(一)

这些标准合同条款的目的是确保遵守欧洲议会和理事会2016年4月27日关于在个人数据处理和此类数据自由流动方面保护自然人的条例(EU) 2016/679(一般数据保护条例)的要求。^（1)将个人资料转移至第三国。

(b)

当事人:

(我)

如附件I.A所列的自然人或法人、公共机构/机构、机构/机构或其他实体/机构(以下简称“实体/机构”)转移个人数据(以下简称“数据输出方”)，以及

(2)

如附件I.A所列，直接或间接通过同样是本条款缔约方的另一个实体从数据出口商处接收个人数据的第三国实体(以下各为“数据进口商”)。

(c)

本条款适用于附件i . b所列的个人资料转移

(d)

本条款的附录包含其中提及的附件，构成本条款不可分割的一部分。

(一)

这些条款规定了适当的保障措施，包括可执行的数据主体权利和有效的法律补救措施，符合法规(EU) 2016/679第46(1)条和第46(2)(c)条，并且，关于从控制者到处理者和/或处理者到处理者的数据传输，符合法规(EU) 2016/679第28(7)条的标准合同条款，前提是它们未被修改。除非选择适当的模块或在附录中添加或更新信息。这并不妨碍双方在更广泛的合同中包括这些条款中规定的标准合同条款和/或添加其他条款或额外保障，只要它们不直接或间接与这些条款相抵触，也不损害数据主体的基本权利或自由。

(b)

这些条款不影响数据出口商根据法规(EU) 2016/679所承担的义务。

(一)

数据主体可以作为第三方受益人，对数据导出方和/或数据导入方调用和执行本条款，但有以下例外情况:

(我)

条款1、条款2、条款3、条款6、条款7;

(2)

第8.5 (e)和8.9(b)条;

(3)

(未使用)

(iv)

第12(a)和(d)条;

(v)

条款13;

(vi)

第15.1(c)、(d)和(e)条;

(七)

条款16 (e);

(八)

第18(a)和(b)条。

(b)

(a)段不损害法规(EU) 2016/679规定的数据主体的权利。

(一)

如果本条款使用法规(EU) 2016/679中定义的术语，则这些术语应与该法规中的含义相同。

(b)

这些条款应根据法规(EU) 2016/679的规定进行阅读和解释。

(c)

不得以与法规(EU) 2016/679规定的权利和义务相冲突的方式解释这些条款。

(一)

非本条款缔约方的实体可在双方同意的情况下，通过填写附录并签署附件i.a，随时以数据出口商或数据进口商的身份加入本条款

(b)

一旦完成附录并签署附件I.A，加入实体即成为这些条款的缔约方，并根据其在附件I.A中的指定拥有数据出口商或数据进口商的权利和义务

(c)

加入实体在成为缔约方之前的一段时间内，不享有根据本条款产生的任何权利或义务。

8.1.

目的限制

(一)

在取得资料当事人事先同意的情况下;

(b)

在具体的行政、监管或司法程序中，为确立、行使或辩护法律要求所必需的;或

(c)

在必要的情况下，为了保护数据主体或其他自然人的切身利益。

8.2.

透明度

(一)

为了使数据主体能够根据第10条有效地行使其权利，数据进口方应当直接或通过数据出口方通知数据主体:

(我)

其身份及联络资料;

(2)

处理的个人资料类别;

(3)

获得本条款副本的权利;

(iv)

如果其打算将个人资料转移给接收方或接收方类别的任何第三方/机构(视情况而定，以提供有意义的信息)，则该等转移的目的以及根据第8.7条的理由。

(b)

(a)段不适用于数据主体已经拥有信息的情况，包括当这些信息已经由数据出口商提供，或者提供信息被证明是不可能的，或者对数据进口商来说，提供信息将涉及不成比例的努力。在后一种情况下，数据进口者应尽可能使信息公开。

(c)

应要求，双方应向数据主体免费提供本条款的副本，包括其填写完整的附录。在保护商业秘密或其他机密信息(包括个人数据)的必要程度上，双方可以在共享附录副本之前编辑附录的部分文本，但应在数据主体否则无法理解其内容或无法行使其权利的情况下提供有意义的摘要。应要求，双方应在不泄露已编辑信息的情况下，尽可能向数据主体提供进行编辑的原因。

(d)

(a)至(c)段不影响数据出口商根据法规(EU) 2016/679第13条和第14条承担的义务。

8.3.

