Contract
《个人信息委托处理协议》
单击或点击此处输入文字。
单击或点击此处输入文字。
——作为委托方——和
——作为受托方——
签订于
单击或点击此处输入文字。
梅赛德斯-奔驰 | 个人信息委托处理协议 2
联系方式 | |
委托方 | |
公司名称 | 单击或点击此处输入文字。 |
地址 | 单击或点击此处输入文字。 |
联系人 | 单击或点击此处输入文字。 |
电话 | 单击或点击此处输入文字。 |
电子邮箱 | 单击或点击此处输入文字。 |
受托方 | |
公司名称 | 单击或点击此处输入文字。 |
地址 | 单击或点击此处输入文字。 |
联系人 | 单击或点击此处输入文字。 |
电话 | 单击或点击此处输入文字。 |
电子邮箱 | 单击或点击此处输入文字。 |
梅赛德斯-奔驰 | 个人信息委托处理协议 3
1. 适用
1.1 本《个人信息委托处理协议》(“本协议”)适用于受托方作为委托方的供应商或合作伙伴,在向委托方提供货物或服务的过程中,接受委托方的委托,代表委托方处理个人信息的相关活动。
1.2 本协议附件 1 数据处理问卷(“附件 1”)问卷A 由委托方填写,受托方应提供一切必要的支持与协助,除非经委托方同意,受托方在履行本协议过程中开展的相关活动不得超出附件 1 问卷 A 约定的范围。本协议附件 1 问卷 B 由受托方填写,构成受托方于本协议项下的xx与保证。受托方在履行本协议的过程中,如需对本协议附件 1 问卷 B 中信息进行更新和修改,其应及时告知委托方。
2. 定义
在本协议中:
2.1 “数据保护法律和法规”指适用于委托方或受托方的,有关个人信息安全、数据安全及网络安全的所有法律、法规和国家标准,包括且不限于《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》、《中华人民共和国网络安全法》等。
2.2 “数据保护及信息安全措施”指本协议附件 1 问卷 B 中所列的措施以及其他本协议所约定、或履行本协议所需的措施。
2.3 “中国”指中华人民共和国,出于本协议之目的,不包括香港特别行政区、澳门特别行政区和台湾地区。
2.4 “处理”指包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等活动。
2.5 “个人信息”指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
2.6 “个人信息安全事件”指个人信息出现未授权使用、未授权或意外修改损毁或者泄露、篡改、丢失、擅自传输、擅自处理及其他形式的滥用。
3. 受托方处理权限
3.1 受托方在处理委托方提供的个人信息时,应遵守适用的数据保护法律和法规。
3.2 受托方在处理委托方提供的个人信息时,应仅严格遵照委托方的指示。除了双方在本协议附件 1 问卷 A 中做出的约定,所有指示必须由委托方以书面形式或者电子邮件形式做出。
3.3 受托方不得超出上述指示,为了自身或第三方的目的,处理委托方向其提供的个人信息。如果受托方认为委托方给出的指示可能违反适用的数据保护法律和法规,或者因其他特殊原因无法按照委托方的指示处理个人信息,受托方应及时通知委托方,并提供充分说明。
3.4 除非获得委托方事先书面同意或本协议另有约定,受托方不得将任何委托方提供的个
xxx斯-奔驰 | 个人信息委托处理协议 4
人信息传输至任何第三方,且不得允许任何第三方获取该等个人信息。
3.5 除非双方另有书面约定,对于委托方向受托方提供的个人信息,受托方不享有自主决定相关处理活动的权利,且受托方无权取得该等信息的任何副本或复制品的所有权。
4. 受托方的义务
4.1 受托方应按照数据保护法律和法规,采取必要措施保障所处理的个人信息的安全,并协助委托方履行数据保护法律和法规的相关义务。
