饿了么开放平台数据委托处理协议
本协议是由商户(即:使用您提供的技术服务的商户,以下称“甲方”)与您(即:向商户提供技术服务的受托机构,以下称“乙方”)就甲方使用乙方提供的个人信息处理相关技术服务所订立的有效合约。
甲乙双方使用其饿了么账户在网络页面点击确认或以其他合法有效方式接受本协议,即表示甲乙双方已经就本协议达成一致并同意接受本协议的全部约定内容。如您不同意接受本协议的任意内容,或者无法准确理解相关条款含义的,请不要进行后续操作。
甲方有意委托乙方作为受托机构,按照甲方指令提供相关个人信息处理服务。为了规范个人信息使用,维护个人信息主体合法权益,保证个人信息应用安全,经协商一致,双方达成如下协议。
一、基本原则
个人信息保护倡议双方均认可,个人信息保护是企业长远稳健发展的基石,在此共识上,双方均同意遵循以下原则,保障用户个人信息权益:
1.1 尊重用户的知情权。用简明易懂的语言,明确向用户告知采集、使用其个人信息的目的、方式、范围、用途等。未经授权,不采集用户信息。
1.2 尊重用户的控制权。不强迫用户进行不合理的“一揽子授权”,为用户提供访问、更正、删除其个人信息的途径。
1.3 尊重用户授权,强化自我约束。严格遵守与用户约定的授权范围,不采集与提供服务无关的信息。
1.4 保障用户的信息安全。采取充分有效的技术手段和管理措施,并对委托处理个人信息的第三方进行筛选,防止个人信息泄漏、毁损、丢失。
1.5 保障产品和服务的安全可信。不在产品和服务中设置隐蔽功能进行用户不知情的操作,发现安全缺陷、漏洞时,及时采取补救措施。
1.6 联合抵制黑色产业链。不采集通过非法渠道获取的信息,坚决杜绝与个人信息黑色产业链的任何交易及往来。
1.7 倡导行业自律。共同探索可推广、可复制并与国际接轨的个人信息保护最佳实践,带动和帮助行业整体水平提升。
1.8 接受社会监督。切实履行企业承诺,积极配合监管机构的监督检查,主动接受社会各方的监督。
二、定义
2.1 个人信息指的是以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份或者反映特定自然人活动情况的各种信息。
2.2 处理指的是对个人信息进行的任何操作或一系列操作,包括但不限于:收集、存储、使用、加工、传输、提供、公开、删除等。
2.3 处理目的:乙方从甲方处获得的数据信息仅用于为甲方展示服务数据并优化服务。
2.4 接收的信息指的是为了履行本协议所必须的范围内,甲方直接或间接向乙方提供的信息。为免疑义,本协议项下,甲方仅提供甲方通过乙方的技术服务产生的服务信息。
2.5 生成的信息指的是在履行本协议过程中,乙方为履行本协议下的个人信息处理活动而另行收集或在业务过程当中生成的信息。
2.6 接收的信息与生成的信息合称“委托处理的信息”。
2.7 个人信息处理者指的是有权决定个人信息处理目的、方式等的组织或个人;为免疑义,本协议项下,甲方为个人信息处理者。
2.8 受委托者指的是接受个人信息处理者委托,严格按照个人信息处理者的要求处理个人信息的组织或个人;为免疑义,本协议项下,乙方为受委托者。
三、 合法合规
3.1为了履行本协议而产生的个人信息处理必须符合中华人民共和国可适用法律法规的相关要求。对于委托处理的信息,甲方承诺具备处理该等个人信息的合法性基础。
3.2甲方作出委托行为,不得超出已征得个人信息主体授权同意的范围。甲方应当对委托行为进行个人信息安全影响评估,确保乙方具备足够的个人信息安全能力,提供了足够的安全保护水平。
四、 权利归属
4.1 双方确认,乙方仅为受托机构,委托处理的信息及其他合法权益仍然属于甲方。乙方应当严格按照法律法规及相关监管要求承担受托机构的相关责任义务。
4.2 双方确认,乙方仅按照甲方指令提供相关个人信息处理服务。乙方应当承担严格保密义务,未经甲方事先书面同意,乙方不得将委托处理的个人信息用于任何其他用途,也不得转委托他人处理个人信息。
五、 安全保障
5.1 安保措施:乙方应当按照法律法规、国家标准(如:《信息安全技术个人信息安全规范GB/T35273—2020》),采取技术手段与管理措施,确保委托处理的信息得到充分的安全保障,避免违规信息处理。
5.2 访问限制:乙方应当采取特别措施,确保仅限为了合法目的而必须获取用户信息的人员方可获得访问权限。
六、 信息的使用
乙方仅可为委托处理所必须之目的而使用委托处理的信息。未经甲方事先书面同意,不得将委托处理的信息用于任何其他用途,乙方另有法定依据的情况除外。乙方完成委托处理后,应当及时销毁相关信息。乙方另有法定依据的情况除外。
七、 信息的披露:
7.1 原则上乙方不得以任何形式擅自向第三方披露接收的信息,除非:
(1)第三方获取个人信息主体的合法有效授权或以其他法定途径,有权向甲方查询相关用户信息时,甲方委托乙方可向前述第三方反馈相关信息,具体以第三方获取的个人信息主体授权范围为准;
(2)根据法律法规或监管要求而必须披露的情况
