特点 定价 API 参考 关于
登录 注册

数据处理协议 (DPA)

v1.0——2026 年 3 月生效

Morlivo,Stelica Ventures LLC 的品牌,该公司为德克萨斯州有限责任公司("Morlivo","Processor"),致力于按照欧盟《通用数据保护条例》(EU)2016/679("GDPR")、英国 GDPR 及所有其他适用的数据保护法律处理个人数据。本数据处理协议("DPA")规范 Morlivo 代表我们的客户("Controller")处理个人数据。文中对 "Morlivo" 或 "Morlivo.ai" 的引用,均指以 Morlivo.ai 名义开展业务的 Stelica Ventures LLC.

1. 定义

就本数据处理协议而言:

  • <strong>\"Personal Data\"</strong> 指根据 GDPR 第4(1)条定义的与已识别或可识别的自然人有关的任何信息.
  • <strong>\"Processing\"</strong> 指根据 GDPR 第4(2)条对个人数据执行的任何操作,包括收集、存储、使用、披露或删除.
  • <strong>\"Controller\"</strong> 指确定处理个人数据目的和方式的客户.
  • <strong>\"Processor\"</strong> 指代表 Controller 处理个人数据的 Morlivo.
  • <strong>\"Sub-processor\"</strong> 指任何由 Processor 受委托以代表 Controller 处理个人数据的第三方.
  • <strong>\"Data Subject\"</strong> 指其个人数据被处理的已识别或可识别的自然人.

2. 处理细节

处理方仅应根据控制方的书面指示处理个人数据,包括就向第三国转移个人数据的情况,除非处理方受其适用的欧盟或成员国法律的要求而必须如此。

处理细节如下:

  • <strong>Subject matter:</strong> 提供翻译、转录及语言处理服务.
  • <strong>Duration:</strong> 在基础服务协议期限内.
  • <strong>Nature and purpose:</strong> 处理 Customer Content 以提供翻译、转录及相关语言服务.
  • <strong>Categories of data subjects:</strong> 终端用户以及其数据包含在 Customer Content 中的个人.
  • <strong>Types of personal data:</strong> 姓名、联系方式以及提交处理材料中包含的任何其他个人数据.

3. 安全措施

处理方应根据 GDPR 第32条实施适当的技术和组织措施,以确保与风险相适应的安全水平。这些措施包括:

  • 静态 (AES-256) 和传输中 (TLS 1.2+) 个人数据的加密。
  • 能够确保处理系统和服务的持续机密性、完整性、可用性和弹性。
  • 在发生物理或技术事件时能够及时恢复个人数据的可用性和访问权限。
  • 定期测试、评估和评价技术和组织措施的有效性。
  • 在技术上可行且适当的情况下对个人数据进行假名化。
  • 基于最小权限原则的严格访问控制。
  • 全面的审计日志记录和数据访问监控。

处理方应确保被授权处理个人数据的人员已承诺保密或受适当的法定义务约束保密。

4. 分处理者

控制方一般授权处理方使用子处理方。处理方应维护一份最新的子处理方清单,并应控制方要求向其提供。当前的子处理方清单已发布在我们的隐私政策页面上。

处理方应就拟新增或更换子处理方的任何意向通知控制方,并给予控制方对该等变更提出异议的合理机会。处理方在聘用子处理方时,应通过合同向该子处理方施加与本 DPA 中规定相同的数据保护义务。

处理方应对任何子处理方根据本 DPA 履行义务向控制方承担全部责任。

5. 数据主体权利

处理方应协助控制方履行应对数据主体根据 GDPR 第三章行使权利的请求的义务,包括:

  • 访问权(第 15 条)。
  • 纠正权(第 16 条)。
  • 删除权(第 17 条)。
  • 限制处理的权利(第 18 条)。
  • 数据可移植权(第 20 条)。
  • 反对权(第 21 条)。

如果处理方直接收到数据主体的请求,处理方应及时将该请求转发给控制方,并且不得直接向数据主体作出回应,除非经控制方授权.

6. 国际转账

处理方不得向第三国或国际组织转移个人数据,除非已根据 GDPR 第五章的要求采取适当的保障措施。经批准的转移机制包括:

  • 欧盟委员会采用的标准合同条款 (SCC)(委员会实施决定 (EU) 2021/914)。
  • 根据 GDPR 第 45 条做出充分性决定。
  • 经主管监管机构批准的具有约束力的公司规则。

企业客户可配置数据驻留设置,将个人数据的处理和存储限制在特定地理区域(欧盟、美国或亚太区),以尽量减少跨境传输的需要.

7. 违规通知

处理方应在知悉 GDPR 第4(12)条所定义的个人数据泄露后及时通知控制方,并在任何情况下不迟于四十八(48)小时内通知。

通知应包括:

  • 对个人数据泄露性质的描述,包括相关数据主体和记录的类别和大致数量。
  • 处理者数据保护联系人的姓名和联系方式。
  • 对违规行为可能造成的后果的描述。
  • 描述为解决违规行为而采取或提议的措施,包括减轻其不利影响的措施。

8. 审核和检查

处理方应向控制方提供为证明遵守 GDPR 第28条所规定义务所必需的全部信息。处理方应允许并配合由控制方或控制方委托的审计员进行的审计(包括检查),但须以合理的事先通知和保密义务为前提。

9. 术语和数据删除

本 DPA 在基础服务协议期限内持续有效。在服务协议终止时,Processor 应根据 Controller 的选择删除或返还所有个人数据并删除现有副本,除非 Union 或 Member State 法律要求保存该个人数据。应 Controller 要求,Processor 应以书面形式证明其已履行该义务。

请求 DPA

如需申请 Data Processing Agreement,请联系合规团队。我们将与您合作,签署满足贵组织数据保护要求的 DPA。

联系合规团队 请求 DPA 模板