4.2 受托方应协助委托方响应个人信息主体的相应权利,包括但不限于要求知情、决定、查阅、复制、更正、补充、删除个人信息等权利。如果个人信息主体就上述权利与受托方直接联系,受托方应立即将该等请求书面转告至委托方,并根据委托方的指示处理:
(1)若未获得委托方授权,受托方不得直接响应个人信息主体的行权请求;(2)若委托方授权受托方直接响应,受托方应在委托方授权范围内响应个人信息主体行权请求。
4.3 受托方应对参与处理委托方提供的个人信息的人员进行数据保护培训。
4.4 如果根据适用的数据保护法律和法规,受托方需要任命网络和数据安全专门负责人员
(如网络安全负责人、数据安全负责人、个人信息保护负责人等),受托方应当以书面形式进行任命,并向委托方提供该等人员的详细联系方式。
4.5 一经委托方要求,受托方应提供必要信息和证明材料,且协助委托方履行适用的数据保护法律和法规要求的各项义务,包括但不限于履行通知义务、记录处理活动、开展个人信息安全影响评估以及申报网络安全审查(如适用)等义务。
4.6 除非双方另有书面约定,受托方应承担其为履行本协议各项职责和义务所产生的所有费用。
4.7 委托方可在任何时间要求受托方立即删除本协议项下处理的相关个人信息。如果个人信息已被删除,受托方需确保无法对个人信息进行复原。受托方应以书面形式(包括电子形式)向委托方确认,所有个人信息、相关副本及存储媒介均已归还或删除。如果受托方认为适用的数据保护法律和法规不允许删除特定个人信息,受托方应以书面形式向委托方充分说明理由。
4.8 本协议项下有关个人信息的处理应仅限于在中国境内进行。未经委托方的事先书面同意,受托方不得在中国以外访问或提供机会让他人访问有关个人信息,或使任何个人信息转移至中国以外的其他国家或地区。如受托方违反本 4.8 条的任何规定,委托方有权立即终止本协议。
4.9 如果任何第三方收购受托方多数股份或者表决权或者全部或实质性全部资产或业务,或者受托方的主营业务发生实质性变更,委托方有权终止本协议。
5. 分包商
5.1 对于受托方聘用分包商的,受托方必须事先获取委托方的书面(包括电子形式的)同意。受托方与分包商之间的合同安排,必须符合本协议的约定和要求。尤其是,受托方必须确保委托方可根据本协议第 7 条对分包商进行核查。受托方应向委托方提供关于聘用分包商的所有信息,包括但不限于相关合同文件供委托方审查。
5.2 受托方应填写本协议附件 1 问卷 C 中的分包商信息。一旦委托方签署本协议,则视为
梅赛德斯-奔驰 | 个人信息委托处理协议 5
委托方同意本协议附件 1 问卷 C 所列的分包商参与信息及职责信息。受托方必须确保该类分包商能够采取与受托方相同的方式遵守本协议附件 1 问卷 B 中所列的技术要求和组织要求。
5.3 如果受托方有意在本协议期限内更换或增加分包商,则受托方应首先获得委托方书面形式(包括电子形式)的同意。如果委托方同意,受托方应更新本协议附件 1 问卷 C中的xx,并将本协议附件 1 问卷 C 的更新版本提供给委托方。本协议应随之适用于更新后的本协议附件 1 问卷 C。
5.4 在任何情况下,受托方应就分包商对本协议任何职责和义务的履行向委托方承担连带责任。
6. 信息安全
6.1 受托方保证,其将通过与处理活动风险相适宜的数据保护及信息安全措施来处理委托方提供的个人信息,以防止发生个人信息安全事件。数据保护及信息安全措施必须在本协议附件 1 问卷 B 中填写。无论本协议是否到期或终止,以上措施应在受托方处理或者聘用分包商处理委托方提供之个人信息的期限内持续适用。 如果委托方根据适用的数据保护法律和法规要求,认为受托方需采取额外的安全措施,则其可要求受托方实施该等额外措施。
6.2 受托方应建立信息安全管理体系。考虑相应风险,受托方必须确定需要实施的措施,定期检查并修订。对于相应风险及应对措施,受托方须进行记录并保证实施。
6.3 应委托方要求,受托方应当将数据保护及信息安全措施的实施情况告知委托方。
