数据委托处理协议

1 简介

本《数据委托处理协议》（以下简称“本协议”）反映了双方协议中就华为向客户提供所需的管理式华为帐号服务过程中涉及的客户数据处理及安全保障条款。

本协议作为《管理式华为帐号服务协议》的补充内容，在此情况下适用于协议双方：华为在向客户提供管理式华为帐号服务的过程中，作为数据处理者代表客户处理其个人数据。

本协议一经双方签订，即成为适用的《管理式华为帐号服务协议》（以下简称“主协议”）的有效组成部分。本协议未尽事宜，以相关约定为准。

2 定义

除非双方另有约定，本协议中使用的术语定义如下。

2.1 “个人信息”（Personal Information），是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。就本协议而言，个人信息是指客户委托华为处理的用户个人信息。

2.2 “个人信息主体”（Personal Information Subject），是指已确认身份或可确定身份的自然人。可确定身份的自然人是指可直接或间接确定身份的个人，特别是通过参考身份标识确定身份，身份标识包括姓名、身份证号、位置数据、在线身份标识或特定于该自然人的身体、生理、基因、精神、经济、文化或社会身份的一个或多个因素等。

2.3 “个人信息处理者”（Personal information processor），是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。就本协议而言，个人信息处理者是指客户。

2.4 “个人信息泄露”（Personal Information Breach），是指按照适用的隐私法规定，包括但不限于意外或非法销毁、丢失、更改、未经授权披露或访问传输、存储或其他方式处理个人信息的安全违规行为。

2.5 “标准合同条款”（Standard Contractual Clauses），是指国家网信部门制定的标准合同。

2.6 “隐私法”（Privacy Laws），是指与个人信息的安全和保护有关的任何可能适用的法律（如《个人信息保护法》、《数据安全法》、《网络安全法》及其他可适用的隐私保护法律），根据其实施或制定的任何法律、行政法规或规范性文件，以及这些法律、行政法规或规范性文件的修订、更新或重新颁布版本。

2.7 “监管机构”（Regulatory Bodies），是指有权根据法律、行政法规或规范性文件进行监管、调查或影响与数据安全和个人信息及隐私保护有关事宜的政府部门、监管机构、法定机构以及其它机构。

2.8 “受托方”（Entrusted Party），是指受到个人信息处理者的委托，处理个人信息的组织、个人。就本协议而言，受托方是指华为。

2.9 “其他受托方”（Other Entrusted Party），华为引入的代表华为处理用户个人信息的组织或个人。就本协议而言，其他受托方是指附录“被授权其他受托方列表”所列之组织或个人。

2.10 “用户”（User），是指本协议中双方合作业务的使用者。

3 数据处理要求：

3.1 数据处理原则

华为应按照本协议以及客户指示处理个人信息，不能超出本协议约定的目的、方式和范围。华为认为客户指示违反适用的隐私法时，应当立即通知客户。华为应该全力支持客户保护用户的权利，如访问、修改、删除等。

3.2 个人信息跨境转移

华为同意并确认，华为及其他受托方仅在在中华人民共和国境内处理个人信息，因业务等需要，确需向中华人民共和国境外提供个人信息的，应当采取相应的跨境转移措施以符合隐私法的规定。

3.3 其他受托方引入

未经客户同意，华为不得将任何本协议约定的个人信息处理业务转包或外包给其他受托方。华为应向其他受托方传递客户要求。

3.4 求助和查询响应

华为应及时遵循客户要求其访问、修改、转移、删除、销毁任何用户个人信息的要求。

华为应在收到a）来自用户有关客户处理的用户个人信息的任何查询、要求或投诉，包括但不限于访问、更正、删除的要求以及所有类似的要求时【五（5）】个工作日内通知客户，或者经客户明确授权后，在授权范围内回应以上请求；b）在法律允许的范围内，华为应在收到任何司法或行政命令、要求、搜查令、传票或政府当局要求获取或披露个人数据的任何其他文件后的【五（5）】个工作日内通知客户。

