华为APIs使用协议

华为APIs使用协议

最后更新日期： 2023年02月01日

感谢您使用华为的APIs以及相关的开发服务和软件（合称为“APIs”）。以下条款和条件（“本协议”）是您与华为订立的具有法律效力的协议。您点击本协议下的 “我同意”按键（或其它类似按键）、访问或使用华为的APIs，即表示您自前述接受、访问或使用之日起，同意本协议。一些特定的APIs还涉及附加条款（包括但不限于本协议所附文档，例如《欧盟标准合同条款》及任何适用的政策和指引），适用的附加条款将会与相关特定的APIs一同提供，并且在您使用这些APIs后，成为您与华为所达成的协议的一部分（本协议与前述附加条款统称为“APIs协议”）。

APIs协议是您与华为订立的《华为开发者服务协议》的补充协议，与其共同确立您作为华为开发者使用APIs时所享有的权利和负有的义务。如果您将APIs用作其它华为产品或服务的界面，或与其它华为产品或服务结合使用，那么这些其它产品或服务的条款也适用。

本协议未尽事宜，按照《华为开发者服务协议》执行。如果APIs协议与《华为开发者服务协议》发生冲突的，仅在APIs之使用的范围内，以APIs协议约定为准。如本协议与特定API的附加条款发生冲突，在该特定API之使用的范围内，以相关附加条款为准。

1.定义

除非本协议另有说明，否则本协议中的术语与《华为开发者服务协议》中的术语意义相同。下列术语在本协议中的含义为：

1.1 “华为”（又称“我们”或“我们的”）：指依据本协议第9条所确定的、在本协议项下向您提供华为服务的签约主体。

1.2 “APIs”：即华为的APIs以及相关的开发服务和软件（包括但不限于API、SDK

和Kit）。APIs由华为及其关联公司提供和管理，特定APIs（如此处所列，可能不时更新）集成在您的API客户端后通过AppTouch分发时由相应AppTouch运营方管理。APIs属于《华为开发者服务协议》中定义的“华为服务”。

1.3 “API客户端”：见以下第3.1条。API客户端属于《华为开发者服务协议》中定义的“产品”。

1.4 “AppTouch运营方”：运营华为AppTouch的主体。

1.5 “华为AppTouch”或“AppTouch”：华为与电信运营商或其它企业在运营或

品牌上合作、由华为开发和/或提供技术服务的、向最终用户展示和分发应用和游

戏等产品的分发平台，为开发者的产品提供更多的曝光率、流量和变现机会，获取更多的用户。您可在此处查询华为AppTouch清单，华为有权在提前通知您后不定期更新该清单。如您对您的产品分发到华为AppTouch有任何意见或疑问，xxxxxxxxxxxxxxxxxxxxxxxx@xxxxxx.xxxxxxxxx，华为将尊重您的选择。

1.6 “数据控制者”（《中华人民共和国个人信息保护法》中的“个人信息处理者”）：能够单独或与其他主体一起决定个人数据处理目的和方法的个人、法人或其它组织。

1.7 “数据处理者”（《中华人民共和国个人信息保护法》中的“受托人”）：代表控制者处理个人数据的个人、法人或其它组织。

1.8 “欧洲经济区”：European Economic Area（EEA），包括欧盟成员国以及冰

岛、列支敦士登和挪威。

1.9 “欧盟标准合同条款”：EU Standard Contractual Clauses（EU SCC），即欧

盟委员会根据欧洲议会和欧洲理事会第2016/679号条例（欧盟），于2021年6月4日宣布了2021/914号决定，并根据该决定发布了关于向第三国传输个人数据的合同条款。所述合同条款即为“标准合同条款”。

1.10 “GDPR”：《通用数据保护条例》，即2016年4月27日由欧洲议会及理事会

通过的关于保护自然人个人数据处理及个人数据自由流动的第679号条例。GDPR取代了《数据保护指令》95/46/EC。

1.11 “双方”：您和华为（见上文定义）。

1.12

息。

1.13

“个人数据”：根据本协议处理的与已识别或可识别的自然人有关的任何信

“第三国”：既不属于欧洲经济区也未被欧盟委员会根据GDPR第45条规定的

机制认可为能够提供充分数据保护的国家。

1.14 “英国附录”：英国信息专员依据英国《2018年数据保护法案》第119A

（1）节发布的《欧盟标准合同条款》的附录（B1.0版，2022年3月21日生效，经修订，详见：xxxxx://xxx.xxx.xx/xxxxx/xxx-xxxxxxxxxxxxx/xxxxxxxxx/0000000

/international-data-transfer-addendum.pdf）。

2.使用APIs

2.1 许可

在遵守APIs协议的条款和条件的前提下，我们授予您有限的、可撤销的、非独占的、不可转授权、不可分授权的许可，仅供您在您的API客户端中集成、复制和使用APIs。

2.2 您的最终用户

您将要求您的最终用户遵守（并且不会有意使其违反）适用的法律法规以及APIs协议。

2.3 遵守法律、第三方权利以及华为协议

您使用APIs将遵守任何和所有适用的法律、法规和第三方权利（包括但不限于有关数据或软件的进口或出口、隐私和当地的法律）。您不会使用APIs来鼓励或宣传非法活动或侵犯第三方权利。您不会违反作为华为开发者与华为和/或其关联公司订立的其它协议（“华为协议”）。

2.4 允许的访问

您只能通过APIs文档中描述的方式访问（或尝试访问）APIs。如果我们为您分配了开发人员身份凭证（例如密码、密钥和客户端ID），则必须将其与适用的APIs一起使用。在使用APIs或开发者帐户时，您不会篡改或掩盖您的身份或API客户端的身份。

2.5 APIs限制

华为可能对您使用APIs设置并执行强制性限制（例如，限制您可能提出的访问请求数量或您可能提供的用户数量），您同意并且不会试图绕开这些限制。

2.6 开源软件

APIs所包含或需要的某些软件可能是在开源许可下提供的。开源软件许可证构成单独的书面协议。对于某些APIs，其文档中列出了包含的开源软件。当开源许可证明确优先于APIs协议时，开源软件许可证将会优先于APIs协议。

