MuchBetter 商务
数据保护附录

1.定义

本数据保护附录（“DPA”）中未定义的所有大写术语均具有协议中规定的含义。

1. 会员 指直接或间接控制、受控制或与一方受共同控制的任何个人或实体。就本定义而言，“控制”（包括与其含义相关的“控制”、“受控制”和“受共同控制”）指管理或指挥相关个人或实体事务的权力，无论是通过拥有投票权证券、通过合同还是其他方式。
2. 协议 指 MIR 与账户持有人之间的 MuchBetter 商业账户服务协议，其中涉及访问或以其他方式处理个人数据；
3. 批准的管辖区 指欧洲经济区成员国，或经欧盟委员会批准对数据具有充分法律保护的其他司法管辖区，或根据 2018 年《数据保护法》第 17A 条或 2018 年《数据保护法》附表 21 第 4 和 5 段发布的英国充分性法规（如适用）批准的其他司法管辖区；
4. 违规事件 指导致所传输、存储或以其他方式处理的个人数据被意外或非法破坏、丢失、更改、未经授权披露或访问的安全漏洞；
5. 数据保护法 指与数据隐私、数据安全和/或个人数据保护有关的任何和/或所有适用的国内外法律、规则、指令和法规，包括关于个人数据处理和电子通信领域隐私保护的《隐私和电子通信指令》2002/58/EC（以及各自的当地实施法律）（《隐私和电子通信指令》），包括对其的任何修订或替换，包括欧洲议会和理事会 2016 年 4 月 27 日颁布的 (EU) 2016/679 条例（“GDPR”），以及《2018 年数据保护法》和 GDPR，因为其根据《2018 年欧盟（退出）法》第 3 条（“英国 GDPR”）构成英格兰和威尔士、苏格兰和北爱尔兰法律的一部分。
6. 欧洲经济区 指欧洲经济区的成员国。
7. 米尔 指 MIR Limited UK Ltd，MuchBetter 商业账户服务提供商
8. 个人资料 “个人数据”是指任何关于或可与可识别个人相关的信息。它包括任何可与个人关联或用于直接或间接识别个人（自然人）的信息。无论来源如何，个人数据均应被视为机密信息。
9. 过程 指对个人数据执行的任何操作或操作集合，无论是否采用自动化方式，例如收集、记录、组织、存储、调整或修改、访问、检索、查阅、使用、通过传输、传播或以其他方式披露、对齐或组合、阻止、擦除或销毁。“流程”或“处理”应作相应解释。
10. 标准合同条款 或“SCC” 是根据欧洲议会和理事会自 2021 年 6 月 4 日起颁布的 (EU) 2016/679 条例，向第三国传输个人数据传输的标准合同条款的适用模块，可能会不时进行修订、取代或替换。
11. 英国附录 指标准合同条款的国际数据传输附录，于 2022 年 3 月 21 日生效。

2. 本数据保护法案的适用

1. 本 DPA 仅在满足以下所有条件的情况下适用：
   
   1. 任何一方处理另一方根据本协议提供的个人数据；
   2. 数据保护法适用于个人数据的处理。
2. 本 DPA 仅适用于双方在协议中同意的服务，并通过引用纳入 DPA。

3. 数据保护和隐私

1. 如果一方有权访问或以其他方式处理提供给另一方的个人数据，则该方应：
   
   1. 作为个人数据的独立控制者，并将根据协议和数据保护法确定处理的目的和方法。
   2. 仅根据数据保护法的要求处理个人数据，并根据数据保护法的要求，保留根据本协议进行的任何个人数据处理活动的所有准确书面记录。
   3. 在不减损前述条款的前提下，负责向数据主体提供数据保护法所要求的任何信息，并允许数据主体行使数据保护法所赋予的权利，且应向另一方提供合理的合作与协助，以履行前述条款及任何法律或监管义务；
   4. 实施并维护商业上合理且适当的物理、技术和组织安全措施，以保护个人数据免遭意外或非法破坏；意外丢失、更改、未经授权披露或访问传输、存储或以其他方式处理的个人数据，以及所有其他非法形式的处理；
   5. 根据数据保护法的要求，遵守向监管机构通知个人数据泄露的义务以及向数据主体沟通的义务；
   6. 在发现违约事件后，应立即且不迟于二十四 (24) 小时内通知另一方。
2. 最初从数据主体获取个人数据的一方应负责获取数据主体可能需要的任何同意（在每种情况下均需在遵守数据保护法所需的范围内），并在收集个人数据之前向数据主体提供信息（例如“隐私声明”或“隐私政策”），以遵守数据保护法。上述规定不得减损另一方在数据保护法下的责任（例如，在处理个人数据时向数据主体提供信息的要求）。
3. 各方可指定分包商，包括关联公司（“子处理者”）代表其处理个人数据，以履行其在本协议项下的义务和服务，但前提是：（i）该指定须与指定的子处理者达成书面协议，该协议包含在适用的情况下提供与本数据保护附录规定的个人数据同等保护的条款；（ii）各方应对其自己的子处理者的行为或疏忽承担责任，其责任范围应与本数据保护附录、本协议和数据保护法规定的自身行为或疏忽承担责任的范围相同。

