数据隐私协议

附件

本数据隐私协议（连同下文列出的各附录）（“DPA”），由以下双方签订：本协议中指定的 Seagate 实体（“Seagate”和本协议中指定的公司（“公司”)（单称“一方”，统称“双方”。

公司已与 Seagate 签订一份或多份采购订单、合同和/或协议，包括工作说明书（“协议”，据此公司同意向 Seagate 提供特定服务，详见协议（“服务”）。

双方签订本 DPA，以确保公司为了 Seagate 和/或代表 Seagate 在处理公司提供的或由公司收集的个人数据时，将遵守数据保护法及其关于收集、使用和保留数据主体个人数据的规定。

本 DPA 已纳入协议并构成协议的一部分。本 DPA 中未定义的所有术语将具有协议中规定的含义。

双方确认并同意如下：

1. 定义
   。
   1. “关联公司”是指控制主体方、受主体方控制或与主体方受到共同控制的任何实体。
   2. “控制”指占相关实体现行发行在外的总权益百分之五十 (50%) 的所有权、投票权或类似权益（按全面摊薄基准计算）。术语“受控”将相应地进行解释。
      
   3. “数据隐私违规”是指意外或非法破坏、丢失、更改、未经授权披露、访问、获取 Seagate 个人信息，或者对 Seagate 个人信息进行任何其他未经授权的处理。
      
   4. “数据保护法”是指适用于相关个人数据的、全球范围内的所有数据保护、数据安全和隐私法律、法规和规章，在适用的情况下包括：(i) 《欧洲数据保护法》；(ii) 美国的所有法律、法规和条例，包括美国各州的隐私法（经不时修订、取代或更新）；(iii) 与个人数据相关的行业标准。
   5. “《欧洲数据保护法》”是指适用于欧盟（“EU”）或欧洲经济区（“EEA”）的所有数据保护法律和法规，包括：
      
      1. 《通用数据保护条例 2016/679》（“EU GDPR”）；
      2. GDPR 已根据《2018 年英国脱欧法案》第 3 节和《2018 年英国数据保护法案》纳入英国法律（“UK GDPR”)
      。
      3. 1992 年 6 月 19 日《瑞士联邦数据保护法》及其相应条例（“Swiss DPA”）；以及
         
      4. 关于电子通信领域个人数据处理和隐私保护的 2002/58/EC 指令；以及
         
      5. (i)、(ii) 和 (iii) 的适用国家/地区实施条例。
         
   6. “数据主体”是根据本 DPA 可能会处理其相关个人信息的已识别或可识别身份的自然人。
      
   7. “EU SCC”是指根据欧洲议会和理事会 (EU) 2016/679 号条例制定的，欧盟委员会 2021 年 6 月 4 日关于个人数据传输到第三国的标准合同条款的第 2021/914 号实施决定所附加的合同条款。
   8. “个人数据”是指作为个人数据、个人信息、个人可识别身份信息或根据数据保护法定义的类似术语受保护的任何信息。
   9. “处理”是指（但不限于）对个人信息所执行的操作，不论是否通过自动化手段，比如收集、记录、整理、构建、修改、使用、访问、披露、传播、复制、传输、存储或以其他方式保留、删除、调整、合并、限制、改编、检索、咨询、销毁或处置 Seagate 个人数据。
   10. “受限传输”是指
       ：
       1. 在 EU GDPR 适用的情况下，是指将个人数据从欧洲经济区转移到欧洲经济区以外的国家/地区且无需欧盟委员会充分性认定。
          
       2. 在适用 UK GDPR 的情况下，是指根据《2018 年英国数据保护法》第 17A 节将个人数据从英国转移到不受充分性法规约束或基于充分性法规的任何其他国家/地区；以及
       3. 在适用 Swiss DPA 的情况下，是指将个人数据从瑞士传输到任何其他国家/地区，该传输并非基于瑞士数据保护法认可的充分性决定。
   11. “Seagate 个人信息”是指作为个人数据、个人可识别身份信息或个人信息受数据保护法保护的任何信息，这些信息由 Seagate 或为 Seagate 创建、所有或提供，且公司可以根据双方及/或其关联公司之间的任何协议，代表 Seagate 访问、获取、使用、维护或处理此类信息。
       
   12. “敏感信息”是指以下任何类型的 Seagate 个人信息：(i) 社会保障号码、纳税人识别号码、护照号码、驾驶证号码或其他政府签发的身份识别号码；(ii) 信用卡或借记卡详细信息或金融帐号，包含或不包含允许访问账户或信用记录的任何代码或密码；或(iii) 有关种族、宗教、民族、性生活或性实践或性取向的信息、医疗或健康信息、遗传或生物信息、生物识别模板、政治或哲学信仰、政党或工会会员资格、背景调查信息或司法资料（比如犯罪记录）或有关其他司法或行政诉讼的信息。就本 DPA 而言，敏感信息包括敏感个人信息、敏感数据或适用数据保护法中定义的类似术语，EU GDPR 和 UK GDPR 中定义的特殊类别数据，以及 Swiss DPA 中定义的敏感个人数据。
       
   13. “标准条款”是指（如适用）本 DPA 第 3.1(i)(3) 节中规定的 EU SCC、英国附录和瑞士修订案。
       
   14. “分包处理者”是指由公司或任何其他分包处理者所接洽的将有权访问、接收或以其他方式处理任何 Seagate 个人信息的第三方。
       
   15. “监督机构”是指任何监管、监督、政府、地方机构、检察机关或其他对数据保护法合规性拥有管辖权或监督权的主管机构。
       
   16. “公司人员”是指公司授权处理 Seagate 个人信息的任何公司员工、承包商、分包处理者或代理商。
   17. “英国附录”是指信息专员办公室根据《2018 年英国数据保护法》第 119(A) 条发布的《国际数据传输附录》B1.0 版及不时更新或修订。
   18. “美国各州隐私法”是指公司个人数据所遵守的所有适用的数据隐私、数据保护和网络安全法律、法规和规章制度。
   19. “控制者”、“数据主体”、“处理者”、“业务”、“业务目的”、“商业目的”、“收集”、“消费者”、“共享”、“出售”、“监管权限”和“服务提供商”应具有数据保护法所赋予的含义。
   20. “包括”一词应被解释为包括但不限于，且同源词应相应地进行解释。
2. 数据安全和保护
   。
   1. 双方的身份。对于 Seagate 个人信息，双方特此确认并同意，公司应作为处理者代表 Seagate 处理此类个人数据。特此指示公司在提供协议和本 DPA 规定的服务所需的范围内处理个人数据。
   2. CCPA 相关角色。为了遵守 2018 年《加利福尼亚州消费者隐私法案》（《加利福尼亚州民法典》第 1798.100 条等条款，“CCPA”，经《加利福尼亚州隐私权法案》（“CPRA”）修订），（如适用）公司应作为服务提供商按照 Seagate 企业指示处理个人数据。
      
