发布商
数据处理协议(DPA)

v1.0(2026年4月10日)


本《发布商数据处理附录》(“DPA”)通过引用并入 Almedia《发布商条款与条件》(“Terms”)以及适用的插入订单或订单表(“Order Form”),该等文件由位于德国柏林 10243,Koppenstr. 8 的 Almedia GmbH(“控制方”或“Almedia”)与在订单表中被标识为发布商的实体(“处理方”或“Publisher”)签订。

订单表、条款和本 DPA 共同构成控制方与处理方之间完整的数据处理协议(“Agreement”)。本 DPA 中未定义的首字母大写术语,其含义以订单表或条款中的定义为准。

  1. 定义

1.1 “适用法律”是指所有适用的数据保护和隐私法律,包括 GDPR、英国 GDPR、CCPA(如适用)以及在本协议项下规范个人数据处理的所有法律。

1.2 “个人数据”是指处理方根据本协议代表控制方处理的任何个人数据。

1.3 “数据保护法”是指欧盟数据保护法,以及在适用范围内,任何其他适用国家/地区的数据保护或隐私法律,包括英国 GDPR,以及在适用时的 CCPA。

1.4 “欧盟数据保护法”是指欧盟指令 95/46/EC,经由各成员国国内立法实施,并不时经修订、替代或废止,包括 GDPR 及实施或补充 GDPR 的法律。

1.5 “GDPR”是指欧盟《通用数据保护条例》(EU 2016/679)。

1.6 “Personal Data”、“Processing”、“Controller”、“Processor”、“Data Subject”、“Sub-processor” 和 “Supervisory Authority” 等术语具有 GDPR 赋予的含义。

1.7 “Services”是指本协议中所述的广告、归因、分析、反欺诈、计费、优化及相关发布商服务。

  1. 各方角色

2.1 Almedia 作为控制方。广告主作为本协议项下的处理方。

2.2 控制方指示处理方:(i) 处理个人数据;以及 (ii) 尤其可将个人数据传输至任何国家或地区;前述行为在提供服务所合理必要并符合本协议及适用法律的范围内进行。

2.3 处理方应仅为履行服务之目的,并按照控制方的书面指示处理个人数据。

2.4 控制方陈述并保证,其在所有相关时间均已且将持续合法、有效地获得授权,可就第 2.2 条所述指示及本协议项下任何其他书面指示作出授权,且该授权在处理方依法处理个人数据期间始终有效。

2.5 根据 GDPR 第 28(3) 条要求,个人数据处理的详情载于附表 1(处理详情),该附表构成本 DPA 的组成部分。

  1. 处理方义务

3.1 除非法律另有要求,处理方仅可根据控制方的书面指示处理个人数据。

3.2 处理方应确保获授权处理个人数据的人员受具有可执行效力的保密义务约束。

3.3 处理方应按照 GDPR 第 32 条的要求实施适当的技术和组织措施。

3.4 除适用法律要求或允许保留,或为确立、行使或抗辩法律主张、执行本协议,或防止欺诈并保护服务安全所必需外,处理方保留个人数据的时间不得超过提供服务所必需的期限。在此类情况下,处理方应将处理限制在上述目的范围内,并采取适当的访问控制。

