SCC2021-控制器到处理器

1. 这些标准合同条款的目的是确保在向第三国传输个人数据时，遵守欧洲议会和欧盟理事会 2016 年 4 月 27 日关于在处理个人数据时保护自然人以及个人数据自由流动的第 2016/679 号条例（欧盟）（《通用数据保护条例》）(1) 的要求。
2. 缔约方：(1) 附件 I.A 所列的转让个人数据的自然人或法人、公共当局、机构或其他团体(下称 “实体”)(下称 “数据出口方”)，以及(2) 直接或间接通过同为本条款缔约方的另一实体从数据出口方接收个人数据的第三国实体。(2)附件 I.A 所列第三国实体（以下称 “数据输出方”）直接或间接通过同为本 条款缔约方的另一实体（以下称 “数据输入方”）从数据输出方接收个人数据，并同意本 标准合同条款（以下称 “条款”）。
3. 本条款适用于附件 I.B 所规定的个人数据的传输。
4. 本条款的附录包含其中提及的附件，构成本条款的组成部分。

第 2 条条款的效力和不变性

1. 本条款根据（欧盟）第 2016/679 号法规第 46(1)条和第 46(2)(c)条规定了适当的保障措施，包括可强制执行的数据主体权利和有效的法律补救措施，并根据（欧盟）第 2016/679 号法规第 28(7)条规定了从控制者向处理者和/或处理者向处理者的数据传输的标准合同条款，但不得对其进行修改，选择适当的模块或添加或更新附录中的信息除外。
   这并不妨碍双方将这些条款中规定的标准合同条款纳入更广泛的合同和/或增加其他条款或额外的保障措施，只要它们不直接或间接与这些条款相抵触或损害数据主体的基本权利或自由。
2. 本条款不影响数据输出方根据（欧盟）2016/679 号法规应承担的义务。

第 3 条第三方受益人

1. Data subjects may invoke and enforce these Clauses, as third-party beneficiaries, against the data exporter and/or data importer, with the following exceptions:(i) Clause 1, Clause 2, Clause 3, Clause 6, Clause 7; (ii) Clause 8 – Module One: Clause 8.5 (e) and Clause 8.9(b); Module Two: Clause 8.1(b), 8.9(a), (c), (d) and (e); Module Three:模块三：第 8.1(a)、(c)和(d)条以及第 8.9(a)、(c)、(d)、(e)、(f)和(g)条； 模块四：(iii) 第 9 條 – 單元二：第 9(a)、 (c)、 (d)及 (e)條； 單元三：第 9(a)、 (c)、 (d)及 (e)條； (iv) 第 12 條 – 單元一：第 12(a)及 (d)條； 單元二及三：(v) 第 13 條； (vi) 第 15.1(c)、(d)及(e)條； (vii) 第 16(e)條； (viii) 第 18 條 – 單元一、二及三：第 18(a)及(b)條； 單元四：草案第 18 條
2. 第(a)段不影响第 2016/679 号条例（欧盟）规定的数据主体的权利。

第 4 条釋義 釋義 釋義 釋義

1. 本条款中使用的术语如在（欧盟）2016/679 号条例中有所定义，则这些术语应具有与该条例中相同的含义。
2. 本条款应根据（欧盟）2016/679 号条例的规定进行解读和解释。
3. 本条款的解释不得与法规 (EU) 2016/679 中规定的权利和义务相冲突。

第5 条优先权如果本条款与双方之间的相关协议条款之间存在矛盾，则以本条款为准。第 6 条转让 说明转让的详情，特别是转让的个人资料类别和转让目的，见附件 I.B。

1. 非本条款缔约方的实体，经缔约方同意，可随时作为数据出口方或数据进口方，通过填写附录和签署附件 I.A 加入本条款。
2. 一旦完成附录并签署附件 I.A，加入实体将成为本条款的缔约方，并根据其在附件 I.A 中的指定享有数据出口方或数据进口方的权利和义务。
3. 加入实体在成为缔约方之前不享有本条款规定的权利，也不承担本条款规定的义务。

第8条数据保护保障措施数据输出方保证，它已尽合理努力确定数据输入方通过实施适当的技术和组织措施能够履行本条款规定的义务。8.1 说明

1. 数据输入方只能根据数据输出方的书面指示处理个人数据。
   数据输出方可在整个合同期内发出此类指示。
2. 如果数据输入方无法遵守这些指示，应立即通知数据输出方。