6.4 遵守批准的行为准则或者认证程序,可作为有效实施数据保护及信息安全措施的因素之一。信息安全管理体系的认证,例如 ISO27001,可作为有效实施数据保护及信息安全措施的因素。然而,该等认证不能替代个案的核查情形。如果有效实施数据保护及信息安全措施的因素包括该等认证,那么该等认证应当作为附件附于本协议。
6.5 受托方仅可在严格必要时授权其人员获取委托方提供的个人信息,并且仅允许该类人员执行与履行本协议相关的任务。一经要求,受托方须向委托方提供授予该类权限的人员的姓名。受托方保证不会将有关该类系统使用的权限披露至未经授权的任何其他人员。如果受托方获权访问委托方的信息技术系统,受托方保证其和其分包商(如适用)仅处理履行其在本协议项下的职责和义务所需的相关个人信息。
6.6 如果本协议附件 1 问卷 B 描述的数据保护及信息安全措施出现重大变动,受托方必须以书面形式(包括电子形式)通知委托方。如数据保护及信息安全措施的变动将会导致数据安全的保护效力降低,受托方须在相关变动之前获取委托方书面形式的(包括电子形式的)同意。
7. 检查
7.1 委托方或者委托方代表有权对受托方是否满足本协议要求开展检查。受托方应提供所需信息。如果委托方得知或者发现受托方:(1)未按照指示或者本协议要求处理个人信息;或(2)受托方未能有效履行个人信息安全保护责任,受托方应按照委托方要求停止相关行为,配合委托方指示采取有效补救措施(例如更改口令、回收权限、断开网络连接等),或消除个人信息面临的安全风险。此外,经委托方要求,受托方应在合理时
xxx斯-奔驰 | 个人信息委托处理协议 6
间内,将委托方提供的问卷调查填写完整并提交证明其满足相应义务的文件,或者以书面确认本协议附件 1 问卷 B 中的措施是适当且及时更新的。
7.2 在事先通知的情况下,委托方或者委托方代表应获得访问受托方办公地点以及受托方处理委托方提供的个人信息的信息技术系统的授权,以便委托方对本协议的实施情况以及数据保护及信息安全措施的适用性进行验证。
7.3 如果监管部门对于受托方和/或受托方使用的信息技术基础设施及系统采取控制程序或其他强制措施,且该等措施与本协议有关或可能影响到本协议的履行,受托方应立即书面通知委托方。如相关部门查封、扣押、司法调查或其他执法行为,或因破产程序、重组程序或者第三方开展的其他活动或者行动,阻碍本协议的履行,受托方应将该等情况立即书面通知委托方。
7.4 在第 7.3 条所规定的情形下,如果受托方接受与委托方提供的个人信息相关的检查、访问或者其他有关授权访问,受托方应采取充分措施确保个人信息的安全。
7.5 受托方同意,委托方可聘用独立第三方机构开展本第 7 条约定的各项检查活动。
8. 个人信息安全事件
8.1 如果有任何已发生的个人信息安全事件,受托方应尽快通知委托方(且任何情形下不得超出其知晓上述情形后 48 小时), 以便委托方能够根据适用的数据保护法律和法规评估下一步计划。
8.2 根据委托方的要求,受托方应采取包括但不限于以下措施:(1)尽快采取必要措施澄清并补救安全事件,包括但不限于停止非法处理、恢复丢失或损坏的个人信息(如可行)、消除一切非法处理手段或措施已造成的影响、升级优化技术和组织安全措施等;(2)向委托方提供用以记录该事件并将视情况向有关监管机构报告、或通知个人信息主体所必要的信息和协助。
9. 通用条款
9.1 在不影响委托方、其关联、附属机构及各自的员工、代理、承包商、高级职员和董事依据中国法律或与本协议有关的任何其他权利或救济的情况下,受托方应就因其自身及其分包商(如有)的任何违规行为引起或与之相关的所有损失、开支、负债、申索、损害和费用,包括法律费用、利润或收入的损失,和/或个人信息主体或政府部门就个人信息处理而提出的任何申索或指控,向委托方、其关联、附属机构及各自的员工、代理、承包商、高级职员和董事做出赔偿,为其抗辩并使其免受损害。
9.2 本协议自双方签署之日起生效,有效期限为:请输入有效期限。如受托方或其分包商
(如有)违反本协议,在不影响委托方基于法律法规和本协议赋予的权利和救济的情况下,委托方可随时书面通知受托方终止本协议且不承担违约责任。