3.5 处理方不得为自身目的处理个人数据。处理方仅可保留并使用不构成个人数据的汇总或匿名化数据。

  1. 分处理方

4.1 在本第 4 条约束下,控制方授权处理方仅在提供服务所必需的范围内,并且仅限于附表 2 所列处理类别,聘用分处理方。

4.2 处理方应确保所有分处理方均受书面协议约束,该等协议施加的数据保护义务实质上应与本 DPA 中的义务以及适用法律要求的义务相当。

4.3 处理方应维护一份最新的当前所有参与提供服务的分处理方名单,包括其身份、所在地及处理目的,并应在控制方提出请求时向其提供该名单。

4.4 在任命或更换任何会对个人数据产生实质影响的处理活动分处理方之前,处理方应通过电子邮件事先通知控制方。

4.5 控制方仅可基于合理且有据可查的数据保护理由,对新分处理方的任命提出异议。处理方应本着诚信原则与控制方合作解决该等异议。

4.6 如无法达成双方可接受的解决方案,控制方可暂停受影响的服务,或经书面通知终止该等服务。该等暂停或终止是控制方就分处理方异议可享有的唯一且排他的救济。

  1. 国际传输

5.1 处理方在法律允许且采取适当保障措施的情况下,可将个人数据传输至 EEA/英国以外地区。

5.2 经批准的保障措施可包括欧盟标准合同条款、英国附录/IDTA,或任何后续替代机制。

5.3 处理方应确保接收传输的分处理方实施充分的保障措施。

  1. 数据主体权利

6.1 控制方负责回应数据主体请求。

6.2 处理方应在回应数据主体请求时向控制方提供合理协助。

6.3 除法律要求或经控制方指示外,处理方不得直接向数据主体作出回应。

  1. 个人数据泄露

7.1 处理方一旦知悉影响个人数据的个人数据泄露事件,应在不无故延迟的情况下通知控制方。

7.2 处理方应提供合理可获得的信息,以协助控制方履行其通知义务。

7.3 处理方应就补救措施与控制方合作。

  1. 数据保护影响评估与审计

8.1 在数据保护法要求的范围内,处理方应就数据保护影响评估(DPIA)及与监管机构的磋商提供合理协助。

8.2 控制方可由独立且信誉良好的审计师进行审计或检查,但须符合以下条件:(a) 提前 30 天书面通知;(b) 除法律要求或经确认发生事故后外,任何 12 个月期间内不得超过一次审计;(c) 相关费用由控制方承担;以及 (d) 审计应在正常营业时间内进行,且不得造成不当干扰。

8.3 如第三方认证或审计报告足以证明合规,处理方可通过提供该等材料履行审计义务。

  1. 数据返还与删除

9.1 在第 9.2 条约束下,处理方应在涉及个人数据处理的任何服务终止之日后及时,且无论如何应在六十 (60) 日内,根据控制方的书面指示删除、假名化或返还所有个人数据副本,但适用法律要求处理方保留的任何副本除外。

9.2 在本协议及适用法律允许的范围内,处理方可在法律要求或授权的范围内保留个人数据,前提是处理方确保该等个人数据的保密性,并且仅为保留所必需或获授权的目的处理该等数据。

  1. 责任

本协议中规定的责任限制和免责同样适用于本 DPA。

  1. 适用法律和管辖

本 DPA 受本协议中规定的适用法律和管辖条款约束。

  1. 优先顺序

12.1 如本 DPA 与本协议任何其他部分存在冲突,则在该冲突涉及个人数据处理或遵守数据保护法时,以本 DPA 为准。

12.2 在第 12.1 条约束下,如有明确规定,订单表优先于条款和本 DPA。


附表 1:处理详情

处理事项:归因、分析、反欺诈、计费验证及广告活动优化。

期限:本协议期限加上任何法律要求的保留期限。

处理性质:接收、收集、结构化、匹配、分析、假名化、传输、存储及删除控制方个人数据。

处理目的:

  • 通过 MMP 进行归因和匹配

  • 衡量点击、展示、安装和事件

  • 反欺诈和缓解措施

  • 结算和计费验证

  • 活动优化与报告

  • 技术支持

数据主体:

  • 与广告素材互动的终端用户

  • 具有平台访问权限的广告主人员

个人数据类别:

  • 终端用户数据(app/web):广告标识符(IDFA/GAID)、IP 地址、用户代理、操作系统版本、设备型号、安装时间戳、点击时间戳、粗粒度地理信息、安装后事件、反欺诈分析信号。

  • 广告主人员数据:姓名、电子邮件、登录活动。

敏感和特殊类别个人数据:广告主不得向处理方发送数据保护法所定义的任何敏感或特殊类别个人数据。


附表 2:分处理方

处理方仅可在以下处理类别范围内,并且仅在提供服务所必需的范围内,聘用分处理方:

  1. 云托管和基础设施提供商(包括服务器、存储、内容分发及相关基础设施服务

  2. 数据分析、归因和衡量支持工具(包括用于接收、处理或验证归因信号的技术工具)

  3. 反欺诈和流量质量供应商(包括分析设备、行为或技术信号以进行欺诈防范的系统)

  4. 安全、日志记录和监控提供商(包括访问控制、异常检测、事件监控和威胁防护工具)

  5. 客户支持和通信服务(包括用于与控制方人员互动的工单、电子邮件和通信平台)

  6. 备份、冗余和业务连续性提供商

  7. 内部开发、审计和运营工具(仅用于支持处理方的内部运营及服务交付)