8.2 目的限制資料輸入方僅可為附件 I.B 所列的特定轉移目的處理個人資料，除非 資料輸出方有進一步指示。8.3 透明度如資料當事人提出要求，資料出口方須免費向其提供本條款的副本，包括雙方填寫的附錄。
在保护商业秘密或其他机密信息（包括附件 II 中描述的措施）和个人数据的必要范围内，数据输出方可在共享副本前编辑本条款附录的部分文本，但在数据主体无法理解其内容或行使其权利的情况下，应提供有意义的摘要。
如資料當事人提出要求，締約雙方應盡可能在不公開經刪節的資訊的情況下，向資料當事人提供刪節的理由。
本条款不影响数据输出方在第 2016/679 号法规（欧盟）第 13 和 14 条下的义务。8.4 准确性如果数据导入方意识到其收到的个人数据不准确或已过时，应及时通知数据导出方。
在此情况下，数据输入方应与数据输出方合作删除或更正数据。
8.5 数据处理的期限以及数据的删除或归还数据输入方的数据处理仅应在附件 I.B 规定的期限内进行。在处理服务提供结束后，数据输入方应根据数据输出方的选择，删除代表数据输出方处理的所有个人数据，并向数据输出方证明其已这样做，或将代表数据输出方处理的所有个人数据归还给数据输出方，并删除现有副本。
在数据被删除或归还之前，数据输入方应继续确保遵守本条款。
如果适用于数据导入方的当地法律禁止退回或删除个人数据，数据导入方保证将继续确保遵守本条款，并仅在当地法律要求的范围和期限内处理数据。
这并不影响第 14 条的规定，特别是第 14(e)条规定的数据输入方在有理由相信数据输出方受制于或已受制于不符合第 14(a)条规定的法律或惯例时，应在整个合同期内通知数据输出方的要求。 8.6 处理的安全性

1. 数据输入方以及在数据传输过程中，数据输出方应采取适当的技术和组织措施，确保数据的安全，包括防止因违反安全规定而导致数据被意外或非法破坏、丢失、篡改、未经授权披露或访问（下称 “个人数据泄露”）。
   在评估适当的安全级别时，双方应适当考虑技术水平、实施成本、处理的性质、范 围、背景和目的以及处理过程中对数据主体造成的风险。
   双方应特别考虑采用加密或假名化的方式，包括在传输过程中，只要这样做可以达到处理 的目的。
   在假名化的情况下，在可能的情况下，将个人数据归属于特定数据主体的附加信息应由数据输出方全权控制。
   在遵守本款规定的义务时，数据输入者至少应执行附件 II 中规定的技术和组织措施。
   数据输入者应进行定期检查，以确保这些措施继续提供适当水平的安全。
2. 数据输入方仅在执行、管理和监督合同所严格需要的范围内允许其工作人员访问个人数据。
   它应确保被授权处理个人资料的人员已承诺保密或负有适当的法定保密义务。
3. 如資料輸入者根據本條款處理的個人資料外洩，資料輸入者須採 取適當措施處理外洩事件，包括減輕不利影響的措施。
   資料輸入者在知悉資料外洩事故後，亦應毫不拖延地通知資料輸出者。
   该通知应包含可获取更多信息的联络点的详细资料、对信息外泄性质的描述（在可能的情况下，包括有关数据主体和个人数据记录的类别和大致数量）、其可能造成的后果以及为解决信息外泄问题而采取或建议采取的措施，包括在适当情况下为减轻其可能造成的不利影响而采取的措施。
   在不可能同时提供所有信息的情况下，首次通知应包含当时可获得的信息，随后在获得进一步信息时应及时提供，不得无故拖延。
4. 数据导入者应与数据导出者合作并提供协助，使数据导出者能够遵守第 2016/679 号法规（欧盟）规定的义务，特别是通知主管监督机构和受影响的数据主体，同时考虑到处理的性质和数据导入者可获得的信息。