9.3 本协议期限届满或终止之日,受托方应根据委托方的选择,向委托方归还所有委托处理的个人信息及其副本,或删除所有委托处理的个人信息并向委托方证明其已完成上述要求。
如果受托方有义务保留任何委托处理的个人信息以履行适用的数据保护法律和法规的强制性义务,则在此范围内应适用以下规定:(1)受托方应仅在遵守适用的数据保护法律和法规强制性义务所必要的程度和范围内保留该等个人信息的一份副本;(2)受托
xxx斯-奔驰 | 个人信息委托处理协议 7
方保证该等个人信息的保密性,并将不再主动处理该等个人信息。
在本协议期限届满或终止后,只要受托方仍保留任何委托处理的个人信息,则双方在第 9.1 和本 9.3 条项下的权利和义务将继续有效。
9.4 对本协议及其任何部分的变更、补充或修订均需双方的书面同意。
9.5 本协议的签署、解释和履行以及由本协议引起或与之相关的任何争议应受中国法律管辖。
9.6 若本协议的任何条款被认定为无效或不可执行,此等条款的无效性将不影响本协议的其他条款,且所有未受此无效性影响的条款仍具有完整效力和作用。
9.7 本协议附件应被视为本协议的组成部分,与本协议正文具有同等效力。
梅赛德斯-奔驰 | 个人信息委托处理协议 8
2 签字
委托方: 单击或点击此处输入文字。 受托方:单击或点击此处输入文字。
地点: 单击或点击此处输入文字。 地点:单击或点击此处输入文字。
日期:单击或点击此处输入文字。 日期:单击或点击此处输入文字。
xxx斯-奔驰 | 个人信息委托处理协议 9
附件 1:数据处理问卷
本附件为《个人信息委托处理协议》的组成部分。由问卷 A. 委托处理基本情况,问卷 B. 数据 保护及信息安全措施,问卷 C. 批准分包商(如适用)组成。
问卷 A. 委托处理基本情况
1 主要事项
请详细描述是否存在与上述委托处理相关的主协议或其他(服务)协议(“相关协议”),受托方提供的服务类型,以及受托方如何涉及/处理委托方的个人数据。如:受托方与委托方签署 XXX 协议,提供 XXX 货物/服务,通过 XXX 涉及和/或处理个人数据(具体的个人数据于本问卷 A 第 3 款填写,具体的服务于本问卷 A 第5款填写)。
2 期限
请明确适用期限,如与相关协议的期限相同,则填入相关协议的期限。
3 所处理个人信息的类型、敏感程度
列举个人信息的类型(其中,个人敏感信息类型加粗并下划线),示例:姓名,地址,电话,用户 ID,车辆数据(请明确具体类型),信用卡数据,客户档案,身份证号,身份证扫描件,驾驶证号,驾驶证扫描件等。
4 数据处理、保存地点和期限
请列举所有个人信息将被处理及保存的地点,如:数据中心或者办公室,以及所有基于测试和运维目的(远程)访问个人信息的地址,请明确上述地点的城市。
5 可能开展的个人信息处理活动和目的:
受托方应针对第 3 子条款中规定的个人信息类型为委托方提供下列服务:
梅赛德斯-奔驰 | 个人信息委托处理协议 10
请具体描述受托方就委托方提供的个人信息进行的处理操作,处理个人信息基本意味着所有与个人信息相关的动作,例如收集、存储、使用、加工、传输、提供、公开、删除等。如该等动作已经涵盖在相关协议中,可以采取以下引用相关协议描述的方式:例如“受托方根据相关协议 XXX 条,提供关于问卷 A 第 3 款涉及的个人信息的 XXX 服务。
6 所涉及的个人信息主体
在本协议范围内,委托处理的个人信息所标识或者关联的自然人(个人信息主体)如下所示:
请具体描述本服务中委托处理的个人信息所标识或者关联的自然人类型,例如,某公司的雇员,XXX 服务的客户,XXX 应用的用户,司机,供应商等。若主协议已涵盖该类描述,需要体现对于主协议的引用:例如,“相关协议/附件第 XXX 条已规定服务涉及的人员。”若涉及不满 14 周岁未成年人的个人信息,请列明并描述原因。
梅赛德斯-奔驰 | 个人信息委托处理协议 11
问卷 B. 数据保护及信息安全措施
