发布商
数据处理协议（DPA）

本发布方数据处理附录（“DPA”）通过引用并入 Almedia 发布方条款与条件（“条款”）以及由 Almedia GmbH, Koppenstr. 8, 10243 Berlin, Germany（“控制方”或“Almedia”）与在订单表中被指定为发布方的实体（“处理方”或“发布方”）之间签订的适用插入订单或订单表（“订单表”）中。

订单表、条款及本 DPA 共同构成控制方与处理方之间完整的数据处理协议（“协议”）。本 DPA 中未定义的首字母大写术语具有其在订单表或条款中赋予的含义。

1. 定义

1.1 “适用法律”是指所有适用的数据保护和隐私法律，包括 GDPR、英国 GDPR、CCPA（如适用），以及所有规范协议项下个人数据处理的法律。

1.2 “个人数据”是指处理方根据协议代表控制方处理的任何个人数据。

1.3 “数据保护法律”是指欧盟数据保护法律，以及在适用范围内，任何其他适用国家/地区的数据保护或隐私法律，包括英国 GDPR 以及（如适用）CCPA。

1.4 “欧盟数据保护法律”是指欧盟指令 95/46/EC，经各成员国国内立法转化并不时修订、替代或取代的版本，包括 GDPR 以及实施或补充 GDPR 的法律。

1.5 “GDPR”是指欧盟《通用数据保护条例》（EU 2016/679）。

1.6 “个人数据”、“处理”、“控制方”、“处理方”、“数据主体”、“子处理方”及“监管机构”等术语具有 GDPR 赋予的含义。

1.7 “服务”是指协议中所述的广告、归因、分析、欺诈检测、计费、优化及相关发布方服务。

2. 双方角色

2.1 Almedia 作为控制方。广告主在本协议项下作为处理方。

2.2 控制方指示处理方：(i) 处理个人数据；以及 (ii) 尤其是将个人数据传输至任何国家或地区；以上均以提供服务所合理必要且符合协议及适用法律为限。

2.3 处理方仅得为履行服务之目的，并按照控制方的书面记录指示处理个人数据。

2.4 控制方声明并保证，其在任何相关时间以及处理方依法处理个人数据的整个期间内，均已并将持续获得充分且有效的授权，可发出第 2.2 条所述指示及根据协议作出的任何其他书面记录指示。

2.5 GDPR 第 28(3) 条要求的个人数据处理详情载于附表 1（处理详情），该附表构成本 DPA 的组成部分。

3. 处理方义务

3.1 除法律另有要求外，处理方仅可根据控制方的书面记录指示处理个人数据。

3.2 处理方应确保获授权处理个人数据的人员受具有可执行力的保密义务约束。

3.3 处理方应按照 GDPR 第 32 条要求实施适当的技术和组织措施。

3.4 除适用法律要求或允许保留，或为建立、行使或抗辩法律主张、执行协议，或防止欺诈并保护服务安全所必需外，处理方不得在提供服务所需时间之外保留个人数据。在此情况下，处理方应将处理范围限制于上述目的，并采取适当的访问控制。

