'/%3e%3cellipse%20opacity='0.34'%20cx='327.5'%20cy='339'%20rx='264.5'%20ry='264'%20fill='url(%23paint1_linear_12724_35442)'/%3e%3cdefs%3e%3clinearGradient%20id='paint0_linear_12724_35442'%20x1='327'%20y1='-2.524e-06'%20x2='327'%20y2='389.286'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20stop-color='%2327D9E5'/%3e%3cstop%20offset='0.927406'%20stop-color='%23004047'%20stop-opacity='0'/%3e%3c/linearGradient%3e%3clinearGradient%20id='paint1_linear_12724_35442'%20x1='328.02'%20y1='74.7771'%20x2='328.02'%20y2='395.312'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20stop-color='%2327D9E5'/%3e%3cstop%20offset='0.927406'%20stop-color='%23004047'%20stop-opacity='0'/%3e%3c/linearGradient%3e%3c/defs%3e%3c/svg%3e)
IPRoyal数据处理协议
最后更新日期:2025年12月 | 版本:2.0
该数据处理协议(以下简称 “数据处理协议 ”或 “DPA” )由数据处理方IPRoyal Services FZE LLC(以下简称 “数据处理方” )与该协议的数据控制方自然人或法人(以下简称 “数据控制方” )共同签订。数据处理方与数据控制方合称 “协议双方” ,单独一方称 “协议方” 。
数据处理方提供多项IP地址代理服务器基础设施解决方案(以下简称 “协议服务” ),数据控制方希望按照 服务条款 (以下简称 “主协议” )获取并使用此类服务,该数据处理协议构成主协议的组成部分。在提供服务过程中,数据处理方将代表数据控制方利益处理个人数据。
双方特此达成如下协议,以资遵守:
1. 关键术语
1.1 该数据处理协议(包括其附件)项下,除上下文另有要求外,以下术语定义如下:
| 适用数据保护法 | 指在特定时间有效的任何与个人数据保护相关的适用法律。 |
| 数据控制方 | 指接受主协议并决定个人数据处理目的和方式的个人或实体。 |
| 数据处理方 | 指IPRoyal Services FZE LLC,根据该数据处理协议代表数据控制方处理个人数据。 |
| 个人数据 | 指与已识别或可识别自然人相关的任何信息。可识别自然人指可通过姓名、地址、社会保障号码、订阅号、IP地址、位置数据、网络标识符、流量数据、信息内容,或能通过与该自然人的身体、生理、遗传、心理、经济、文化或社会身份相关的一个或多个因素直接或间接识别的人。 |
| 分包处理方 | 指数据处理方根据主协议委托、代表数据控制方处理个人数据的第三方。 |
1.2 该数据处理协议中未明确定义的任何术语,应按照主协议中赋予的含义进行解释。
2. 协议双方角色与责任
2.1 数据控制方应完全按照适用数据保护法履行其作为数据控制方的责任,包括与个人数据处理相关的责任以及向数据处理方提供合法指令的责任。
2.2 数据控制方声明并保证,并应始终确保,其已获得适用数据保护法要求的所有合法依据、批准以及权利,能够向数据处理方转移、披露或以其他方式提供个人数据,并允许数据处理方根据主协议和该数据处理协议处理此类个人数据。