   3. 不披露 Seagate 个人信息。未经 Seagate 事先书面授权，供应商不得出于任何目的以任何方式向任何第三方披露 Seagate 个人信息，如下文第 2.5 节所述向分处理商披露的情况除外。在不限制上述规定的前提下，公司在任何情况下都不得出于公司或任何第三方的商业利益而将 Seagate 个人信息出售或以其他方式披露给任何第三方。经授权处理 Seagate 个人信息的任何人员，都必须根据合同同意对此类信息进行保密，否则将受到相应法定保密义务的约束。
   4. 处理限制。公司只能出于根据协议和 Seagate 书面合法指示向 Seagate 提供服务的目的处理 Seagate 个人信息（“允许的目的”）。为此，Seagate 指示公司出于附录一（传输说明）中所述的目的处理 Seagate 个人信息。除非根据双方和/或其关联公司之间的任何协议或 Seagate 的其他书面指示为向 Seagate 提供服务所必需，否则公司不得处理或允许处理 Seagate 个人信息。
   5. 处理要求。公司应始终：(a) 仅出于允许的目的处理个人数据；以及 (b) 不出于自身目的或任何第三方的目的处理个人数据。公司不得：(i) 出售或共享个人数据；(ii) 针对允许目的以外的任何目的保留、使用或披露个人数据，包括为履行协议下服务以外的商业目的而保留、使用或披露个人数据；或 (iii) 在 Seagate 与公司之间的直接业务关系之外保留、使用或披露个人数据。公司如果无法再履行 CCPA/CPRA 规定的义务，则应通知 Seagate。公司保证其理解并愿意遵守第 2.5 节中规定的要求和限制，还将进一步遵守 CCPA/CPRA 中适用于服务提供商的要求。此外，双方确认并同意，双方之间的个人数据交换不构成销售，也不构成双方就协议或本 DPA 交换的任何金钱或其他有价对价的一部分。在所有情况下公司不得将从 Seagate 接收的个人数据与公司从或代表他人接收的个人数据或公司从其与消费者之间的任何互动中收集的个人数据组合。Seagate 和公司均声明已阅读并理解 CCPA/CPRA 规定的要求。
   6. 信息安全计划。公司将实施、维护、监控并在必要时更新包含适当管理、技术和物理安全措施的全面书面信息安全计划，以确保 Seagate 个人信息免受对其安全性、机密性或完整性的预期威胁或危害（如未经授权访问、收集、使用、复制、修改、处置或披露，未经授权、非法或意外丢失、破坏、获取或损坏或任何其他未经授权的处理形式）（“信息安全计划”）。信息安全计划将包括附录 II 所附的安全标准中列出的要求和措施。
   7. 分包处理者限制。公司可根据第 2.7 节规定的条件，出于为 Seagate 提供服务的目的向分包处理者披露 Seagate 个人信息。公司应保留一份向其披露 Seagate 个人信息的分包处理者列表，并在 Seagate 提出要求时向 Seagate 提供此列表。自协议生效之日起，（如适用）公司的分包处理者的当前列表包含在协议或公司向 Seagate 提供并经双方签字的任何其他文件中，且提供分包处理者的列表。公司在向该列表添加任何分包处理者之前，应通过 [email protected] 提前至少 30 个工作日通知 Seagate。如果 Seagate 未在收到通知后的 30 个工作日内拒绝提议添加的分包处理者，则视为已批准该分包处理者。如果 Seagate 拒绝任何分包处理者访问 Seagate 个人信息，则公司不得向分包处理者披露 Seagate 个人信息。如果在任何时间，任何一方发现某个分包处理者未能针对与所处理的 Seagate 个人信息关联的风险提供足够的安全措施保证，Seagate 可以自行决定从列表中删除该分包处理者。如果分包处理者被 Seagate 拒绝或移除，公司将获得合理的时间来更换分包处理者。如果公司不向受到拒绝的分包处理者披露 Seagate 个人信息就无法提供服务，则 Seagate 可以终止双方和/或其关联公司之间的任何适用协议，而无需向公司承担任何费用或责任。
   8. 分包处理者合规和违规。公司对分包处理者的使用不会减少公司遵守本 DPA 或适用的数据保护法律的义务。公司就其分包处理者的服务履行、数据隐私违规和违反本 DPA 以及适用的数据保护法律的行为向 Seagate 承担责任，其程度与公司违规相同。
      
   9. 公司人员和分包处理者的义务。公司应确保有权访问 Seagate 个人信息的任何个人或分包处理者均签订书面协议，其中的条款至少与本 DPA 中的条款同等严格。公司应确保在为 Seagate 处理完个人信息后，所有隐私和数据保护义务仍然延续。此义务永久持续，或者至少持续到公司证明所有 Seagate 个人信息已被删除、销毁和无法挽回为止。
   10. 有限访问。公司应将对 Seagate 个人信息的访问权限限制为仅限需要访问这些信息以便公司履行其根据双方和/或其关联公司之间的任何协议或 Seagate 的书面指示下的义务的公司人员或分包处理者，且此等人员或分包处理者 (a) 经过有关数据保护和安全要求的培训，(b) 同意遵守至少与在其为 Seagate 处理信息期间和之后 Seagate 所要求的同等严格的数据保密要求。
       