处理方应维护一份最新且具有权威性的当前所有分处理方名单,包括其身份、所在地和处理目的,并将该名单另行通知控制方)。

该名单将根据本 DPA 第 4 条持续更新。

发布商
数据处理协议 (DPA)

v1.0(2025年12月30日)

【参考译文/非正式译文(中文)】
※本译文仅供参考,不具有法律约束力。
※如英文正文与中文译文存在不一致,以英文正文为准。

本面向发布商的数据处理补充协议(以下称“本DPA”)由 Almedia GmbH(地址:Potsdamer Str. 125, 10783 Berlin, Germany。以下称“控制者”或“Almedia”)与在相应插入订单或订单表(以下称“订单表”)中被指定为发布商的实体(以下称“处理者”或“发布商”)之间订立,并纳入 Almedia 发布商使用条款(以下称“条款”)及相应订单表,并通过引用并入其中。

订单表、条款及本DPA共同构成控制者与处理者之间关于数据处理的完整协议(以下称“本协议”)。本DPA中未定义的首字母大写术语应具有订单表或条款中赋予其的含义。


1. 定义

1.1“适用法律(Applicable Laws)”是指规范本协议项下个人数据处理的所有适用数据保护及隐私相关法律法规,包括 GDPR、UK GDPR 和 CCPA(如适用)。

1.2“个人数据(Personal Data)”是指处理者依据本协议代表控制者处理的所有个人数据。

1.3“数据保护法律(Data Protection Laws)”是指欧盟数据保护法律,以及在适用范围内包括 UK GDPR 和(如适用)CCPA 在内的其他国家/地区的数据保护或隐私相关法律法规。

1.4“欧盟数据保护法律(EU Data Protection Laws)”是指欧盟指令 95/46/EC(经各成员国国内法转化)以及 GDPR 和实施或补充 GDPR 的法律,并包括其不时修订、替代或废止的版本。

1.5“GDPR”是指欧盟通用数据保护条例(EU 2016/679)。

1.6“个人数据”“处理”“控制者”“处理者”“数据主体”“子处理者”“监管机构”等术语应具有 GDPR 赋予的含义。

1.7“服务(Services)”是指本协议所述的广告、归因、分析、反欺诈、计费、优化及相关服务。

2. 双方角色

2.1 Almedia 在本协议项下的个人数据处理方面作为控制者,Advertiser 作为处理者行事。

2.2 在为提供服务合理必要且符合本协议及适用法律的范围内,控制者指示处理者:(i) 处理个人数据;以及 (ii) 将个人数据转移至任何国家或地区。

2.3 处理者应仅按照控制者的书面指示,并且仅为提供服务之目的处理个人数据。

2.4 控制者声明并保证,其有合法权限作出第 2.2 条所述指示及本协议项下任何其他书面指示,并且在处理者合法处理个人数据期间持续保有该权限。

2.5 GDPR 第 28 条第 3 款要求的个人数据处理细节载于附件 1(处理细节),并构成本DPA不可分割的一部分。

3. 处理者义务

3.1 除非法律另有要求,处理者仅可依据控制者的书面指示处理个人数据。

3.2 处理者应确保有权处理个人数据的人员受具有约束力的保密义务约束。

3.3 处理者应按照 GDPR 第 32 条实施适当的技术和组织安全措施。

3.4 处理者不得保留个人数据超过提供服务所必需的期限;但法律要求或允许保留的情形,以及为确立、行使或抗辩法律主张、确保履行合同、预防欺诈或保障服务安全所必需的情形除外。在此情况下,处理者应仅为该等目的处理相关数据,并实施适当的访问控制。