请输入受托方名称已采取下述基本措施及补充措施(如适用),以保障数据及信息安全(以“🞕”标识已采取的措施,并在方框内根据需要补充描述)。
本部分用于记录由受托方实施的数据保护及信息安全措施,以保障数据处理活动的安全性。
每项数据保护及信息安全措施根据其主要保护目标进行分类:处理个人信息所涉及的系统和服务的机密性,完整性,可用性和韧性(可复原性)。组织措施及与流程有关的措施是对主要保护目标的补充。
下面列出的所有行动要点并非均需要满足;受托方需要确保根据现有技术采取了适当保护的水平。 现有技术包括目前市场上可用的有效措施;国家或国际标准等提供了更具体的规范(例如 BSI,ENISA,NIST,TeleTrust)。
1 (物理)访问控制
定义:物理访问控制是指通过采取相关行动禁止未经授权的人员对个人信息处理地点和区域进行物理访问。
1.1 基本措施
序号 | 基本措施 | 是否可实现控制及具体描述 | 基本措施是必须采取的,如果未 采取任何基本措施,请在下面说明您的原因或替代措施 | |
1 | 公司聘有安保人员 | □ | 单击或点击此处输入文字。 | |
2 | 进出实施门禁卡 | □ | 单击或点击此处输入文字。 | |
3 | 部署了 24 小时监 控及报警系统 | □ | 单击或点击此处输入文字。 | |
4 | 其他 | 工作地点: | ||
□ | 梅赛德斯-奔驰办公场 所 | 单击或点击此处输入文字。 | ||
□ | 合资公司办公场所 | 单击或点击此处输入文字。 | ||
□ | 合作方办公场所 | 单击或点击此处输入文字。 | ||
□ | 其他 | 单击或点击此处输入文字。 | ||
笔记本电脑派发: | ||||
□ | 梅赛德斯-奔驰提供 | 单击或点击此处输入文字。 | ||
□ | 合作方提供 | 单击或点击此处输入文字。 | ||
□ | 自有 | 单击或点击此处输入文字。 | ||
□ | 其他 | 单击或点击此处输入文字。 | ||
(如需要,请在此补充)
1.2 补充措施
除《个人信息委托处理协议》中的基本要求外,为实施物理访问控制还采取了以下哪些行动?
梅赛德斯-奔驰 | 个人信息委托处理协议 12
(请对已采取的相应措施以“🞕”选定标记)
序号 | 补充措施 | 是否可实现控制及具体描述 |
1 | 是否有访客管理流程 | □ |
2 | 是否配有笔记本防盗锁 | □ |
3 | 机房等特殊区域访问权限是否管理严格 | □ |
4 | 门禁进出记录是否可查 | □ |
5 | 相关警报触发,是否有快速响应处理及流程 | □ |
6 | 是否有碎纸机(交叉碎纸) | □ |
如果未采取任何补充措施,请说明替代方法或原因。
(如需要,请在此补充)
1.3 如果物理访问控制不适用于本协议,请在如下区域简要阐明原因或提供额外补充控制说明:
(如需要,请使用附页)
2 (系统)访问控制
定义:系统访问控制是指通过采取相关行动防止未经授权的人员使用数据处理系统。
2.1 基本措施
序号 | 基本措施 | 是否可实现控制及具体描述 | 基本措施是必须采取的,如果未采取任何基本措施,请在下面说明您的原因或替代 措施 |
1 | 系统访问部署了账 号及密码 | □ | 单击或点击此处输入文字。 |
2 | 安装了杀毒软件 | □ | 单击或点击此处输入文字。 |
3 | 部署了防火墙 | □ | 单击或点击此处输入文字。 |
(如需要,请在此补充)
梅赛德斯-奔驰 | 个人信息委托处理协议 13
2.2 补充措施
除《个人信息委托处理协议》中的基本要求外,为实施系统访问控制(用户识别和认证)还采取了以下哪些行动?(请对已采取的相应措施以“🞕”选定标记)
序号 | 补充措施 | 是否可实现控制及具体描 述 |
1 | 信息按敏感级别进行分类访问 | □ |
2 | 是否有域控服务器 | □ |
3 | 域控服务器管理及维护是否正常 | □ |