   11. 请求或投诉通知。除非法律禁止，公司应在收到任何与处理 Seagate 个人信息有关的请求或投诉后的 2 个工作日内，通过 [email protected] 通知 Seagate，此类请求或投诉包括：
       1. 数据主体请求数据迁移、请求访问、更改、删除或限制以及类似请求；或
       2. 关于信息的处理侵犯数据主体权利的投诉或指控。
   12. 公司回应。除非获得 Seagate 明确授权，否则根据第 2.11 节的规定，公司不应回应任何请求或投诉。公司应就与任何请求或投诉相关而采取的行动与 Seagate 进行合作，包括但不限于删除请求。公司应努力实施适当的流程（包括技术和组织措施）协助 Seagate 响应请求或投诉，除非法律禁止。
   13. 披露请求。除非法律禁止，否则如果公司收到任何请求或声称强制披露 Seagate 个人信息的文件（比如口头问题、质询、法律诉讼中的信息或文件请求、传票、民事调查要求或其他类似要求或程序；统称“披露请求”），公司应立即通知 Seagate。如果披露请求不具有约束力，公司将不予回应。如果披露请求具有约束力，则除非适用法律禁止，否则公司应在回应之前至少 48 小时通知 Seagate，以便 Seagate 行使其阻止或限制此类披露的权利。公司应尽合理努力阻止并限制任何披露以及保护 Seagate 个人信息的机密性。公司应就回应披露请求而采取的任何行动与 Seagate 进行合作，包括协同获取适当的保护令或其他保障，以保护 Seagate 个人信息的机密性。
       
   14. 合作。公司应协助 Seagate 履行有关数据保护法的义务，包括 (a) 注册和通知；(b) 问责；(c) 确保 Seagate 个人信息的安全；以及 (d) 进行隐私和数据保护影响评估（包括数据保护法律相关的审查和风险评估）以及完成监督机构的相关咨询。
       
   15. 参与监管调查。公司应协助和支持 Seagate 进行任何监督机构发起的调查，前提是调查涉及公司或公司的分包处理者处理的 Seagate 个人信息。
   16. 潜在违反或无法遵守的通知。如发生以下情况，公司应立即通知 Seagate：
       1. 公司有理由相信 Seagate 关于处理 Seagate 个人信息的任何指示将违反适用法律；
       2. 公司有理由相信其无法履行本 DPA 或数据保护法规定的任何义务，并且无法在合理的时间内纠正这种无法履行的情况；或者
       3. 公司意识到任何情况或适用法律的变化可能妨碍其履行本 DPA 规定的义务。
   17. 暂停或调整以实现合规。Seagate 可以暂停公司或分包处理者对 Seagate 个人信息的处理，以防止可能违反或不遵守适用法律、本 DPA 或双方和/或其关联公司之间与隐私或数据保护相关的任何适用协议。公司应与 Seagate 合作调整处理流程，以纠正任何潜在的违规或不合规行为。如果无法进行调整，Seagate 可以终止双方和/或其关联公司之间的任何适用协议，而无需向公司承担任何成本或责任。
3. 数据传输
   。
   1. 欧洲经济区、英国和瑞士标准条款。
      1. 双方同意，如果 Seagate 向公司转移 Seagate 个人信息属于受限传输，则应遵守相应的标准条款，该条款将通过引用自动纳入并构成本 DPA 的组成部分，如下所述
         1. 就受 EU GDPR 保护的 Seagate 个人信息而言，EU SCC 将适用，具体如下：
            1. Seagate 为数据导出者，公司为数据导入者；
               
            2. 模块二 (C2P) 将适用；
               
            3. 对于条款 7，可选增补条款将适用；
               
            4. 对于模块二 (C2P) 条款 9，方案二将适用，有关分包处理者变更的提前通知时间段应按照本 DPA 第 7 节的规定；
               
            5. 对于条款 11，可选语言将不适用
            6. 对于条款 17；
               1. 对于模块二 (C2P)，方案一将适用；并且
                  
               2. EU SCC 将受爱尔兰法律管辖；
                  
            7. 对于条款 18(b)，争议应提交爱尔兰法院解决；
               
            8. EU SCC 附录 I 应视为包含本 DPA 附录 I 中列出的信息；以及
            9. EU SCC 附录 II 应视为包含本 DPA 附录 II 中列出的信息。
         2. 对于受 UK GDPR 保护的数据，EU SCC：(i) 应根据上文第 (1) 款所列信息填写后适用；以及 (ii) 应视为根据英国附录的规定进行修订，该附录应视为由双方签署并纳入本 DPA且构成本 DPA 的组成部分。EU SCC 条款与英国附录条款之间的任何冲突，均应根据英国附录的第 10 节和第 11 节予以解决。此外，英国附录第 1 部分中的表 1 至表 3 应分别根据本 DPA 附件 I 和附件 II 中所列信息填写，第 1 部分中的表 4 应通过不选择任何一方，即视为已填写完成。
         3. 就受 Swiss DPA 保护的 Seagate 个人信息而言，根据上文第 (1) 款实施的 EU SCC 将适用，前提是：
            1. EU SCC 中对 (EU) 2016/679 条例或 GDPR 的引用应解释为对《瑞士联邦数据保护法》 (FADP) 的引用；
               
