本数据处理附录(“附录”)构成软件条款和条件的一部分(“协议”),由 LayerX Security Inc 与 LayerX Security Ltd. 共同拥有(“LayerX”)以及协议中定义的软件用户(“客户”),并且仅适用于 LayerX 代表客户处理个人数据(定义如下)的范围。

本附录中使用的术语应具有本附录中规定的含义。本附录中未另行定义的大写术语应具有本协议中赋予的含义。除下文修改外,本协议的条款应保持完全有效。

鉴于本协议所列的相互义务,双方同意将下列条款和条件作为附录添加至本协议。除非上下文另有规定,本附录中对本协议的引用均指经修订的本协议,包括本附录。

 

在本附录中,下列术语应具有下述含义,并应据此解释同源术语:

1.1。 “适用法律”指 LayerX 或客户所遵守的任何适用法律;

1.2。 “加州隐私法”指 2018 年加州消费者隐私法案(“CCPA”),包括经《2020 年加州隐私权法案》修改的版本(“消费品管理局”),并可能不时被修订或取代。

1.3。 “客户个人资料”指根据本协议或与本协议相关,LayerX 或代表 LayerX 的子处理器可能处理的任何个人数据;

1.4。 “数据保护立法”在向客户提供服务时适用于 LayerX 的任何数据保护和隐私法。

1.5。 “EU”指欧洲联盟;

1.6。 “EEA”指包括所有欧盟国家以及冰岛、列支敦士登和挪威在内的欧洲经济区;

1.7。 “《通用数据保护条例》(GDPR)”指欧洲议会和理事会 2016 年 679 月 27 日颁布的关于在个人数据处理和此类数据自由流动方面保护自然人,并废除第 2016/95/EC 号指令(《通用数据保护条例》)的 (EU) 46/2016 号条例(不时修订)或任何取代欧洲议会和理事会 679 年 27 月 2016 日颁布的 (EU) XNUMX/XNUMX 号条例以及相关适用的数据保护法的条例;

1.8。 “SCC” 是指根据欧洲议会和理事会条例 (EU) 2021/914 向第三国转移个人数据的标准合同条款,根据欧洲委员会 4 年 2021 月 2016 日实施决定 (EU) 679/XNUMX 中规定的个人数据转移标准条款的适用模块,该模块可在以下网址获取: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32021D0914&from=EN 并酌情由英国补充 补遗(“英国附录”),请参阅以下网址获取欧洲委员会关于国际数据传输的标准合同条款: https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf

1.9。 “英国 GDPR”是指根据《3 年欧盟(退出)法》第 2018 条的实施转化为英国国家法律的 GDPR,并经《2019 年数据保护、隐私和电子通信(修订等)(欧盟退出)条例》修订。

1.10。 “服务“s” 指提供 LayerX 基于数字云的浏览器安全平台,旨在将客户的浏览器转变为受保护且可管理的工作区软件等,如协议中所定义。

1.11“分处理器”指由 LayerX 或代表 LayerX 任命的、根据本协议代表客户处理个人数据的任何人(不包括 LayerX 的员工);

1.12。 “监管机构”指 (a) 欧盟成员国根据 GDPR 第 51 条设立的独立公共机构;以及 (b) 负责执行数据保护法规的任何类似监管机构;

1.13。 “术语”指本协议中定义的术语。

1.14. 条款“控制器“,”处理器“,”数据主体“,”会员国“,”个人资料“,”个人资料泄露“,和”的解决方案”应具有与 GDPR 中相同的含义,或在适用数据保护法规下的等效术语(如适用)的含义,且其同源术语应据此解释。

2.1 双方确认,客户为数据控制者,并应履行数据保护法规规定的数据控制者义务;LayerX 则作为数据处理者行事。客户应履行数据保护法规规定的数据控制者的所有义务。

2.2. LayerX 应根据客户的书面指示处理客户的个人数据,除非 LayerX 所受适用法律另有规定。在此情况下,如果 LayerX 认为任何指示违反了数据保护法规或其他适用法律,则 LayerX 应通知客户,除非该法律禁止此类通知。此类通知不构成 LayerX 监控或解释适用于客户的法律的一般义务,也不构成对客户的法律建议。

