MAPSLY 数据处理附录

1. 数据处理.

1.1 范围和角色. 此 DPA 适用于 MAPSLY 处理客户数据时。在这种情形下，MAPSLY 将充当客户的数据处理方，而客户则可以作为客户数据的控制者或数据处理方。

1.2 客户控件. 客户可以使用服务控制功能来协助其履行适用数据保护法下的义务，包括响应数据主体请求的义务。考虑到处理的性质，客户同意MAPSLY不太可能发现根据标准合同条款传输的客户数据存在不准确或过时的情况。尽管如此，如果MAPSLY发现根据标准合同条款传输的客户数据不准确或过时，将会毫不延迟地通知客户。MAPSLY将通过提供客户可用于删除或更正客户数据的服务控制功能，与客户合作删除或更正根据标准合同条款传输的不准确或过时的客户数据。

1.3 数据处理详情.

1.3.1 主题. 本 DPA 下的数据处理的主题是客户数据.

1.3.2 时长. 在 MAPSLY 与客户之间，本 DPA 下的数据处理期限由客户确定.

1.3.3 目的。 本 DPA 下的数据处理目的在于提供由 Customer 不时发起的 Services。

1.3.4 处理的性质. Compute、storage 及其他服务，如 Documentation 中所描述，并由 Customer 不时启动。

1.3.5 客户数据类型. 在客户的 MAPSLY 帐户下上传到 Services 的客户数据.

1.3.6 数据主体的类别. 数据主体可能包括 Customer 的客户、员工、供应商和最终用户。

1.4 遵守法律. 每一方在执行本 DPA 时，都将遵守对其适用并具有约束力的所有法律、规则和规定，包括适用的数据保护法。

1.5 Mapsly 作为控制器 客户承认 Mapsly 可能会收集关于客户终端用户的具体信息，该信息描述在 MAPSLY 隐私政策（目前发布于 https://mapsly.com/privacy-policy)在任何此类数据在数据保护法下被视为个人信息的范围内，Mapsly为该数据的控制者，并将根据本DPA将其作为客户数据的一部分进行处理。客户还授予MAPSLY权利，在其合法的商业目的下与内部以及其子处理器共享这些数据，这些目的涉及服务的运营、支持和使用，例如账单、账户管理、技术支持、产品开发、销售及营销。

2. 客户说明. 各方同意，本 DPA 及协议（包括客户通过配置工具（如 MAPSLY Setup 控制台及 MAPSLY 为服务提供的 API）提供指示）构成客户就 MAPSLY 处理客户数据所作的书面指示（文档化的说明”). MAPSLY将仅按照记录在案的指示(Documented Instructions)处理客户数据(Customer Data)（如果客户作为处理者，其指示可能基于其控制者的指示）。超出记录在案指示范围（如有）的附加指示需要MAPSLY与客户之间事先达成书面协议，其中包括客户为执行该指示而需支付给MAPSLY的任何额外费用的约定。如果MAPSLY拒绝遵循客户要求的、超出或偏离本DPA中所给出或约定的指示，客户有权终止本DPA及协议。考虑到处理的性质，客户同意MAPSLY不太可能就记录在案的指示是否违反适用的数据保护法形成看法。如果MAPSLY形成了此类看法，将立即通知客户，在这种情况下，客户有权撤销或修改其记录在案的指示。

3. 客户数据的保密性. 除非为维护或提供 Services 所必需，或为遵守法律或政府机构（如传票或法院命令）的合法且具有约束力的命令，MAPSLY 不会访问、使用或向任何第三方披露任何 Customer Data。如果政府机构向 MAPSLY 发送有关 Customer Data 的请求，MAPSLY 将尝试引导该机构直接向 Customer 请求这些数据。作为这一努力的一部分，MAPSLY 可能会向政府机构提供 Customer 的基本联系信息。如果 MAPSLY 被迫向政府机构披露 Customer Data，则除非 MAPSLY 在法律上被禁止这样做，否则将提前向 Customer 发出合理通知，使其有机会寻求保护令或其他适当的补救措施。

