数据处理协议

01 背景与关系

本数据处理协议（”DPA”）是对服务条款的补充，适用于客户（”控制者”）与 EDMA Group（”处理者”）之间，并反映双方就 EDMA 代表控制者在服务范围内处理个人数据所达成的协议。

本 DPA 旨在满足欧盟及英国《通用数据保护条例》（”GDPR”）第 28 条的要求，以及适用数据保护法律下的同等要求。若欧盟委员会标准合同条款（模块 2：控制者至处理者）适用于某项个人数据传输，则该等条款以引用方式并入本 DPA，并在存在冲突时具有优先效力。

02 定义

本 DPA 中使用的术语具有 GDPR 所赋予的含义（包括”个人数据”、”处理”、”数据主体”、”控制者”、”处理者”、”次级处理者”及”个人数据泄露”），以及在适用情况下，英国 GDPR、《加利福尼亚州消费者隐私法》（”CCPA”）及其他适用法律中的对应术语含义。

客户数据的含义以服务条款中的规定为准。客户个人数据是指依据适用法律构成个人数据的客户数据。

03 处理的标的及性质

标的

EDMA 依据相关条款处理客户个人数据，以向数据控制方提供服务。

期限

服务条款有效期内及条款规定的终止后数据导出窗口期内，另加法律要求的任何保留期限。

处理的性质与目的

在数据控制方的租户内，对各交易对手之间的个人数据进行托管、存储、传输、展示、查询、索引、搜索、分析、计算（包括结算瀑布流）及路由，以支持服务的运营、财务及 AI 辅助功能。

个人数据类型

• 数据控制方的员工、供应商、客户、融资方及其他交易对手的身份识别数据（姓名、工作电子邮箱、职位、所属组织）；
• 联系数据（电话号码、地址）；
• 商业数据（订单详情、货运数据、文档元数据、财务记录）；
• 沟通数据（通过门户交换的消息）；
• 身份验证数据（账户凭证、IP 地址、会话标识符）。

本服务不用于处理 GDPR 第 9 条下的特殊类别个人数据（如健康、生物特征、种族、宗教数据）或犯罪定罪数据。数据控制方同意不将此类数据录入服务，除非在严格必要的情况下，且须配备适当的保障措施。

数据主体类别

• 数据控制方的员工、承包商及授权用户；
• 数据控制方的供应商、客户、物流服务商及融资方处的相关人员；
• 数据控制方选择录入服务的任何其他个人数据所属的个人。

04 数据控制方的义务

数据控制方负责：

• 为客户个人数据的处理建立合法依据，包括获取必要的同意并向数据主体提供所需通知；
• 确保客户个人数据的准确性、质量、合法性及完整性；
• 在服务内配置访问控制、用户权限及门户可见性设置，以满足数据控制方的数据保护要求；
• 在 EDMA 依据 §9 转发数据主体请求且数据控制方为责任控制方时，对该等请求作出回应；
• 作为数据控制方，遵守适用的数据保护法律法规。

05 EDMA 的义务

EDMA 作为处理者，将：

• 仅根据控制者的书面指令处理客户个人数据，包括控制者使用本服务各项功能时所隐含的指令，以及适用法律要求的情形（在此情形下，EDMA 将在处理前告知控制者该法律要求，除非法律以重大公共利益为由禁止此类通知）；
• 确保被授权处理客户个人数据的人员承担适当的保密义务；
• 实施 §7 所述的技术和组织安全措施（SCCs 附件二的要求由 §7 满足）；
• 仅按照 §6 的规定委托次处理者；
• 在考虑处理性质及 EDMA 所掌握信息的前提下，协助控制者履行其在数据主体请求、安全保障、数据泄露通知、数据保护影响评估及事前咨询方面的义务；
• 根据控制者的选择，在本服务终止时删除或返还全部客户个人数据，具体按 §12 执行；
• 向控制者提供证明符合本 DPA 所需的信息，但须遵守 §11 的规定。

若 EDMA 认为控制者的某项指令违反适用的数据保护法律，EDMA 将在不无故拖延的情况下告知控制者。

06 次级处理商

数据控制方授权 EDMA 委托以下所列次级处理商处理客户个人数据。EDMA 将向每家次级处理商施加不低于本 DPA 标准的数据保护义务。

当前次级处理商

权威实时列表维护于 edma.trade/legal/dpa（本页）。EDMA 可新增子处理商，但须至少提前三十（30）天通知数据控制方的管理员联系人。控制方可在通知期内以合理的数据保护理由对新子处理商提出异议；若 EDMA 无法接受该异议，控制方可终止受影响的订阅期，并按比例退还未使用费用。

07 安全措施

EDMA 实施以下技术与组织措施（以下简称 「TOMs」），在适用情况下构成 SCCs 的附件二。

加密

• TLS 1.2+ 用于客户端与服务器之间、服务器与次级处理方之间所有传输中数据；
• AES-256（或更高强度）加密用于主存储和备份存储中的静态数据；
• 加密数据库快照；通过托管服务商的托管 KMS 进行密钥管理，并配置轮换策略。