3.5 处理方不得将个人数据用于其自身目的。处理方仅可保留并使用不构成个人数据的汇总或匿名化数据。

4. 子处理方

4.1 在受本第 4 条约束的前提下，控制方授权处理方仅在提供服务所必需的范围内，并且仅在附表 2 所列处理类别内，委聘子处理方。

4.2 处理方应确保所有子处理方均受书面协议约束，该等协议施加的数据保护义务与本 DPA 所载义务及适用法律要求的义务实质等同。

4.3 处理方维护一份最新的、包含所有当前参与提供服务的子处理方的名单，包括其身份、所在地及处理目的，并应按控制方要求向其提供该名单。

4.4 在任命或更换任何会实质影响个人数据处理活动的子处理方之前，应通过电子邮件提前通知。

4.5 控制方仅可基于合理且有据可依的数据保护理由，对新增子处理方的任命提出异议。处理方应本着诚信与控制方合作，以解决该等异议。

4.6 如无法达成双方均可接受的解决方案，控制方可暂停受影响的服务或通过书面通知终止相关服务。就子处理方异议而言，该等暂停或终止应为控制方唯一且排他的救济。

5. 跨境传输

5.1 处理方在法律允许且采取适当保障措施的情况下，可将个人数据传输至 EEA/UK 之外。

5.2 经批准的保障措施可包括欧盟标准合同条款、英国附录/IDTA，或任何后续替代机制。

5.3 处理方应确保接收该等传输的子处理方实施充分保障措施。

6. 数据主体权利

6.1 控制方负责回应数据主体请求。

6.2 处理方应在回应数据主体请求方面向控制方提供合理协助。

6.3 除非法律要求或控制方指示，处理方不得直接向数据主体作出回应。

7. 个人数据泄露

7.1 处理方一旦知悉影响个人数据的个人数据泄露，应不无故延迟地通知控制方。

7.2 处理方应提供其合理可得的信息，以协助控制方履行通知义务。

7.3 处理方应就补救措施与控制方配合。

8. 数据保护影响评估和审计

8.1 在数据保护法律要求的范围内，处理方应就 DPIA 及与监管机构的磋商提供合理协助。

8.2 控制方可由独立、信誉良好的审计员进行审计或检查，但须满足以下条件：(a) 提前 30 天书面通知；(b) 除非法律要求或在确认发生事件后，否则任何 12 个月内不得超过一次审计；(c) 所有相关费用由控制方承担；以及 (d) 审计应在正常营业时间内进行且不得造成不当干扰。

8.3 如足以证明合规，处理方可通过提供第三方认证或审计报告来履行审计义务。

9. 数据返还与删除

9.1 在受第 9.2 条约束的前提下，处理方应在涉及个人数据处理的任何服务停止之日起及时，且无论如何在六十（60）日内，按照控制方的书面记录指示删除、假名化或返还所有个人数据副本，但适用法律要求处理方保留的任何副本除外。

9.2 在遵守协议及适用法律的前提下，处理方可在法律要求或授权的范围内保留个人数据，前提是处理方确保该等个人数据的保密性，并仅为保留所必需或被授权的目的处理该等数据。

10. 责任

协议中规定的责任限制和免责条款同样适用于本 DPA。

11. 准据法和管辖权

本 DPA 受协议中规定的准据法和管辖权条款约束。

12. 效力顺序

12.1 如本 DPA 与协议任何其他部分存在冲突，且该冲突涉及个人数据处理或遵守数据保护法律，则以本 DPA 为准。

12.2 在遵守第 12.1 条的前提下，如订单表中明确规定，则订单表优先于条款及本 DPA。

附表 1：处理详情

处理事项：归因、分析、欺诈检测、计费验证以及广告投放活动优化。

期限：协议期限，加上任何法律要求的保留期限。

处理性质：接收、收集、结构化、匹配、分析、假名化、传输、存储及删除控制方个人数据。

处理目的：

• 通过 MMP 进行归因和匹配

• 点击、展示、安装及事件的衡量

• 欺诈检测与缓解

• 结算与计费核验

• 活动优化与报告

• 技术支持

数据主体：

• 与广告素材互动的终端用户

• 拥有平台访问权限的广告主人员

个人数据类别：

• 终端用户数据（应用/网页）：广告标识符（IDFA/GAID）、IP 地址、用户代理、操作系统版本、设备型号、安装时间戳、点击时间戳、粗略地理位置信息、安装后事件、欺诈分析信号。

• 广告主人员数据：姓名、电子邮件、登录活动。

敏感及特殊类别个人数据：广告主不得向处理方发送数据保护法律所定义的任何敏感或特殊类别个人数据。

附表 2：子处理方

处理方仅可在以下处理类别内，且仅在提供服务所必需的范围内委聘子处理方：

1. 云托管和基础设施提供方（包括服务器、存储、内容分发及相关基础设施服务

2. 数据分析、归因及衡量支持工具（包括用于接收、处理或验证归因信号的技术工具）

3. 欺诈检测及流量质量供应商（包括分析设备、行为或技术信号以进行欺诈防范的系统）

4. 安全、日志记录及监控提供方（包括用于访问控制、异常检测、事件监控及威胁防护的工具）

5. 客户支持和通信服务（包括用于与控制方人员互动的工单、电子邮件及通信平台）

6. 备份、冗余及业务连续性提供方

7. 内部开发、审计及运营工具（仅用于支持处理方的内部运营和服务交付）

处理方维护一份最新且权威的当前所有子处理方名单，包括其身份、所在地和处理目的，该名单也将向控制方通报）

该名单根据本 DPA 第 4 条持续更新。