MindSphere 数据隐私条款
MindSphere 数据隐私条款
2018 年 10 月
1. 目的、范围及术语 4. 技术及组织措施
1.1. 本数据隐私条款(“DPT”)为贵方与我方之间的委托数据处理协议,且适用于我方作为处理者或子处理者为贵方提供的涉及个人数据处理的所有服务。
1.2. 本数据隐私条款描述了与本数据隐私条款制约的服务相关的我方与贵方与数据保护相关联的所有权利和义务。其他权利和义务应独家遵循 MindSphere 协议的其他部分的规定。
1.3. 如适用的数据保护法有此要求,则贵方应和所有的贵方的授权实体签订数据处理协议,且应与本数据隐私条款的规定保持一致并遵循适用的数据保护法的要求。贵方应确保(亦包括贵方的授权实体),我方与我方的子处理者能够作为本数据隐私条款中所述的处理者和子处理者提供处理服务。
1.4. 本数据隐私条款中的大写术语由本文件第 13 条给出定义或由 MindSphere 协议其他部分赋予含义。
2. 我方提供的处理服务详情
2.1. 我方所提供处理服务的详细信息见本数据隐私条款附件 1,包括处理的范围、性质和目的以及已处理个人数据类型及受影响数据主体的类别。
2.2. 我们将根据 MindSphere 协议的条款(包括本数据隐私条款之规定)或贵方允许的其他条款处理个人数据。
2.3. 我方有权为遵循法律和/或政府命令而披露或授权我们的子处理者披露个人数据。如有此类请求,我方或子处理者将(i)将该请求主体重新引导至贵方,以便向贵方直接请求数据,我方可提供贵方的基本联系信息,以及(ii)及时通知贵方并提供该请求副本,除非法律或政府命令禁止我方如此作为。
3. 指示权
3.1. 作为处理者,我方仅遵从贵方书面指示行事。MindSphere协议(包括本数据隐私条款)是贵方对我方作为贵方处理者进行个人数据处理的完整及最终指示。
3.2. 任何附加或替换指示必须经由双方书面同意且可能产生额外费用。
3.3. 若我方认为某指示违反了适用的数据保护法,我方将通知贵方。但我方无义务对贵方的指示进行任何法律审查。
我们将实施本数据隐私条款附件 2 所述的技术及组织措施。贵方在此确认,我方提供的安全等级对于我方代表贵方处理数据时产生的固有风险而言,是适当的。贵方理解并同意,技术的进步及发展决定着所采用的技术和组织措施。因此,在保证措施安全等级的前提下,我方有权采取适当的替代措施。
5. 数据处理保密义务
我方将确保在该数据隐私条款下,涉及个人数据处理的人员均承诺负有保密义务。
6. 子处理者
6.1. 贵x特此批准我方聘用子处理者。我方委托的子处理者的目前名单见 xxx.xxxxxxxxxx.xx/xxxxx。
6.2. 我方有权随时撤换或新增子处理者。如适用的数据保护法规定我方聘用新增子处理者须取得贵方批准,则我方将依照以下程序取得贵方批准:(i)如我方需授权新增子处理者访问贵方个人
数据,则将提前至少 20 天通知贵方,采用的方式是向作为贵方
订单订购程序之组成部分而提供给我方或此后与贵方账户相挂钩的电子邮箱发送消息,或授予贵方访问上文第 6.1 条所指网站的权利,该网站列示了目前所有的子处理者,并告知贵方获取关于新增子处理者通知的方法;(ii)如贵方没有在上述 20 天期限内提出合理的反对意见并书面说明不予批准的理由,则视为贵方批准聘用该新增子处理者;(iii)如贵方在上述期限内提出合理的反对意见,则我方将在授权该新增子处理者访问贵方个人数据前做出合理的努力:(a) 建议变更贵方对服务的配置或使用,以避免贵
方所反对的新增子处理者处理个人数据,或(b) 提出其他措施,
以解决贵方反对意见涉及的问题;(iv)如我方提出的变更或措施不足以消除贵方不予批准的理由,贵方有权在我方对贵方的反对予以回应后提前 10 天通知我方终止受影响的服务。如贵方终止受影响的服务,则我方对于贵方就该服务预付的款额,将按剩余
期间在整个订阅有效期所占的比例予以退还。如贵方没有在上述
10 天期限内终止受影响的服务,则视为贵方已批准聘用新增子处理者。
6.3. 我方有权紧急更换子处理者。该等情形下,如果适用的数据保护法有此要求,我方将及时向贵方通知该紧急更换事项,贵方接到通知后应按第 6.2 条规定的批准程序予以批准。