2.3 数据处理方不对数据控制方指令的合法性承担责任。如数据处理方有合理理由认为某一指令不合法,则应立即通知数据控制方。
2.4 数据处理方不得有意从事任何直接导致数据控制方违反适用数据保护法的活动。
在不影响上述一般义务的前提下,数据控制方确认并同意: (i) 遵守适用数据保护法中与收集和使用与数据处理方协议服务相关的个人数据有关的所有必要的透明度和合法性要求; (ii) 对个人数据的准确性、质量、完整性和合法性及其收集方式负责;且 (iii) 确保向数据处理方发出的有关个人数据处理的指令合法且符合适用数据保护法。
2.6 如数据控制方无法履行本节规定的义务,则应立即通知数据处理方。
3. 数据处理范围与指令
3.1 数据处理方仅依据数据控制方的书面指令处理个人数据,包括与个人数据向第三国或国际组织的任何转移相关的指令。任何此类转移均应遵守适用数据保护法。例如,如欧洲经济区(EEA)或英国的数据主体的个人数据被转移至此类司法管辖区以外,数据处理方应确保此类转移符合《通用数据保护条例》(GDPR)第五章及英国相应数据保护法的规定,并采用适当的保障措施,如充分性认定、标准合同条款、有约束力的公司规定或适用数据保护法认可的任何其他合法转移机制。
3.2 数据控制方关于处理范围的指令如下:
| 处理标的 | 数据处理方向数据控制方提供的协议服务。 |
| 处理目的与性质 | 仅在提供协议服务所需且符合主协议的前提下处理个人数据。 |
| 数据主体类别 | 数据控制方通过协议服务及任何相关服务处理其个人数据的个人。 |
| 个人数据类别 | 数据控制方通过协议服务处理的个人的个人数据。 |
| 处理期限 | 在主协议期内及数据控制方使用协议服务期间,直至按照第7条删除或返还个人数据为止,适用数据保护法要求保留此类数据的情况除外。 |
| 分包处理方的处理标的、性质及期限 | 分包处理方受数据处理方委托,协助其提供协议服务。分包处理方仅在提供协议服务所需期限内或适用数据保护法另有要求的情况下处理个人数据。 |
3.3 数据处理方不得为该数据处理协议和主协议规定以外的任何目的,或以不符合适用数据保护法的任何方式处理个人数据。
3.4 数据控制方授权数据处理方代表其与分包处理方签订协议,以履行本数据处理协议项下的义务。数据处理方在本数据处理协议附件三中提供当前的分包处理方名单。
数据处理方应: (i) 与任何分包处理方以书面形式订立合同,令其承诺提供至少与该数据处理协议要求同等水平的个人数据保护,并采取和维持良好的技术和机构举措,确保个人数据处理符合适用数据保护法的要求;且 (ii) 为任何分包处理方的作为和不作为向数据控制方承担完全责任,责任范围与其自身作为和不作为的责任范围相同。
3.6 数据控制方签订该数据处理协议并开始使用协议服务,即表明其确认并已熟悉附件3中列明的分包处理方名单,并在此授权可将工作委托给此类分包处理方。数据控制方同时授权,数据处理方未来可为相同或实质相似的处理目的,委托任何分包处理方。数据处理方应持续更新附件3授权分包处理方名单,无需另行通知数据控制方。数据处理方按要求提供当前名单,数据控制方可基于与个人数据保护相关的合理理由,联系 privacy@iproyal.com 就任何新的分包处理方提出书面异议,同时提供充分依据。如异议属实,数据处理方将尽合理努力提供经济合理的协议服务内容变更,避免由存在异议的分包处理方处理个人数据。如数据处理方未能在三十(30)日内作出此类变更,数据控制方可采取唯一且排他的救济方式,终止受影响的协议服务,但剩余部分的协议服务须具备技术和结构可行性。如剩余部分协议服务不具备可行性,则数据控制方可全面终止主协议和该数据处理协议。在此情况下,终止日期前应付的所有费用仍应支付,已支付的任何费用不予退还。数据控制方不得就(i)异议日期前使用授权分包处理方,或(ii)按本节规定终止受影响的协议服务,对数据处理方进一步提出索赔。协议双方应在终止协议前友好协商确定替代方案。
4. 数据安全与保密性