2.7 反馈

如果您提供有关APIs的反馈或建议，那么我们可以使用此类信息而不必向您承担任何义务。

2.8 非排他性

APIs协议是非排他性的。您认可华为可能会开发与您的API客户端或其他产品、服务产生竞争的产品或服务。

2.9 华为APIs的服务收费标准和付款政策（如有），具体以华为在本网站提供相应 APIs时公布的信息为准。

3.您的API客户端

3.1 API客户端

APIs旨在帮助您优化和增强您的网站和应用程序（“API客户端”）。您同意华为可以监控APIs的使用以确保质量、改进我们的产品和服务，并核查您是否遵守APIs协议。这种监控可能包括华为访问和使用您的API客户端，例如识别可能影响华为或其用户的安全问题。您不会干扰此监控。华为可以使用任何技术手段来克服这种干扰。如果我们根据合理判断认为您违反了APIs协议，可能会在不通知您的情况下暂停您或您的API客户端对APIs的访问。

3.2 安全

您将尽商业上最大的努力，以高于或不低于华为隐私保护程度的标准，保护您的 API客户端收集的用户信息，包括个人信息，防止未经授权的访问或使用，并在适用法律要求的范围内，及时向您的用户报告任何未经授权的访问或使用此类信息的行为。

您的API客户端在非华为设备上使用华为APIs时，为了保证API的安全调用，可能会关联启动华为APIs依赖的基础服务，如：HMS Core，您需要向用户明示并获取其同意。

3.3 所有权与授权

我们不会获得您的API客户端的所有权。您不会因为使用APIs而获得APIs的所有权或您通过APIs访问的内容的所有权和其它任何权利。

4.禁止行为与保密

4.1 APIs禁止行为。在使用这些APIs时，您不得（或不得允许代表您行事的人）违反《华为开发者服务协议》，且不得：

a. 将XXXx再授权给第三方使用。因此，您不能创建一个与APIs功能基本相同的API客户端，并将其提供给第三方使用；

b. 向华为的产品和服务注入任何病毒、蠕虫、缺陷、木马、恶意软件或任何具有破坏性的物项；

c. 反向工程或试图从任何API或任何相关软件中提取源代码，除非适用法律明确禁止此限制；

d. 将API用于任何可能导致死亡、人身伤害或环境损害的活动（如空中交通管制或生命支持系统的运行）；

e. 删除、隐藏或更改任何APIs协议的条款或这些条款的任何链接或通知。

4.2. 保密事项

a. 开发人员身份凭证（如密码、密钥和客户端ID）旨在供您使用并标识您的API客户端。您将使您的凭证处于保密和安全状态，并尽合理努力防止和阻止其他API客户端使用您的凭证。开发人员身份凭证不能嵌入到开放源代码项目中。

b. 我们与您的沟通或我们的APIs可能包含华为的保密信息或AppTouch运营方的保密信息。如您获知xx的保密信息，在未取得华为或相应AppTouch运营方的事先书面同意的情况下，不得向任何第三方披露。本第4.2.b条在APIs协议终止后仍继续有效。

5.内容

5.1.可通过APIs访问的内容

APIs包含多种第三方内容（如文本、地图、图像、视频、音频或软件）。我们不对这些内容负责。但我们可能会检查内容以确定其是否非法或违反我们的政策或APIs协议，我们也可能会删除或拒绝显示内容。华为不对第三方内容的准确性、可靠性或涵盖的任何观点负责。您理解APIs只提供内容接口。您可在您管控范围内决定是否使用相应内容，华为对第三方内容给您造成的损失不承担任何责任。

您不得通过APIs访问受到知识产权限制的内容，除非您获得该内容所有者的许可或法律允许。根据适用的法律、法规和政策，您对APIs提供的内容的访问可能受到限制或过滤。

5.2.提交的内容

部分APIs允许提交内容。除非另有明确规定，否则我们不会获得您通过API客户端提交的内容中任何知识产权的所有权。为了使我们能够提供、保护和改进APIs（包括相关服务），并且仅根据适用的我们的隐私政策，您在此向华为授予永久的、不可撤销的、全球范围的、可再授权的免费的和非排他性的权利使用通过您的API客

户端向APIs提交、发布或显示的内容。如您通过API客户端向APIs提交内容，您xx和保证您拥有向我们授予相关许可所必需的相应权利（包括来自最终用户的必要权利）。

5.3.内容检索

当通过APIs获取用户的非公开内容时，未经该用户的明确同意或没有相应的法律依据时，您不得将该内容公开给其他用户或第三方。

5.4.禁止的内容

除非内容所有者或适用法律明确允许，否则对于从APIs返回的内容，您不会也不会允许最终用户或代表您行事的其他人执行以下操作：

a.抓取并构建数据库，或以其他方式创建此类内容的永久副本，或将缓存的副本保留超过缓存头允许的时间；

b.复制、翻译、修改、创建衍生作品、出售、租赁、出借、传达、分发、公开展示或再许可给任何第三方；

c.虚假描述来源或者所有权；或者

d.删除、隐藏或更改任何版权、商标或其他专有权利声明；伪造或删除任何作者署名、法律声明或其他材料来源的标签。

6.隐私保护

6.1.用户使用华为的或AppTouch中提供的产品和服务产生的个人数据

a.经最终用户事先授权或基于相应的法律依据，您的API客户端可以通过相应APIs从华为或者华为AppTouch获得该等最终用户因使用华为的相关产品和服务而产生的相应个人数据，或使用AppTouch中提供的相关产品和服务而产生的相应个人数据。

(i)帐号API：您的API客户端可以获取相关帐号数据，如最终用户的昵称、头像等，用于最终用户的登录；

(ii)应用内支付（“IAP”）API：您的API客户端可以获取相关交易信息，如订单号、订单内容，用以完成交易；

(iii)游戏服务API：您的API客户端可以获取相关游戏玩家的统计数据、排行和成

绩。你不得未经相应最终用户授权的情况下将该最终用户的相关游戏服务数据展示给其它最终用户；

(iv) AppGallery Connnect API：如果您向其它开发者提供服务，帮助他们使用 AppGallery Connect的服务，您的API客户端可以获取这些开发者在AppGalley Connect中的数据，例如华为帐号信息、团队帐号信息、联系人信息、凭证信息、调试设备信息、项目信息、应用信息、运营报表、商品信息、游戏服务配置信息等。

(v) 定位服务API：当您在使用华为提供的、与您的产品相关的定位服务时，华为会向您共享最终用户的定位信息（如经纬度、准确性信息等）。在使用华为定位服务时，您还应遵守《华为定位服务协议》的相关约定。

b.通过按上述6.1.a条使用相关APIs，您将成为该条所说的、从华为或AppTouch运营方获得的、最终用户的相应个人数据的数据控制者。为免疑义，当您的API客户端通过AppTouch分发时，相应AppTouch运营方将是AppTouch中提供的服务的相关数据的数据控制者，华为是其数据处理者。您与华为、或您与AppTouch运营方均为独立数据控制者，各方将遵守适用的数据保护法规。

c.进一步地，根据本协议第9条：

(i)如果(1)与您签订APIs协议的华为主体是Aspiegel SE，且您位于第三国，或(2)当您位于第三国时，个人数据在EEA境内建立的相关AppTouch运营方与您（如适