准确性和数据最小化

(一)

各方应确保个人资料准确，并在必要时保持最新。数据导入者应采取一切合理步骤，确保在考虑到处理目的的情况下，不准确的个人数据被立即删除或纠正。

(b)

如果一方意识到其转移或接收的个人数据不准确或已过时，则应及时通知另一方。

(c)

数据输入者应确保个人数据是足够的、相关的，并且仅限于与处理目的相关的必要数据。

8.4.

存储的限制

8.5.

处理的安全性

(一)

数据进口商以及在传输过程中，数据出口商应实施适当的技术和组织措施，以确保个人数据的安全性，包括防止因违反安全导致意外或非法破坏、丢失、更改、未经授权的披露或访问(以下简称“个人数据泄露”)。在评估适当的安全级别时，他们应当充分考虑当前的技术状况、实施成本、处理的性质、范围、背景和目的，以及处理对数据主体所涉及的风险。双方应特别考虑采用加密或假名处理，包括在传输过程中，如果可以通过这种方式实现处理目的。

(b)

各缔约方已商定附件二所列的技术和组织措施。数据进口者应进行定期检查，以确保这些措施继续提供适当的安全水平。

(c)

数据输入者应确保被授权处理个人数据的人已承诺保密，或负有适当的法定保密义务。

(d)

如果数据进口商根据本条款处理的个人数据发生个人数据泄露，则数据进口商应采取适当措施处理个人数据泄露，包括采取措施减轻其可能的不利影响。

(e)

在可能对自然人的权利和自由造成风险的个人数据泄露的情况下，数据进口者应当及时通知数据出口者和第13条规定的主管监管机构。该通知应包含i)对违规性质的描述(如可能，包括有关数据主体和个人数据记录的类别和大致数量)，ii)可能的后果，iii)为解决违规而采取或建议采取的措施，以及iv)可以从其获得更多信息的联系人的详细信息。如果数据输入方不可能同时提供所有信息，它可以分阶段提供，而不会造成不必要的进一步延误。

(f)

在个人数据泄露可能对自然人的权利和自由造成高风险的情况下，数据进口商还应毫不拖延地通知有关的数据主体个人数据泄露及其性质，如果必要的话，应与数据出口商合作，连同(e)段第ii点到第iv点提到的信息，除非数据进口者已采取措施大幅减少对自然人权利或自由的风险，否则通知将涉及不成比例的努力。在后一种情况下，数据导入者应当发布公开通信或采取类似措施，将个人数据泄露告知公众。

(g)

数据输入方应记录与个人数据泄露有关的所有相关事实，包括其影响和所采取的任何补救行动，并保存相关记录。

8.7.

敏感数据

8.8.

开始转移

(我)

根据涵盖后续转移的法规(EU) 2016/679第45条，转移到受益于充分性决定的国家;

(2)

第三方根据(EU) 2016/679法规第46或47条就相关处理确保适当的保障措施;

(3)

第三方与数据进口者签订了一份具有约束力的文书，以确保与本条款规定的数据保护水平相同，并且数据进口者向数据出口者提供了一份这些保障措施的副本;

(iv)

在具体的行政、管制或司法程序中确立、行使或辩护法律要求所必需的;

(v)

为了保护数据主体或其他自然人的切身利益，有必要;或

(vi)

在其他条件均不适用的情况下，在告知数据主体其目的、接收方身份以及由于缺乏适当的数据保护保障而导致的此类转移可能给他/她带来的风险之后，数据进口者已经获得了数据主体在特定情况下的进一步转移的明确同意。在这种情况下，数据进口者应当通知数据出口者，并且在后者的要求下，应当向其传送提供给数据主体的信息的副本。

8.8.