2.3. 客户保证其拥有向LayerX提供个人数据以进行与服务相关的处理所需的一切必要权利,并且数据保护法规规定的一项或多项合法依据支持该等处理的合法性。在数据保护法规要求的范围内,客户负责确保向数据主体提供所有必要的隐私声明,并且除非数据保护法规规定的其他合法依据支持该等处理的合法性,否则客户还负责获得所有必要的数据主体同意,并确保保留该等同意的记录。如果数据主体撤回该等同意,客户负责将该等撤回的事实告知LayerX,LayerX将根据客户的指示采取其认为适当的行动。

2.4. 附件1 本附录列出了某些信息,并描述了 LayerX 处理个人数据的方式。客户保证其准确反映了根据本附录和协议进行的处理活动。处理操作的性质将取决于服务范围以及客户自行决定提供的个人数据的性质,并以 LayerX 认为适合提供所需服务的方式进行。

2.5. 如果客户确定任何加州隐私法律适用于 LayerX 就本协议项下提供的服务,并且需要对 LayerX 施加超出本附件所列要求的义务,则客户应相应地通知 LayerX 此类要求。

2.6. 如果客户受加州隐私法约束,LayerX 保证其理解加州隐私法的规则、要求和定义,并同意不出售(定义见加州隐私法)根据本协议处理的任何客户个人数据,也不采取任何可能导致根据本协议或本数据处理协议向 LayerX 披露或从 LayerX 披露客户个人数据的行为构成加州隐私法意义上的“出售”此类客户个人数据的行为。LayerX 将合理地配合并协助客户履行其加州隐私法合规义务,并回应与加州隐私法相关的问询,包括回应可验证的消费者请求,同时考虑到 LayerX 处理数据的性质以及 LayerX 可获得的信息。

2.7. 在不影响双方之间任何现有合同安排的情况下,LayerX 应确保其授权代表其处理个人数据的任何人均须承担保密义务。

3.1. 考虑到数据保护法规要求的措施、现有技术水平、实施成本以及处理的性质、范围、背景和目的,以及对自然人权利和自由构成不同可能性和严重程度的风险,LayerX 应实施适当的技术和组织措施,以确保个人数据处理的安全级别与风险相适应。这些措施的详细说明见下文。 附件2,LayerX 可能会不时更新,但前提是此类更新不会实质性降低对数据主体的个人数据的保护。

3.2 客户承认安全要求不断变化,有效的安全措施需要频繁评估并定期改进过时的安全措施。因此,客户将持续评估根据第4条实施的措施,以确保符合本条规定的要求。双方将本着诚信原则协商,确定实施数据保护法规或有管辖权的数据保护机构规定的特定更新安全要求所需的变更所产生的费用(如有)。

4.1. 客户通常授权 LayerX 根据本第 4 条聘用子处理商,并批准 LayerX 使用处理器列表中列出的处理器(该列表可在以下网址获取): https://layerxsecurity.com/sub-processors/ (“子处理器列表LayerX 将在指定新的子处理者前至少 30 天更新子处理者列表,并向客户提供订阅新子处理者通知的机制;如果客户订阅,LayerX 将在授权任何新的子处理者处理个人数据之前,向客户提供新的子处理者通知。变更通知“)。

4.2. 客户可以基于与保护客户个人数据相关的合理理由,对新的子处理者提出异议,只需在变更通知发出后的 15 天内向 LayerX 发送电子邮件,说明其合法且善意的异议即可(“变更通知”)。异议通知”),在这种情况下,LayerX 可以通过以下方式满足异议:(a)不使用新的子处理器处理客户个人数据;(b)采取客户在异议通知中要求的纠正措施;或(c)停止提供涉及新的子处理器处理客户个人数据的服务部分,但双方须达成一致,考虑到服务范围的缩小而调整服务报酬。如果双方无法在该时间范围内解决问题,客户的唯一补救措施是终止协议。如果客户未及时提供异议通知,则客户将被视为已授权 LayerX 使用子处理器并放弃其异议权。对于每个子处理器,LayerX 应确保子处理器受与本附录下数据处理器兼容的数据保护义务的约束。

5.1. 客户应遵守数据主体根据数据保护法规行使权利的请求。

5.2. 当客户无法按照第 6.1 条履行义务,因此需要 LayerX 的协助时,考虑到处理的性质,LayerX 应根据客户的要求,并在客户承担费用的情况下,通过采取适当的技术和组织措施协助客户,以履行数据保护法规规定的行使数据保护权利的请求。