6.4 如委托任何子处理者,根据适用的数据保护法的要求,我方 将与该子处理者签订一份协议,对子处理者规定适当的合同义务,
且该义务的保护性不低于本数据隐私条款中的义务。我方对我方的子处理者的任何行为或疏忽负责,负责方式等同于我方自身在本条款下的行为和疏忽。
7. 传输给非欧洲经济区接收者
7.1. 如果向非欧洲经济区接收者的传输涉及到源自位于欧洲经济 体 或 瑞 士 的 管 理 员 的 个 人 数 据 , 我 们 将 执 行 xxx.xxxxxxxxxx.xx/xxxxx 载明的子处理者名单上与相应子处理
者相对应的传输保护措施。贵方应负责评估我方执行的这些传输保护措施是否足以使贵方或贵方的授权实体遵循了适用的数据保护法。
7.2. 如某项传输保护措施是基于欧盟示范合同,则适用下述规
定:西门子股份公司与相应子处理者签订该欧盟示范合同。每份 欧盟示范合同都应含有贵方和被授权实体同意加入该合同的权利。xx特此同意(作为数据输出者)与现有子处理者加入欧盟示范
合同,并同意:贵方将来依照第 6.2 条批准新增子处理者,即应
视为贵方宣布同意与该新增子处理者加入欧盟示范合同。而且,贵方同意确保每一位贵方的授权实体(同样作为数据输出者)加入该欧盟示范合同。我方(同时代表相应子处理者)特此说明,贵方无需将贵方或贵方的授权实体宣布加入欧盟示范合同的事项通知我方。
7.3. 如某项传输保护措施是基于隐私护盾,则适用下述规定:对于依照本数据隐私条款处理的个人数据,我方将以合同方式约
束经隐私护盾认证的子处理者遵守隐私护盾诸原则。
8. 修正与删除
8.1. 我方将自行决定:或者(i)通过服务功能为贵方提供修正或删除个人数据的能力,或(ii)按照贵方的指示修正或删除个人数据。若需贵方或贵方的授权实体支持,贵方应提供所有必要支持,并获得相应授权实体的支持,以便我方履行该义务。
8.2. MindSphere 协议终止后,我方将删除或匿名化存储于平台的贵方个人数据,除非我方依法被要求保留相关数据。贵方确认,贵方的部分个人数据将作为平台灾难恢复备份而被我方保留,直至根据我方政策将相关文件删除。
9. 个人数据外泄
如有任何个人数据外泄情形,我方将在发现后及时通知贵方。我方将(i)与贵方合理配合,对数据泄露事件展开调查;(ii)向贵方提供合理支持,帮助贵方履行适用的数据保护法(如适用)下的安全漏洞通告责任;以及(iii)启动相应的合理补救措施。
10. 进一步通知
10.1 我方将及时通知贵方以下信息:(i)根据本数据隐私条款处理的个人数据的数据主体的投诉或请求(如关于个人数据处理的更正、删除和限制);或(ii)主管数据保护机构或法院下发的关于本数据隐私条款下关于个人数据处理的命令或请求。
10.2 基于贵方请求,我方在合理范围内支持贵方:(i)处理上文第
10.1 条描述的投诉、请求或指令(特别是履行贵方对请求行使数据主体的权利给予回应的义务),或 (ii)履行贵方作为适用的数据保护法下管理员的义务(例如实施数据保护影响评估的义务
)。基于该种支持占用的时间和材料,贵方应给予相应的补偿。
11. 审计
11.1. 贵方有权依照下文第 11.2 至 11.5 条的规定,以适当方式每年对我方及我方子处理者就遵守本文件项下数据保护义务的情
况进行审计(尤其是我方实施的技术和组织措施),除非根据适用的数据保护法有必要进行其他额外审计;此类审计仅限于与向贵方提供服务相关的信息及数据处理系统。
11.2. 我方及我方子处理者可以聘用(内部或外部)审计师进行审计,以验证我方是否履行本文件项下的数据保护义务,特别是是否符合数据隐私条款第 4 部分采取技术及组织措施的要求。每次审计都会形成审计报告(例如,“服务组织管理 1,II 类报告”
及“服务组织管理 2,II 类报告”)。由我方或我方子处理者提供
的管理标准和框架,将根据监管或认证机构针对所有适用的管理标准或框架制定的标准和规则进行审计。
11.3. 贵方同意由我方提供的审计报告及相应信息(并称为“审计报告”)应当首先用于解决贵方在该数据隐私条款下的审计权利。应贵方要求,我方应提供服务相关的审计报告。
11.4. 若贵方能够证明我方提供的审计报告不足以使贵方或授权