            2. 对欧盟及其成员国法律的引用应解释为对瑞士和瑞士法律的引用（视情况而定）；
               
            3. “成员国”一词不得解释为排除瑞士的数据主体在其惯常居住地瑞士提起诉讼的可能性；
               
            4. EU SCC 条款应被解释为保护法人实体的数据，直至修订版 FADP 生效；以及
               
            5. 提及主管监督机构和主管法院时，应解释为提及瑞士联邦数据保护和信息专员 (FDPIC) 和瑞士主管法院。
               
         4. 如果本 DPA 或协议的任何条款与标准条款直接或间接相冲突，则以标准条款为准。
         5. 公司应确保，任何分包处理者也执行标准条款（如适用）。
      2. 替代传输机制：如果公司采用本 DPA 中未说明的替代数据导出机制（包括根据适用的欧洲数据保护法采用的任何新版本的标准条款或后续条款）来传输个人数据（替代传输机制），此类替代传输机制应代替本 DPA 中描述的任何适用传输机制，但仅限于此类替代传输机制：(i) 符合欧洲数据保护法；(ii) 延及个人数据转移至的地区；(iii) 满足以下通知注意事项；并且 (iv) 公司在合理必要的情况下，签署此类其他及进一步的文件，并采取此类其他及进一步的行动，以使此类替代传输机制产生法律效力。此外，如果具有管辖权的法院或具有约束力的监督机构（出于任何原因）裁定或认定本 DPA 中所述的措施无法合法传输此类 Seagate 个人信息，Seagate 承认并同意，在遵守下述通知注意事项的情况下，公司可能会实施为合法传输此类 Seagate 个人信息而合理需要的任何其他措施或安全措施。根据通知注意事项的规定，在实施替代传输机制或任何其他措施之前，公司应至少提前 30 个工作日，通过以下方式通知 Seagate：[email protected]。如果 Seagate 未在收到通知后的 30 个工作日内反对拟议的替代传输机制或其他措施，则替代传输机制或其他措施将被视为已获得批准。如果 Seagate 拒绝任何此类替代传输机制或其他措施，则公司不得利用此类替代传输机制或任何其他措施。如果 Seagate 拒绝替代传输机制或其他措施，则 Seagate 可自行决定终止双方和/或其关联公司之间的任何适用协议，而公司无需承担任何费用或责任。
      3. 从有数据导出要求的国家/地区转出。如果任何数据保护法要求采取与任何适用的数据导出限制相关的进一步措施以允许将 Seagate 个人信息传输给公司（包括其分包处理者），公司将遵守此类数据保护要求，包括获得必要的同意，或执行任何适用的数据传输协议（例如标准合同条款）或替代解决方案，以确保针对此类传输采取适当的保护措施。
   2. 其他司法管辖规定。在适用的情况下，公司应遵守特定司法管辖区的要求，见附录 III。
      
4. 合规性和问责
   。
   1. 合规性。公司应确保公司和分包处理者对 Seagate 个人信息的处理符合适用于公司和分包处理者的所有适用法律、自律框架和合同要求。公司应每年审查公司和分包处理者的实践，以确保遵守本 DPA 和所有适用的法律。对于 Seagate 要求公司证明符合本 DPA 中所提及的数据保护和安全条款的情况，公司应自费予以配合。
   2. 处理活动记录。 公司将保存有关公司代表和数据保护官员的详细信息、执行的处理活动类别、跨境数据传输信息、对已处理数据实施的安全措施的一般描述、Seagate 个人信息的每个分包处理者的名称、联系方式和处理细节，以及适用的任何分包处理者的代表和数据保护官员的最新记录。经要求，公司应向 Seagate 或监督机构提供此记录的历史副本和最新副本。
      
   3. 审查。经书面请求，公司应向 Seagate 提供证明符合本 DPA 和数据保护法律所需的所有信息，并允许 Seagate 或 Seagate 授权的独立第三方审查人员就对 Seagate 个人信息的处理进行审查，包括现场检查，或为其提供帮助。任何此类独立第三方审查人员均应与相关方签订保密协议。公司应在合理的时间内纠正任何不合规情况。如果无法进行纠正，Seagate 可以终止双方和/或其关联公司之间的任何适用协议，而无需向公司承担任何成本或责任。
      
5. 数据隐私违规后的公司责任
   。
   1. 数据隐私违规的通知。公司应在了解到潜在数据隐私违规后的 24 小时内，书面通知 Seagate 已知或可疑的数据隐私违规，并应立即：
      1. 通过 [email protected]，通知 Seagate 数据隐私违规情况；
      2. 调查数据隐私违规，或提供调查数据隐私违规所需的帮助；
         
      3. 向 Seagate 提供有关数据隐私违规的详细信息，包括但不限于相关数据主体的类别、位置和大致数量以及 Seagate 个人信息记录的类别、位置和大致数量，并继续及时向 Seagate 提供有关数据隐私违规的其他可用信息；
      4. 采取在商业上合理的所有措施减轻数据隐私违规的影响，或协助 Seagate 减轻影响；以及
      5. 根据 Seagate 的批准实施补救计划和监控 Seagate 个人信息方面的数据隐私违规和漏洞的解决情况，以确保及时采取适当的纠正措施。
   2. 遏制和补救。公司应立即遏制并补救任何数据隐私违规行为，并防止任何进一步的数据隐私违规；公司应采取一切必要措施，以遵守适用的数据保护法和行业标准，以遏制和补救数据隐私违规行为。
   3. 通信。公司不得在未经 Seagate 事先批准的情况下，以任何可识别或有合理可能识别或泄露 Seagate 身份的方式发布任何与数据隐私违规相关的通信。
   4. 保存证据。公司应维护事件响应计划。发现数据隐私违规后，公司应保存与数据隐私违规相关的证据，并根据公司的事件响应计划保持清晰的指挥系统。
   5. 合作。公司应与 Seagate 合作进行任何诉讼、调查或 Seagate 要求的其他行动，以保护 Seagate 有关使用、披露、保护和维护 Seagate 个人信息的权利。公司进一步同意提供 Seagate 和/或 Seagate 指定代表要求的合理协助和合作，以促进对任何数据隐私违规的任何更正、补救或调查和/或减轻任何潜在损害，包括 Seagate 确定适合发送给受影响数据主体、监督机构或第三方的任何通知和/或提供 Seagate 认为适合提供给受影响数据主体的任何信用报告服务。公司将承担 Seagate 与公司数据隐私违规相关的合理费用，包括但不限于调查、补救和通知费用。
6. 退还和安全删除 Seagate 个人信息
   1. 数据完整性。公司应遵守所有 Seagate 指示以保持数据的完整性，包括 (a) 处置由公司维护但已不再是提供服务所必需的 Seagate 个人信息，除非数据保护法要求留存 Seagate 个人信息；(b) 确保由公司代表 Seagate 创建的任何 Seagate 个人信息准确无误并保持最新；(c) 根据 Seagate 的要求，允许 Seagate 依据适用法律访问任何 Seagate 个人信息。
      
