甲方:(以下简称“甲方”)
乙方:广西东信易通科技有限公司(以下简称“乙方”)
一、定义
本个人信息委托处理协议中使用的相关术语的含义如下:
“个人信息”是指以电子或者其他方式记录的与已识别或可识别的自然人有关的各种信息,不包括匿名化处理的信息。
“个人信息保护法”是指《中华人民共和国民法典》、《中华人民共和国个人信息保护法》等涉及个人信息保护的法律法规。
“个人信息主体”是指个人信息所标识或关联的自然人。
“个人信息的处理”是指个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
“中国东信云通信平台”(以下简称“平台”),是指广西东信易通科技有限公司建设的统一云通信平台,包括隐私号、云消息、云客服及IM音视频等系列产品。
二、个人信息委托处理内容、方式、范围和期限
1.个人信息委托处理内容:为实现甲方使用中国东信云通信平台相关服务(隐私号业务、云消息业务、云客服业务、数据验真服务等)及系列产品的目的,甲方将向乙方提供用户个人信息,并委托乙方处理个人信息。乙方作为受托方将对上述个人信息进行处理。具体包括:
(1)为提供隐私号服务,甲方委托乙方处理个人信息中呼入呼出号码、话单信息、录音信息;
(2)为提供云通信/云消息/5G消息服务,甲方委托乙方处理用户:主被叫号码、通话时间、通信文字文本内容、以及电话录音等信息;
(3)为提供云客服服务,甲方委托乙方处理与语音相关的录音,包含呼入呼出的语音文件等信息。
(4)为提供数据验真服务,甲方委托乙方处理用户:姓名、身份证号码、手机号、银行账户等信息。
2.个人信息处理方式:包括对个人信息收集、存储、使用、加工、传输、提供、删除等为实现合作目的所必须的方式。
3. 个人信息处理范围:个人信息处理范围包括个人身份证号码、住址、手机号码、通话时间、通信文字文本内容、录音信息、征信信息、行踪轨迹、交易信息等用户个人信息,以及乙方在使用甲方服务过程中所提供的其他信息。
4.个人信息处理期限:甲方委托乙方进行个人信息处理的期限为甲方使用平台服务期间。
三、甲方权利和义务
甲方保证并承诺,在整个期限内:
1.个人信息的处理(包括转移本身)已在并且将在不违反所适用的相关法律法规的情况下进行。甲方委托乙方处理个人信息的行为,亦未超出已征得个人信息主体授权同意的范围。
2.在个人信息处理服务的过程中,指导乙方只处理由甲方传输的个人信息,并且遵守所适用的个人信息保护法以及本协议。
3.甲方将依照适用的个人信息保护法的要求在技术和组织安全措施方面提供充分的保障,防止个人信息受意外事件或是非法损毁或是意外丢失、更改、未经授权公开或访问,以及所有非法形式个人信息处理,尤其是将个人信息传输至乙方的过程。
4.甲方已在其前端触点的隐私政策或者用户协议中向用户履行告知义务并取得用户同意,告知义务包括明确告知用户会将其个人信息委托乙方处理,并告知使用平台服务处理个人信息的场景、方式、范围、目的等。对于涉及收集敏感个人信息的,甲方已获得并留存用户单独同意的证明材料,并将证明材料提供给乙方。如甲方用户并非个人主体,则甲方保证,接受/即将接受平台服务的甲方用户已经履行上述义务,否则甲方将承担由此造成的损失。
5.知悉并允许乙方可能因适用法律法规的规定或监管机构或政府机构(无论位于何地)的要求或任何法律程序被强制要求披露相关个人信息。
6.甲方同意,在乙方要求时,将向乙方赔偿由于甲方直接或间接违反本条规定而导致乙方遭受或发生的所有索赔、责任、成本、费用、损失或损害(包括附带损失、利润损失和声誉损失以及所有利息、罚金、法律和其他专业成本和费用),确保乙方免受其损害。
7.如果乙方面临因违反与根据本协议处理的个人信息相关的个人信息保护法而引起或与之相关的实际或潜在索赔,甲方将立即提供乙方合理要求且与该索赔的辩护相关的所有材料和信息。
8.如果甲方得知与协议相关的任何实际或疑似个人信息泄露,甲方应:
(1)在 30 天内采取合理的措施进行评估,以确定个人信息泄露根据个人信息保护法是否应通知,并立即以书面形式向乙方通知评估结果;
(2)如果甲方通知乙方其认为根据个人信息保护法应当通知该个人信息泄露,则:
A.甲方应编制个人信息保护法要求的与任何个人信息泄露相关的通知声明(简称“通知声明”)草稿,并在向有关个人信息保护监管机构、守约方或任何其他个人披露之前,向乙方提供通知声明草稿以供其审批。
B.乙方应以书面形式向甲方通知:
