MuchBetter 商务
数据保护附录

1. 定义

本数据保护附录（“DPA”）中未定义的全部大写术语均具有协议中规定的含义。

1. 会员 指直接或间接控制一方、受一方控制或与一方受同一控制的任何个人或实体。就本定义而言，“控制”（包括具有相应含义的“控制的”、“受其控制的”和“与一方受同一控制的”）是指管理或指导相关个人或实体事务的权力，无论该权力是通过持有表决权证券、通过合同或其他方式取得。
2. 协议 指 MIR 与账户持有人之间的 MuchBetter 商业账户服务协议，该协议涉及访问或以其他方式处理个人数据；
3. 已批准的管辖权 指欧洲经济区成员国，或经欧盟委员会批准为对数据提供充分法律保护的其他司法管辖区，或经英国根据 2018 年《数据保护法》第 17A 条或 2018 年《数据保护法》附表 21 第 4 段和第 5 段（如适用）颁布的充分性法规批准的其他司法管辖区；
4. 违规事件 指因安全漏洞导致传输、存储或以其他方式处理的个人数据遭到意外或非法销毁、丢失、更改、未经授权的披露或访问；
5. 数据保护法 指与数据隐私、数据安全和/或个人数据保护有关的任何和/或所有适用的国内和外国法律、规则、指令和条例，包括关于处理个人数据和保护电子通信领域隐私的《隐私和电子通信指令》2002/58/EC（及其相应的当地实施法律）（《隐私和电子通信指令》），包括对其的任何修订或替代，包括欧洲议会和理事会2016年4月27日通过的(EU) 2016/679号条例（“GDPR”），以及根据2018年《欧盟（退出）法案》第3条构成英格兰和威尔士、苏格兰和北爱尔兰法律一部分的《数据保护法》和GDPR（“英国GDPR”）。
6. 欧洲经济区 指欧洲经济区成员国。
7. 米尔 指 MIR Limited UK Ltd，MuchBetter 商业账户服务提供商
8. 个人数据 “个人数据”是指与可识别的个人有关或可与之相关的任何信息。它包括任何可以与个人关联或用于直接或间接识别自然人的信息。无论来源如何，个人数据均应视为保密信息。
9. 过程 指对个人数据执行的任何操作或一系列操作，无论是否通过自动方式进行，例如收集、记录、组织、存储、改编或更改、访问、检索、查阅、使用、通过传输、传播或其他方式披露、排列或组合、阻止、擦除或销毁。“处理”或“加工”应作相应解释。
10. 标准合同条款 或“SCC”，指根据欧洲议会和理事会 2021 年 6 月 4 日颁布的 (EU) 2016/679 号条例（该条例可能会不时修订、取代或替换）向第三国传输个人数据的标准合同条款的适用模块。
11. 英国附录 指《标准合同条款国际数据传输附录》，该附录于 2022 年 3 月 21 日生效。

2. 本数据保护协议的适用范围

1. 本数据保护协议仅在满足以下所有条件的情况下适用：
   
   1. 一方处理另一方根据本协议提供的个人数据；
   2. 数据保护法适用于个人数据的处理。
2. 本数据处理协议仅适用于双方在协议中约定的服务，并且该协议通过引用纳入了本数据处理协议。

3. 数据保护和隐私

1. 如果一方能够访问或以其他方式处理另一方提供的个人数据，则该方应：
   
   1. 作为个人数据的独立控制者，将根据协议和数据保护法律确定处理的目的和方式。
   2. 仅按照数据保护法律的要求处理个人数据，并按照数据保护法律的要求，对根据本协议进行的任何个人数据处理活动进行准确的书面记录。
   3. 在不减损前述规定的前提下，应向数据主体提供数据保护法律要求的任何信息，并允许数据主体行使其在数据保护法律下的权利，并应向另一方提供合理的合作和协助，以履行前述规定及任何法律或监管义务；
   4. 实施并维护商业上合理且适当的物理、技术和组织安全措施，以保护个人数据免遭意外或非法销毁；免遭意外丢失、更改、未经授权披露或访问传输、存储或以其他方式处理的个人数据，以及所有其他非法形式的处理；
   5. 遵守数据保护法规定的向监管机构报告个人数据泄露的任何义务以及向数据主体传达的任何义务；
   6. 在知悉违约事件后，应立即通知另一方，最迟不得超过二十四 (24) 小时。
2. 最初从数据主体处获取个人数据的当事方应负责取得数据主体可能需要的任何同意（在任何情况下，均应在遵守数据保护法律的必要范围内），并负责在收集个人数据之前向数据主体提供信息（例如“隐私声明”或“隐私政策”），以遵守数据保护法律。上述规定不应减损另一方根据数据保护法律应承担的责任（例如，在处理个人数据时向数据主体提供信息的义务）。
3. 各方均可指定分包商（包括关联公司）代表其处理个人数据（“分包处理者”），以履行其在本协议项下的义务和服务，但须满足以下条件：(i) 指定分包处理者须与指定的分包处理者签订书面协议，该协议应包含适用条款，以提供与本数据保护附录项下提供的个人数据同等的保护；以及 (ii) 各方应对其分包处理者的行为或不作为承担责任，其责任范围与根据本数据保护附录、本协议和数据保护法律对其自身行为或不作为承担责任的范围相同。

