本数据处理附录(Data Processing Addendum, “DPA”)适用于上海寰创宇科技有限公司为客户提供海外仓系统、Amazon SP-API 订单协同、履约集成和数据治理服务时的受托处理活动,是双方主合同中关于数据保护的补充条款。
1. 角色
通常情况下,客户决定处理目的和范围,作为控制方/委托方;我们根据客户书面或可验证指示处理数据,作为处理方/受托方。
2. 处理事项
- 系统公开说明页、多语言页面维护与公开资料整理;
- Amazon 订单、库存、履约、售后与仓内协同流程支持;
- 账号接入、日志审计、安全运维与客户支持。
3. 数据主体与数据类型
数据主体可能包括客户员工、店铺运营人员、消费者收件人、客服联系人、达人合作联系人和物流承运信息相关人员。数据类型可能包括业务联系信息、订单与履约信息、商品资料、平台授权信息、系统日志以及必要的个人信息。
4. 客户义务
- 确保处理行为具备合法基础,并已履行必要告知义务;
- 仅在有权共享的前提下向我们提供数据、素材、账号与权限;
- 及时撤销不再需要的权限,并通知我们相关限制要求。
5. 我们的承诺
- 仅按客户指示和合同约定处理数据,不擅自扩展用途;
- 要求接触数据的人员承担保密义务;
- 不会出售客户数据,也不会用于与委托服务无关的广告营销。
6. 安全措施
- 访问控制、角色分离、审批机制与审计日志;
- 适用时采用 HTTPS/TLS、加密存储、脱敏展示和备份轮转;
- 漏洞修复、异常监控和安全事件响应流程。
7. 分包处理
如需使用云基础设施、工单、通信、开发协作或履约支持类分包方,我们会确保其承担不低于本 DPA 的保密与安全义务,并在合理范围内向客户说明。
8. 跨境传输
若项目涉及跨境传输,双方应根据适用法律、合同安排和实际部署地域落实必要保障措施。我们会按照客户选择的服务模式处理存储位置与访问范围。
9. 数据主体请求协助
在客户指示下,我们会在合理范围内协助处理访问、更正、删除、导出、限制处理等请求。
10. 安全事件通知
一旦发现可能影响委托数据安全的事件,我们会尽合理努力及时启动处置、隔离、调查和修复流程,并在适用法律或合同要求范围内通知客户。
11. 返还与删除
服务终止或客户提出要求后,我们将按约定协助返还、导出、删除或匿名化相关数据;备份数据将在既定轮转周期中清理,法律另有要求的除外。
12. 合规证明
在不影响其他客户、系统安全和商业秘密的前提下,我们可通过安全说明、问卷答复、截图、日志摘要或其他合理方式说明履约情况。
13. 撤销授权与删除协助
如客户或其最终用户撤销授权、要求停用相关接口能力或提出删除请求,我们会根据客户指示在合理范围内协助执行停用、导出、删除、匿名化或访问限制措施,并保留必要的处理记录以证明履约。
14. 受托方类别说明
在服务交付中,可能使用云基础设施、通知通信、协作开发、工单支持或履约支持类受托方。我们会要求相关受托方承担不低于本 DPA 的保密与安全义务,并在合理范围内向客户说明其类别与作用。
15. 响应时限
除法律或合同另有要求外,对于删除、导出、限制访问或合规材料请求,我们通常会在 7 个工作日内确认受理,并在 30 天内完成处理、提供材料或说明无法立即完成的原因。
16. 优先级
如本 DPA 与主合同中关于数据保护的约定冲突,以本 DPA 为准;未尽事宜按主合同及适用法律执行。联系邮箱:support@hcytechsoft.com