3.5 个人信息的删除或销毁

除非有相反要求或隐私法另有规定，主协议不生效、无效、被撤销或者终止的，或者华为履行完双方之间适用的协议中约定的义务的，根据客户的要求，华为应当及时将个人信息返还客户或者予以删除。

4 应急响应机制

一旦华为发现其处理的个人信息可能或已经发生泄露，华为应及时向客户发送书面通知，以履行其根据适用的隐私法规定通知监管机构和用户的义务。此类通知应至少包含如下内容：

2) 合理详细概述个人数据泄露的影响，包括但不限于描述个人数据泄露的性质、相关用户的类别和数量以及相关个人数据处理记录。

2) 个人数据泄露可能造成的风险和后果。

2) 华为为处理个人数据泄露而采取的措施或提出的建议。

华为应保留任何与已知或可疑的个人数据泄露有关的记录，并按要求将此类记录提供给客户。

5 审计

华为应向客户提供所有可证明其遵守本协议和隐私法中规定义务的必要的信息，并允许和协助客户进行必要的审计工作。

6 赔偿

在不影响双方之间适用的其他协议中约定的华为应承担的赔偿义务外，若华为违反本协议约定，华为应赔偿客户因此遭受的实际损失。

7 其他条款

7.1 整体性

本协议是双方间就相关主题的完整理解，且取代之前无论口头还是书面形式的、无论明示还是暗示的所有讨论、协议和表述。

7.2 可分割性

若本协议中的任何条款被有管辖权的司法部门、机构裁定为无效，但该无效条款不会实质影响双方在本协议中的权利义务，则本协议中的其他条款继续有效。对于被裁定为无效的条款，双方应诚意协商用与原条款意思最为接近的条款予以替代。

7.3 期限与终止

本协议自生效日期起生效且持续有效，除非（1）双方以书面形式同意终止本协议；或（2）双方签订了新的相同主体的协议以取代本协议。

本协议由双方通过电子签章方式签署，经签署的电子文档为原件，打印件或其他纸质件与原件有冲突时，以原件为准。为免歧义，经电子签署的电子文档，属于书面形式的文档。

7.4 附录

本协议附录是本协议有效组成部分。附录内容与本协议正文不一致时，双方应通过友好协商确认；若无法达成一致意见时，以本协议正文中约定为准。

附件A：《数据委托处理情况》

（正文结束！）

附件A

数据委托处理情况

1. 数据主体的种类

使用了管理式华为帐号的用户

2. 个人数据的类型（包括敏感信息的种类）

•组织管理员及成员个人基本信息：包括成员姓名、成员帐号、联系方式、头像、组织内的成员编号、由管理员创建的成员帐号密码及其他成员属性信息

•组织信息：组织内部门或群组的名称、属性， 管理组织依赖的角色、权限、成员关系信息

•日志信息：成员/管理员操作产生的 操作记录、审计日志、统计分析信息。

3. 数据处理的目的与期限

•组织生命周期管理：组织管理员在管理后台对组织信息管理和更新，组织认证，组织解散。使用企业自有域名创建的组织需要在试用期内完成组织的域名认证，未在试用期内完成域名认证的组织会被自动回收，以确保拥有该企业域名的组织可用该企业域名创建组织。

•成员生命周期管理：组织管理员在管理后台对组织成员信息管理和更新，涉及查看，修改，导入导出成员信息，删除成员，重置由管理员创建的成员帐号密码，以确保组织管理员可对组织成员进行有效的管理。

•群组管理：管理员可为跨部门的成员创建群组，按群组分配权限。

•日志记录：为方便组织管理员查看组织成员的行为记录，事后核实组织的信息是否有异常。同时，日志还会用于展示组织行为的统计报表。

出于以上目的而被处理的数据将在组织管理员解散或注销组织后立即被删除。