   2. 退还和删除 Seagate 个人信息。在 (a) Seagate 提出要求或 (b) 双方和/或其关联公司之间关于处理 Seagate 个人信息的协议到期或提前终止时（以较早者为准），根据 Seagate 的指示，公司应导出或应指示其分包处理者导出 Seagate 个人信息，或向 Seagate 或其第三方指定人员提供以 Seagate 确定的机器可读和可互操作格式导出所有 Seagate 个人信息的能力，除非数据保护法要求留存 Seagate 个人信息。公司应在 Seagate 认为合理必要的期限内维护 Seagate 个人信息，以便 Seagate 能够全面访问和导出 Seagate 个人信息，且不会对 Seagate 产生任何费用。各方应确定一名负责迁移 Seagate 个人信息的联系人，并应本着诚信的态度迅速、尽职地工作以便及时完成传输。在 Seagate (a) 确认收到并正确迁移 Seagate 个人信息，或 (b) 通知公司选择不迁移 Seagate 个人信息之后的 90 天内，公司和分包处理者应安全销毁所有 Seagate 个人信息，解除 Seagate 的工作区标识符链接，并使用新数据覆盖或以其他方式，通过批准的清理方法销毁 Seagate 个人信息。
   3. 销毁 Seagate 个人信息。如果公司处置包含 Seagate 个人信息的任何纸质、电子或其他记录公司，则应基于 Seagate 个人信息的敏感性，通过以下方式，采取合理措施销毁 Seagate 个人信息，除非数据保护法要求留存 Seagate 个人信息：(a) 粉碎，(b) 永久擦除和删除，(c) 消磁，或 (d) 以其他方式修改 Seagate 个人数据，使其不可读取、不可重建且无法解读。如果公司将包含 Seagate 个人信息副本的硬盘退役或以其他方式报废，则公司应安全地切碎或销毁硬盘，以根据 NIST 800-88 修订版 1 使 Seagate 个人信息彻底销毁且不可读取。公司应书面证明硬盘已被切碎或销毁，且 Seagate 个人信息不能被读取、检索或以其他方式重建。
   4. 对任何信息留存的通知。如果公司有法定义务在本 DPA 允许的期限之外留存 Seagate 个人信息，公司应书面通知 Seagate 此等义务，除保留此类信息以履行公司的法律义务外不得进一步处理 Seagate 个人信息，并应在法律要求的保留期结束后尽快返还或销毁 Seagate 个人信息。在公司不再保管、控制或访问任何 Seagate 个人信息之前，本 DPA 将一直有效。
   5. 文档。公司应根据本 DPA 记录其对 Seagate 个人信息的留存或处理。根据 Seagate 的要求，公司应提供留存的文档记录和 Seagate 个人信息已根据本 DPA 安全销毁的书面证明。
7. 其他
   。
   1. 期限。本 DPA 将一直有效，直至 (i) 双方之间没有其他有效协议；且 (ii) 公司已不再保管、控制或访问任何 Seagate 个人信息。公司将处理 Seagate 个人信息，直至合作关系按照协议规定终止。只要公司仍然处理 Seagate 个人信息，公司根据本 DPA 承担的义务和 Seagate 享有的权利就将继续有效。
      
   2. 优先顺序。如果本 DPA 与双方和/或其关联公司之间的任何协议存在分歧，则以本 DPA 的规定为准，除非是涉及附录 II（安全标准）的任何分歧，在这种情况下，以其他协议为准；如果其他协议中的安全标准高于附录 II 中规定的最低要求，则以其他协议为准。本 DPA 不得限制标准条款，而应仅视为对标准条款的补充。
   3. 更新。公司将合理配合以更新本 DPA，以确保遵守适用的法律法规。
      
   4. 第三方受益人。Seagate 的关联公司是本 DPA 的第三方受益人；并可分别作为本 DPA 的签署方强制执行本 DPA 的条款。Seagate 也可以代表其关联公司强制执行本 DPA，而不需要其关联公司单独对公司提起诉讼。
   5. 将 DPA 披露给监督机构。Seagate 可向任何监督机构提供本 DPA 的摘要或副本。
      
   6. 可分割性。如果本 DPA 中的任何条款无效或失效，不会影响其余条款。双方应将无效或失效条款替换为反映无效或失效条款目的的合法条款。如果缺少必要的条款，双方应本着诚意加入适当的条款。
   7. 解释。本 DPA 中的标题仅供参考，不会影响协议的解释。
      

附录 I

数据处理说明

本附录 I 构成标准条款的一部分。

模块二：传输 – 控制者至处理者（与 Seagate 个人信息相关）(C2P)

A. 各方名单

 

数据导出者
姓名和地址	Seagate Technology LLC 代表关联公司和子公司签署 47488 Kato Road, Fremont, CA, 94538
联系人姓名和联系方式：	Seagate Technology LLC 代表关联公司和子公司签署 47488 Kato Road, Fremont, CA, 94538 [email protected]
与根据这些标准条款传输的数据相关的活动	代表关联公司和子公司签署的 Seagate Technology LLC 是硬件产品和软件解决方案与服务的提供商，以支持不同行业细分的业务流程。
签名和日期：	通过签订包含本 DPA 的协议，自协议生效之日起，数据导出者被视为已签署并入本 DPA 的这些标准条款（包括其附录）。
数据导出者角色（控制者/处理者）：	载于本 DPA 第 2.1 节（双方的身份）。

 

数据导入者
姓名和地址	公司名称和地址（如协议中指定）
联系人姓名、职位和联系方式：	公司名称和地址（如协议中指定）
与根据这些标准条款传输的数据相关的活动	公司是向数据导出者提供服务和支持的服务提供商（如协议中所述）。
签名和日期：	通过签订包含本 DPA 的协议，自协议生效之日起，数据导入者即被视为已签署并入本文的这些标准条款（包括其附录）。
数据导入者角色	载于本 DPA 第 2.1 节（双方的身份）。

 

B. 传输说明

 