用）之间传输，则华为和您、或相应AppTouch运营方和您（如适用），在APIs协议下的个人数据进口和出口均应遵守附件A《欧盟标准合同条款》。根据本协议序言中描述的程序，双方应被视为已执行《欧盟标准合同条款》，详细信息如下：

• 《欧盟标准合同条款》的相关模块是《模块一：控制者向控制者传输数据》；

• 在《欧盟标准合同条款》里，华为（或AppTouch运营方，如适用）是数据出口方，您是数据进口方；

• 在《欧盟标准合同条款》的第7条里，双方选择包含“对接条款”；

• 在《欧盟标准合同条款》的第11条里，双方并未选择任择申诉机制；

• 在《欧盟标准合同条款》的第17条里，双方选择“选项1”，管辖法律应为爱尔兰法律；

• 在《欧盟标准合同条款》的第18条里，双方选择爱尔兰法院；

• 在《欧盟标准合同条款》的第13条提及的主管监督机构应为爱尔兰的监管机构；且

• 如与本协议存在任何冲突，应以《欧盟标准合同条款》为准。

• 数据传输的范围和性质请见本文《附件A》的《附录I》的B部分。

如果英国数据保护法适用于本协议项下的个人数据传输，双方应执行本协议包含的、适用于将个人数据传输出英国的业务的英国附录（除非此类数据传输至欧盟/欧洲经济区内的国家或英国认为其能提供充分数据保护的其他国家）。英国附录第 1部分应填写如下：（i）在表1中，“出口方”是华为，“进口方”是您，双方详细信息以本协议中约定为准；（ii）在表2中，选择第一个选项，“已批准《欧盟标准合同条款》”为前述第6.1（c）（i）节中提到的《欧盟标准合同条款》；

（iii）表3中，信息见“已批准《欧盟标准合同条款》”附件I（A和B）和附件II

（依照本协议附件A约定）；（iv）表4中，“出口方”可终止英国附录。

(ii)如果与您签订APIs协议的华为主体是华为服务（香港）有限公司，且您的API客户端的业务区域不是俄罗斯，且您接收数据的服务器所在地不是新加坡，则华为和您、或相应AppTouch运营方和您（如适用），在APIs协议下的个人数据的披露和接收均应遵守附件B《数据传输协议》。

(iii)如果与您签订APIs协议的华为主体是是华为服务（香港）有限公司，且您的API客户端的业务区域是俄罗斯，且您接收数据的服务器所在地不是俄罗斯，则华为和您、或相应AppTouch运营方和您（如适用），在APIs协议下的个人数据的披露和接收均应遵守附件C《俄罗斯数据传输协议》。

6.2 用户使用API客户端产生的个人数据。如果您的API客户端通过使用APIs直接从最终用户处收集最终用户的个人数据，华为将作为您的数据处理者，遵照

《AppGallery Connect数据处理附录》处理此类个人数据。该附录是APIs协议的完整构成部分。

6.3 您作为数据控制者使用部分服务时，需要选择数据处理位置，以便华为在您期望的位置上代表您处理您API客户端及最终用户的数据，您需确保您选择的相关数据处理位置符合您和您的用户所在地区的相关法律法规。

6.4用户数据保护。

您保证和承诺会保护您的最终用户的个人数据。在集成和使用API时，您应遵守所有适用的隐私法律和法规，包括适用于个人数据的法律和法规；根据适用法律要求，您应事先获得您的最终用户的同意（或其他有效法律依据），以收集和处理其数据，包括使用cookie、跟踪器或类似技术。您将为您的最终用户提供隐私政策并使其显著可见，并遵守该等隐私政策，该政策清楚、准确地描述您收集的最终用户信息，以及您如何使用和与我们和第三方共享这些信息（包括用于广告）。

您保证和承诺就数据处理行为获得最终用户的授权，仅出于有限目的收集并根据适用法律法规合法处理最终用户的个人数据，并仅在最低限度的必要期限内留存个人数据。您应保证您所持有的个人数据的安全，并保护此类数据免遭任何实际或潜在的滥用。

7.终止

7.1 终止

a. 任何一方终止《华为开发者服务协议》后，APIs协议将在同一终止日期自行终止。任何一方终止APIs协议后，《华为开发者服务协议》并不自动终止。

b. 您可以随时停止使用APIs，无论是否通知华为。如果您希望终止APIs协议，您必须提前向华为提供书面通知并停止使用相关APIs。华为保留随时终止APIs协议、中止APIs的任何部分或功能或终止您对APIs的访问，而无需对您承担任何责任或其他义务。

7.2 终止后您的义务

在APIs协议或您对APIs的访问终止后，您应立即停止使用APIs，并删除上述第5章中提到的任何缓存或存储内容。华为可自行和与您的API客户端及与您的开发者身份凭证有关的任何帐号所有者联系并通知他们您使用相关APIs的权利已终止。

7.3 存续条款

任何APIs协议中明示或依其性质应当在协议终止后继续有效的条款，将在APIs协议终止后继续保持其完整效力，直至这些条款中的条件被满足或依其性质应当到期为止。这些条款包括但不限于：本协议第4.2、5、7和第8章。

8.我们的APIs责任

8.1 责任限制

在法律允许的情况下，华为方（包括AppTouch运营方）不对利润、收入或数据的损失、财务损失或间接、特殊、后果性、惩戒性或惩罚性损害负责。华为及其关联公司不对您使用APIs后您所承担的（直接或间接）任何损失或是对他人的损害承担责任。

