LexisNexis 数据处理附录
1.范围和定义
1.1.本 LexisNexis 数据处理附录 ("DPA") 构成客户(“您”、“您的”)与 LexisNexis 实体(“LN”、“我们”、“我们的”)之间达成的协议(“协议”)的组成部分,根据协议,我们将向您和(如适用)您的分支机构提供特定服务(“服务”),并且在协议中,将提及本 DPA。
1.2.“数据保护法”是指一切适用的隐私和数据保护法律、规则、法规、法令、命令和其他政府要求。“控制者”、“数据主体”、“个人数据”、“个人数据外泄”、“处理”和“处理者”等词语具有数据保护法中赋予的含义,如果该等法律使用同等或相应术语,例如使用‘个人信息’而不是‘个人数据’,在本 DPA 中解读为具有相同含义。
2.处理
2.1. 我们将会采取适当的技术和组织措施,同时确保对数据的处理符合数据保护法的规定,保护数据主体的权利,且保护力度至少不低于数据保护法中的对应规定。
2.2.处理的对象为针对服务提供的个人数据。处理的期限为提供服务的期限,直至根据协议移除个人数据为止。处理活动的性质和目的与提供服务相关联。所处理个人数据的类型为用于使用服务提交的个人数据。数据主体的类型为个人数据被提交用于使用服务的数据主体。
2.3. 如果我们代表您处理个人数据,我们将采取以下行为:
- 仅按照您的书面指示处理个人数据,包括向第三方国家或国际组织传输个人数据,但我们按照遵守的适用法律的要求处理的除外;在此情形下,我们将在处理之前向您告知该法律要求,但法律以公共利益作为重要依据禁止告知的除外;
- 确保获授权处理个人数据的人员承诺保密或者承担相应的法定保密义务;
- 采取数据保护法规定的一切安全措施;
- 遵守第 3.1 段和第 3.2 段中提及的委托其他处理者的条件;
- 结合处理的性质,采取适当的技术和组织措施,在可行的范围内协助您履行响应数据保护法中规定的数据主体权利行使请求的义务;
- 结合处理的性质以及我们可获得的信息,协助您确保遵守数据保护法规定的义务;
- 按照您的选择,在结束提供与处理相关的服务之后,删除或向您归还所有个人数据,并删除现有副本,但相关法律要求对个人数据进行存储的除外;
- 向您提供用于证明已遵守数据保护法中所规定义务的所有信息,并允许和促成您或您委托的其他审计员开展的审计,包括检查;
如果我们认为您向我们提供的指示违反数据保护法,立即告知您。
2.4. 协议(包括本 DPA)以及您对服务的使用和配置构成您向我们提供的关于处理个人数据的完整及最终书面指示。额外或替代指示应由双方单独另行约定。
3.下级处理者
3.1. 如果我们代表您处理个人数据,您授权我们从 https://www.lexisnexis.com/global/privacy/subprocessors.page 上的处理者名单(我们将不时更新此名单)中委托其他处理者根据本 DPA 处理该等个人数据。我们将通过至少提前 14 天在网站上更新名单的方式向您告知发生的任何变更。您可以在更新名单之后 14 天内对该等变更提出异议,并说明原因。在不损害您根据协议享有的任何相关退款或终止权利的情况下,我们将尽合理努力避免让您提出合理异议的新处理者处理任何个人数据。
3.2. 如果我们委托其他处理者代表您开展特定处理活动,将通过合同或适用法律项下的其他法律行为对该其他处理者施加本 DPA 规定的同等数据保护义务,尤其是提供充分的保证,以便在处理活动符合数据保护法规定的前提下实施适当的技术和组织措施。如果该其他处理者未能履行数据保护义务,我们将(按照协议条款)全权负责向您履行该其他处理者的义务。
4.数据主体权利
4.1. 如果我们代表您处理个人数据,我们将在法律允许的范围内,立即向您告知我们收到的任何数据主体权利请求。
4.2. 各方将合理配合另一方,协助另一方履行数据保护法项下与数据主体权利请求相关的义务。
5.传输
5.1. 如果将来源于您所在国家的任何个人数据传输到其他国家,我们会确保该等传输配备符合数据保护法的适当保障措施。
6.处理的安全性
6.1. 考虑到现有技术水平、实施成本、处理的性质、范围、背景和目的以及自然人权利与自由所面临的不同几率与程度的风险,双方将实施适当的技术和组织措施确保安全性水平与风险相适应,相应措施包括:
- 将个人数据假名化和加密;
- 能够确保处理系统和服务的保密性、完整性、可用性和弹性;