4 | 强密码策略是否部署实施 | □ |
5 | 尝试登录异常警报是否可触发 | □ |
6 | 系统访问账号的权限分配是否明确 | □ |
7 | 应用系统是否主动做过渗透测试,检测安全性 | □ |
8 | 根据所存储信息保护级别,是否部署了令牌或双/多因 素认证登陆 | □ |
如果未采取任何补充措施,请说明替代方法或原因。
(如需要,请在此补充)
2.3 如果系统访问控制不适用于本协议,请在如下区域简要阐明原因或提供额外补充控制说明:
(如需要,请使用附页)
3 (用户权利)访问控制
定义:(用户权利)访问控制包括通过采取相关行动确保获授权使用数据处理系统的人员仅可获取与其授权相对应的数据并确保在处理或者使用期间或者在数据保存之后不会擅自读取、复制、修改或者移除任何个人信息。
3.1 基本措施
xxx斯-奔驰 | 个人信息委托处理协议 14
序号 | 基本措施 | 是否可实现控制及具体描述 | 基本措施是必须采取的,如果未采取任何基本措施,请在下面说明您的原因或替代 措施 |
1 | 部署了基于账号的 数据访问权限管理 | □ | 单击或点击此处输入文字。 |
(如需要,请在此补充)
3.2 补充措施
除《个人信息委托处理协议》中的基本要求外,为实施(用户权利)访问控制还采取了以下哪些行动?(请对已采取的相应措施以“🞕”选定标记)
序号 | 补充措施 | 是否可实现控制及具体描述 |
1 | 系统应用级别的相关授权及角色定义是否有文档化描述 | □ |
2 | 特权账号的审批及授予是否有文档化描述 | □ |
3 | 是否进行定期自查,岗位及职能变化 | □ |
4 | 相关账号是否设定可使用时长 | □ |
5 | 个人信息存储及传输是否加密 | □ |
6 | 日志的增删改是否可以查询 | □ |
7 | 权限分配是否根据可完成工作的最小权限限度授予的 | □ |
8 | 开发测试和生产环境是否分离 | □ |
如果未采取任何补充措施,请说明替代方法或原因。
(如需要,请在此补充)
3.3 如果(用户权利)访问控制不适用于本协议,请在如下区域简要阐明原因或提供额外补充控制说明:
(如需要,请使用附页)
梅赛德斯-奔驰 | 个人信息委托处理协议 15
4 披露控制
定义:披露控制是指为确保在电子传输过程中、数据媒体存储过程中或在该等媒体上传输过程中未经授权不得读取、复制、修改或删除个人信息而采取的行动,并确保有可能确定和审查预计有必要使用数据传输设施传输个人信息的相关节点。
4.1 基本措施
序号 | 基本措施 | 是否可实现控制及具体描述 | 基本措施是必须采取的,如果未采取任何基本措施,请在下面说明您的原因或替代 措施 |
1 | 定期查看接收人名 单是否有变化 | □ | 单击或点击此处输入文字。 |
(如需要,请在此补充)
4.2 补充措施
除《个人信息委托处理协议》中的基本要求外,为实施披露控制采取了以下哪些行动?(请对已采取的相应措施以“🞕”选定标记)
序号 | 补充措施 | 是否可实现控制及具体描述 |
1 | 数据传输是否加密 | □ |
2 | 作为信息完整性及防篡改的邮件签名功能是否启用 | □ |
3 | USB 相关接口是否已禁用 | □ |
4 | 个人信息相关数据是否加密存储 | □ |
5 | 入侵检测或入侵防御系统是否部署 | □ |
6 | 包含个人信息的转发日志记录是否可查 | □ |
如果未采取任何补充措施,请说明替代方法或原因。
(如需要,请在此补充)
4.3 如果披露控制与本协议项下的服务无关联,请在如下区域简要阐明原因或提供额外补充控制说明:
xxx斯-奔驰 | 个人信息委托处理协议 16
(如需要,请在此补充)
5 输入控制
定义:输入控制是指通过采取相关行动确保能够开展追溯性检查,从而确定数据处理系统中的个人信息是否已被录入、修改或者移除,以及执行此类操作的对应人员(如有)。
5.1 基本措施无强制要求措施。
5.2 补充措施
序 号 | 补充措施 | 是否可实现控制及具体描述 |