您理解并同意，上述华为方不对您的信息、您的产品产生的相关数据的保存、修改、删除或储存失败，也不对任何第三方数据承担责任。

在任何情况下，上述华为方对任何无法合理预见的费用、损失或损害概不负责。

8.2 赔偿

除非适用法律禁止，您将为上述华为方及华为用户辩护并赔偿其所有责任、损害、损失、成本、费用（包括律师费用）以及与任何指控或第三方诉讼相关的费用（统

称“费用”）。导致该等费用产生的损失原因包括但不限于《华为开发者服务协议》的约定、您违反您在APIs协议中的xx、保证和承诺，以及以下原因：

a. 您或您的最终用户对APIs的滥用或违法使用；

b. 您或您的最终用户违反APIs协议；

c. 您或代表您的人、或您的最终用户通过APIs传输、或您将之与APIs共同使用的任何内容或数据；

d. 您违反对任何第三方的隐私合规和网络安全义务。

8.3 处理措施

您理解并同意华为有权根据其合理判断审查您的行为是否违反APIs协议，您不可撤销地认可华为关于您使用APIs的违规审查结果及证据（包括但不限于华为和/或其关联方通过技术方式收集的电子证据等）。华为根据APIs协议及相关规则处理您的违规行为，并不免除根据APIs协议和相关法律法规您应当承担的法律责任。

如华为怀疑您违反APIs协议，您应当应华为的要求在约定时间内提供证据合理解释其行为，如果您未能按要求提供相关证据，或华为根据自己的合理判断认为您违反了APIs协议，华为可采取以下措施中的一种或多种：

a. 屏蔽、下架、删除数据、算法、模型、信息内容或断开链接；

b. 要求您立即更换、修改违约、违法内容；

c. 限制、中止或终止您使用APIs或您的帐号（包括但不限于暂停部分或全部服务、收回相关资源等）；

d. 其他华为认为适合的处理措施。 9.签约主体

9.1双方在此接受和同意，对且仅对APIs协议项下的华为服务，《华为开发者服务协议》第14.1条（分发区域和签约主体）将替换为以下约定：

“14.1 您在使用华为服务时，可以选择您的产品的展示和/或分发的国家和/或地区

（“业务区域”）。如果您在使用华为服务时，尚未展示和/或分发产品，则您在实名认证时登记的所在地区将被视为您的业务区域。但如果您在使用特定华为服务时，被要求在华为平台选择因使用该特定华为服务产生的数据的指定存储地，则您选择的指定存储地将被视为您使用该特定华为服务时的业务区域。”

9.2为免疑义，非与APIs协议项下APIs相关的其它华为服务，以《华为开发者服务协议》第14条原文为准。

10.法律适用和争议解决

按照《华为开发者服务协议》的“法律适用和争议解决”条款执行。附件A：欧盟标准合同条款

标准合同条款：适用于自EEA境内传输个人数据至第三国

（控制者向控制者传输数据）

本附件A应包含《欧盟标准合同条款》（《模块一：控制者向控制者传输数

据》），详见前述第6.1（c）（i）节及xxxxx://xxx-xxx.xxxxxx.xx/xxx/xxx_xxxx

/2021/914/oj?uri=CELEX%3A32021D0914&locale=en中约定。

附录I

2. 缔约方名单数据出口方：

名称：应为Aspiegel SE，或列举的AppTouch运营方（如适用）。

地址：应为Aspiegel SE的地址（3rd floor Mespil Court Mespil Road Ballsbridge,

Dublin 4, X00 X000, Ireland）或列举的AppTouch运营方（如适用）的地址。

联系人姓名、职位和联系方式：Xxxxx Xxxxxx, Director, DPO office,

XXX@xxxxxx.xxx

与根据本条款转移的数据相关的活动：提供不同的API，以及数据出口方向数据进口方提供的相关服务，特别是基于APIs协议第6.1.a条所述的API而进行的个人数据处理。

签名和日期：……

角色：数据控制者

数据进口方：

名称：您的姓名或您所代表的公司的名称。

地址：您的营业地点或您所代表的公司的营业地点（视具体情况而定）。

联系人姓名、职位和联系方式：我们的联系方式以及您在AG Connect服务和您的开发者帐号中提供的信息。

根据本条款与数据转移相关的活动：提供不同的API，以及数据出口方向数据进口方提供的相关服务，特别是基于APIs协议第6.1.a条所述的API而进行的个人数据处理。

签名和日期：……角色：数据控制者

2. 转移说明

其个人数据被转移的数据主体的类型

- 已签署AppGallery和IAP用户协议（或数据主体使用AppTouch运营方提供的服务时所适用的类似协议）并进行应用内购买的数据出口方的数据主体；

- 已签署AppGallery和IAP用户协议（或数据主体使用AppTouch运营方提供的服务时所适用的类似协议）并在数据进口方服务中存在有效订阅的数据出口方的数据主体；

- 已经授权数据进口方访问华为帐户信息（包括AppTouch运营方提供的服务的相关信息）的数据出口方的数据主体；

- 已签署AppGallery用户协议（或当数据出口方是AppTouch运营方时所适用的类似协议），启用了游戏服务功能并授权向数据进口方披露信息的数据出口方的数据主体；

- 已经授权数据进口方获得其AppGallery Connect信息的数据主体；

- 已签署《华为APIs使用协议》并授权向数据进口方披露信息的数据出口方的数据主体；

- 已授权数据出口方披露并授权数据进口方访问与数据进口方提供的应用或服务相关的定位信息的数据主体。

被转移的个人数据类型

- 支付信息（不包括银行卡信息），例如订单编号、订单金额、订阅信息（订阅 ID）、币种（包括AppTouch运营方提供的服务的相关信息）

- 华为帐号或AppTouch帐号信息（如适用）

- 游戏服务信息，例如玩家ID、榜单排名、游戏成就、购买交易、玩家数据（包括 AppTouch运营方提供的服务的相关信息）

- AppGallery Connect数据，例如华为帐号信息、团队帐号信息、联系人信息、相关凭证、设备调试信息、项目信息、应用程序信息、运营报告、产品信息、游戏服务配置

- 数据主体的地理位置（GNSS坐标精度及相关定位数据）

- 地理围栏信息（用户是否进入、离开或停留在某一地理围栏范围内，以及相关信息）

被转移的敏感数据（如适用）以及实施的限制或保护措施不涉及

转移的频率

数据传输由数据主体使用服务触发。如果数据主体采取某些操作（例如在华为或 AppTouch运营方的服务中进行应用内购买或使用华为帐号或AppTouch账号进行登录），则可能连续发生数据传输，例如数据主体启用了某些特性功能（例如在客户的产品中启用定位服务）。

处理的性质

数据通过API通道向客户传输，启用相关特性和服务。数据转移和进一步处理的目的

- 数据出口方和开发者之间实现结算；

- 管理对数据进口方服务的有效订阅；

- 允许数据主体使用其帐号登录数据进口方应用程序，以便进口方访问数据主体的帐号相关信息，从而提供对应的功能（如访问安全事件以保护帐号安全，访问基本资料和地址信息以创建和维护用户资料等）；