数据导入器授权下的处理

8.9.

文档和遵从性

(一)

各方应能够证明其遵守了本条款项下的义务。特别是，数据进口者应保留在其责任范围内进行的处理活动的适当文件。

(b)

数据进口者应当根据要求向主管监管机构提供此类文件。

(未使用)

(一)

在相关的情况下，在数据出口商的协助下，数据进口商应处理其从数据主体收到的有关处理其个人数据和行使其在这些条款下的权利的任何查询和请求，不得无故拖延，最迟应在收到该查询或请求后一个月内处理。⁽⁴⁾数据输入方应当采取适当措施，为此类查询、请求和数据主体权利的行使提供便利。提供给数据主体的任何信息都应以易于理解和获取的形式，使用清晰易懂的语言。

(b)

特别是，根据数据主体的要求，数据进口者应当免费:

(我)

向资料当事人确认有关他/她的个人资料是否正被处理，并提供有关他/她的资料及附件一所载资料的副本;如果个人数据已经或将被转移，则提供个人数据已经或将被转移到的接收者或接收者类别的信息(视情况而定，以便提供有意义的信息)、此类转移的目的及其依据第8.7条的理由;并提供关于根据第12(c)(i)条向监管机构提出投诉的权利的信息;

(2)

纠正与数据主体有关的不准确或不完整的数据;

(3)

删除与数据主体有关的个人数据，如果这些数据正在或已经被处理，违反了确保第三方受益人权利的任何条款，或者如果数据主体撤回了处理所依据的同意。

(c)

如果数据进口商出于直接营销目的处理个人数据，如果数据主体反对，则应停止为此目的处理个人数据。

(d)

除非得到数据主体的明确同意，或者根据目的地国家的法律授权，否则数据进口商不得仅基于对所转移的个人数据的自动处理(以下简称“自动决定”)做出会对数据主体产生法律效力或对他/她产生类似重大影响的决定。前提是这些法律规定了适当的措施来保护数据主体的权利和合法利益。在这种情况下，如有必要，数据进口者应与数据出口者合作:

(我)

告知数据主体设想的自动化决策、设想的后果和所涉及的逻辑;和

(2)

实施适当的保障措施，至少允许数据主体对决定提出异议，表达他/她的观点并获得人类的审查。

(e)

如果数据主体提出的要求过多，特别是由于其重复的特点，数据进口商可以在考虑到批准该要求的行政成本的情况下收取合理的费用，也可以拒绝就该要求采取行动。

(f)

数据进口商可以拒绝数据主体的请求，如果这种拒绝是目的国法律允许的，并且在民主社会中是必要和相称的，以保护法规(EU) 2016/679第23(1)条所列的目标之一。

(g)

如果数据进口商打算拒绝数据主体的请求，它应当告知数据主体拒绝的理由，以及向主管监管机构提出申诉和/或寻求司法补救的可能性。

(一)

数据进口商应通过个人通知或在其网站上，以透明和易于访问的形式告知数据主体被授权处理投诉的联系人。它应当迅速处理从数据主体收到的任何投诉。

[数据输入方同意数据主体也可以向独立的争议解决机构提出投诉^（5）数据主体无需支付任何费用。它应当以(a)段规定的方式告知数据主体这种补救机制，并且他们不需要使用该机制，或者在寻求补救时遵循特定的顺序。

(b)

如果数据主体与一方当事人之间就遵守本条款发生争议，该方应尽其最大努力及时友好地解决该问题。双方应相互通报此类争议，并在适当情况下合作解决争议。

(c)

当数据主体根据第3条援引第三方受益权时，数据进口者应当接受数据主体的决定，符合:

(我)

向其经常居住地或工作地点所在成员国的监管机构，或第13条规定的主管监管机构提出投诉;

(2)

将争议提交第18条所指的主管法院。

(d)