实体遵守适用的数据保护法下适用的审计要求和义务,则贵方或相关授权实体应详细说明所需进一步的信息、文件或支持。我方应在合理期限内提供此类信息、文件、或支持,费用应由贵方承担。
11.5. 审计报告及审计期间提供的任何补充信息及文件均为保密信息,且仅可根据实质上等同于 MindSphere 协议中所规定的保
密义务提供给授权实体。若审计与我方子处理者相关,则我方有权要求贵方及授权实体在发布贵方或授权实体可获得的审计报告及任何补充信息或文件之前直接与各子处理者签订保密协议。
12. 其他
贵方是我方的唯一联系人,即使涉及到本数据隐私保护条款下的贵方的授权实体和用户的情形时亦是如此。如本数据隐私条款或
就个人数据处理签订的其他数据保护协议(如根据第 7 条签订
的欧盟示范合同)规定了管理员(包括除贵方外的其他管理员)对于我方和/或我方子处理者的权利,贵方应以自身的名义和/或代表其他管理员直接与我方联系,以便行使这些权利。如贵方就
针对子处理者行使权利事宜与我方联系,贵方须授权我方代表贵方或相应管理员对该子处理者行事。我方有权拒绝除贵方外的其他管理员直接向我方提出的请求、指示或权利主张。我方将该该等信息提供给或通知贵方,即解除告知或通知管理员的义务。
13. 定义
13.1.“适用的数据保护法”指所有与此处个人数据处理相关的可适用的法律。
13.2. “授权实体”指(i)贵方的关联方,(ii)在 MindAccess IoT Value 特定条款中界定的贵方 OEM 客户,或(iii)其他通过贵方的指定账户有权访问和使用服务或雇佣有权访问和使用服务的用户的其它法律实体。
13.3.“管理员”指单独或与其它方共同决定个人数据处理目的及方法的自然人或法人。
13.4. “经认定的对个人数据充分保护国家”是指欧盟委员会认定的欧洲经济区范围外对个人数据给予充分保护的国家。
13.5.“数据主体”指已被识别的或可识别的自然人。
13.6. “DPT”指本数据隐私条款。
13.7. “EEA”是指欧洲经济区。
13.8. “欧盟示范合同”是指根据欧盟委员会 2010 年 2 月 5 日通过的 2010/87/EU 号决定或其后继文件确定的关于向第三国处理者传输个人数据的格式合同条款。
13.9.“紧急替换”是指子处理者的短期替换。这在以下情况下是十分必要的:(i)当遇到超出我方合理控制范围的事件时;
(ii)为了持续提供服务(例如子处理者意外停止业务、突然停止向我方提供服务或违反与我方的合同义务)。
13.10. “个人数据”指与一位数据主体直接或间接相关的信息,包括但不限于,姓名、电子邮件地址、邮寄地址、身份证号、位
置数据、在线识别或有关某人身体、生理、遗传、心理、经济、 文化或和社会身份的一个或多个特定因素。基于本数据隐私条款 之目的,个人数据是指仅包括贵方或任何授权实体输入的或通过 使用本服务衍生的个人数据,即个人数据是贵方内容的一个子集,且适用于任何此处使用的数据保护法。
13.11. “个人数据外泄”指因违反安全规定导致本数据隐私条款下的被处理的个人数据被意外或非法销毁、丢失、更改、未经授权披露或访问。
13.12. “隐私护盾”就欧洲经济区范围内的管理员而言,是指欧盟/美国的隐私护盾安排;就瑞士境内的管理员而言,是指瑞士/美国的隐私护盾安排。
13.13.“处理者”指代表一位管理员处理个人信息的自然人或法人,公共机关、机构或其他实体。
13.14. “处理”指无论通过自动化方式与否,任何根据个人数据 或个人数据集进行的操作或一组操作。例如收集、记录、组织、 结构、存储、改写或修改、检索、咨询、使用、通过传输披露、 散播或以其他方式提供、校准或组合、限制、删除或销毁、访问、转移和清理。
13.15.“子处理者”指任何由我方根据本数据隐私条款为提供服务而聘用的有权访问个人数据的其它的处理者。
13.16.“特殊类别个人数据”指能显示出种族、民族、政治观点、宗教或哲学信仰,工会会员、社会保险措施、行政或刑事诉讼和 制裁信息,或能够单独识别出某个自然人的基因数据、生物特征 数据、健康数据或某个自然人的性生活或性取向的数据。
13.17.“传输保护措施”是指(i)(欧盟)2016/679 号文件《通用数据保护条例》第 45 条所指的对个人数据充分保护国家的认定,或 (ii)(欧盟)2016/679 号文件《通用数据保护条例》第 46 条规定的适当保护措施。