- 允许数据主体使用进口方应用程序中可用的游戏服务功能。此外，在数据主体授权的情况下，允许进口方改善其服务；

- 允许数据主体使用其华为帐号登录数据进口方应用程序，以便进口方访问数据主体的AppGallery Connect中的数据，从而提供对应的功能（如管理项目信息、开发和调测应用、提交应用上架、查看运营报表、管理商品信息、管理游戏服务配置等）；

- 允许数据进口方在其应用或服务内向数据主体提供基于定位的服务和特性。个人数据留存期限；如未定义留存期限，需说明用于确定留存期限的标准

根据数据进口方的隐私政策和数据留存惯例，并遵循适用的数据保护法律。

2. 主管监管机构

根据第13条确定主管监管机构：如APIs协议第6条所示。

附录II

技术和组织措施，包括确保数据安全的技术和组织措施。 以下措施是数据进口方对传输的个人数据实施的最低要求：

•根据相关法律、法规，对齐行业标准，如ISO27001或NIST网络安全框架等，针对关键资产和业务流程实施信息安全和隐私保护政策和程序。

•定期评估您的信息系统中的安全控制措施和风险，以确定相关控制措施在其应用中是否有效，尤其是在发生重大变化、安全事件或数据泄露之后。

•能够确保个人数据以及处理个人数据的系统和服务的持续机密性、完整性、可用性和弹性。

•管理供应商关系，包括安全要求、SLA、作为服务供应一部分的合同的外包协议，包括与您为了提供服务或商品而根据GDPR与子数据处理者签订的数据处理协议。

•在需要和法律允许的情况下，在雇用前对相关人员（员工、承包商和第三方用户）进行适当的背景调查。

•所有相关人员都应接受充分和定期的安全和隐私保护培训。

•按照职责分离和最小权限原则，管理访问权限，以保护个人数据和用来处理和存储个人数据的系统或服务免遭未经授权的访问。对访问的控制措施应包括身份管理、结合强密码策略的用户身份验证、授权、问责制、网络隔离、定期访问审查

（即权利和权限）以及不再需要访问后的访问权限撤销。

•通过强制使用足够复杂的字符和数字组合、设定密码长度、强制定期更新密码、限制密码重复使用、确保密码加密并在可能的情况下嵌入多因子认证来实施强密码策略。

•通过行业最佳实践安全控制措施，例如恶意软件保护、DDoS保护、IDS/IPS、防火墙、漏洞扫描、补丁管理等，来检测和预防安全事件，如DDoS、病毒、代码注入或其他可能改变系统功能或信息及系统的机密性、完整性或可用性的恶意软件，从而建立、保护并维护您的网络、平台及服务的安整性。

•确保网络、信息系统及服务接受定期安全测试（例如渗透测试、漏洞扫描、静态和动态应用程序安全测试），包括为重大升级接受测试，以识别可能使您的服务面临更大恶意入侵风险的漏洞、修改和对敏感数据未经授权的访问。

•实施补丁管理流程，确保对存在重大和高风险漏洞的系统立即进行更新，并及时识别、报告和修复所有其他系统缺陷、弱点或缺陷。

•必须在处理个人数据的所有系统上加载和运行防病毒软件，同时还应尽可能使用其他恶意软件检测技术（例如，电子邮件扫描、文件系统扫描、互联网流量扫描等）。

•在发生变化（即引入新系统/软件、系统退役）时对资产进行盘点、分类和更新。

•为关键网络和信息系统建立变更和配置管理程序，以安全地管理配置。

•通过安全运营中心（Security Operations Center，SOC）、安全信息和事件管理

（Security Information and Event Management，SIEM）以及代理，上报网络和主机级别的异常行为，为所提供的服务实施网络和信息系统安全事件日志记录和监控。

•防止日志被修改或篡改。

•保护服务基础设施，防止服务基础设施安装未经授权的软件。

•在发生物理或技术事故（即安全事件和/或数据泄露）时，能够通过有效的检测、响应和报告功能及时恢复个人数据的可用性和访问权限。

•保障所提供的服务的连续性，能够从数据丢失中恢复数据，防止破坏，提供适当的故障转移能力，进行必要的数据留存，以及具备有效的数据备份策略。

•使用匿名化和加密手段来保护个人数据和其他敏感数据在传输或静止时的机密性。加密手段应符合行业标准要求，如NIST FIPS 140。

•确保个人数据的移除、删除和清理措施符合适当的安全级别。

•服务软件通过安全编码实践以安全方式开发，遵循行业最佳实践（即OWASP Top 10，安全编码标准），包括漏洞分析。

•确保外围和内部网络保护，在外围网络和包含个人数据的内部网络之间保持物理或逻辑分离。开发和测试环境是安全的，并与实际生产环境分开。

•确保处理个人数据的地点的物理安全，包括采取防止未经授权访问的合理措施。

•用于处理个人数据的设备不应允许将数据写入可移动媒介或被可移动媒介读取数据，也不应允许未经授权的打印机打印此类设备上的个人数据。应针对此类设备实施受密码保护的屏幕保护程序，并设置为在用户离开工位后自动锁屏。

•当员工不使用某物品或员工离开其工位时，应将放置于办公桌面的重要和机密文件另行放置并上锁保管。

•使用已被充分保护免受危害的设备（例如，使用防病毒软件以及通过可用安全修复程序来修补设备）以及VPN连接来保护对网络和信息系统的远程访问。

附件B：数据传输协议本《数据传输协议》由以下双方签订：

数据出口方名称：华为服务（香港）有限公司（“华为”）

地址：香港九龙尖沙咀广东道9号港威大厦6座9楼03室。登记号码：1451551

或相应位于EU/EEA和俄罗斯以外的AppTouch运营方

（以下简称“数据出口方”）和

与华为签订《华为APIs使用协议》的开发者

（以下简称“数据进口方”）。

下文中单独提及数据出口方或数据进口方时，简称“一方”，共同提及时，统称 “双方”。

定义

为实现本协议条款的履行：

(a) “个人”、“个人数据”、 “数据处理”应与新加坡《个人数据保护法令》

（2012年第26号）的定义相同。

(b) “数据出口方”指传输个人数据的组织。

(c) “数据进口方”指同意根据本协议条款，在新加坡以外的国家或地区接收数据出口方或代表数据出口方的第三方传输的个人数据并进行进一步处理的组织。

(d) “数据主体”是指下文《附录B》中特别描述的数据主体；

(e) “条款”指本协议条款。本协议为独立文档，不包含双方在另外的商业安排下确立的商业条款。

(f) “PDPA”是指新加坡的《个人数据保护法令》（Personal Data Protection Act）（2012年第26号）。

数据传输详细信息（以及传输数据范围）请见《附录B》。《附录B》为本协议条款的一部分。

I. 数据出口方义务

数据出口方保证并承诺：

(a) 按照适用的数据保护法律法规收集、处理和传输个人数据（并在适用的情况下已通知数据出口方成立所在国家/地区的有关当局）；

(b) 其已尽合理努力确定数据进口方能够履行本协议项下的法律义务。

(c) 应数据进口方要求，为数据进口方提供数据出口方成立所在国相关数据保护法律的副本或参考或由新加坡个人数据保护委员会（Personal Data Protection Commission of Singapore，PDPC）不时发布的任何咨询信息或其他指引中规定的任何要求（相关法律，不包括法律建议）。