双方同意，在法规(EU) 2016/679第80(1)条规定的条件下，数据主体可以由非营利机构、组织或协会代表。

(e)

数据进口商应遵守在适用的欧盟或成员国法律下具有约束力的决定。

(f)

资料输入者同意资料当事人所作的选择不会损害他/她根据适用法律寻求补救的实质及程序权利。

(一)

任何一方因违反本条款给另一方造成的任何损害，均应向另一方承担赔偿责任。

(b)

任何一方因违反本条款下的第三方受益权而给数据主体造成的实质性或非实质性损害，均应向数据主体承担责任，数据主体有权获得赔偿。这并不影响数据出口商根据法规(EU) 2016/679承担的责任。

(c)

如果因违反本条款而对数据主体造成的任何损害负有不止一方的责任，则所有责任方应承担连带责任，数据主体有权向法院起诉其中任何一方。

(d)

双方同意，如果一方根据第(c)款承担责任，则有权向另一方索赔与其对损害的责任相对应的部分赔偿。

(e)

数据进口商不得援引处理者或子处理者的行为来逃避其自身的责任。

(一)

如果数据出口商在欧盟成员国设立:如附件I.C所示，负责确保数据出口商遵守关于数据传输的法规(EU) 2016/679的监管机构应作为主管监管机构。

(一)

如果数据出口商不在欧盟成员国设立，但根据第3(2)条属于第(EU) 2016/679号法规的适用领土范围，并根据第(EU) 2016/679号法规第27(1)条指定了一名代表:如附件I.C所示，在欧盟法规2016/679第27(1)条意义上设立代表的成员国监管机构应作为主管监管机构。

(一)

如果数据出口商未在欧盟成员国设立，但根据法规(EU) 2016/679第3(2)条属于其适用的领土范围，但无需根据法规(EU) 2016/679第27(2)条指定代表:如附录I.C所示，数据主体的个人数据在本条款下因向其提供商品或服务而被转移，或者其行为被监控，其所在地的一个成员国的监管机构应当作为有权的监管机构。

(b)

数据进口者同意在任何旨在确保遵守本条款的程序中，接受主管监管机构的管辖并与之合作。特别是，数据进口商同意回应查询，接受审计并遵守监管机构采取的措施，包括补救和补偿措施。它应当向监管机构提供已采取必要行动的书面确认。

(一)

双方保证，他们没有理由相信第三目的地国适用于数据进口商处理个人数据的法律和惯例，包括披露个人数据的任何要求或授权公共当局访问的措施，会阻止数据进口商履行其在本条款下的义务。这是基于这样一种理解，即尊重基本权利和自由的本质，并且不超过民主社会中维护法规(EU) 2016/679第23(1)条所列目标之一的必要和相称的法律和实践，与这些条款并不矛盾。

(b)

双方声明，在提供第(a)款中的保证时，他们特别考虑了以下因素:

(我)

转移的具体情况，包括处理链的长度、涉及的行为者的数量和使用的传输渠道;拟继续转移;接收人的类型;处理目的;所传送的个人资料的类别及格式;发生转移的经济部门;所传输数据的存储位置;

(2)

目的地第三国的法律和惯例——包括那些要求向公共当局披露数据或授权此类当局访问数据的法律和惯例——与转移的具体情况有关，以及适用的限制和保障措施⁽⁶⁾；

(3)

为补充本条款下的保障措施而实施的任何相关合同、技术或组织保障措施，包括在传输期间和在目的地国处理个人数据时采用的措施。

(c)

数据进口商保证，在根据(b)段进行评估时，其已尽最大努力向数据出口商提供相关信息，并同意将继续与数据出口商合作，以确保遵守这些条款。

(d)

双方同意将(b)段规定的评估记录下来，并应要求提供给主管监管机构。

(e)

数据进口商同意立即通知数据出口国,如果后同意这些条款和合同期间,有理由相信,它已经成为受法律或实践不是(a)款的要求,包括在第三国的法律变化后或测量(如披露请求)指示应用程序这样的法律在实践中不符合(a)款的要求。