6.1 当LayerX获悉任何对本协议项下客户个人数据处理产生重大影响的事件时,应立即通知客户。LayerX应与客户合作,并遵照客户就该事件的指示,以便客户对该事件进行调查、制定正确的应对措施并采取适当的后续步骤。

6.2. 如果根据数据保护法规,该事件很可能需要客户进行数据泄露通知,LayerX 将协助客户进行通知流程,费用由客户承担。

6.3. 根据此类通知,如适用,客户应根据数据保护法规的要求,将个人数据泄露事件通知主管监管机构,并在必要范围内,将有关个人数据泄露事件的必要信息告知相关数据主体。

6.4. LayerX 应自费与客户合作,并采取客户合理指示的合理商业措施,协助调查和减轻每次发生的个人数据泄露事件。

7.1. 在本协议期限内,除非双方另有书面约定,LayerX 将保留个人数据最多十二 (12) 个月。

7.2. 本补充协议终止后(“终止日期”),除非客户根据第 12 条另有要求,否则公司可自行决定自终止日期起保留个人数据最多十二 (7.3) 个月。但是,LayerX 保留在终止日期立即删除个人数据的权利。

7.3. 客户可自行决定在终止日期后30个日历日内以书面形式通知LayerX,要求LayerX (a) 向客户返还所有客户个人数据的完整副本;以及 (b) 删除LayerX处理的客户个人数据的所有其他副本。LayerX应在终止日期后60个日历日内遵守任何此类书面请求。

7.4. 尽管有上述规定,LayerX 仍可根据适用法律的要求,在规定的范围内和期限内保留客户个人数据。

7.5 LayerX不负责任何个人数据的存储或备份。强烈建议客户自行备份个人数据,并确保所有必要的个人数据都存储在其系统中。

8.1. 根据第 2 条和第 8.3 条的规定,LayerX 应在客户提出合理要求时,向客户提供证明遵守本附录所合理必要的信息。

8.2. 如适用,如果客户对其根据本协议享有的审计权利不满意,LayerX 应自费允许客户委托审计师(但须遵守第 3 条的规定,该条规定审计师须就该等信息承担书面保密义务)对 LayerX 处理客户个人数据的情况进行审计,包括检查。但前提是,客户应就任何即将进行的审计或检查向 LayerX 发出合理的通知,并且客户应采取合理措施确保(并应促使其委托的每位审计师)在审计或检查过程中尽量减少对处理者业务的干扰,同时,此类审计或检查应在正常工作时间内进行。

8.3. 若LayerX认为客户指定的审计师不具备足够的资质或独立性,或系LayerX的竞争对手,或存在其他明显不适宜的情况,LayerX有权提出异议。在此情况下,客户应另行指定审计师或自行进行审计。

9.1. 为便于LayerX提供服务,信息可能会传输给位于客户管辖范围之外的第三方公司和个人。如果根据数据保护法规需要实施国际传输机制,例如在欧盟委员会或其他相关机构认定数据保护水平不足的国家/地区处理个人数据,则应适用标准合同条款(SCC)的相应模块,并在双方签署本协议后将其纳入本协议;或者LayerX应确保在任何后续传输中,个人数据的保护持续有效。对于每次此类数据传输,LayerX应采取适当的技术和组织措施,以确保安全级别与风险相适应,同时考虑现有技术水平、实施成本、处理的性质、范围、背景和目的,以及对自然人权利和自由构成风险的可能性。

9.2. 如果 LayerX 或客户依赖特定的法定机制来规范国际数据传输,而该机制随后被修改、撤销或被有管辖权的法院裁定无效,则 LayerX 和客户同意真诚合作,立即暂停传输或寻求可以合法支持传输的适当替代机制。

优先顺序 

 

就本附录的主题而言,如果本附录的规定与双方之间的任何其他协议(包括本协议)存在不一致,则以本附录的规定为准。

 

数据保护立法的变化

 

如果由于数据保护法律法规的变更而需要对本附录进行任何变更,则任何一方均可向另一方提供该法律变更的书面通知。双方应讨论数据保护法律法规的变更,并本着诚信的原则进行协商,以期就本附录的任何必要变更达成一致,以应对此类变更,包括由此产生的任何费用。