4. MAPSLY 员工的保密义务. MAPSLY 限制其人员在未获得 MAPSLY 授权的情况下处理客户数据。MAPSLY 对其人员施加了适当的合同义务，包括与保密、数据保护和数据安全相关的义务。

5. 数据处理安全

5.1 MAPSLY 已经实施并将持续维护适当的技术与组织措施，以确保客户数据的安全性和机密性，符合 Mapsly 在本 PDA 中描述的安全标准以及 MAPSLY Privacy Policy 的要求.

5.2 客户责任与可选安全功能. MAPSLY 提供了许多服务控制功能，客户可以选择使用这些功能以进一步加强客户数据的安全性。客户负责 (a) 安全使用服务，包括保护其账户认证凭证，(b) 在数据传输过程中保护客户数据的安全，(c) 采取任何适当措施对上传到服务的客户数据进行安全加密或备份，(d) 正确配置服务和服务控制，以及 (e) 采取客户认为足以确保客户数据安全、保护和删除的其他措施。

5.3. 安全事件通知.

5.3.1. 安全事件. MAPSLY将 (a) 在获悉安全事件后毫不延误地通知客户，并且 (b) 采取适当措施应对该安全事件，包括采取缓解安全事件产生不良影响的措施。

5.3.2. MAPSLY 帮助. 为了使 Customer 能够向监管机构或数据主体（如适用）报告安全事件，MAPSLY 将通过在通知中包含 MAPSLY 能够向 Customer 披露的关于安全事件的信息（考虑到处理的性质、MAPSLY 可获得的信息以及任何有关信息披露的限制，如保密性）来与 Customer 合作并协助其。考虑到处理的性质，Customer 同意他们最能确定安全事件可能带来的后果。

5.3.3. 未成功的安全事件. 客户同意：

(i) 未成功的安全事件不受本第5.3节的约束。未成功的安全事件是指未导致对客户数据或存储客户数据的 MAPSLY 设备或设施发生未授权访问的事件，并可能包括但不限于对防火墙或边缘服务器进行的 ping 以及其他广播攻击、端口扫描、登录失败尝试、拒绝服务攻击、数据包嗅探（或其他未导致超出报文头访问的未授权流量数据访问）或类似事件；

(ii) MAPSLY在本第5.3节下报告或响应安全事件的义务，并不构成也不会被解释为MAPSLY对该安全事件任何错误或责任的认可。

5.3.4. 通讯. 安全事件的通知（如有）将通过 MAPSLY 选择的任何方式（包括电子邮件）发送给客户的一位或多位管理员。客户有责任确保其管理员在 MAPSLY 设置控制台上保持准确的联系信息，并始终确保传输安全。

5.3.5. 通知义务. 如果 MAPSLY 通知客户发生安全事件，或者客户以其他方式得知任何偶然或非法造成的对客户数据的销毁、丢失、更改、未经授权的披露或访问，客户将负责 (a) 确定是否根据适用的数据保护法存在任何通知或其他义务，以及 (b) 采取必要措施以遵守这些义务。这并不限制 MAPSLY 根据本第 5.3 节所承担的义务。

6. 子处理.

6.1 授权的子处理器. 客户对 MAPSLY 使用子处理器代表客户对客户数据进行处理活动提供了一般授权 (子处理器”) 根据本节。MAPSLY 网站（目前发布于, https://mapsly.com/sub-processors/) 列出了目前由 MAPSLY 聘用的子处理器。在 MAPSLY 聘用子处理器前至少 30 天，MAPSLY 将更新相关网站，并为客户提供获取该更新通知的机制。如要对某个子处理器提出异议，客户可以：(i) 停止使用 MAPSLY 服务中因 MAPSLY 聘用子处理器而实现的功能，或 (ii) 根据协议条款终止协议。

6.2 子处理器义务. 在 MAPSLY 根据第6.1节所述授权子处理器的情形:

(i) MAPSLY 将仅限制子处理器访问客户数据，仅限于根据文档提供或维护服务所必需的范围，并且 MAPSLY 将禁止子处理器出于任何其他目的访问客户数据；

(ii) MAPSLY将与Sub-processor签订书面协议，并且在Sub-processor提供与MAPSLY依据本DPA提供的相同数据处理服务的情况下，MAPSLY将对Sub-processor施加与MAPSLY在本DPA下所承担的相同合同义务;

(iii) MAPSLY 将继续负责其遵守本 DPA 义务，并对 Sub-processor 的任何行为或不作为导致 MAPSLY 违反本 DPA 下任何义务负责。