4. 个人信息的转移

双方不得在经批准的管辖区以外处理或转移个人数据；

1. 如果一方希望在核准管辖区以外的其他管辖区处理个人数据或将个人数据转移到该管辖区，则该方应被视为签订 SCC（如适用）以及英国附录，在这种情况下：（i）英国附录和 SCC 通过引用纳入本文；（ii）披露个人数据的一方应被视为出口方，接收个人数据的一方应被视为进口方（这些术语的定义见本文）。

5. 一般规定

1. 如果任何数据保护法被新的或修改后的数据保护法（包括相关法院或政府机构做出的任何相关决定或解释）取代，则新的或修改后的数据保护法应被视为纳入本数据保护附录，双方应立即开始遵守此类数据保护法。
2. 如果本 DPA 的条款与标准合同条款或英国附录（如适用）之间存在任何冲突或不一致，则以标准合同条款或英国附录（如适用）的条款为准。

《标准合同准则》附件一

1. 附件 1 构成 DPA 的一部分，并列出了双方对其在英国附录和/或标准合同条款下的各自义务的一致解释。
2. 双方同意，为了在 MIR 和账户持有人之间传输个人数据，应适用以下规定：
   
   1. SCC 第 7 条不适用
   2. 如果英国附录被纳入，则监管机构应为英国信息专员办公室；如果仅纳入 SCC，则监管机构应为爱尔兰数据保护专员办公室。
   3. 当英国附录适用时，应适用英格兰和威尔士的法律；当英国附录不适用时，应适用爱尔兰的法律。
   4. 当英国附录适用时，双方选择英国法院作为其审理地点和管辖权；当英国附录不适用时，双方选择爱尔兰法院作为其审理地点和管辖权。
   5. 在英国附录表4中，任何一方均可根据英国附录第19条的规定终止本协议。

当事人身份识别

“数据导出器”：个人信息的传输者；

“数据导入器”：个人信息的接收者

转移描述

数据主体

处理的个人数据涉及以下类别的数据主体（请具体说明）：

• ☐ MIR 的员工
• ☐ MIR 的客户
• ☐ 账户持有人的最终用户
• ☐ 账户持有人的员工
• ☐ 账户持有人的客户
• ☐ 其他：________

个人数据的类别

所转移的个人数据涉及以下类别的数据（请具体说明）：

• ☐ 联系方式（姓名、年龄、性别、地址、电话号码、电子邮件地址等）
• ☐ 财务和支付数据（例如信用卡号、银行账户、交易）
• ☐ 政府身份证件（护照、驾照）
• ☐ 设备标识符和互联网或电子网络活动（IP 地址、GAID/IDFA、浏览历史记录、时间戳）
• ☐ 地理位置信息
• ☐ 生物特征数据
• ☐ 其他：________

特殊类别的数据（如适用）

所转移的个人数据涉及以下特殊类别的数据（请具体说明）：

• ☐ 无
• ☐ 遗传或生物特征数据
• ☐ 健康数据
• ☐ 种族或民族血统
• ☐ 政治观点、宗教或哲学信仰
• ☐ 其他：________

转移频率：

• ☐ 一次性
• ☐ 连续
• ☐ 其他：________

处理性质

• ☐ 收藏
• ☐ 录音
• ☐ 组织或结构
• ☐ 存储
• ☐ 改编或修改
• ☐ 检索
• ☐ 咨询
• ☐ 披露、传播或以其他方式提供
• ☐ 分析
• ☐ 删除或销毁
• ☐ 其他：________
•  

转移和进一步处理的目的

• ☐ 提供、管理和运营 MBB 账户服务
• ☐ 其他：________

保留期

个人数据将在协议期限内或根据适用法律保留。

SCC 附件二 – 技术和组织措施，包括确保数据安全的技术和组织措施

本附件构成 DPA 的一部分，描述了数据导入者实施的技术和组织安全措施。

考虑到现有技术水平、实施成本、处理的性质、范围、背景和目的，以及对自然人权利和自由的不同可能性和严重程度的风险，数据导入方应实施适当的技术和组织措施，以确保与风险相适应的安全级别，包括但不限于：

• 个人数据的假名化和加密；
• 确保处理系统和服务的持续机密性、完整性、可用性和弹性的能力；
• 在发生物理或技术事故时及时恢复个人数据的可用性和访问权限的能力；
• 定期测试、评估和评价确保处理安全的技术和组织措施的有效性的流程；以及
• 信息安全和数据隐私政策的维护