7.2 在中华人民共和国境内运营中收集和产生的个人信息向境外提供的,应当严格遵守相关法律法规及监管要求,包括但不限于:按照国家网信部门会同国务院有关部门制定的办法和相关标准进行安全评估,并符合其要求。
八、 信息的留存、返还与删除
8.1乙方不得以任何形式留存委托处理的信息,包括:
(1)乙方应当在每次完成处理目的之后删除委托处理的信息;
(2)除非因为履行处理目的必须长期留存并经甲方书面同意,乙方确有必要留存的,可在甲方规定的期限内进行留存,但应当对委托处理的信息进行明确的主体标记,不得与乙方所处理的其他数据混合存储,亦不得以任何形式超出本协议约定的用途进行使用。
8.2本协议不生效、无效、被撤销或者终止的,乙方应当将委托处理的信息返还给甲方并且删除和销毁委托处理的信息及所有副本/备份。
8.3 以下任一情形发生时,乙方应当立即停止使用接收的信息,并删除和销毁委托处理的信息及所有副本/备份,并向甲方提供书面确认:
(1)收到甲方书面通知;
(2)委托处理事项完成,委托处理事项无法实现或者为实现处理目的不再必要;
(3)信息主体撤回同意;
(4)甲方停止向信息主体提供服务,或者保存期限已届满;
(5)协议任何一方破产、清算或解散时;
(6)其他不删除信息可能会导致违法违规的情形。
九、 信息主体的权利实现
9.1乙方应当依据可适用的法律法规配合甲方向信息主体提供信息查询、复制、更正、删除及撤回等法定权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。
9.2根据信息主体的请求并经核实或者甲方的通知,乙方应当及时对个人信息进行更正、补充。
9.3乙方有义务自行或协助甲方对其个人信息处理规则向信息主体进行解释说明。
十、 个人信息违规事件通知
如乙方在处理个人信息过程中无法提供足够的安全保护水平或发生了安全事件,应及时向甲方反馈。当知晓或怀疑下列任一情形发生时,乙方应当采取一切必要的应急及补救措施,并立即向甲方发出通知:
(1)任何违反本协议条款的情形;
(2)任何违规信息处理,包括但不限于:收集、存储、使用、加工、传输、提供、公开、删除等;
(3)任何根据中华人民共和国可适用法律法规要求而应当向监管机构进行申报或者向受到影响的信息主体进行披露的情形。
十一、 审计及检查
11.1针对接收的信息的处理情况,甲方有权对乙方提出合理的审计要求。甲方有权自行或委托独立第三方机构(例如:会计师事务所、律师事务所等)进行上述审计或检查,乙方应当予以配合的举措包括但不限于:
(1)乙方应当配合提供涉及接收的信息处理的设施、设备、系统、政策或流程等;
(2)乙方应当配合开放相关工作场所,并安排相关人员接受访谈;
(3)基于审计和/或检查得出的要求,对涉及接收的信息处理的设施、设备、系统、政策或流程等进行修正或改善。
11.2甲方提出审计或检查要求之前,应当给予乙方合理的提前通知期。同时,审计或检查应当在合法合规的前提下开展,且不应当影响乙方的正常运营或合法权益。
11.3 若上述审计或检查并未发现任何涉及个人信息隐私保护的重大缺陷,则甲方应当承担相关费用;反之,乙方应当承担相关费用以及后续产生的修正、改善费用。
11.4 甲方得知或者发现乙方未按照委托要求处理个人信息,或未能有效履行个人信息安全保护责任的,有权立即要求乙方停止相关行为,且采取或要求乙方采取有效补救措施(如更改口令、回收权限、断开网络连接等)控制或消除个人信息面临的安全风险。必要时甲方有权终止与乙方的业务关系和合同关系,并要求乙方及时删除从甲方处获得的个人信息。
11.5 监管机构可能根据可适用的法律法规对甲方提出检查要求,在此过程中,甲方可能需要乙方提供必要的协助。若因乙方怠于协助,或因乙方或乙方人员的违法或违约行为导致甲方受到监管罚款或蒙受其他相关损失,乙方应当承担对应的赔偿责任。
十二、 违约责任
12.1如果一方违反本协议项下的任何约定或义务,或其在本协议项下的任何陈述或保证不真实或不准确,则构成对本协议的违约。在此情况下,另一方应书面通知违约方其对本协议的违约,并且违约方应在通知日起的三十(30)日内对其违约予以补救。如果该三十(30)日届满时违约方仍未对违约予以补救,则另一方有权提前终止本协议并要求违约方承担所造成的实际损害所对应的赔偿责任。
12.2本协议规定的适用于另一方的提前终止本协议的权利应是其可获得的任何其他补救之外的权利,并且该终止不应免除至终止日产生的违约方的任何义务,也不能免除违约方因违反本协议而对另一方所造成损失的赔偿责任。
十三、 其他
13.1 乙方确认,其向甲方提供本协议项下相关技术服务时已使用其饿了么账户在网络页面点击确认或以其他合法有效方式对本协议进行确认;本协议自甲方使用其饿了么账户在网络页面点击确认或以其他合法有效方式接受本协议后生效,自委托处理事项完成后终止。本协议所述个人信息保护以及数据安全合规要求不因本协议的解除或终止失效。
13.2 甲乙双方可就本协议的约定事项另行达成补充协议。
13.3本协议由中华人民共和国法律管辖并解释。任何因本协议引起的和与之相关的争议或请求,如双方协商不成,应当通过诉讼解决。诉讼管辖法院为被告住所地有管辖权的人民法院。