8.7 敏感数据如果转让涉及揭示种族或民族血统、政治观点、宗教或哲学信仰或工会会员身份的个 人数据、基因数据或用于唯一识别自然人的生物鉴别数据、有关健康或一个人的性生 活或性取向的数据，或与刑事定罪和犯罪有关的数据（下称 “敏感数据”），数据输 入者应适用附件 I.B 所述的具体限制和/或附加保障措施。
8.8 向前转让资料输入者只能根据资料输出者的书面指示向第三方披露个人资料。
此外，数据只能披露给欧盟 (4) 以外的第三方（与数据导入方在同一国家或另一第三国，下称 “向前转让”），条件是该第三方根据适当模块受本条款约束或同意受本条款约束，或者在以下情况下： – 数据导入方在欧盟 (5) 以外的第三方（与数据导入方在同一国家或另一第三国，下称 “向后转让”）：

• (i) 向前转移的对象是受益于根据（欧盟）第 2016/679 号条例第 45 条做出的适足性决定的国家，该决定涵盖向前转移；

• (ii) 第三方根据（欧盟）2016/679 号法规第 46 或 47 条的规定，确保对相关处理采取适当的保障措施；

• (iii) 为了在具体的行政、监管或司法程序中确立、行使或捍卫法律主张，有必要进行转 移；或

(iv) 为了保护数据当事人或其他自然人的重要利益，有必要进行转发。

数据输入方必须遵守本条款规定的所有其他保障措施，尤其是目的限制。 8.9 文件编制与合规

1. 数据输入方应及时、充分地处理数据输出方提出的与根据本条款进行的处理有关的询问。
2. 双方应能证明遵守了这些条款。
   特别是，数据输入方应保存有关代表数据输出方进行的处理活动的适当文件。
3. 数据进口商应向数据出口商提供所有必要信息，以证明其遵守了本条款规定的义务，并应数据出口商的要求，允许并协助在合理的时间间隔内或在有不遵守迹象时对本条款所涵盖的处理活动进行审核。
   在决定审查或审计时，数据出口方可考虑数据进口方持有的相关证书。
4. 数据出口方可选择自行或委托独立审计员进行审计。
   审计可包括对数据进口商的场所或实体设施进行检查，并应酌情在合理通知的情况下进行。
5. 缔约方应将第(a)和(b)款中所提及的信息提供给联合国教科文组织。
   (b)和
   (c) 段中提及的信息，包括任何审计的结果，应要求提供给主管监督机构。

第 9 条次级处理者的使用

1. 方案 1：事先特别授权 未经数据出口方事先特别书面授权，数据进口方不得将根据本条款代表数据出口方进行的任何处理活动分包给子处理方。
   数据输入方应至少在聘用子处理方之前 提交具体授权请求，并提供必要信息，以便数据输出方就授权作出决定。
   已获数据出口方授权的子处理方名单见附件 III。
   双方应不断更新附件 III：方案 2：一般书面授权 数据进口方获得数据出口方的一般授权，可以从商定的名单中聘用子处理方。
   数据进口方应至少提前 以书面形式明确告知数据出口方通过增加或更换子处理方对该清单进行的任何预期变更，从而使数据出口方有足够的时间在聘用子处理方之前对此类变更提出异议。
   数据导入者应向数据输出者提供必要信息，以便数据输出者行使其反对权。
2. 如資料輸入者（代表資料輸出者）聘請次處理者進行具體處理活動，須以書面合約進行，而該合約須在實質上規定與本條款下對資料輸入者具約束力的相同資料保障義務，包括資料當事人的第三方受益權。
   (8) 双方同意，通过遵守本条款，数据输入方履行了其在第 8.8 条下的义务。
   数据输入方应确保子处理方遵守数据输入方根据本条款应承担的义务。
3. 如資料輸入者（代表資料輸出者）聘請次處理者進行具體處理活動，須以書面合約進行，而該合約須在實質上規定與本條款下對資料輸入者具約束力的相同資料保障義務，包括資料當事人的第三方受益權。
   (8) 双方同意，通过遵守本条款，数据输入方履行了其在第 8.8 条下的义务。
   数据输入方应确保子处理方遵守数据输入方根据本条款应承担的义务。
4. 数据进口商应继续对数据出口商全面负责，履行其与数据进口商签订的合同规定的次级处理商的义务。
   如果子处理商未能履行合同规定的义务，数据进口商应通知数据出口商。
5. 数据输入方应与子处理方约定第三方受益人条款，根据该条款，如果数据输入方已实际消失、在法律上不复存在或已破产，数据输出方有权终止子处理方合同并指示子处理方删除或归还个人数据。