(d) 除非双方同意由数据进口方做出回应，否则数据出口方将负责回应来自数据主体及监管机构对于数据进口方处理个人数据事宜的问询。在这种情况下，如果数据进口方不愿意或无法做出回应，则数据出口方可在合理可能的范围内，根据其通过合理渠道获悉的信息，做出相关回应。任意一方均应在合理时间内做出回应。

按照要求向作为本协议条款III第三方受益人的数据主体提供条款副本，但包含机密信息的条款除外。在这种情况下，数据出口方可以删除条款里的机密信息，且应书面通知数据主体删除的原因，以及数据主体可提请监管机构予以关注的权利。但是，如果数据主体同意保证前述被删除信息的保密性，则数据出口方应遵守监管机构关于数据主体是否可获悉条款全文的决定。数据出口方应在必要时向监管机构提供条款副本。

II. 数据进口方义务

数据进口方保证并承诺：

(a) 将采取适当且到位的技术和组织措施来提供与PDPA要求的保护以及PDPC不时发布的任何咨询信息或其他指引中规定的任何保护要求相当的保护标准，用于保护个人数据免遭意外、非法破坏、意外丢失、篡改，或未经授权的披露或访问，并提供与数据处理所涉及的风险以及被保护的数据的性质相匹配的安全保护等级。

(b) 通过适当的流程保证其授权访问个人数据的任何第三方，包括数据处理者等，都能尊重并维护个人数据的机密性和安全性。包括数据处理者在内的在数据进口方授权下行事的任何人，都只能根据数据进口方的指示处理个人数据。本条规定不适用于法律或法规授权或要求有权访问个人数据的个人。

(c) 在签订本协议条款时，并无理由认定当地法律对条款规定的保证存在重大不利影响，如存在此类法律，数据进口方将会通知数据出口方。

(d) 根据《附录B》所述目的处理个人数据，并有权提供条款中所述保证并履行条款项下的各项承诺。

(e) 在其组织内为数据出口方确定一个授权联络点，该联络点负责回应个人数据相关的问询，并就合理时间段内提出的此类问询，与数据出口方、数据主体和监管机构真诚合作。在数据出口方依法解散的情况下，或在双方同意的情况下，数据进口方将遵守第I（e）条规定，承担相关责任。

(f) 应数据出口方要求，向数据出口方提供相关材料，证明其具备充足的财务资源可履行条款III项下的责任（可以包括保险覆盖范围）。

(g) 应数据出口方合理要求，将数据处理所需的数据处理设施、数据文件和资料提交给数据出口方（或提交给由数据出口方指定的任何独立公正的审查代理机构或审计机构，数据进口方在合理范围内未提出异议），在合理通知和正常营业时间的条件下，进行审查、审计和/或认证，确定数据进口方遵守了条款载明的保证和承

诺。满足数据出口方的此类请求需要获得数据进口方所在国家监管机构的必要同意或批准，而数据进口方将尽力及时获得所述同意或批准。

(h) 按照以下法律法规处理个人数据：

i. 新加坡的数据保护法，以及PDPC颁布的有关规定，条例或其他要求；以及 ii.《附录A》约定的数据处理原则。

(i) 数据进口方不会将个人数据披露或传输给位于新加坡之外的任何第三方组织，除非数据进口方获得数据出口方事先同意，且：

i. 第三方数据组织根据PDPA规定的要求处理个人数据，该第三方组织需确认这样传输的个人数据提供与PDPA的保护相若的保护标准；

ii. 在被告知数据传输的目的、数据接收者的类别以及数据输出到的国家可能存在不同的数据保护标准的事实之后，数据主体获得机会提出异议。

III. 责任和第三方权利

(a) 数据进口方应向数据出口方对因违反本协议条款引起的损害承担责任。当事人之间的责任包括但不限于所遭受的实际损害和政府或地方当局施加的惩罚。数据进口方应向数据主体对因侵害第三方权利而造成的损害承担责任。这不得影响数据出口方根据其数据保护法律应承担的责任。

(b) 双方同意，若数据进口方或数据出口方违反个人数据方面的合同义务，数据主体有权作为第三方受益人，强制执行本条款和条款I（b），I（d），I（e），II

（a），II（d），II（e），II（h），II（i），III（a），V，VI（d）和VII，并为实现该目的接受数据出口方成立国家/地区的司法管辖。如果数据进口方受到违规指控，则数据主体必须首先要求数据出口方采取适当的行动，使得数据主体可以通过数据出口方行使其对数据进口方的权利；如果数据出口方在合理期限内（通常情况下为一个月）未采取此类行动，则数据主体可以直接对数据进口方行使其权利。数据出口方未能尽合理努力确定数据进口方是否有能力满足本协议条款项下的法律义务的，数据主体有权直接起诉数据出口方（数据出口方应举证证明其已经通过合理努力确定数据进口方能力）。

IV. 法律适用

x协议条款应受新加坡法律管辖。

V. 数据主体或监管机构的争议解决

(a) 如果数据主体或监管机构针对任何一方或双方提出争议或索赔，则双方应相互告知所述争议或索赔，并与彼此合作，从而与相关数据主体或监管机构及时且友好地解决争议或索赔问题。

(b) 双方同意，对由数据主体或监管机构发起的任何普遍可用的非约束性调解程序作出回应。如果一方需要参与诉讼程序，则当事方可以选择远程参与（例如通过电话或其他电子方式）。双方也同意考虑参加针对数据保护纠纷而制定的任何其他仲裁、调解或其他争端解决程序。