C.乙方合理要求对通知声明草稿进行的任何更改,并且甲方应在通知声明草稿中包含所有这些变更;或
D.乙方批准通知声明草稿;和
E.乙方批准通知声明草稿后,甲方必须向有关个人信息保护监管机构、守约方和个人信息保护法要求的任何其他个人提供经批准的通知声明;和
F.未经乙方事先书面同意,不得发布关于任何疑似或实际个人信息泄露的任何公开声明或披露,而且必须确保其关联公司及其各自人员不这样做。
四、乙方权利和义务
乙方保证并承诺,在整个期限内:
1.乙方将按照法律规定、监管要求以及相应国家或行业标准,采取必要的技术措施和管理措施,以确保个人信息的安全,防止个人信息遭到篡改、破坏、泄露、非法获取或非法利用。具体包括:
(1)仅在本协议所约定的期限和范围内处理相关个人信息,除非基于法律法规或执法、司法机关对于披露个人信息的要求。
(2)乙方将定期更新并公开安全风险、个人信息安全影响评估等报告的有关内容;
(3)在不幸发生个人信息安全事件后,乙方将按照法律要求,及时向甲方告知,并采取应有的补救措施,防范和降低风险。
2.乙方将在法律法规允许的范围内,根据甲方的要求存储用户的号码信息和录音信息,以供甲方下载相关信息。甲方需保证已获得个人信息主体关于存储号码信息最长期限的明示同意。否则,因此造成的乙方损失,应由甲方承担。
3.乙方仅在平台有效期内、基于平台服务实现的方式收集、存储、处理、传输、提供甲方控制的个人信息,按照法律规定、本协议的要求处理甲方的个人信息,不将个人信息用于其他目的和用途。
4.乙方将协助甲方响应个人提出的了解委托处理情况或行使个人权利的请求,包括但不限于:个人提出的解释说明请求;查询、复制个人信息;更正、补充、删除个人信息;限制或拒绝个人信息处理;撤回同意;注销账户等请求。
5.乙方确保个人信息只能由乙方雇佣的正式授权人员访问,确保乙方雇佣并正式授权处理个人信息的人员承诺进行保密或负有适当的法定保密义务,并根据处理性质,确保该等个人遵守协议相同个人信息保护义务和甲方指示。
6.乙方可授权任何乙方代表其处理个人信息,前提是,如果个人信息保护法要求,甲方应与乙方签订书面协议,其中应包含基本上与本协议中所包含之条款相同的条款。甲方特此向乙方授予一般书面权限,以允许在遵守本协议要求的前提下委托乙方。
五、评估和检查
1. 甲方应无偿、积极、有效配合乙方开展的审核、评估及内外部审计检查工作,并应配合监管机构开展的审查和监管工作,包括网络安全审查和个人信息安全审查等。
2. 甲方应按乙方的要求向其提供为开展前述工作所需的全部信息,且不得隐瞒任何可能对前述工作和乙方合法利益造成影响的信息。
3. 乙方有权在企业的控制权、业务安排或个人信息安全保护能力等情形发生变化或企业发生个人信息安全事件后,对甲方开展审核、评估及内外部审计检查工作,且因此发生的费用应由甲方承担。
4.甲方和乙方应保证,如果个人信息权利主体和/或监管机构提出要求,其将提交相应的个人信息处理设施,以供审计。
六、责任条款
1.双方同意,如果任何一方以任何方式违反本协议规定的义务,致使守约方遭受损失,则守约方有权从违约方处获得补偿,以弥补其遭受的损失。
2.如果违约方不履行其义务,而守约方因违约方在事实上已不存在、被取消法律资格或丧失偿债能力而无法根据本协议向违约方提出索赔要求,则违约方同意,守约方可向违约方发起索赔,除非任何继任实体已根据合同或法律规定承担违约方的全部法律义务,在这种情况下,守约方可对此类实体强制行使其权利。
七、个人信息处理服务终止后的义务
1.双方同意,在本协议终止后,甲方和乙方将按照个人信息权利主体选择的方式,将所有已传输的个人信息及其副本退还给个人信息权利主体,或者销毁所有此类个人信息并向个人信息权利主体证明此类个人信息已被销毁,除非法律禁止甲方退还或销毁全部或部分已传输的个人信息。在这种情况下,甲方应保证其能够确保已传输的个人信息的机密性,并且不会再主动处理此类已传输的个人信息。
八、法律适用
1.本协议条款之效力、解释、变更、执行与争议解决均适用中华人民共和国大陆地区法律,并排除一切冲突法规定适用。
2.如双方就本协议内容或其执行发生任何争议,双方应尽量友好协商解决;协商不成时,任何一方均可向南宁仲裁委员会提起仲裁。
九、其他规定
如果本协议中的任何条款无论因何种原因完全或部分无效或不具有执行力,或违反任何适用的法律,则该条款被视为删除,但本协议的其余条款仍应有效并且有约束力。