第 10 条资料当事人的权利

1. 数据导入者应立即将其收到的数据主体的任何请求通知数据导出者。
   除非数据输出方授权，否则数据输入方不得自行回应该请求。
2. 数据进口方应协助数据出口方履行其义务，回应数据主体关于行使其在第 2016/679 号条例（欧盟）下的权利的请求。
   为此，双方应在附件 II 中列出适当的技术和组织措施，同时考虑到处理的性质、提供援助的方式以及所需援助的范围和程度。
3. 在履行
   (a)和
   (b) 款规定的义务时，数据输入者应遵守数据输出者的指示。

第 11 條补偿

1. 数据导入者应通过个别通知或在其网站上以透明和易于获取的方式告知数据主体一个有权处理投诉的联络点。方案：数据导入者同意数据主体也可向独立的争议解决机构(11)提出投诉而无需数据主体支付任何费用。它应按第(a)款规定的方式告知数据主体该补救机制，并告知他们不必使用该机 制，也不必按特定顺序寻求补救。］
2. 如果数据主体与其中一方在遵守本条款方面发生争议，该方应尽最大努力及时友好地解 决问题。
   双方应随时相互通报此类争议，并在适当情况下合作解决争议。
3. 当数据主体根据第 3 条援引第三方受益权时，数据输入方应接受数据主体的决定：(i) 向其惯常居住地或工作地所在成员国的监管机构或根据第 13 条向主管监管机构提出申诉；(ii) 根据第 18 条将争议提交主管法院。
4. 双方同意，根据第 2016/679 号法规（欧盟）第 80(1)条规定的条件，数据主体可由非营利机构、组织或协会代表。
5. 数据导入者应遵守根据适用的欧盟或成员国法律具有约束力的决定。
6. 数据导入者同意，数据主体做出的选择不会损害其根据适用法律寻求补救的实质性和程序性权利。

第 12 条责任

1. 每一方应对因违反这些条款而给另一方/各实体造成的任何损失负责。
2. 对于数据导入者或其子处理者违反本条款规定的第三方受益人权利给数据主体造成的任何物质或非物质损害，数据导入者应向数据主体负责，数据主体有权获得赔偿。
3. 尽管有第(b)款的规定，对于数据出口方或数据进口方(或其子处理方)因违反本条款规定的第三方受益人权利而给数据主体造成的任何实质性或非实质性损害，数据出口方应对数据主体负责，且数据主体有权获得赔偿。
   这不影响数据输出者的责任，以及在数据输出者是代表控制者行事的处理者的情况下，不影响控制者根据（欧盟）第 2016/679 号条例或（欧盟）第 2018/1725 号条例（如适用）应承担的责任。
4. 双方同意，如果数据输出方根据第(c)款对数据输入方（或其分包商）造成的损害承担责任，则有权向数据输入方索回与数据输入方对损害所负责任相对应的那部分赔偿金。
5. 如果因违反这些条款而对数据当事人造成的任何损害由多于一方负责，则所有责任方均应承担连带责任，且数据当事人有权向法院起诉其中任何一方。
6. 双方同意，如果一方根据第(e)款的规定被认定负有责任，则有权向另一方/其余各 方索回与其对损害所负责任相应的那部分赔偿金。
7. 数据导入者不得援引子处理者的行为来规避自己的责任。

第 13 条监 督

1. [Where the data exporter is established in an EU Member State:] 如附件 I.C 所示，负责确保数据输出方在数据传输方面遵守第 2016/679 号法规（欧盟）的监管机构应作为主管监管机构。 [如果数据出口商未在欧盟成员国设立，但根据第 3(2)条属于第 2016/679 号条例（欧盟）的领土适用范围，并已根据第 2016/679 号条例（欧盟）第 27(1)条任命了一名代表：]如附件 I.C 所示，《2016/679 号条例》（欧盟）第 27(1)条意义上的代表所在成员国的监督机构应作为主管监督机构行事。 [如果数据出口商未在欧盟成员国设立，但根据第 3(2)条属于第 2016/679 号条例（欧盟）的适用领土范围，则无需根据第 2016/679 号条例（欧盟）第 27(2)条指定代表：]如附件 I.C 所示，其个人数据根据本条款被转移以向其提供商品或服务或其行为受到监控的数据主体所在的成员国之一的监管机构应作为主管监管机构。
2. 数据输入方同意在任何旨在确保遵守本条款的程序中接受主管监管机构的管辖并与之合作。
   特别是，数据导入者同意回应查询、接受审计并遵守监管机构采取的措施，包括补救和补偿措施。
   它应向监管机构提供已采取必要行动的书面确认。

