDPR 节中介绍了处理个人数据
46、的范围和目的。数据导入者在全球范围内 运营数据中心和管理/支持设施网络,则可依照DPA的“安全实践和策略”一节,在数据导入者或其子处理方运营此类设施的任何法 律管辖范围内进行数据处理。c.客户数据访问。在适用的批量许可协议下指定的期限内,数据导入者将依据适用的法律,根据需要自行选择实施欧盟数据保护指 令第12(b)条,以便:1)让数据导出者能够更正、删除或阻止客户数据,或Microsoft能够代表数据导出者执行此类更正、删除 或阻止操作。d.数据导出者的指示。对于在线服务,数据导入者将仅遵照数据导出者的指示行事(如Microsoft所转达)。e.客户数据删除或返还.依据适用于本协议的OST和D
47、PA的规定,数据导出者使用在线服务的权利期满或终止后,它可以提取客 户数据,并且数据导入者将删除客户数据。分包商:依照DPA,数据导入者可以聘请其他公司代表其提供有限服务,例如提供客户支持。仅允许所有此类分包商为了交付数据导入者 委托提供的服务而获取客户数据,而不得将客户数据用于任何其他目的。标准合同条款的附件2数据导入者依照条款4(d)和5(c)实施的技术和组织安全措施说明:L人员。在未获得授权的情况下,数据导入者的人员将不会处理客户数据。这些人员有义务保持任何客户数据的机密性,即便在高职之后 仍有义务继续保密。2.数据隐私联系人。可以通过以下地址联系数据导入者的数据隐私官:Microsoft Corporation收信人:首席隐私专员1 Microsoft WayRedmond, WA 98052 USA3.技术和组织措施。数据导入者已经实施并将维持适当的技术和组织措施、内部控制和信息安全例程,以保护客户数据(如DPA的安全 实践和策略”部分中所定义),防止意外丢失、销毁或更改:未经授权的披露或访问:或者非法销毁,如卜所述:DPA的“安全实践和策略” 部分中规定的技术和组织措施、内部控制和信息安全例程在此通过提及方式纳入本附录2,并且对数据导入者有约束力,如同它们全部在 本附录2中规定一样。Microsoft Corporation的签名出现在以卜,页面。