## **1. 范围和适用范围** 如果数据保护法规（定义如下）有要求，且仅在 SiHaiCloud 作为处理者代表您在向您提供任何 SiHaiCloud 服务的过程中处理您的会员内容中包含的或与之相关的个人数据（ “数据”）的范围内，本附录才适用。 本附录构成 SiHaiCloud 条款和条件的一部分，或您与 SiHaiCloud 之间关于您使用 SiHaiCloud 服务的其他同等协议（ “协议”）。 此处未定义的大写术语将具有协议中给出的含义。如果本协议的其他条款（包括其附录）或您与 SiHaiCloud 之间就数据达成的任何其他协议与本附录存在冲突，则以本附录为准。 ## **2. 定义** 在本附录中： “控制者”、“数据主体”、“流程”、“处理者” 和 “监管机构” 均具有 GDPR 中赋予的含义，或适用数据保护法规下的等效术语。 “数据保护法” 是指（如适用）：适用于您和/或 SiHaiCloud 处理数据并对其具有约束力的所有法律和法规，包括但不限于（i）GDPR、（ii）根据英国 2018 年欧洲联盟（退出）法案第 3 条保存到英国法律的 GDPR（“英国 GDPR”）、（iii）新加坡 2012 年个人数据保护法案（“PDPA”），以及在每种情况下与隐私和数据保护相关的任何相关国家法律、法规、规则或法规。为清楚起见，对数据保护法的引用包括对不时修订、修改、扩展、重新颁布、合并或替换的数据保护法的引用。 “GDPR” 指第 2016/679 号 (EU) 条例。 “个人数据” 是指个人数据、个人信息、个人身份信息或其他同等术语（均参见数据保护法规中的定义）。 “受限转移” 是指 (i) 在适用 GDPR 的情况下，将个人数据从欧洲经济区转移到欧洲经济区以外的国家、地区或组织，且该转移不受欧盟委员会的充分性判定；以及 (ii) 在适用英国 GDPR 的情况下，将个人数据从英国转移到任何其他国家、地区或组织，且该转移不基于《英国 2018 年数据保护法》第 17A 条规定的充分性规定。 “标准合同条款” 是指 (i) 如果数据受 GDPR 保护，则指欧洲委员会 2021 年 6 月 4 日第 2021/914/EU 号实施决定所附的标准合同条款，该决定涉及根据欧洲议会和理事会条例 (EU) 2016/679 将个人数据传输到第三国的标准合同条款 （“EU SCC”）； 以及 (ii) 如果数据受英国 GDPR 保护，则指信息专员根据 2018 年数据保护法第 119A(1) 条发布的“欧盟委员会标准合同条款国际数据传输附录” （“英国附录”）。标准合同条款的副本可在[https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc获得，或通过compliance@claw.cloud联系我们。](https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc%E8%8E%B7%E5%BE%97%EF%BC%8C%E6%88%96%E9%80%9A%E8%BF%87compliance@claw.cloud%E8%81%94%E7%B3%BB%E6%88%91%E4%BB%AC%E3%80%82) ## **3.处理描述** 就本附录而言，您（控制者或处理者）指定 SiHaiCloud 作为您的处理者，在本协议有效期内处理数据，以便向您提供 SiHaiCloud 服务并遵守适用法律（ “允许目的”）。 ## **4. 