4. 个人数据传输

双方不得在批准的司法管辖区之外处理或传输个人数据；

1. 如果一方希望在批准管辖区以外的管辖区处理个人数据或将个人数据传输到该管辖区，则应视为其已订立标准合同条款（如适用）以及英国附录，在这种情况下：（i）英国附录和标准合同条款通过引用并入本协议；以及（ii）披露个人数据的一方应被视为出口方，接收个人数据的一方应被视为进口方（如其中所定义）。

5. 总则

1. 如果任何数据保护法律被新的或修改后的数据保护法律所取代（包括相关法院或政府机构就此作出的任何决定或解释），则新的或修改后的数据保护法律应被视为纳入本数据保护附录，双方应立即开始遵守该等数据保护法律。
2. 如果本数据处理协议的条款与标准合同条款或英国补充协议（如适用）之间存在任何冲突或不一致之处，则以标准合同条款或英国补充协议（如适用）的条款为准。

标准合同条款附件一

1. 附件 1 是数据保护协议的一部分，其中列出了双方对各自在英国附加条款和/或标准合同条款下的义务所达成的解释。
2. 双方同意，为实现MIR与账户持有人之间的个人数据传输，应适用以下规定：
   
   1. 标准合同条款第7条将不适用。
   2. 监管机构应为英国信息专员办公室（如果纳入英国附录）或爱尔兰数据保护专员（如果仅纳入标准合同条款）。
   3. 当英国附加条款适用时，适用英格兰和威尔士的法律；当英国附加条款不适用时，适用爱尔兰的法律。
   4. 当英国附加条款适用时，双方选择英国法院作为其诉讼地和管辖法院；当英国附加条款不适用时，双方选择爱尔兰法院作为其诉讼地和管辖法院。
   5. 根据英国附加条款第 4 表，任何一方均可根据英国附加条款第 19 条终止协议。

各方身份识别

“数据导出器”：个人数据的传输者；

“数据导入器”个人数据的接收方

转账说明

数据主体

所处理的个人数据涉及以下几类数据主体（请具体说明）：

• ☐ MIR的员工
• ☐ MIR 的客户
• ☐ 账户持有人的最终用户
• ☐ 账户持有人的员工
• ☐ 账户持有人的客户
• ☐ 其他：________

个人数据类别

所传输的个人数据涉及以下几类数据（请具体说明）：

• ☐ 联系方式（姓名、年龄、性别、地址、电话号码、电子邮件地址等）
• ☐ 财务和支付数据（例如信用卡号、银行账户、交易记录）
• ☐ 政府颁发的身份证明文件（护照、驾驶执照）
• ☐ 设备标识符和互联网或电子网络活动（IP 地址、GAID/IDFA、浏览历史记录、时间戳）
• ☐ 地理位置信息
• ☐ 生物识别数据
• ☐ 其他：________

特殊类别数据（如适用）

所传输的个人数据涉及以下特殊类别的数据（请具体说明）：

• ☐ 无
• ☐ 基因或生物特征数据
• ☐ 健康数据
• ☐ 种族或民族出身
• ☐ 政治观点、宗教或哲学信仰
• ☐ 其他：________

转账频率：

• ☐ 一次性
• ☐ 连续
• ☐ 其他：________

处理的性质

• ☐ 收藏
• ☐ 录音
• ☐ 组织或结构
• ☐ 存储
• ☐ 适应或改变
• ☐ 检索
• ☐ 咨询
• ☐ 披露、传播或以其他方式提供
• ☐ 分析
• ☐ 抹除或销毁
• ☐ 其他：________
•  

转账目的及后续处理

• ☐ 提供、管理和运营 MBB 账户服务
• ☐ 其他：________

保留期限

个人数据将在协议期限内或根据适用法律的规定予以保留。

标准合同条款附件二——技术和组织措施，包括确保数据安全的技术和组织措施

本附件是数据保护协议的一部分，描述了数据导入者实施的技术和组织安全措施。

考虑到现有技术水平、实施成本、处理的性质、范围、背景和目的，以及对自然人权利和自由造成不同可能性和严重程度的风险，数据导入方应采取适当的技术和组织措施，以确保与风险相适应的安全级别，其中包括但不限于：

• 个人数据的匿名化和加密；
• 确保处理系统和服务持续保密性、完整性、可用性和弹性的能力；
• 在发生物理或技术事故时，能够及时恢复个人数据的可用性和访问权限；
• 定期测试、评估和评价确保处理安全性的技术和组织措施有效性的流程；
• 维护信息安全和数据隐私政策