(c) 各方均应遵守新加坡主管法院或监管机构的决定。所述决定为终局，双方不得再针对该决定提出上诉。

VI. 协议终止

(a) 如果数据进口方违反其在本协议项下的规定，数据出口方可暂停向数据进口方传输数据，直到前述违反被修正或本协议终止。

(b) 如果：

i. 数据出口方根据上述（a）条款，暂停向数据进口方传输数据超过一（1）个月；

ii. 数据进口方遵守本协议条款会使数据进口方违反其在进口国的法律或法规义务；

iii. 数据进口方严重违反或持续违反其在本协议项下的保证或承诺；

iv. 新加坡主管法院或监管机构最终裁定不得再提起上诉，或监管机构裁定数据进口方或数据出口方违反了本协议条款；或

v. 个人或业务机构向法院提交了接管数据进口方或对数据进口方进行清算的申请，且该申请在适用法律规定的期限内没有被法院驳回；法院向数据进口方发出清算指令；数据进口方的任意资产被任命了接收人；在数据进口方是个人身份的情况下，数据进口方被指定了破产受托人；数据进口方自愿进行清算等安排；或数据进口方在任何司法管辖区发生或遭遇任何前述同等事件；

则数据出口方有权在不损害其对数据进口方拥有的其他权利的情况下终止本协议。在这种情况下，应按照相关要求通知监管机构。在上述（i），（ii）或（iv）条所述的情况下，数据进口方也可以终止本协议。

(c) 如果（i）PDPC根PDPA 2012（或任何替代文本）发布了肯定裁决，认定数据进口方将数据传输到和进行数据处理的国家（或行业）具备足够的数据保护措施，或任何替代文本直接适用于前述国家，则任何一方均可终止本协议。

(d) 双方同意，无论本协议条款在何时何种情况下以何种理由终止（根据条款VI

（c）终止的除外），均不会免除协议双方在本协议项下针对个人数据传输和处理的义务和/或责任。

VII. 协议变更

除更新《附录B》中的信息外，双方不得修改本协议条款。如果更新《附录B》，双方应根据要求通知相关监管机构。但这并不妨碍当事双方可在有需要时添加其他商业条款。

VIII. 数据传输描述

个人数据传输和个人数据详细信息请见《附录B》。双方同意，《附件B》可能包含机密商业信息，除非法律要求或响应监管机构或政府部门的要求，或按照条款I

（e）要求，否则任何一方不会将《附录B》的信息透露给任何第三方。双方可以签署其他附件文档以涵盖其他数据传输项目，并按照要求提交给监管机构；或可以重新起草《附录B》以涵盖多项数据传输。

《数据传输协议》之附录A数据处理原则

1. 目的限制：个人数据仅可因《附录B》中所述目的或数据主体授权的目的被处理、随后被使用或进一步传递。

2. 数据质量和比例：个人数据必须准确，并在必要时保持最新更新状态。在传输和进一步处理个人数据时，涉及的个人数据必须是充分的，相关的，且满足最小化原则。

3. 透明度：必须向数据主体提供确保公平数据处理的必要信息（例如有关处理目的和传输的信息），数据出口方已经提供了此类信息的除外。

4. 安全性和保密性：组织必须采取匹配相关风险的技术和组织安全措施，预防和解决处理过程中出现的意外或非法破坏、意外损失、变更、未经授权的披露或访问等问题。除非得到数据控制者指示，否则任何在数据控制者授权下操作的人（包括数据处理者本身）都不得对数据进行任何处理。

5. 访问、更正和反对的权利：根据PDPA规定，（如果数据主体提出请求，）必须通过第三方或直接向数据主体告知某组织持有的该数据主体的个人信息。但来自数据主体明显的滥用请求、基于不合理间隔的请求、不合理数量的请求、重复性或系统性的请求，或对于访问权限的请求，或根据数据出口方所在国家的法律可以不批准请求的除外。即使（数据主体）已经获得监管机构批准（可以获得访问其个人信息的权限），但是如果授予数据主体该权限很可能会严重损害数据进口方或其他与数据进口方相关组织的利益，则（数据进口方）可以不授予数据主体此权限。数据主体的权利和自由并不会凌驾于所述组织的利益之上。关于识别个人数据的来源，如果通过合理的努力无法做到这一点，或者识别个人数据来源会损害他人权利，则不应识别个人数据来源。数据主体必须能够对其不正确的个人信息或违反前述原则而被处理的个人信息进行更正、修改。如果持有个人数据的组织具有令人信服的理由怀疑数据主体请求的合法性，该组织可能需要更充分的理据支撑，然后才能进行更正、修改操作。如果该组织需要付出不合理的努力才能向其披露数据的第三方通知所述纠正、修改，则该组织可以选择不通知。如果数据主体有与其特定情况相关的令人信服的合法依据，那么该数据主体也应能够对处理其个人数据的事项提出拒绝。

6. 数据用于营销目的：当数据被用于直接营销目的时，应提供有效的流程，允许数据主体随时“选择退出”，从而不将其数据用于此目的。

7. 自动决策：在本附录中，“自动决策”是指数据出口方或数据进口方做出的对数据主体产生法律效力或对数据主体有重大影响的决策，并且该类决策仅基于自动的个人数据处理，旨在评估与数据主体相关的某些个人方面的数据，例如数据主体的工作表现、信誉度、可靠性、行为规范等。数据进口方不得做出与数据主体有关的任何自动决策，除非：

(a) i. 此类决策是由数据进口方在与数据主体签订或履行合同时做出的，并且

ii. 数据主体有机会与做出此决策的当事方代表讨论相关自动决策的结果，或以其他方式向该当事方进行xx。或

(b) 数据出口方法律要求如此。

《数据传输协议》之附录B数据传输描述

数据主体

传输的数据涉及以下数据主体类型：

● 已签署AppGallery和IAP用户协议并进行应用内购买的数据出口方的数据主体；

● 已签署AppGallery和IAP用户协议并在数据进口方服务中存在有效订阅的数据出口方的数据主体；

● 已经授权数据进口方访问华为帐户信息的数据出口方的数据主体；

● 已签署AppGallery用户协议，启用了游戏服务功能并授权向数据进口方披露信息的数据出口方的数据主体；

● 已经授权数据进口方获得其AppGallery Connect信息的数据主体；

● 已签署《华为APIs使用协议》并授权向数据进口方披露信息的数据出口方的数据主体；

● 已授权数据出口方披露并授权数据进口方访问与数据进口方提供的应用或服务相关的定位信息的数据主体。

数据传输目的

数据因以下目的被传输：

● 数据出口方和开发者之间实现结算；

● 管理对数据进口方服务的有效订阅；

● 允许数据主体使用其帐号登录数据进口方应用程序，以便进口方访问数据主体的帐号相关信息，从而提供对应的功能（如访问安全事件以保护帐号安全，访问基本资料和地址信息以创建和维护用户资料等）；