4.1 数据处理方应采取适当技术和机构性措施,保护个人数据免受意外或非法销毁、更改、未授权披露或未授权访问,以及任何其他形式的非法处理。在确定此类措施时,数据处理方应考虑技术发展水平、实施成本及数据处理性质、范围、背景和目的,以及对个人权利和自由的风险等级。此类措施应保障与风险程度相当的安全水平,并可酌情包含个人数据假名化和加密、确保处理系统和服务的持续保密性、完整性、可用性和弹性,在发生意外时能够及时恢复个人数据的可用性和访问权限,以及包含定期测试、评估和评价此类措施有效性的流程。
4.2 数据处理方对个人数据的访问权限应仅限于为履行该数据处理协议项下工作需要访问此类数据的员工。数据处理方应确保其授权范围内任何有权访问个人数据的人员均承担适当的法定或合同保密义务,遵守不低于该数据处理协议对数据处理方赋予的保密义务标准。
4.3 未经数据控制方事先书面同意,数据处理方不得向任何第三方披露或以其他方式提供任何个人数据或与个人数据处理相关信息,(i)根据该数据处理协议委托的分包处理方,或(ii)适用数据保护法要求披露的情况除外。在后一种情况下,数据处理方应(在适用数据保护法允许范围内)在披露个人数据前及时将此类法律要求通知数据控制方。
4.4 数据处理方在知晓个人数据遭到任何意外或非法销毁、丢失、更改、未授权披露或访问(以下简称“个人数据泄露”)时,应毫不延迟地通知数据控制方。此类通知应包含数据处理方合理可获得的、且适用数据保护法要求提供的所有信息,以此协助数据控制方履行义务,并应说明数据处理方和/或任何相关分包处理方已采取或建议采取的应对个人数据泄露、减轻其可能造成的不利后果的措施。
5. 协助与合作
5.1 数据处理方应考虑数据处理性质及其可获得的信息,在合理可行范围,协助数据控制方履行其在适用数据保护法项下的义务。此类协助具体包括: (i) 采取和支持采取数据安全措施及发送数据泄露通知; (ii) 协助进行数据保护影响评估及与监管机构的事先协商;且 (iii) 为数据主体行使其在适用数据保护法项下的权利提供便利。 此类义务仅适用于因该数据处理协议项下数据处理活动而产生的范围。
5.2 如数据主体、监管机构、政府部门或任何其他第三方就该协议项下个人数据的处理,向数据处理方提出请求,数据处理方应毫不迟疑地将此类请求传达给数据控制方。
5.3 数据控制方有权以数据控制方的身份,在双方约定的合理范围内,核实数据处理方是否能够履行其在该数据处理协议项下的义务。为此,数据处理方应仅向数据控制方一方提供证明其能遵守该数据处理协议和适用数据保护法合理所需的必要信息。
5.4 数据处理方应允许并合理配合数据控制方或其委托的独立审计师进行的审计或检查,但该审计师应承担数据处理方认可的保密义务。任何此类审计应仅关乎该数据处理协议及适用数据保护法项下的处理活动。审计开展前应提供合理的书面审计通知,在正常营业时间内实施审计,且实施方式不得无理干扰数据处理方的业务运营。除非适用数据保护法另有规定,否则审计频率不得超过每十二(12)个月一次。数据控制方应承担审计的所有费用,包括数据处理方为协助审计所花费时间的合理费用。
6. 责任与费用分摊
6.1 数据处理方的责任仅限于主管当局根据适用数据保护法明确确定的范围和方式。该协议的任何规定均不得将数据处理方的责任扩大至主管当局根据适用数据保护法明确要求的范围之外。
6.2 对于因以下原因产生的所有合理支出、成本和费用,数据处理方有权获得补偿: (i) 无依据、过度或给数据处理方带来不合理或不成比例负担的合作请求;且/或 (ii) 数据控制方发出的不准确、不完整、非法或不符合该数据处理协议的指令。
7. 一般条款
7.1 该数据处理协议在数据处理方根据主协议代表数据控制方处理个人数据期间持续有效,且在任何情况下,在向数据控制方提供协议服务期间内持续有效,或适用数据保护法另有要求的除外。
7.2 协议服务终止后,数据处理方应按照数据控制方的选择,删除或返还所有个人数据,并书面证明已删除完毕,适用数据保护法要求保留此类数据的除外。