- 能够在发生物理或技术事件时及时恢复个人数据的可用性和可及性;
- 实施定期测试、评估和评价技术和组织措施有效性的过程,确保处理活动的安全性。
6.2.在评估适当的安全性水平时,我们将考虑处理活动所带来的风险,尤其是所传输、存储或以其他方式处理的个人数据发生意外或非法销毁、遗失、更改、未经授权披露或访问的风险。
6.3.双方将采取合理步骤确保有权访问个人数据的一方授权的任何自然人不会在您的指示以外处理数据,但适用法律要求处理的除外。
7.个人数据外泄
7.1. 如果我们代表您处理个人数据,我们将在发生个人数据外泄之后立即告知您,并合理回应您提出的进一步告知请求,协助您履行数据保护法规定的义务。
8.处理活动记录
8.1.我们将保留数据保护法要求的所有记录,并在适用于代表您处理个人数据的范围内,按照要求向您提供该等记录。
9.审计
9.1.关于审计:
- 需签署适当的保密或不披露协议;
- 应在提前 30 天发出书面通知并提供审查计划之后开展,且每年不超过一次,但有合理理由认为存在不符合协议的情况的除外;
- 应在一致约定的时间、地点,按照一致约定的方式开展。
10.冲突
10.1.如果本 DPA 的条款与协议之间存在任何冲突,在法律要求的范围内,以本 DPA 的条款为准。
11.特定管辖区条款
11.1. 如果我们所处理的个人数据来源于本 DPA 附件所列任何管辖区或者适用该等管辖区的数据保护法,则在前述条款之外,还适用附件中关于相关管辖区的条款。
附件
特定管辖区条款
1.欧洲经济区、英国和瑞士
1.1.如果您从欧洲经济区 (“EEA”)、英国或瑞士向位于 EEA、英国或瑞士之外的 LN 传输个人数据,除双方可以依赖数据保护法项下的替代传输机制或依据外,将视为双方就该等传输达成通过 2021 年 6 月 4 日第 (EU) 2021/914 号欧洲委员会实施决定批准的标准合同条款,详见 http://data.europa.eu/eli/dec_impl/2021/914/oj “标准条款”),其中:
- 您为“数据输出方”,LN 为“数据输入方”;
- 省略脚注、第 11(a) 条选项以及第 17 条选项 1,并分别使用 DPA 和协议中所列的信息完善相关附件;
- 如一方为控制者,适用模块一,不适用模块二、模块三和模块四;
- 如果您担任控制者,LN 担任处理者,适用模块二,不适用模块一、模块三和模块四,不适用第 9(a) 条选项 1,并且选项 2 中的期限为 14 天;
- “主管监督部门”为数据输出方成立所在国家的主管监督部门;
- 标准条款受数据输出方成立所在国家的法律管辖;
- 因为标准条款产生的任何争议由数据输出方成立所在国家的法院解决;
- 如果协议的条款与标准条款之间存在任何冲突,以标准条款为准;
1.2 如果从英国输出个人数据,适用上文第 1.1 节项下实施的标准条款,但需作出以下修改:
- a. 标准条款将通过 2018 年《英国数据保护法》(可不时修订或取代)第 119A 节项下颁布的欧洲委员会标准合同条款的国际数据传输附录(“英国附录”)第 2 部分 (见于https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf) 进行修订;
- 英国附录第 1 部分表 1 到表 3 将分别使用 DPA 和协议(如适用)中所列的信息进行完善;
- 英国附录第 1 部分表 4 通过选择“任何一方都不会”进行完善;
1.3. 如果从瑞士输出个人数据,适用上文第 1.1 节项下实施的标准条款,但需作出以下修改:
- 凡述及“第 (EU) 2016/679 号条例”应解释为述及《瑞士联邦数据保护法》(“FADP”);
- 凡述及“第 (EU) 2016/679 号条例”特定条款应替换为 FADP 同等条款或章节;
- 凡述及“EU”、“联盟”、“成员国”和“成员国法律”应替换为述及“瑞士”或“瑞士法律”(如适用);
- 解释“成员国”一词时,不应排除瑞士数据主体获取其权利的可能性;
- 附件 I 第 C 部分第 13(a) 条,“主管监督部门”为瑞士联邦数据保护信息专员;
- 标准条款受瑞士法律管辖;
- 因为标准条款产生的任何争议由瑞士法院解决。
2.拉美
3.中东和非洲
4.美国
最后更新日期:2025 年 1 月 7 日