7. MAPSLY 对数据主体请求的支持. 考虑到处理的性质，Service Controls 是 MAPSLY 协助客户履行其根据适用数据保护法对数据主体请求作出响应义务的技术和组织措施。如果数据主体向 MAPSLY 提出请求，一旦 MAPSLY 确认该请求来自客户负责的数据主体，MAPSLY 将立即将该请求转发给客户。客户授权代表其本人，以及在客户作为 Processor 时代表其控制者，允许 MAPSLY 对任何向 MAPSLY 提出请求的数据主体做出响应，以确认 MAPSLY 已将该请求转发给客户。双方同意，客户使用 Service Controls 以及 MAPSLY 根据本条款将数据主体的请求转发给客户，构成客户所需协助的范围和程度。

8. 合规验证.

8.1 MAPSLY 审计. MAPSLY 使用外部审计师来验证其安全措施的充分性。此次审计：(a) 至少每年进行一次；(b) 将依据一种广泛认可的标准进行；(c) 由 MAPSLY 挑选并承担费用的独立第三方安全专家执行；以及 (d) 将生成一份审计报告 (报告”), 将构成 MAPSLY 的机密信息.

8.2 审计报告. 应客户的书面请求，并且在双方已签订适用的 NDA 的前提下，MAPSLY 将向客户提供报告副本，以便客户能够合理地核实 MAPSLY 是否履行了其在本 DPA 下的义务。

8.3 隐私影响评估及事前协商. 考虑到处理的性质以及 MAPSLY 可获得的信息，MAPSLY 将通过提供根据本第 8 节提供的信息，协助客户履行其在数据保护影响评估及事前协商方面的义务。

9. 个人数据传输.

9.1 位置. MAPSLY 可以在美国或欧洲经济区 (EEA) 内转移和处理客户数据。除非为提供客户发起的服务或为遵守法律或政府机关有效且具有约束力的命令所必需，MAPSLY 不会将客户数据转移到欧洲经济区和美国以外的地区。

9.2 标准合同条款的应用. 根据第9.3条款，标准合同条款仅适用于根据GDPR受约束并被直接或经进一步转移至任何第三国的客户数据（每个为“数据传输”).,

9.2.1 当客户以控制者身份行事时，控制者与处理者之间的条款将适用于数据传输.

9.2.2 当 Customer 作为 Processor 时，Processor-to-Processor Clauses 将适用于 Data Transfer。考虑到处理的性质，Customer 同意 MAPSLY 不太可能知道 Customer 的 Controllers 的身份，因为 MAPSLY 与 Customer 的 Controllers 没有直接关系，因此，Customer 将根据 Processor-to-Processor Clauses 履行 MAPSLY 对 Customer 的 Controllers 的义务。

9.3 替代传输机制. 如果 MAPSLY 已经采用了针对处理者的具有约束力的公司规则，或其他被认可的符合法律要求的数据传输合规标准，则标准合同条款将不适用于数据传输。

10. 终止 DPA. 本 DPA 将持续有效，直至协议终止 (the “终止日期”).,

11. 删除客户数据. 在协议终止或到期后，MAPSLY应根据客户的请求删除客户数据，但须在90天内完成删除，除非适用法律要求MAPSLY保留部分或全部客户数据，MAPSLY将按照适用的保留期限对这些数据进行安全隔离和存储。MAPSLY将保护这些数据不被进一步处理，但法律另有要求的除外。

12. 告知义务. 当客户数据在由 MAPSLY 处理期间，在破产或资不抵债程序或类似第三方措施中成为查封对象时，MAPSLY 将在没有不当延误的情况下通知客户。MAPSLY 还将毫不延迟地通知所有相关方（例如债权人、破产受托人），说明任何受到这些程序影响的客户数据均为客户的财产和责任范围，并且完全由客户自行处置。

13. 完整协议; 冲突. 本 DPA 通过引用纳入了 Standard Contractual Clauses。除非经本 DPA 修订，Agreement 将继续完全有效。如果 Agreement 与本 DPA 存在冲突，则以本 DPA 的条款为准，但 Service Terms 将优先于本 DPA。本文件中的任何内容均不更改或修改 Standard Contractual Clauses。

14. 使用从...获得的原始或派生用户数据, 工作区 API 将遵守 Google 用户数据政策，包括, 有限使用要求