13.18.“向非欧洲经济区接收者的传输”是指我方或我方任何子处理者(i)在欧洲经济区境外或经认定的对个人数据充分保护国家境外进行的个人数据处理;或(ii)从欧洲经济区境外或经认定的对个人数据充分保护国家境外进行的对个人数据的访问。
如果某个特定的服务有需要,双方可在订单内详述服务细节,或我方可在适用的交易文件中提供更多详细信息。
处理操作
我方与我方的子处理者将按以下方式处理个人数据:
• 提供服务
• 在与提供服务相关联的数据中心提供个人数据存储和备份(多租户架构)
数据主体
所处理的个人数据涉及以下数据主体类别:
数据主体包括雇员、承包商、业务伙伴或个人数据存储在平台上的其他个人。
数据类别
所处理的个人数据涉及以下个人数据类别:
所处理的与服务相关的个人数据类别由贵方、贵方的授权实体和用户决定。相应的数据字段可配置为实施服务的一部分或服务中允许的其他部分。所处理的个人数据可能包括:姓名、电话号码、电子邮件地址、时区、地址数据、系统访问/使用/授权数据、公司名称、合同数据、发票数据以及用户进入服务的任何专用数据,包括银行帐户数据、信用卡或借记卡数据。
(如果属于)特殊类别个人数据
服务没有处理特殊类别个人数据的意向,贵方与贵方的授权实体不得直接或间接向我方传输任何此类敏感个人数据。
某些服务可能受到不同或其它技术和组织安全措施的保护(TOMs),如各订单或适用的交易文件中所述。在所有其他情况下,应适用我方和/或我方的子处理者实施的如下技术和组织安全措施(TOMs)。
除属于贵方责任范围内的下述技术和组织安全措施外,贵方应自行负责实施其他安全措施,例如在贵方场所或对资产执行现场准入和系统访问控制措施,或根据贵方具体要求配置服务。
1. 现场准入控制
下列措施旨在防止有人擅自进入处理和/或使用个人数据的数据处理系统所在的场所、建筑物或房间:
a) 数据中心设施、服务器、联网设备和托管软件的硬件部分安置于无明显特征的设施中。
b) 在场所外缘(如围栏或墙壁)或建筑物入口处设置出入控制装置,防止他人擅自进入该等设施。
c) 服务器地点入口处配备电子性准入控制装置和侵入探测装置,后者在门被强行打开或被置于敞开状态时会发出警报。
d) 建立雇员和第三方准入授权制,包括登记备案。
e) 要求所有进入者出示身份证件并签名。
f) 使用监控视频(闭路电视监视系统)监视个人对数据中心设施的进出情况。
g) 数据中心实行 24x7 小时保安值守,相应建筑物的内部或周围均有保安在岗。
2. 系统访问控制
下列措施旨在防止有人擅自访问进入和使用用于在平台上提供服务的数据处理系统:
a) 用户和管理员对数据中心设施、服务器、联网设备和托管软件的访问实行基于角色的访问权模式。对用户和管理员实行访问身份验证管理,用户和管理员都有各自的访问身份凭证,系统的任何部分通过身份验证后方能进入。
b) 实行最小特权制,即用户只能在完成其岗位职责所必需的限度内访问。用户账户的创建也应本着最小访问权的原则。超越此门槛的访问需要适当的授权。
c) IT 访问特权由相应的工作人员定期审查。
d) 对系统的访问权在相应雇员记录终止(取消激活)后合理期间内废止。
e) 首次使用的密码/密码短语设定为一个独特的值,首次使用后立即更改。
f) 用户密码/密码短语定期更改,只允许用复杂的密码。
g) 对与安全有关的行动实行时间戳日记制。
h) 用户终端如处于闲置状态超过一定时间则自动转为超时退出,输入用户名和密码后才能重新打开。
i) 为资产(如便携式电脑)配置含有电子邮件过滤和恶意软件探测功能的反病毒软件。
j) 防火墙装置的配置旨在限制运算环境准入,加强运算丛集边界防护。
k) 定期向防火墙装置推送防火墙政策(配置文件)。
3. 数据访问控制
下列措施旨在使有权使用数据处理系统的人士仅能在有访问权利的前提下访问个人数据,在处理、使用和存储过程中,未经授权不得擅自读取、复制、修改或移除个人数据。
a) 用户和管理员对数据中心设施、服务器、联网设备和托管软件的访问遵循基于角色的访问权模式。用户和管理员各有专属于自己的唯一身份凭证,对系统任何部分的访问均要通过身份验证。