(f)

在根据(e)段发出通知后，或者如果数据出口商有其他理由相信数据进口商不能再履行其在这些条款下的义务，数据出口商应迅速确定数据出口商和/或数据进口商将采取的适当措施(例如，确保安全和保密的技术或组织措施)来解决这种情况。如果数据出口商认为无法确保数据传输的适当保障措施，或者受到主管监管机构的指示，则应暂停数据传输。在这种情况下，数据出口商有权终止合同，只要合同涉及本条款下的个人数据处理。如果合同涉及两方以上，除非双方另有约定，否则数据出口者只能对相关方行使终止合同的权利。根据本条终止合同的，适用第16(d)和(e)条。

15.1.

通知

(一)

如果发生以下情况，数据进口方同意立即通知数据出口方，并在可能的情况下，及时通知数据主体(如有必要，在数据出口方的帮助下):

(我)

根据目的地国家的法律，收到公共机构(包括司法机构)提出的具有法律约束力的要求，要求披露根据本条款转移的个人数据;该通知应包括有关所请求的个人资料、请求当局、请求的法律依据和所提供的答复的信息;或

(2)

知悉公共当局根据目的地国家的法律对根据本条款转移的个人数据的任何直接访问;此种通知应包括向进口商提供的所有信息。

(b)

如果根据目的地国的法律，数据进口者被禁止通知数据出口者和/或数据主体，则数据进口者同意尽其最大努力获得对禁令的豁免，以期尽快传达尽可能多的信息。数据导入方同意记录其所做的最大努力，以便能够在数据导出方提出要求时证明这些努力。

(c)

在目的国法律允许的情况下，资料进口商同意在合约有效期内定期向资料出口商提供所收到要求的尽可能多的相关资料(特别是要求的数目、所要求的资料类型、提出要求的权力、要求是否受到质疑，以及该等质疑的结果等)。

(d)

数据进口商同意根据(a)至(c)段的规定，在合同有效期内保留信息，并应主管监管机构的要求提供信息。

(e)

(a)至(c)段不影响数据进口者根据第14(e)条和第16条的义务，即在数据出口者无法遵守这些条款时及时通知其。

15.2.

审查合法性和数据最小化

(一)

资料输入方同意覆核有关披露要求的合法性，特别是该项要求是否仍在提出要求的公共当局所获授权的权力范围内;如经仔细评估后，认为有合理理由认为有关要求根据目的国的法律、国际法的适用义务和国际社会原则属非法，则同意对有关要求提出质疑。数据进口者应在同样条件下寻求上诉的可能性。当对请求提出质疑时，数据进口商应寻求临时措施，以暂停请求的效力，直到主管司法当局决定其是非事实。公署不会披露所要求的个人资料，直到根据适用的程序规则有要求时才会披露。这些要求不影响数据进口商在第14(e)条下的义务。

(b)

资料输入方同意将其法律评估及对披露要求的任何质疑记录在案，并在目的国法律允许的范围内，向资料输出方提供该等文件。它还应根据要求将其提供给主管监管机构。

(c)

资料输入者同意在回应披露要求时，根据对该要求的合理解释，提供所允许的最少数量的资料。

(一)

无论出于何种原因，如果数据进口者不能遵守这些条款，应及时通知数据出口者。

(b)

在数据进口者违反本条款或无法遵守本条款的情况下，数据出口者应暂停向数据进口者转移个人数据，直至再次确保遵守或合同终止。这并不影响第14(f)条。

(c)

在以下情况下，数据出口商有权终止合同，只要合同涉及本条款下的个人数据处理:

(我)

资料出口者已根据(b)段暂停向资料进口者转移个人资料，而未能在一段合理时间内及在任何情况下均未能在暂停后一个月内恢复遵守本条款;

(2)

数据进口方严重或持续违反本条款;或

(3)