数据处理** 在根据本协议处理数据时，SiHaiCloud 应在该数据由其占有或控制的范围内： (a) 仅根据您的书面指示处理数据，除非适用法律另有要求； (b) 确保所有经 SiHaiCloud 授权处理数据的人员都遵守适当的保密义务； (c) 实施并维护适当的技术和组织安全措施（包括访问控制），或以其他方式作出合理的安全安排，如[ https://4hai.cloud](https://4hai.cloud)保护 SiHaiCloud 处理的数据免遭因 SiHaiCloud 安全性遭到破坏而导致的未经授权或意外的访问、处理、擦除、丢失或使用（ “安全事件”）；SiHaiCloud 可能会不时更改这些措施，但不会将数据的保护级别降低到数据保护法规（如适用）所要求的强制性最低水平以下。如果发生确认的安全事件，在数据保护法规要求的范围内：(1) SiHaiCloud 应毫不拖延地通知您，并向您提供合理的信息和合作，以便您能够履行根据适用的数据保护法规（并按照其要求的时间表）可能承担的任何数据泄露报告义务； （2）SiHaiCloud 应进一步采取任何合理必要的措施和合理必要的行动来补救或减轻安全事件的影响，并应随时向您通报与安全事件有关的所有重大进展。安全事件应被视为包括适用数据保护法规定义的“个人数据泄露”或同等术语； (d) 特此授予您一般授权，以聘请第三方分包商为许可目的处理数据，但前提是 SiHaiCloud (i)（以您遵守下文第 5 条为前提）应对其任何分包商承担全部责任；以及 (ii) 应对其指定处理任何数据的分包商施加数据保护条款，要求其至少按照适用数据保护法律或本附录的规定（以保护性更强者为准）所要求的标准保护此类数据。您可以在 SiHaiCloud 任命或更换此类分包商之前反对其任命或更换分包商，前提是此类反对是基于与数据保护相关的合理理由。在此情况下，SiHaiCloud 将不会指定或更换相关分包商，或者，如果这不可能，您可以终止相关的 SiHaiCloud 服务和本附录（在适用于该 SiHaiCloud 服务的范围内），但您无权退还在该终止之前您为该 SiHaiCloud 服务所产生的任何费用或成本，并且该 SiHaiCloud 服务的终止不会影响向您提供的任何其他服务，以及与该其他服务有关的任何费用或成本； (e) 协助您响应数据主体根据适用数据保护法规行使其对任何数据的权利的请求，通过向您提供技术措施，使您能够在与 SiHaiCloud 服务的功能和 SiHaiCloud 作为处理者的角色一致的范围内直接访问、纠正、删除、限制或导出数据（并且您同意，考虑到处理的性质，本段反映了 SiHaiCloud 向您提供此类协助的可能性）。如果数据主体、监管机构或任何其他方直接向 SiHaiCloud 提出有关任何数据的请求、查询或投诉，SiHaiCloud 应立即通知您或通知该人他们应该与您联系； (f) 如果 SiHaiCloud 相信或意识到其对数据的处理可能会对数据主体的数据保护权利和自由造成高风险，则应立即通知您，并就任何数据保护影响评估和/或事先咨询向您提供合理的配合（费用由您承担），根据适用的数据保护法律，您可能需要在您使用 SiHaiCloud 服务时进行此类评估和/或事先咨询； (g) 在您选择的情况下，在协议终止后删除或归还 SiHaiCloud 拥有或控制的所有数据，但 SiHaiCloud 因删除或归还数据而产生的费用应由您承担。如果适用法律要求或允许 SiHaiCloud 保留部分或全部数据，或存档在备份系统上的数据，则此要求不适用，在这种情况下，SiHaiCloud 应安全隔离并保护此类数据，以防止进一步处理，但以下情况除外：(i) 在该法律要求的范围内，直至可以删除；或 (ii) 此类数据不再包含个人数据； (h) 由 SiHaiCloud 选择并承担费用，做出合理的安全安排，以（适当的定期时间间隔）验证其安全措施是否充分；以及 （i）不得实施或采取与数据保护法不一致的可能削弱数据保护的政策或行动。 