7.3 该数据处理协议为主协议不可分割的组成部分。该数据处理协议未明确规定的任何事项,应受主协议管辖。如该数据处理协议与主协议条款出现任何冲突或矛盾时,应以该数据处理协议规定为准。
附件I 标准合同条款(SCC)及欧洲转移协议
欧洲经济区(EEA)数据转移。 就该数据处理协议项下处理的受《通用数据保护条例》(GDPR)管辖的个人数据而言:(i) 数据控制方为“数据出口方”,数据处理方为“数据进口方”;(ii) 欧盟委员会批准的标准合同条款(模块2 控制方向处理方转移)通过引用并入该数据处理协议,构成该数据处理协议不可分割的组成部分;(iii) 第7条中,可选择对应条款适用;(iv) 第9条中,适用第2项,分包处理方变更的事先通知期限为数据处理方在相关通知中指定的期限,该期限应允许数据控制方提出合理异议;(v) 第11条中,可选语言删除;(vi) 第17条和第18条中,协议双方同意标准合同条款的管辖法律和争议解决地为立陶宛;(vii) 标准合同条款的附件纳入该数据处理协议第3.2条列明信息,即视为完成;且(viii) 如标准合同条款与该数据处理协议的任何规定存在冲突,冲突范围内以标准合同条款为准。
英国数据转移。 就受英国《通用数据保护条例》(UK GDPR)管辖的个人数据而言,标准合同条款应根据 (a) 款规定适用,并作如下修改:(i) 标准合同条款应根据《英国标准合同条款》进行修订和解释,英国标准合同条款通过引用并入该数据处理协议,构成其不可分割的组成部分;(ii) 《英国标准合同条款》的表1、表2和表3纳入该数据处理协议第3.2条列明信息,即视为完成,表4选择“双方均不”即视为完成;且(iii) 标准合同条款与《英国标准合同条款》之间的任何冲突,应根据《英国标准合同条款》第10条和第11条的规定解决。
附件II 《加州消费者隐私法》(CCPA)/《加州隐私权法案》(CPRA)补充协议
该《加州消费者隐私法》(CCPA)/《加州隐私权法案》(CPRA)补充协议(以下简称“补充协议”)构成数据控制方(以下简称“企业”)与数据处理方(以下简称“服务提供商”,双方合称“协议双方”)之间签订的《数据处理协议》(以下简称“DPA”)的组成部分。
1. 范围及适用
1.1 仅当企业委托服务提供商代表其处理《2018年加州消费者隐私法》(经《2020年加州隐私权法案》修订,合称“CCPA”)所定义的个人信息的范围内,适用该补充协议,协议对双方具有约束效力。
1.2 该补充协议适用于服务提供商仅为根据主协议向企业提供协议服务,或为实现CCPA所定义的商业目的而收集、保留、使用和披露个人信息的行为。
1.3 服务提供商为其实现自身目的,向企业提供协议服务无关的目的而收集、保留、使用或披露个人信息的行为,不在该补充协议的适用范围以内。
2. 数据处理限制
2.1. 服务提供商不得: (a)出售或共享个人信息; (b)为除主协议和该数据处理协议项下向企业提供协议服务的特定商业目的以外的任何目的,除CCPA另行允许目的以外,保留、使用或披露个人信息; (c)在双方直接商业关系之外保留、使用或披露个人信息;或 (d)合并从企业获得的个人信息与从其他来源获得的个人信息,CCPA另行允许的除外。
2.2 协议双方确认并同意,双方间的个人信息交换不构成双方就主协议、数据处理协议或该补充协议所交换的任何金钱或其他有价值对价的组成部分。
2.3 服务提供商应遵守CCPA项下适用的所有义务。
2.4 在不影响该数据处理协议项下服务提供商义务或主协议项下协议双方任何其他权利或义务的前提下,如服务提供商认为其无法履行CCPA项下义务,则应通知企业,适用数据保护法禁止此类通知的情况除外。服务提供商确认,企业有权在发出通知后,采取合理适当举措制止并纠正服务提供商对个人信息的未授权使用。
3. 消费者权利协助
3.1 如服务提供商直接或间接收到消费者对行使其在CCPA项下与该消费者个人信息相关权利的请求,则应立即将该请求抄送给企业。
3.2 服务提供商应向企业提供合理协助,帮助企业实现核实的消费者权利请求。