 

遣散

 

如果本附录的任何条款无效或不可执行,则本附录的其余部分应保持有效和有效。 无效或不可执行的条款应 (i) 进行必要的修改,以确保其有效性和可执行性,同时尽可能密切地维护双方的意图,或者,如果不可能,则 (ii) 以无效的方式解释或不可执行的部分从未包含在其中。

 

 

附件 1:客户个人数据处理详情

本附件 1 包含 GDPR 第 28(3) 条要求处理客户个人数据的某些细节。

 

 

处理客户个人数据的主题和期限

处理客户个人数据的主题和期限在协议和本附录中列出。

处理客户个人数据的性质和目的

LayerX 提供一款浏览器扩展程序,帮助客户保护其系统和平台的安全。Layerx 的扩展程序通过分析 Web 会话来增强数据安全性,从而防止恶意活动并降低客户资源面临的风险。在提供服务的过程中,LayerX 会处理客户授权数据主体(“最终用户”)的个人数据,根据本附录,该等个人数据被视为客户的个人数据。

要处理的客户个人数据类型

待处理的客户个人数据由客户自行决定,默认包括以下内容:

  1. 身份管理:与用户、团体、组织单位相关的个人数据。
  2. 部署:设备 ID、主机名和帐户用户名。
  3. 浏览器数据:浏览器配置文件和用户代理数据。
  4. 浏览活动访问过的域名、安装的扩展程序、上传和下载的文件、提供的用户名。

除上述内容外,下述最终用户个人数据的处理是可选的,并且仅在客户要求时进行处理:

  1. 浏览过的活动:URL 参数、文件名、文件路径。

 

与客户个人数据相关的数据主体类别

数据主体的类别将由客户决定,其中可能包括客户的员工、代表和最终用户。

客户的义务和权利

客户的义务和权利载于本协议及本附录。

 

 

 

 

附件二 – 数据安全

LayerX声明,截至目前,公司已获得SOC2认证。LayerX还声明,公司已实施以下安全措施:

 

  1. LayerX应建立一套允许访问个人数据及限制此类访问的程序。LayerX应确保对个人数据的访问严格限于“需要知悉”或需要访问该等个人数据的人员,且仅限于提供服务所必需的范围,并应记录获授权访问本协议项下个人数据的人员名单。
  2. LayerX 应采取一切合理必要的措施,确保有权访问个人数据的个人的可靠性,并应确保每位此类个人 (i) 被告知个人数据的保密性质;(ii) 已接受有关其职责的适当培训;以及 (iii) 受书面保密承诺和书面安全协议的约束。
  3. LayerX 应采取物理措施,确保只有授权用户才能访问个人数据。
  4. LayerX 应维护和实施充分和适当的(根据个人数据的类型及其敏感性)环境、物理和逻辑安全措施,以保护个人数据以及 LayerX 的系统基础设施、数据处理系统、通信手段、终端、系统架构、硬件和软件,以防止未经授权渗透和访问客户的个人数据或客户的系统或客户与 LayerX 之间的通信线路。
  5. LayerX应列出用于处理本协议项下个人数据的所有组件(基础设施和软件),包括计算机系统、通信设备和软件。LayerX应使用该列表持续监控这些组件,并识别其弱点和风险,以便实施适当的安全措施来降低这些风险。
  6. LayerX应遵循符合本附件及数据保护法规安全要求的适当书面信息安全政策和工作程序,包括备份和恢复程序。LayerX应定期审查其安全政策和操作程序,并在系统或处理流程发生重大变更时进行审查,以便根据需要进行修订。
  7. LayerX 应采取措施记录对个人数据的访问,包括监控进入处理个人数据的设施的情况,以及任何带入或带出此类设施的设备。
  8. LayerX应实施自动控制机制,用于验证对包含个人数据的系统访问权限。该机制应包括但不限于用户身份、访问尝试的日期和时间、尝试访问的系统组件、访问类型和范围以及访问权限是否被授予或拒绝。LayerX应定期监控来自该控制机制的信息,列出问题和违规行为以及已采取的处理措施。控制记录至少应保存24个月。
  9. LayerX 将至少每 18 个月对包含个人数据的系统进行一次安全风险调查。
  10. LayerX 不会在不使用行业标准加密方法的情况下,通过公共通信网络或互联网披露个人数据。