访问控制

• 对所有可访问生产环境的 EDMA 员工强制实施多因素认证；
• 基于角色的访问控制，默认遵循最小权限原则；
• 针对敏感操作的即时权限提升，并记录审计日志；
• 按租户进行逻辑隔离；跨租户访问在应用层被拒绝。

网络与边界

• 在公共端点前部署 WAF 和 DDoS 防护；
• 应用层与数据层之间采用私有网络连接；
• 对生产环境出站流量实施 egress 管控。

软件开发

• 所有生产变更均须经过代码审查；
• 依照定义的 SLAs 执行依赖项扫描和漏洞修复；
• 通过托管服务商的 secret store 管理密钥；源代码中不存储任何密钥。

运营

• 在源头对敏感字段进行脱敏处理的结构化日志记录；
• 针对安全事件的持续监控与告警；
• 由第三方每年进行的渗透测试；
• 具有明确角色与升级路径的事件响应程序；
• 具有文档化 RPO/RTO 的备份与灾难恢复程序。

人员

• 在法律允许的范围内，对能够访问生产环境的员工进行背景调查；
• 入职时及此后至少每年一次的安全意识培训；
• 对员工及承包商施加合同性保密义务；
• 人员离职后及时撤销其访问权限。

08 跨境数据传输

当个人数据从欧洲经济区、英国或瑞士传输至未被认定具备充分保护水平的国家时，各方依据以下内容：

• 欧盟委员会标准合同条款（2021/914，模块 2：数据控制者至数据处理者），及在 UK GDPR 适用时的英国附录；
• 第 §7 条所规定的技术与组织措施，作为补充性保障；
• 数据控制者对传输风险的评估，同时考量目的地国家的法律与实践。

当 EDMA 委托位于欧洲经济区以外的次级数据处理者时，EDMA 确保对后续传输适用相同或等效的保障措施。

09 数据主体权利

若 EDMA 直接收到数据主体就客户个人数据提出的请求（例如访问、更正、删除、限制、可携带性、异议），EDMA 将无不当延迟地将该请求转发给数据控制者，并不得直接回应该请求，除非数据控制者另有指示或法律另有要求。

EDMA 将协助数据控制者，综合考虑处理的性质及 EDMA 所掌握的信息，在适用法律期限内回应数据主体请求。协助内容包括提供技术机制，以便在服务范围内访问、导出或删除个人数据。

10 个人数据泄露

EDMA 将无不当延迟地通知数据控制者，且在任何情况下均须在 EDMA 知悉影响客户个人数据的个人数据泄露事件后 72 小时内发出通知。通知内容应在当时已知的范围内包括：

• 泄露的性质，包括受影响的数据主体类别及大致数量以及受影响记录的数量；
• 可能产生的后果；
• 已采取或拟采取的措施，以应对泄露并减轻其影响；
• 可获取进一步信息的联系方式。

EDMA 将随着调查进展提供进一步更新，并配合数据控制者依据适用法律履行泄露响应义务。EDMA 向数据控制者发出通知，不构成对过失或责任的承认。

11 审计与检查

EDMA 应在合理请求下，且在任何 12 个月期间内不超过一次（因监管机构要求或发生个人数据泄露事件的情况除外），向数据控制者提供证明符合本 DPA 所需的信息。EDMA 将通过提供以下内容履行该义务：

• 本 DPA 及最新发布版本的安全措施；
• 独立第三方审计报告摘要（如有）；
• 对合理安全调查问卷的回复。

若上述内容不足，可在满足以下条件的情况下进行现场审计：(a) 合理提前通知；(b) 签署保密承诺；(c) 审计须在正常营业时间内进行，且不得对 EDMA 的运营造成不合理干扰；(d) 除非审计发现重大违规，否则由数据控制者自行承担相关费用。审计可由双方共同商定的独立第三方审计师执行。

12 数据返还与删除

订阅期届满后，EDMA 将提供 30 天的导出窗口期，控制者可在此期间以结构化、通用且机器可读的格式提取客户个人数据。窗口期届满后，EDMA 将在 30 天内从活跃系统中删除客户个人数据，并依据 EDMA 书面备份保留周期（通常为 90 天内）从备份中予以删除，法律另有要求保留的情形除外。

控制者在导出窗口期届满前提出书面请求的，EDMA 将提供书面删除证明。

13 责任限制与效力优先

各方在本 DPA 项下或与本 DPA 相关的责任，受服务条款中责任限制条款的约束。若存在单独适用于数据保护责任的责任上限，该上限以服务条款中的规定为准。

本 DPA 与服务条款发生冲突时，在数据保护事项上以本 DPA 为准。若已纳入标准合同条款，则在冲突范围内以该条款为准。

本 DPA 可因适用法律、次级处理方或技术措施的变更而更新。重大变更将在生效前至少三十（30）天通知控制者的管理员联系人。