b) 实行最小特权制,即用户只能在完成其岗位职责所必需的限度内访问。用户账户的创建也应本着最小访问权的原则。超越此门槛的访问需要适当的授权。
c) IT 访问特权由相应工作人员定期审查。
d) 对个人数据的访问和修改实行时间戳日记制。
e) 备有事故应对计划,以便事故发生时对下列方面做出安排:
• 角色、责任以及在发生损害时的沟通和联络办法;
• 具体的事故应对程序;
• 所有关键系统要素的覆盖和反应。
4. 数据传输控制
下列措施旨在控制个人数据在传输过程中,未经授权不得擅自读取、复制、修改或移除:
a) 防止我方、我方的子处理者或未经授权的第三方擅自复制:防止实体性存储基础设施的擅自复制(例如通过传输到硬盘等外部存储介质而复制贵方数据)的措施已包含在上文描述的措施中。
b) 采用基于角色的访问权模式:详见上文描述。
c) 防火墙政策:详见上文描述。
d) 实施事故应对计划:详见上文描述。
e) 存储装置退出使用:当存储装置达到其使用寿命的终点时,实施的程序包括旨在防止客户数据暴露于未经授权人士的退出使用程序。所有退出使用的磁性存储装置都应按行业惯例和适用的数据保护法予以消磁和物理性销毁。
f) 安全访问点:贵方只能通过有限的通向平台的安全访问点与贵方存储系统安全沟通和在服务中进行个例运算。
g) 通过工作人员连接到网络:工作人员通过安全的身份验证将用户连接到网络,防止他人擅自访问网络和其他云成分。
5. 数据输入控制
下列措施旨在追溯性地检查和核实个人数据是否及通过何人输入到用于在平台上提供服务的数据处理系统、在该系统中修改或从该系统移除:
登录用户行为:需要访问我方系统以便对其加以维护的开发者和管理员必须明确提出访问请求,由经批准的工作人员通过安全的身份验证将其连接到网络,并登陆所有相关活动,以备安全审查,防止他人擅自访问网络和其他云成分。贵方将通过使用服
务而输入个人数据,因而有责任实施并维护建立审查踪迹的措施,实时记录个人数据是否及通过何人输入到有关数据处理系统、在该系统中修改或从该系统移除。
6. 指令控制
下列措施旨在确保以贵方名义处理的个人数据只能依照贵方指示处理:
a) 内部沟通:在全球层面上采用多种内部沟通方法,以帮助员工理解个人的角色和责任,并及时传递重大情况。这些方法包括对新招聘员工的入职引导和培训,以及管理层讨论业务和其他事务最新情况的例行会议。
b) 企业内部隔离:逻辑上,生产网络与企业网络是通过复杂的网络安全/隔离装置相互隔离的。基于维护而需要访问生产网络的企业网络开发者和管理员必须明确提出访问请求,由经批准的工作人员通过安全方式将其连接到生产网络。
c) 强有力的合规性计划:我方云基础设施提供商有责任:(i) 实施并保持符合 ISO 27001 标准或实质上相当于 ISO 27001 标准且设计保护程度至少与 ISO 27001 标准下提供商认证所证实者相同的后继标准(如有)的安全方案;和(ii)每年由独立审计人员核查其安全措施的充分性。
d) 政策和安全意识培训:我方和我方子处理者向信息系统全体用户提供经常性的安全意识培训。基于数据安全和数据保护要求的政策和程序已经建立起来。
7. 可及性控制
下列措施旨在保护个人数据免于事故性或擅自毁损或丢失:
a) 火灾探测及灭火:我方数据中心已安装自动化的火灾探测及灭火设备。火灾探测系统的主要装置烟雾探测传感器广泛安装于所有数据中心环境、机电基础设施场所、制冷机房和发电设备室。
b) 备用电源系统:数据中心电源系统 7×24 小时始终保持充分的备用电源,以免突然断电时中断运行。不间断电源(UPS)装置提供突然断电时为保持主体载荷所需的备用电源。数据中心使用发电机为其所在全部设施提供备用电源。
c) 湿度和温度控制:数据中心的湿度和温度由工作人员和监控系统加以监测,并将其控制在适当水平。
d) 预防性维护:预防性维护旨在维护数据中心设备的持续运行。
8. 数据隔离控制
下列措施旨在控制对为不同目的采集的个人数据分别处理:
a) 多租户环境:平台是一个虚拟化的多租户环境。它采用旨在将每个客户与其他客户隔离开的安全管理程序和安全控制手段。该系统通过虚拟化软件加以过滤,防止客户访问不属于其访问范围的托管装置或个例。
b) 企业内部隔离:详见上文第 6 条描述。