数据主体类别	所传输的个人数据可能涉及以下类别的数据主体： - 过去和现在的以下人员： o Seagate 员工、顾问、供应商、承包商、分包商和代理商； o Seagate 的业务合作伙伴和潜在业务合作伙伴及其员工、合作伙伴、顾问、供应商、承包商、分包商和代理商； o 潜在客户以及过去和现在的消费者； o Seagate 的过去和现在的客户及其员工、合作伙伴、顾问、供应商、承包商、分包商和代理商。
所传输个人数据的类别	Seagate 或代表 Seagate 向公司提供或由公司收集的与上述数据主体类别相关的个人数据，是公司根据协议和 Seagate 提供的书面合法说明向 Seagate 提供服务所必需的，可能包括联系信息，如名字、姓氏、电子邮件地址、营业地址、电话号码以及 Seagate 提供的任何其他个人数据。
所传输的敏感数据（如适用）以及充分考虑到所传输数据性质和相关风险所应用的限制或保护措施**	如协议中所述
传输频率	持续，除非协议或双方之间的文件另有规定。
处理性质/处理活动	如协议中所述。
数据传输和处理目的	根据相关协议提供服务。
个人数据的保留期限或（如果不可能）用于确定该期限的标准	将按以下期限保留个人数据： (a) 根据本 DPA 第 6.2 节（退还和删除 Seagate 个人信息）；或 (b) 法律另有要求；或 (c) 或在协议或双方之间涉及适用于相关服务的相关信息的其他文件规定的期间内； （以较长者为准。）
如果转移给分包处理者，还需指定处理的主题、性质和持续时间。	如果传输信息尚未在协议或双方商定的其他文件中约定，公司应通过以下方式向分包处理者提供传输标的事项、性质和处理持续时间： [email protected]。

 

C. 主管监督机构

 

根据 EU SCC 第 13 条规定，主管监督机构应当为：(i) 适用于数据导出者在其成立的欧洲经济区国家/地区的监督机构；或者 (ii) 如果数据导出者未在欧洲经济区内成立，则为数据导出者根据 EU GDPR 第 27(1) 条指定的欧盟代表的欧洲经济区国家/地区适用的监督机构，或者 (iii) 如果数据导出者没有义务指定代表，则为与传输相关的数据主体所在的欧洲经济区国家/地区适用的监督机构。对于 UK GDPR 适用的个人数据处理，主管监督机构是信息专员办公室（“ICO”）。对于 Swiss DPA 适用的个人数据处理，主管监督机构是瑞士联邦数据保护和信息专员。

 

附录 II

安全标准

本附录 II 构成标准条款的组成部分。

本附录 II 代表最低安全措施将由公司采取。如果双方之间的任何协议要求公司采取更高级别或更广泛的安全措施，公司将遵守这些条款。公司必须维护和实施旨在根据行业标准保护公司员工可以访问的 Seagate 个人信息和其他数据安全的各种政策、标准和流程，例如“NIST 网络安全框架”和 ISO 27001 或 27002。

1. 信息安全政策和标准。 公司必须对有权访问 Seagate 个人信息的员工和所有分包商、公司或代理商实施安全要求，旨在：
   1. 防止未经授权的人员访问 Seagate 个人信息处理系统（物理访问控制）；
   2. 防止 Seagate 个人信息处理系统遭到未经授权的使用（逻辑访问控制）；
   3. 确保有权使用 Seagate 个人信息处理系统的人员只能访问根据其获批准的访问权限有权访问的 Seagate 个人信息，以及在处理或使用过程中以及存储后，Seagate 个人信息不在未经授权的情况下被读取、复制、修改或删除（数据访问控制）；
   4. 确保在电子传输、传送或存储期间未经授权不能读取、复制、修改或删除 Seagate 个人信息，以及通过数据传输设施传输 Seagate 个人信息的目标实体可以被确定和验证（数据传输控制）;
   5. 确保建立审查跟踪，以记录 Seagate 个人信息是否以及由何人在 Seagate 个人信息处理中进入、修改、转移或删除（进入控制）；
      
   6. 确保仅按照指令处理 Seagate 个人信息（指令控制）；
   7. 确保 Seagate 个人信息免受意外破坏或丢失（可用性控制）；以及
   8. 确保为不同目的收集的 Seagate 个人信息可以被单独处理（分离控制）。

   公司将定期进行风险评估和审查，并在适当情况下, 至少每年或在公司的业务实践发生重大变化并可能对 Seagate 个人信息的安全性、机密性或完整性产生合理影响时修改其信息安全实践，前提是公司不会以削弱或损害 Seagate 个人信息机密性、可用性或完整性的方式修改其信息安全实践。

2. 物理安全。 公司必须在使用或存放 Seagate 个人信息的信息系统所在的所有公司站点维护商业上合理的安全系统。公司合理地限制对此类 Seagate 个人信息的访问。
3. 组织安全性。
   1. 当要处理或重复使用介质时，在将其从库存中取出之前必须实施相关程序以防止其后检索出存储在其上的任何 Seagate 个人信息。当介质因维护操作而离开文件所在的场所时，必须实施相关程序以防止过度检索存储在其上的 Seagate 个人信息。
   2. 公司必须实施安全政策和程序，对敏感信息资产进行分类，明确安全责任并提高员工意识。
   3. 必须根据适当的事件响应程序管理所有 Seagate 个人信息安全事件。
   4. 公司必须使用行业标准加密工具加密传输和静止时的所有敏感信息。
4. 网络安全性。 公司必须使用商业可用的设备和行业标准技术维护网络安全，包括防火墙、入侵检测和防御系统、访问控制列表和路由协议。
5. 访问控制。公司必须维持适当的访问控制，包括但不限于将 Seagate 个人信息的访问权限限制为需要此类访问权限的最少数量的公司人员。
   1. 只有授权人员才可以授予、修改或撤销对使用或存放 Seagate 个人信息的信息系统的访问权限。公司必须保留适当的访问记录，这些记录将根据 Seagate 的要求提交给 Seagate.
   2. 用户管理程序必须定义用户角色及其权限以及如何授予、更改和终止访问权限；解决适当的职责分离问题，并确定记录/监测要求和机制。
   3. 必须为公司的所有员工分配唯一的用户 ID。
   4. 必须遵守“最低特权”方法实施访问权限。
   5. 公司必须实施商业上合理的物理和电子安全措施来创建和保护密码。
6. 病毒和恶意软件控制。公司必须在系统上安装和维护最新的防病毒和恶意软件防护软件，并进行预定的恶意软件监控和系统扫描，以保护 Seagate 个人信息免受预期的威胁或危害，并防止未经授权访问或使用 Seagate 个人信息。
7. 人员。在向公司人员提供对 Seagate 个人信息的访问权限之前，公司必须要求公司人员遵守公司的信息安全计划。公司必须实施安全意识计划，以针对安全义务对人员进行培训。该计划将包括有关数据分类义务的培训、物理安全控制、安全实践和安全事件报告。公司将明确定义员工的角色和职责。雇佣前将根据所应用的雇佣条款和条件进行筛选。公司员工必须严格遵守既定的安全政策和程序。如果员工出现数据隐私违规，则必须进行纪律处分。
8. 业务连续性。公司实施适当的备份和灾难恢复以及业务恢复计划。公司定期审查业务连续性计划和风险评估。定期测试和更新业务连续性计划，以确保其最新且有效。
9. 主要安全经理。公司必须通知 Seagate 其指定的主要安全经理。安全经理将负责管理和协调公司信息安全计划和本 DPA 中规定的公司义务的履行情况。
   