第 III 部分–地方法律和公共当局进入时的义务第 14 条影响遵守本条款的当地法律和惯例

1. 双方保证没有理由认为，目的地第三国适用于数据输入方处理个人数据的法律和惯例，包括任何披露个人数据的要求或授权公共当局查阅的措施，会妨碍数据输入方履行本条款规定的义务。
   这是基于这样一种理解，即尊重基本权利和自由的本质，且不超出民主社会为保障第 2016/679 号法规（欧盟）第 23(1)条所列目标之一所必需且相称的法律和惯例，与本条款并不矛盾。
2. 各方声明，在提供第(a)段中的保证时，它们特别适当考虑了以下因素：(i) 转让的具体情况，包括处理链的长度、参与方的数量和使用的传输渠道；打算进 行的后续转让；接收方的类型；处理的目的；转让的个人数据的类别和格式；转 让发生的经济部门；转让数据的存储地点；(ii) 目的地第三国的法律和惯例–包括要求向公共当局披露数据或授权公共当局查阅数据的法律和惯例–与转让的具体情况相关，以及适用的限制和保障措施(12)； (iii) 为补充本条款规定的保障措施而制定的任何相关合同、技术或组织保障措施，包括在传输过程中和在目的地国处理个人数据时适用的措施。
3. 数据进口方保证，在根据(b)段进行评估时，已尽最大努力向数据出口方提供相关信息，并同意将继续与数据出口方合作，以确保遵守本条款。
4. 双方同意将第(b)款规定的评估记录在案，并应要求提供给主管监督机构。
5. 如果数据进口方在同意本条款后以及在合同期内有理由认为其正在或已经受到不符合(a)段要求的法律或惯例的约束，包括在第三国法律发生变化或有措施（如披露要求）表明此类法律在实践中的适用不符合(a)段的要求后，数据进口方同意立即通知数据出口方。
6. 根据第(e)款发出通知后，或如果数据出口方有理由相信数据进口方不能再履行本条款规定的义务，数据出口方应迅速确定数据出口方和/或数据进口方为应对这种情况而采取的适当措施（如确保安全和保密的技术或组织措施）。如果数据输出方认为无法确保对数据传输采取适当的保障措施，或在主管监督机构的指示下，数据输出方应暂停数据传输。在这种情况下，数据输出方有权终止合同，只要合同涉及本条款规定的个人数据处理。如果合同涉及两方以上，除非双方另有约定，否则数据输出方仅可对相关方行使终止权。根据本条款终止合同时，应适用第 16 条(d)和(e)款。

第 15 条公共机构查阅时数据输入者的义务15.1 通知

1. 資料輸入方同意在下列情況下迅速通知資料輸出方，並在可能的情況下通知資料當事人（如有必要，在資料輸出方的協助下進行）： (i) 收到公共機關（包括司法機關）根據目的地國法律提出的具有法律約束力的要求，要求披露根據本條款轉移的個人資料；該通知應包括有關資料當事人的資訊(i) 收到公共机构（包括司法机构）根据目的地国法律提出的具有法律约束力的请求，要求披露根据本条款转让的个人数据；此类通知应包括有关请求的个人数据、请求机构、请求的法律依据和所提供答复的信息；或 (ii) 意识到公共机构根据目的地国法律直接获取根据本条款转让的个人数据；此类通知应包括进口商可获得的所有信息。[模块三：数据出口方应将通知转发给控制方]。
2. 如果目的地国法律禁止数据进口方通知数据出口方和/或数据主体，数据进口方同意尽最大努力争取免除禁令，以便尽快传达尽可能多的信息。
   数据导入者同意将其最大努力记录在案，以便在数据导出者提出要求时加以证明。
3. 在目的地国法律允许的情况下，数据进口方同意在合同期内定期向数据出口方提供尽 可能多的相关信息，说明所收到的请求（特别是请求的数量、请求的数据类型、提出请求 的机构、请求是否受到质疑以及质疑的结果等）。
4. 数据输入方同意在合同期内保存(a)至(c)段所述信息，并应要求提供给主管监督机构。
5. (a)至(c)段不影響資料輸入方根據第 14(e)條及第 16 條在無法遵守本條款時迅速通知資料輸出方的義務。