1 | 个人信息数据的增删改查记录是否可查 | □ |
如果未采取任何补充措施,请说明替代方法或原因。
(如需要,请在此补充)
5.3 如果输入控制与本协议项下的服务无关联,请在如下区域简要阐明原因或提供额外补充控制说明:
(如需要,请使用附页)
6 分包商控制
定义:分包商控制是指通过采取相关行动确保该类分包商能够采取与受托方相同的方式遵守对受托方的数据保护及信息安全措施要求。
6.1 基本措施无强制要求措施。
6.2 补充措施
序号 | 补充措施 | 是否可实现控制及具体描述 |
1 | 是否有分包商自查 | □ |
2 | 是否定期对分包商进行审计 | □ |
如果未采取任何补充措施,请说明替代方法或原因。
(如需要,请在此补充)
xxx斯-奔驰 | 个人信息委托处理协议 17
6.3 如果分包商控制与本协议项下的服务无关联,请在如下区域简要阐明原因或提供额外补充控制说明:
(如需要,请使用附页)
7 可用性控制
定义:可用性控制是指通过采取相关行动确保个人信息免于遭受意外损坏或者丢失。
7.1 基本措施无强制要求措施。
7.2 补充措施
序 号 | 补充措施 | 是否可实现控制及具体描述 |
1 | 是否部署了应急灾备响应计划 | □ |
2 | 机房的恒温恒湿记录是否可查 | □ |
3 | 机房内是否有烟感检测器 | □ |
4 | 是否有应急计划测试文档 | □ |
5 | 是否有线路冗余,存储冗余 | □ |
6 | 物理安全中,是否部署了防火,空调,不间断电源等设备 | □ |
如果未采取任何补充措施,请说明替代方法或原因。
(如需要,请在此补充)
7.3 如果可用性控制与本协议项下的服务无关联,请在如下区域简要阐明原因或提供额外补充控制说明:
(如需要,请使用附页)
8 分离原则
定义:分离原则要求通过采取相关措施确保对出于不同目的收集的数据进行分别处理。
8.1 基本措施无强制要求措施。
xxx斯-奔驰 | 个人信息委托处理协议 18
8.2 补充措施
序号 | 补充措施 | 是否可实现控制及具体描述 |
1 | 数据是否做到相关层面隔离:物理、系统、数据 | □ |
2 | 是否对于使用进行了定期自查 | □ |
如果未采取任何补充措施,请说明替代方法或原因。
(如需要,请在此补充)
8.3 如果分离原则与本协议项下的服务无关联,请在如下区域简要阐明原因或提供额外补充控制说明:
(如需要,请使用附页)
9 组织安全标准
定义:组织安全标准是指用于保护个人信息的对应规则与规程。
9.1 基本措施无强制要求措施。
9.2 补充措施
序 号 | 补充措施 | 是否可实现控制及 具体描述 |
1 | 公司是否有法务部及信息技术部的设立 | □ |
2 | 是否有相关信息安全管理资质:比如 ISO27001,等级保护认证 GB/T 22239,请一并提供资质证明) | □ |
3 | 是否定义了相关个人信息安全事件处理实施流程 | □ |
4 | 是否具有事件管理响应流程 | □ |
5 | 公司内部是否定期进行员工安全意识培训 | □ |
如果未采取任何补充措施,请说明替代方法或原因。
(如需要,请在此补充)
梅赛德斯-奔驰 | 个人信息委托处理协议 19
9.3 如果组织安全标准与本协议项下的服务无关联,请在如下区域简要阐明原因或提供额外补充控制说明:
(如需要,请使用附页)
梅赛德斯-奔驰 | 个人信息委托处理协议 20
问卷 C. 批准分包商(如适用)
1 批准分包商
分包商名称、地址(1) | |
名称 | 单击或点击此处输入文字。 |
地址 | 单击或点击此处输入文字。 |
联系人 | 单击或点击此处输入文字。 |
联系方式 | 单击或点击此处输入文字。 |
2 分包商职能的简要描述
单击或点击此处输入文字。
(提供有关任何其他分包商的详细信息)
受托方应确保,上述分包商受《个人信息委托处理协议》所列义务的约束采取了问卷 B 中所列的数据保护及信息安全措施。