10. 审查。Seagate 有权对公司在附录 II 的承诺开展审查，根据本 DPA 第 4.4 条“审查”进行。
    
11. 违规。如果确定公司违反本 DPA，则任何情况下，公司都必须在 30 个日历日内纠正任何此类违规行为且无任何不当拖延。任何已知或可疑的数据隐私违规行为均受本 DPA 第 5 节本 DPA 的“数据隐私违规后的公司责任”的约束。

附录 III

特定司法管辖区的数据隐私要求

以下要求适用于指定的司法管辖区：

1. 澳大利亚
   1. 适用性。第 1 节的规定适用于：(a) 公司从位于澳大利亚的 Seagate 关联公司接收或访问 Seagate 个人信息；或 (b) Seagate 通知公司 Seagate 个人信息受这些要求的约束。
   2. 职业或贸易协会成员身份。“敏感信息”一词还包括有关个人的职业或贸易协会成员身份的个人信息。
      
   3. 澳大利亚隐私原则。在处理 Seagate 个人信息或根据本 DPA 提供服务时，公司必须遵守《1988 年隐私法》(Cth)（包括澳大利亚隐私原则）中的任何适用义务。
   4. 出于执法目的使用或披露信息的注意事项。如果公司使用或披露个人信息是用于由一个执法机构执行或代表其执行的一个或多个执法活动，公司应保留使用和披露的书面记录，并及时将备案副本提供给 Seagate，除非法律禁止。
      
   5. 澳大利亚政府相关标识符。 如果个人信息包括澳大利亚政府相关标识符，公司：(a) 不得将个人的澳大利亚政府相关标识符作为自己的个人标识符，除非 Seagate 明确指示这样做；(b) 不得使用或披露澳大利亚政府的相关标识符，除非验证该个人的身份是合理必要的，或 Seagate 指示这样做。
      
   6. 个人信息的收集。如果根据 Seagate 对公司的指示，要求公司代表 Seagate 收集个人信息，则 (a) 针对关于 (i) 与收集数据主体的个人信息有关的，必须提供给数据主体的任何信息；(ii) 直接营销所需的任何选择同意，公司必须向 Seagate 寻求指示；且公司 (b) 不得收集任何敏感信息或在未经数据主体同意的情况下收集。
   7. 与澳大利亚政府的公司协议。如果 Seagate 是联邦、州或地区级别澳大利亚政府实体的签约服务提供商，并且 Seagate 依据与相关政府实体的协议必须遵守额外的数据保护义务，Seagate 将根据适用的澳大利亚法律要求对公司施加同等义务。Seagate 和公司同意在必要时签订其他协议以反映这些义务。
2. 中国大陆
   1. 适用性。第 2 节的规定适用于：(a) 公司从位于澳大利亚的 Seagate 关联公司接收或访问 Seagate 个人信息；或 (b) Seagate 通知公司 Seagate 个人信息受这些要求的约束。
      
   2. PIPL 相关角色。根据《中华人民共和国个人信息保护法》(PIPL)，Seagate 将充当个人信息处理者，并决定处理的目的和方式。公司为根据本 DPA 要求和 Seagate 指示，代表 Seagate 处理个人信息的委托方。
      
   3. 分包处理者。尽管有 DPA 第 2.4 节的规定，但未经 Seagate 明确同意，公司不得聘用任何分包处理者处理 Seagate 个人信息。此类同意的条款受 DPA 的第 2.5 节的约束。
      
   4. 有限处理时间。公司应仅在达到处理目的所需的时间内处理 Seagate 个人信息，除非双方达成其他时限。
   5. 受限传输。如果在中国大陆存储或持有 Seagate 个人信息，未经 Seagate 明确同意，公司不得将 Seagate 个人信息转移到中国大陆境外。Seagate 特此同意公司在必要时传输此类 Seagate 个人信息，前提是公司已采取一切措施以遵守数据保护法以保护此类 Seagate 个人信息。
3. 印度
   1. 适用性。本第 3 节的规定适用于：《2000 年信息技术法案》（“IT 法案”）和《2011 年信息技术（合理安全实践和程序以及敏感个人数据或信息）规则》（“隐私规则”）（经不时修订和取代）适用于公司处理由印度 Seagate 关联公司提供的 Seagate 个人信息的情况，无论该处理是否在印度进行。
      
   2. DPA 第 1.12 节应进行修改，以包括隐私规则第 3 条中指定的个人数据类别
   。
4. 日本
   1. 适用性。第 3 节的规定适用于：公司从位于日本的 Seagate 关联公司接收或访问的 Seagate 个人信息。
   2. 公司人员。公司将负责监督其公司人员遵守 DPA 的情况。
   3. 就业管理措施。公司应根据厚生劳动省（“MHLW”）《就业管理准则》的规定，保护有关就业管理的 Seagate 个人信息。
      