3.5 处理者不得为其自身目的处理个人数据。处理者仅可保留和使用不构成个人数据的汇总数据或匿名化数据。

4. 子处理者

4.1 在遵守本第 4 条的前提下,控制者批准处理者在提供服务所必需的范围内,并且仅在附件 2 所列处理类别范围内使用子处理者。

4.2 处理者应确保所有子处理者均受书面协议约束,且该协议施加的数据保护义务与本DPA及适用法律要求的义务在实质上同等。

4.3 处理者应就所有参与提供本服务的现有子处理者维护一份最新且正式的清单,其中包括其名称、所在地和处理目的,并在控制者提出请求时向其提供该清单。

4.4 在新增或变更将对个人数据产生重大影响的子处理者之前,处理者应提前通知控制者。

4.5 控制者仅可基于合理且已书面记录的数据保护理由对新增子处理者提出异议。

4.6 如双方无法达成可接受的解决方案,控制者可暂停受影响的服务,或通过书面通知终止该等服务;此为与子处理者相关的唯一且排他的救济。

5. 国际数据传输

5.1 在法律允许且已采取适当保护措施的情况下,处理者可将个人数据传输至 EEA/UK 以外地区。

5.2 适当保护措施包括欧盟标准合同条款、英国附加条款/IDTA,或其后续机制。

5.3 处理者应确保接收传输的子处理者已实施适当保护措施。

6. 数据主体权利

6.1 处理数据主体请求由控制者负责。

6.2 处理者应在控制者承担费用的前提下,就处理该等请求提供合理协助。

6.3 除法律要求或控制者指示外,处理者不得直接与数据主体沟通。

7. 个人数据泄露

7.1 一旦处理者知悉个人数据泄露,应立即通知控制者,不得无故拖延。

7.2 处理者应提供其合理可获得的信息,以协助控制者履行通知义务。

7.3 处理者应与控制者合作采取补救措施。

8. 数据保护影响评估与审计

8.1 在数据保护法律要求的范围内,处理者应就数据保护影响评估及与监管机构的磋商提供合理协助。

8.2 在满足一定条件的情况下,控制者可由独立且可信赖的审计员进行审计或检查。

8.3 处理者可通过提供能够证明充分合规性的第三方认证或审计报告来满足审计义务。

9. 数据返还与删除

9.1 在第 9.2 条约束下,Processor 应在涉及个人数据处理的服务终止之日起尽快,且无论如何不迟于六十(60)日内,按照 Controller 的书面指示删除、假名化或返还所有个人数据副本;但根据适用法律处理者必须保留的个人数据副本除外。

9.2 根据本协议及适用法律,处理者可在法律要求或允许的范围内保留个人数据。在此情况下,处理者应确保该等个人数据的保密性,并仅为要求或允许保留的目的处理之。

10. 责任

本协议中规定的责任限制和免责条款同样适用于本DPA。

11. 适用法律与管辖

本DPA应受本协议中规定的适用法律和管辖条款约束。

12. 优先顺序

12.1 如本DPA与本协议其他条款存在不一致,就个人数据处理或数据保护法律合规而言,以本DPA为准。

12.2 在不违反第 12.1 条的前提下,如有明确规定,订单表优先于使用条款和本DPA。


附件 1:处理细节

处理对象:广告活动归因、分析、反欺诈、计费核验及优化
处理期限:本协议期限及法律要求的保存期限
处理性质:获取、收集、结构化、比对、分析、假名化、传输、存储和删除
处理目的:
通过 MMP 进行归因和比对
衡量点击、展示、安装和事件
反欺诈与防范
结算与账单核验
活动优化与报告
技术支持
数据主体:
接触广告素材的终端用户
访问平台的广告主员工
个人数据类型:
终端用户数据(IDFA/GAID、IP 地址、用户代理、OS 版本、设备型号、安装时间、点击时间、大致位置信息、安装后事件、反欺诈分析信号)
广告主员工数据(姓名、电子邮件地址、登录活动)
特殊类别个人数据:广告主不得向处理者提供数据保护法律所定义的特殊类别个人数据。


附件 2:子处理者

处理者仅可在提供本协议项下服务所必需的范围内,使用属于以下处理类别的子处理者。

  1. 云托管和基础设施提供商
    (包括服务器、存储、内容分发及其他相关基础设施服务)

  2. 数据分析、归因和测量支持工具
    (包括用于接收、处理或验证归因信号的技术工具)

  3. 反欺诈和流量质量评估供应商
    (包括用于分析设备、行为或技术信号以防范欺诈的系统)

  4. 安全、日志管理和监控提供商
    (包括用于访问控制、异常检测、事件监控和威胁防护的工具)

  5. 客户支持和通信服务提供商
    (包括用于与控制者代表沟通的工单、电子邮件和通信平台)

  6. 备份、冗余及业务连续性(BCP)相关服务提供商

  7. 内部开发、审计和运营支持工具
    (仅限用于支持处理者内部运营及服务交付的工具)

处理者应就所有现有子处理者维护一份最新且正式的清单,其中包括其名称、所在地和处理目的,并将该清单通知控制者。

该清单应根据本DPA 第4条持续更新。

让您的广告支出带来更多价值

立即开始

让您的广告支出带来更多价值

立即开始