数据进口商未能遵守主管法院或监管机构就其在本条款下的义务作出的具有约束力的决定。

在这些情况下，它应当将此类违规行为告知主管监管机构。如果合同涉及两方以上，除非双方另有约定，否则数据出口者只能对相关方行使终止合同的权利。

(d)

在根据(c)段终止合同之前转移的个人数据，应根据数据出口者的选择立即退还给数据出口者或全部删除。上述规定亦适用于该等资料的任何副本。数据进口者应向数据出口者证明数据已删除。在数据被删除或归还之前，数据进口方应继续确保遵守本条款。如果适用于数据进口商的当地法律禁止返回或删除已转移的个人数据，则数据进口商保证其将继续确保遵守这些条款，并仅在当地法律要求的范围内和时间内处理数据。

(e)

在以下情况下，任一方均可撤销其受本条款约束的协议:(i)欧盟委员会根据法规(EU) 2016/679第45(3)条作出决定，该决定涵盖本条款适用的个人数据传输;或(ii)法规(EU) 2016/679成为个人数据转移到的国家的法律框架的一部分。这并不影响法规(EU) 2016/679下适用于相关处理的其他义务。

(一)

由这些条款引起的任何争议应由欧盟成员国的法院解决。

(b)

双方同意，这些法院应为爱尔兰共和国的法院。

(c)

数据主体也可以向他/她经常居住地的成员国的法院对数据出口者和/或数据进口者提起法律诉讼。

(d)

双方同意接受该等法院的管辖。

（1)

如果数据出口商是受法规(EU) 2016/679约束的处理者，代表欧盟机构或团体作为控制人行事，在雇用不受条例(EU) 2016/679约束的另一个处理者(子处理)时，依赖这些条款也确保遵守欧洲议会和理事会2018年10月23日条例(EU) 2018/1725第29(4)条，该条例涉及欧盟机构、实体、办公室和机构处理个人数据时保护自然人以及此类数据的自由流动。并废除第(EC) 45/2001号法规和第1247/2002/EC号决定(OJ L 295, 2018年11月21日，第39页)，只要这些条款和控制者和处理者之间的合同或其他法律行为中规定的数据保护义务符合第(EU) 2018/1725号法规第29(3)条。特别是在控制者和处理者依赖于第2021/915号决议中包含的标准合同条款的情况下。

(2）

这需要以一种匿名的方式呈现数据，使个人不再被任何人识别，符合法规(EU) 2016/679的序言26，并且这个过程是不可逆转的。

（3）

《欧洲经济区协定》(EEA协定)规定将欧洲联盟的内部市场扩展到三个EEA国家:冰岛、列支敦士登和挪威。欧盟数据保护立法，包括法规(EU) 2016/679，由欧洲经济区协议涵盖，并已纳入其附件十一。因此，就本条款而言，数据进口商向位于欧洲经济区的第三方披露的任何信息都不构成继续转让。

(4)

考虑到请求的复杂性和数量，在必要的情况下，该期限最多可再延长两个月。数据进口方应当及时及时地将任何此类延期通知数据主体。

（5）

只有在已批准《纽约执行仲裁裁决公约》的国家设立了仲裁机构，数据进口商才能通过仲裁机构提供独立的争议解决。

(6)

关于这些法律和惯例对遵守这些条款的影响，可以考虑将不同的因素作为全面评估的一部分。这些要素可包括以往要求公共当局披露或未要求披露的相关记录的实际经验，涵盖足够具有代表性的时间框架。这特别指内部记录或其他文件，根据尽职调查在持续的基础上制定并经高级管理层认证，只要这些信息可以合法地与第三方共享。如果根据这一实际经验得出数据进口商不会被阻止遵守这些条款的结论，则需要得到其他相关的客观因素的支持，缔约方应仔细考虑这些因素在可靠性和代表性方面是否具有足够的分量来支持这一结论。特别是，缔约方必须考虑到它们的实际经验是否与公开可得或可以其他方式获得的关于同一部门内是否存在请求和/或在实践中适用法律的可靠信息(例如判例法和独立监督机构的报告)相证实而不相矛盾。