15.2 审查合法性和数据最小化

1. 数据导入者同意审查披露请求的合法性，特别是它是否仍在授予提出请求的公共当局的权力范围之内，并在仔细评估后得出结论，认为根据目的地国的法律、国际法规定的适用义务和国际礼让原则，有合理的理由认为该请求不合法时，对该请求提出质疑。
   数据进口方应在同等条件下寻求上诉的可能性。
   在对请求提出质疑时，数据进口方应寻求临时措施，以在主管司法当局就请求的是非曲直作出裁决之前，暂缓该请求的效力。
   在适用的程序规则要求披露之前，不得披露所要求的个人数据。
   这些要求不影响第 14(e)条规定的数据输入者的义务。
2. 数据进口商同意将其法律评估和对披露请求的任何质疑记录在案，并在目的地国法律允许的范围内，将文件提供给数据出口商。
   还应根据要求向主管监督机构提供。
   [模块三：数据输出方应向控制方提供评估结果]。
3. 数据导入者同意在回应披露请求时，根据对请求的合理解释，提供允许的最低信息量。

第 IV 节 – 最后条款第 16 条不遵守条款和终止条款

1. 如果数据输入方因任何原因无法遵守这些条款，应立即通知数据输出方。
2. 如果数据输入方违反本条款或无法遵守本条款，数据输出方应暂停向数据输入方传输个人数据，直至再次确保遵守本条款或终止合同。
   这不影响第 14(f)条的规定。
3. 在以下情况下，数据输出方有权终止合同，只要合同涉及根据本条款处理个人数据：(i) 数据输出方已根据第(b)段暂停向数据输入方传输个人数据，且在合理时间内（无论如何在暂停后一个月内）未恢复遵守本条款；(ii) 数据输入方严重或持续违反本条款；或(iii) 数据输入方未能遵守主管法院或监督机构就本条款规定的义务作出的具有约束力的决定。在此情况下，数据输入方应向主管监督机构[模块三：和控制方]通报此类违规行为。如果合同涉及两方以上，除非双方另有约定，否则数据输出方只能对相关方行使终止权。
4. 根据第(c)款在合同终止前已转让的个人数据，应根据数据输出方的选择立即归还给数据输出方或全部删除。这同样适用于任何数据副本。］[模块四：数据输出方在欧盟收集的个人数据，如在合同终止前已根据第(c)款转让，应立即全部删除，包括任何副本。］数据输入方应向数据输出方证明数据已被删除。在数据删除或归还之前，数据输入方应继续确保遵守本条款。如果适用于数据导入方的当地法律禁止退回或删除所转移的个人数据，则数据导入方保证将继续确保遵守本条款，并仅在当地法律要求的范围和期限内处理数据。
5. 在以下情况下，任何一方均可撤销其受本条款约束的协议
   (i) 欧盟委员会根据 (EU) 2016/679 号法规第 45(3)条通过一项决定，涉及本条款适用的个人数据传输；或
   (ii) (EU) 2016/679 号条例成为个人数据传输目的地国家法律框架的一部分。
   这并不影响根据（欧盟）2016/679 号条例适用于相关处理的其他义务。

条款 17 管辖法律本条款应受欧盟成员国法律管辖，前提是该法律允许第三方受益权。
双方同意以德国法律为准。第 18 条诉讼地和管辖权的 选择

1. 因本条款产生的任何争议应由欧盟成员国法院解决。
2. 双方同意这些法院应为德国法院。
3. 数据当事人还可在其惯常居住地所在的成员国法院对数据输出方和/或数据输入方提起法律诉讼。
4. 双方同意接受这些法院的管辖。