如果您被授予审计权（例如标准合同条款或适用的数据保护法律），则您同意通过指示 SiHaiCloud 按照本条款所述执行审计来行使您的审计权。如果您希望更改此指示，则您有权通过书面请求或按照标准合同条款中的规定进行更改，标准合同条款中也应以书面形式请求更改（为清楚起见，上述任何内容均不要求 SiHaiCloud 提供任何其他 SiHaiCloud 客户的任何数据、材料或信息）。 为避免疑义，本文中的任何内容均不要求 SiHaiCloud 披露任何受到与披露此类信息有关的任何法律或职业行为规则所授予的任何权利、特权或豁免权，或义务（包括但不限于与 SiHaiCloud 履行任何合同义务有关的义务）或限制所约束的信息。 ## **5. 您的责任** 您同意： (a) 遵守所有适用的数据保护法规所规定的与您有关的义务：(i) 使用 SiHaiCloud 服务处理数据中包含的任何个人数据；(ii) 指定我们作为您的处理者，按照本附录的规定处理数据；以及 (iii) 处理数据中包含的任何个人数据。 (b) 本附录、协议、您与 SiHaiCloud 签订的其他适用协议以及您对 SiHaiCloud 服务的配置和使用将共同构成您向 SiHaiCloud 发出的关于数据处理的完整和最终书面指示；以及 (c) 您不得向 SiHaiCloud 作为您的处理者发出任何指示，亦不得以任何方式使用 SiHaiCloud 服务，以致在任何该等情况下可能侵犯任何适用的数据保护法例或可能导致 SiHaiCloud 或其任何关联公司侵犯任何适用的数据保护法例。在不影响前述条款的一般性的前提下，您同意并承认，当您向 SiHaiCloud 披露个人数据时，您应：(i) 根据适用法律的要求，从相关数据主体处获得或促成所有必要的同意，以便处理此类数据主体的个人数据并将其披露给 SiHaiCloud，以供 SiHaiCloud 为允许目的收集、使用和/或披露（不影响 SiHaiCloud 处理此类个人数据的任何其他合法依据），并且此类同意未被撤回；或者 (ii) 在适用法律不需要同意的范围内，您已根据数据保护法规获得所有必要的法律依据，以便处理和向 SiHaiCloud 披露个人数据，以便 SiHaiCloud 按照本附录所述的允许目的处理个人数据。 (d) 您应对数据的正确性负责并确保其保持最新，并应处理数据主体提出的任何请求或投诉。 ## **6. 国际转移** 6.1 您可以决定将数据存储在何处（“选定区域”）。您同意将数据存储在选定区域，并将数据传输到选定区域。如果数据的处理涉及在选定区域之外的传输，SiHaiCloud 将采取作为处理者所必需的措施，以确保传输符合适用的数据保护法规。 6.2 如果您向 SiHaiCloud 传输数据构成限制性传输，您同意，标准合同条款将被视为您（作为数据输出方）与 SiHaiCloud（作为数据输入方）之间订立（并通过引用纳入本附录），如下所示： 6.2.1 对于受 GDPR 保护的数据，欧盟 SCC 将适用如下规定： (a) 如果您是该数据模块的控制者，则适用第二条规定；如果您是该数据模块的处理者，则适用第三条规定，在每种情况下，规定如下： (i) 在第 7 条中，可选对接条款将适用（但任何加入欧盟 SCC 的新当事方均须遵守 SiHaiCloud 的事先书面同意）； (ii) 第 9 条中的选项 2 将适用，且分包商变更的提前通知时间段应按照本附录第 4(d) 条中的规定执行。 （iii）第 11 条中的可选语言不适用； (iv) 第 17 条中，选项 1 将适用，且欧盟 SCC 将受荷兰法律管辖； （v）第18（b）条中的争议应由荷兰法院解决； (vi) 欧盟标准规范的附件一应视为包含本附录和/或本附录附录一所列信息的完整内容，附件一 C 部分规定的主管监督机构应根据欧盟标准规范第 13 条确定； （vii）欧盟标准合同准则附件二应被视为包含本附录第 4（c）条链接文件中列出的信息； （b）以下澄清适用于欧盟标准条款： （i）您可以根据本附录第 4（h）条的规定并依照其要求行使《欧盟标准条款》规定的审计权； (ii) SiHaiCloud 可根据本附录第 4(d) 条的规定并受其要求任命分包商，且您可以按照本附录第 4(d) 条规定的方式行使您根据欧盟 SCC 拒绝分包商的权利； （iii）第 4（g） 条适用于本协议终止时删除或退还已转移的数据； (iv) 为避免疑义，鉴于 SiHaiCloud 服务的性质，您对数据的准确性和您收集数据的合法性负全部责任，SiHaiCloud 没有义务检查任何传输的数据的准确性； (c) 您将按照当时的标准专业服务费率向 SiHaiCloud 支付费用，并且还将向 SiHaiCloud 偿还其在处理您与任何已转移数据有关的任何询问和/或根据欧盟 SCC 向您提供您请求的任何协助中所合理产生的合理成本，包括但不限于通知或以其他方式协助您处理数据主体请求或对数据主体的回应，以及配合您删除或纠正任何已转移数据。 6.2.2 对于受英国 GDPR 保护的数据，英国附录将适用，如下所示： （a）应适用按照上述第 6.2.1 条填写的欧盟标准条款，并应根据英国附录（按照下文第 (b) 条填写）进行修改：以及 (b) 英国附录的表 1 至表 3 应视为已完成，其中包含来自欧盟 SCC 的相关信息，如上文所述，且表 4 中的“出口商”和“进口商”选项应视为已勾选。英国附录的开始日期（如表 1 所述）应为本附录的日期。 6.2.3. 对于属于 GDPR 和英国 GDPR 范围之外的司法管辖区的数据，如果此类司法管辖区允许使用欧盟 SCC（可能会进行修改以符合相应的数据保护法），则欧盟 SCC 下的规定应适用，并进行必要的修改以符合相关司法管辖区的相应数据保护法规。 6.2.4. 对于受 PDPA 保护的数据，SiHaiCloud 将采取合理必要的措施，确保您的个人数据继续获得至少与 PDPA 规定的标准相当的保护。这可能包括与接收者签订书面协议，包括合同条款、具有约束力的公司规则和其他数据保护协议。 6.3 对于与分包商的进一步转移，SiHaiCloud 仅在完全符合数据保护法规的情况下参与此类数据进一步转移（包括限制性转移）。 6.4 如果本附录的任何规定直接或间接与标准合同条款相抵触，则以标准合同条款为准。 6.5 除本附录另有明确规定外，您同意并承认，您有责任遵守以下方面的数据保护法规：(a) 您将数据从一个司法管辖区转移到另一个司法管辖区；和/或 (b) 您指示 SiHaiCloud（作为您的处理者）将数据从一个司法管辖区转移到另一个司法管辖区。在不影响前述条款的一般性的前提下，您同意并承认，您不得指示我们或促使我们将任何个人数据转移到任何国家或地区，除非根据数据保护法规对此类转移规定的要求，包括但不限于与您根据数据保护法规可能要求的义务有关的义务，以确保对所转移数据的保护标准与数据保护法规下的保护相当。 ## **7. 其他** (a) 为明确起见，SiHaiCloud 及其所有关联公司、雇员、代理人、附属公司、代表或任何代表其行事的人员因本协议和/或本附录和/或标准合同条款或由此产生的任何事项而产生的或与之相关的总累计责任不得超过 SiHaiCloud 条款和条件第 11.6 条以下段落所限制的 SiHaiCloud 的最高责任。 (b) SiHaiCloud 可能会修改本附录的条款，例如为了遵守数据保护法或实施信息专员办公室、欧洲委员会或监管机构或其他主管监管机构根据数据保护法采用的任何标准合同条款，但其修改方式不得将向您提供的保护降低到数据保护法（如适用）所要求的强制性最低限度以下。