● 允许数据主体使用进口方应用程序中可用的游戏服务功能。此外，在数据主体授权的情况下，允许进口方改善其服务；

● 允许数据主体使用其华为帐号登录数据进口方应用程序，以便进口方访问数据主体的AppGallery Connect中的数据，从而提供对应的功能（如管理项目信息、开发和调测应用、提交应用上架、查看运营报表、管理商品信息、管理游戏服务配置等）；

● 允许数据进口方在其应用或服务内向数据主体提供基于定位的服务和特性。数据类型

传输的数据涉及以下数据类型：

● 支付信息，银行卡信息除外，例如订单编号、订单金额、订阅信息（订阅ID）及币种；

● 华为帐号信息；

● 游戏服务数据，例如玩家ID、排名、成就、购买信息、玩家数据；

●AppGallery Connect数据，例如华为帐号信息、团队帐号信息、联系人信息、凭证信息、调试设备信息、项目信息、应用信息、运营报表、商品信息、游戏服务配置信息；

● 数据主体的定位信息（GNSS坐标和定位数据的精确程度）；

● 与地理围栏特性相关的信息（关于用户是否进入、离开或停留在某一地理围栏内的定位及相关信息）。

数据接收者

传输的数据仅可向以下（种类的）接收者披露：

● 数据进口方

敏感数据（如有）

传输的数据涉及以下类型的敏感数据： N/A

数据出口方数据保护注册信息（如适用） N/A

其他有用的信息（存储限制及其他相关信息）数据保护问询的联络点信息

数据进口方： 数据出口方：

填写数据保护联络人信息： 华为：xxxxxxx_xxxx@xxxxxx.xxx AppTouch运营方：AppTouch运营方数据保护官

附件C：俄罗斯数据传输协议

x《俄罗斯数据传输协议》（以下简称“本协议”）由以下双方签订：华为服务（香港）有限公司（“华为”）

地址：香港九龙尖沙咀广东道9号港威大厦6座9楼03室；或相应AppTouch运营方

（以下简称“数据出口方”）以及

与华为签订《华为APIs使用协议》以及本协议的开发者

（以下简称“数据进口方”）。

下文单独提及数据出口方或数据进口方时，简称“一方”，共同提及时，统称“双方”。

本协议双方均为个人数据运营商，双方处理的个人数据包含为履行《华为APIs使用协议》项下各自义务而进行处理的个人数据。

为实现本协议目的，“个人数据”指数据出口方根据俄罗斯联邦立法向数据进口方传输的信息，包括以下数据：

•除银行卡以外的支付信息，例如订单编号、金额、订阅信息（订阅ID），以及币种；

•HUAWEI ID帐号信息或相应AppTouch帐号信息；

•游戏服务数据，例如玩家ID、排名、成就、购买记录、玩家数据；

• AppGallery Connect数据，例如华为帐号信息、团队帐号信息、联系人信息、凭证信息、调试设备信息、项目信息、应用信息、运营报告、商品信息，以及游戏服务配置信息等。

• 数据主体的定位信息（GNSS坐标和定位数据的精确程度）；

• 与地理围栏特性相关的信息（关于用户是否进入、离开或停留在某一地理围栏内的定位及相关信息）。

被传输的个人数据与以下几类数据主体相关：

•已经签订AppGallery用户协议以及IAP用户协议且已经进行IAP购买的数据主体；

•已经签订AppGallery用户协议以及IAP用户协议且已经对数据进口方服务进行有效订阅的数据主体；

•已经授权数据进口方获得其帐户信息的数据主体。

•已经签署AppGallery用户协议，启用游戏服务特性，并授权数据进口方向数据出口方共享其游戏数据的数据主体；

•已经授权数据进口方获得其AppGallery Connect信息的数据主体；

•已经签署《华为APIs使用协议》并授权数据出口方向数据进口方共享其 AppGallery Connect信息的数据主体。

•已授权数据出口方披露并授权数据进口方访问与数据进口方提供的应用或服务相关的定位信息的数据主体。

数据的传输仅出于以下目的：

•数据出口方与数据进口方之间进行结算；

•管理数据进口方服务的有效订阅；

•允许数据主体使用其帐号登陆数据进口方应用，使得数据进口方可以在获得数据主体帐号相关信息的基础上，提供帐号功能（例如，为了维护帐号安全而访问安全事件，或者访问基本信息及地址信息从而创建和维护用户个人资料信息）；

•允许数据主体使用可以通过数据进口方应用而获得的游戏服务特性。此外，允许数据进口方在获得数据主体授权后，提升其服务；

•允许数据主体使用其帐号登陆数据进口方应用，使得数据进口方可以在获得数据主体AppGallery Connect相关信息的基础上，提供相关功能（例如，管理项目信息、开发和调测应用、提交需要上架的应用，浏览运营报告，管理商品信息，管理游戏服务配置等）；

•允许数据进口方在其应用或服务内向数据主体提供基于定位的服务和特性。双方不将个人数据的传输视为处理个人数据的指令。

双方应确保在本协议框架内自另一方收到的个人数据的机密性，确保符合2006年7月27日第152-FZ号联邦法律“关于个人数据”的相关规定以及对在执行过程中采取的监管行为的相关要求，并应负责采取一切必要的法律、组织和技术措施，以保护个人数据免遭未经授权的访问或意外访问，或销毁、修改、屏蔽、复制、传播，或将个人数据用于其他非法行为。

为执行本协议，提供个人数据的一方应负责保证向另一方提供的数据的合法性和准确性，并应征得数据主体的同意，以俄罗斯联邦法律规定的方式将个人数据传输给另一方。

个人数据接收方并无义务通知个人数据被传输的相关数据主体其数据已经开始被处理，个人数据传输方才有义务通知相关数据主体其个人数据的处理。

个人数据接收方有权卷入第三方对个人数据进行处理，前提条件是，处理程度和范围仅限于为执行本协议目的，且另一方提供了获得相关数据主体同意的确认信息。无论如何，一方有义务应另一方要求提供已获得个人数据或可以访问个人数据的第三方的相关信息，包括第三方全名和缩写名称，所在地地址（注册地点和居住

地），向第三方传输个人数据的目的、传输的具体个人数据以及被传输个人数据的数据主体信息等。