3.3 按照企业书面指令,服务提供商应在商业上合理的时间内删除个人信息,除非适用数据保护法要求保留此类信息。
4. 检查核实
4.1 应数据控制方书面合理请求,数据处理方应提供证明其遵守该补充协议的必要信息。
4.2 数据处理方亦可提供书面证明,确认其理解并遵守CCPA项下义务。
5. 其他条款
5.1 该补充协议优先于主协议或数据处理协议项下任何冲突条款,但不影响此类协议的其他条款。
5.2 该补充协议中未另行定义的术语,适用CCPA或数据处理协议项下赋予含义。
附件III 分包处理方名单
数据处理方委托特定的第三方服务提供商(以下简称“分包处理方”),协助其提供协议服务。此类分包处理方可代表数据控制方处理与协议服务相关的个人数据。该附件给出数据处理方当前委托的分包处理方名单。
当前分包处理方( 截至2025年12月5日 ):
| 类别 | 分包处理方 | 数据处理目的 | 所在地 |
|---|---|---|---|
| 支付处理与计费 | 1. Bitlocus LT, UAB 2. Decentralized UAB (CoinGate) 3. Paddle.com Market Ltd. 4. Stripe, Inc. 5. Airwallex(香港)(支付宝) 6. Spectro Finance Limited |
1. 支付处理 2. 支付处理 / 加密货币网关 3. 支付处理与计费 4. 支付处理 5. 支付处理 6. 支付处理 / 加密货币网关 |
1. 立陶宛/欧盟 2. 立陶宛/欧盟 3. 英国 4. 美国 5. 香港/中国 6. 英属维尔京群岛 |
| 身份验证与反诈 | 1. iDenfy (iDenfy UAB) 2. Intuition Machines, Inc. (hCaptcha) |
1. 身份验证服务 2. 反诈与验证码服务 |
1. 英属维尔京群岛 2. 立陶宛/欧盟 |
| 客户支持与沟通 | 1. Intercom, Inc. 2. Discord Inc., Discord Netherlands B.V. 3. Twilio, Inc. |
1. 实时聊天与客服平台 2. 实时聊天与客服平台 3. 通信平台(短信、通话、信息传递) |
1. 美国 2. 全球(美国/欧盟) 3. 美国 |
| 营销、广告与联盟平台 | 1. Meta Platforms, Inc. (Facebook) 2. Google LLC谷歌 3. Impact Tech, Inc. 4. Iterable, Inc. 5. LinkedIn Corporation领英 6. X Corporation(前身为 Twitter, Inc.) 7. 百度公司(Baidu, Inc.) 8. Quora, Inc. |
1. 营销、分析与诊断 2. 营销、分析与诊断 3. 联盟营销平台 4. Ma营销自动化与客户互动 5. 营销与分析 6. 营销与分析 7. 营销与分析 8. 营销与分析 |
1. 美国 2. 全球(美国/欧盟) 3. 美国 4. 美国 5. 美国 6. 美国 7. 中国 8. 美国 |
| 分析与诊断 | 1. Microsoft Corporation(Clarity)微软 2. Hotjar Ltd. |
1. 应用程序分析与诊断 2. 应用程序分析与诊断 |
1. 美国 2. 马耳他/欧盟 |
| 客户关系管理与客户管理 | 1. Salesforce, Inc. 2. Trustpilot A/S 3. Usercentrics A/S (Cookiebot) |
1. 客户关系管理(CRM) 2. 接受管理 3.接受管理 |
1. 美国 2. 丹麦/欧盟 3. 丹麦/欧盟 |
| 安全与合规 | Sprinto, Inc. | 安全合规自动化 | 欧盟 |
| 集成与工作流程自动化 | Zapier, Inc. | 工作流程自动化与集成 | 美国 |