如果 SiHaiCloud 修改本附录的条款，则附录将是 SiHaiCloud 平台上的修订和重述版本，并且 SiHaiCloud 将至少提前 15 天向您提供对附录的任何重大修订的书面通知（可能在 SiHaiCloud 平台上发布或显示在您的 SiHaiCloud 帐户中）。在收到 SiHaiCloud 的此类变更书面通知后继续使用相关产品或服务，即表示您同意受修订和重述的附录的约束。 ## **附录 1** **A. 缔约方名单** **数据输出者：** 姓名：SiHaiCloud 条款和条件中标识为“客户”的实体。 地址：与客户的 SiHaiCloud 帐户关联的客户的地址或本数据处理附录或 SiHaiCloud 条款和条件中另行指定的地址。 联系人姓名、职务及联系方式：与客户帐户相关的联系方式，或本数据处理附录或 SiHaiCloud 条款和条件中另有规定的联系方式。 根据本条款传输的数据相关的活动：本数据处理附录第 3 和 4 节中指定的活动。 签名和日期：您在注册账户时点击“我同意”按钮，即表示您在同一天确认、签名并接受条款和条件以及本数据处理附录。 角色（控制者/处理者）：控制者或处理者，如本数据处理附录所述 **数据导入者：** 姓名：“SiHaiCloud” 如 SiHaiCloud 条款和条件中所述。 地址：SiHaiCloud 条款和条件中指定的 SiHaiCloud 地址。 联系人姓名、职务及联系方式：附录或 SiHaiCloud 条款和条件中指定的 SiHaiCloud 联系方式。 根据本条款传输的数据相关的活动：本数据处理附录第 3 和 4 节中指定的活动。 签名和日期：您在注册账户时点击“我同意”按钮，即表示您在同一天确认、签名并接受条款和条件以及本数据处理附录。 角色（控制者/处理者）：处理器 **B. 转让描述** 被转移个人数据的数据主体类别：数据主体可能包括您的客户、员工、供应商和最终用户。 传输的个人数据类别：此处未定义的大写术语将具有您在 SiHaiCloud 的 SiHaiCloud 条款和条件中给出的含义。个人数据包括可能包含在会员内容中或与会员内容相关的任何信息、内容、材料和电子格式的数据。 敏感数据的传输（如果适用）以及充分考虑到数据性质和所涉及风险而采取的限制或保障措施，例如严格的目的限制、访问限制（包括只有经过专门培训的员工才能访问）、保存数据访问记录、限制后续传输或额外的安全措施：您可以自行选择将特殊类别的个人数据上传至您的 SiHaiCloud 服务，其中可能包括（取决于您的选择）揭示种族或民族血统、政治观点、宗教或哲学信仰或工会会员资格的个人数据、基因数据、用于唯一识别自然人的生物特征数据、有关健康的数据或有关自然人的性生活或性取向的数据，和/或与刑事定罪和犯罪或相关安全措施有关的个人数据。在上传任何敏感数据之前，您有义务评估并确认 SiHaiCloud 采取的技术和组织措施足以处理您选择上传的敏感数据。 传输的频率（例如数据是一次性传输还是连续传输）：数据可能会偶尔或持续地被传输，仅用于向您提供 SiHaiCloud 服务的目的以及本协议中另有规定。 处理性质：我们将为了向您提供 SiHaiCloud 服务以及本协议另有规定的目的处理和传输个人数据。 数据传输和进一步处理的目的：我们将为了向您提供 SiHaiCloud 服务以及本协议另有规定的目的处理和传输个人数据。 个人数据的保留期限（如果不可能，则确定该期限的标准）：数据将在协议有效期内被处理和传输。 对于向（子）处理器的转移，还需指定处理的主题、性质和持续时间： 上述规定也适用于向子处理器的此类转移。 **C. 主管监督机构** 主管监督机构： 就欧盟GDPR而言，主管监督机构应根据欧盟SCC第13条进行解释；就英国GDPR而言，主管监督机构应为英国信息专员办公室。