   4. 通过雇佣关系了解的个人信息。公司应确保其员工不会泄露或盗用通过其雇佣关系获得的 Seagate 个人信息。
   5. 传输或披露前的同意。公司在向非本 DPA 一方（包括任何分包处理者）的任何第三方（包括任何关联公司）披露或传输社会保障号码和税务号码前应向 Seagate 事先征得书面同意。
   6. 达到目的后返还或销毁。公司在达到收集目的时，应当停止处理并返还或销毁其所拥有的 Seagate 个人信息。
   7. 备份目的。除备份目的外，公司不得复制或重制 Seagate 个人信息。
5. 韩国
   1. 适用性。第 4 节的规定适用于：公司从位于韩国的 Seagate 关联公司接收或访问的 Seagate 个人信息。
   2. 有限访问。公司应将访问个人信息的权限限制为合理要求此类权限以进行处理目的的公司人员。
   3. 必要的保护措施。公司应建立和维护保护措施，包括：
      1. 用于安全处理个人信息的内部程序；
      2. 诸如防火墙、防病毒和防恶意软件等技术保护措施；
         
      3. 物理访问限制，如上锁；
      4. 防止访问日志或处理记录被更改或伪造的措施；
      5. 根据“个人信息保护法” (PIPA)、“PIPA 执行条例”、“促进信息和通信网络利用和信息保护法案” (PICNU)、“PICNU 实施条例”（“PICNU 条例”）、“信用信息利用和保护法” (UPCIA) 或其他适用韩国法律的规定安全存储和传输个人信息的措施，比如加密个人信息。
   4. 特殊识别数据的加密。以下情况下，公司应对居民登记号码、驾驶证号码和护照号码进行加密：
      1. 通过信息或通信网络传输；
      2. 存储在便携式存储介质或外围设备上；
      3. 存储在任何外部计算机网络、非军事区或任何个人计算机或移动设备上；或
      4. 存储在公司的内部网络上（如果公司的系统不符合 Seagate 规定的风险标准）。
   5. 密码和生物特征数据的加密。公司应加密以任何形式存储的所有密码和生物特征数据。
   6. 披露前信息。在向第三方数据处理者披露或传送 Seagate 个人信息之前，公司应提前合理通知 Seagate。根据 Seagate 的要求，公司将提供以下信息：(a) 待分包的处理活动；(b) 第三方数据处理者的身份；(c) 对 (a) 或 (b) 的任何改变。
   7. 培训。公司将参与 Seagate 可能选择向公司提供的任何培训，以防止在处理 Seagate 个人信息的过程中此类 Seagate 个人信息被盗、泄露、更改或损坏。
6. 新加坡
   1. 适用性。第 6 节的规定适用于：《2012 年新加坡个人数据保护法》（2012 年第 26 号）适用于公司对 Seagate 个人信息的处理时。
      
   2. DPA 第 1.3 条应替换为以下内容：

      1.3 “数据隐私违规”是指任何导致 Seagate 个人信息被意外或非法破坏、丢失、更改、未经授权披露、访问或获取的安全违规，包括：(a) 未经授权访问、收集、使用、披露、复制、修改或处置 Seagate 个人信息；(b) 在可能发生未经授权访问、收集、使用、披露、复制、修改或处置 Seagate 个人信息的情况下，存储 Seagate 个人信息的任何存储介质或设备丢失。

   3. DPA 第 5.1 条应替换为以下内容：

      5.1 数据隐私违规的通知。如果公司有理由相信发生了数据隐私违规，公司应立即将数据隐私违规事宜以书面形式通知 Seagate，并应采取以下措施：

      1. 调查数据隐私违规或提供调查数据隐私违规所需的帮助；
      2. 向 Seagate 提供有关数据隐私违规的信息，并及时提供其他可用的相关信息；以及
         
      3. 采取商业上合理的措施，遏制数据隐私违规、减轻数据隐私违规的影响，或协助 Seagate 采取此类措施，相关费用由公司承担。
7. 中国台湾
   1. 适用性。第 5 节的规定适用于：公司从位于中国台湾的 Seagate 关联公司接收或获取的 Seagate 个人信息。
   2. 分包处理者。尽管有 DPA 第 2.4 节的规定，但未经 Seagate 明确书面同意，公司不得向任何分包处理者披露或传输 Seagate 个人信息或允许其访问 Seagate 个人信息。
   3. 有限处理时间。公司应仅在达到处理目的所需的时间内处理 Seagate 个人信息，除非双方达成其他时限。
   4. 保留访问记录。公司应尽可能长时间保留访问记录，以便对其进行定期审查以发现未经授权访问的情况。
8. 泰国
   
   1. 适用性。本第 6 节的规定在以下情况下适用：《泰国个人数据保护法 B.E. 2562 (2019)》（“PDPA”）（经不时修订和取代）适用于 Seagate 公司从位于泰国的 Seagate 关联公司接收或获取的个人信息的情况。
      
   2. DPA 第 1.3 条应替换为以下内容：

      1.3 “数据隐私违规”指因故意、蓄意、疏忽、意外、未经授权或非法行为，或与计算机犯罪、网络威胁、错误或事故有关的行为，或根据 PDPA 发布的通知所规定的任何其他行为而导致的安全措施遭到破坏，从而造成个人数据在非法或未经授权的情况下丢失、访问、使用、修改或披露。
      

   3. DPA 第 1.12 节应进行修改，以包括 PDPA 第 26 节中指定的个人数据类别
   。
   4. 安全标准。公司应尽最大努力并采取一切合理措施实施和维护安全标准，至少应符合附录 II 中的要求以及 PDPA 规定的条款和要求以及根据该条款发布的任何其他规则、法规、通知和/或命令，包括但不限于个人数据保护委员会关于数据控制者安全措施的通知 B.E. 2565 (2022)，这些通知可能会不时修订、补充或替换。

数据隐私协议自 2025 年 7 月 31 日起生效。

对于 2024 年 6 月 20 日至 2025 年 7 月 31 日签署的协议，请在此处查看 PDF：数据隐私协议 2024 年 6 月 20 日

对于 2022 年 12 月 8 日至 2024 年 6 月 20 日签署的协议，请在此处查看 PDF：数据隐私协议 2022 年 12 月 8 日

对于 2020 年 8 月 11 日至 2022 年 12 月 8 日签署的协议，请在此处查看 PDF：数据隐私协议 2020 年 8 月 11 日

对于 2019 年 11 月 20 日至 2020 年 8 月 10 日签署的协议，请在此处查看 PDF：数据保护要求 2019 年 11 月 20 日

对于 2019 年 3 月 31 日之前签署的协议，请在此处查看 PDF：数据保护要求 2019 年 3 月 31 日