数据安全及个人信息保护承诺

更新时间:2019-07-09
本承诺书由使用TalkingData产品和服务的一方(“买方”)以及北京腾云天下科技有限公司及其关联方(“服务商”)共同做出,作为双方合作的条款和条件的组成部分。服务商致力于数据安全和个人信息保护,服务商向买方提供服务的前提是买方同意接受并执行服务商的隐私政策中的要求和做法以及有良好的数据安全和保护能力和责任承担能力。买方在购买和接受服务商服务的过程中,亦应对数据安全及个人信息保护负有一定的义务,双方共同做出本承诺。

1. 定义

1.1 “数据”:指服务商向买方提供的以数字、文字、图形、图标、视频、软件、数据库等任何形式提供的信息,和/或买方可根据合作协议访问的数据报告或展示数据,包括但不限于服务商数据库中的个性化用户标签或画像信息,与买方的产品及品牌相关的信息、及由服务商提供的任何其他数据或信息。1.2 “个人信息”:指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。1.3 “个人敏感信息”:指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)儿童的个人信息等。1.4 “隐私保护规定”:指与个人信息的安全和保护有关的任何管辖地域适用法律、法规、条例、标准以及政府监管部门的指南,规范及这些隐私保护规定的修改、更新或重新颁布版本。1.5 “个人信息安全事件“:指导致意外或非法销毁、丢失、更改、未经授权披露或访问传输、存储或另行处理的个人信息的安全违规行为。1.6 “个人信息主体”、“处理”、“控制”及其他概念表达的含义与《GB/T 35273—2017信息安全技术 个人信息安全规范》中赋予它们的含义保持一致。

2. 原则与内容

2.1 买方与服务商应具有良好的组织安全管理能力,采取数据安全保护、检测和和相应等措施,防止数据丢失、毁损、泄露和篡改,确保数据安全。2.2 买方与服务商均应负有对其控制或处理的个人信息保护义务,采取个人信息安全保护技术和保护措施,避免个人信息安全事件,切实保护个人权益。2.3 买方在服务要求中如涉及个人敏感数据的,买方有义务向服务商进行明确的披露和提示。2.4 买方与服务商承诺,对于任何一方收到的来自个人信息主体的权利主张以及拟采取处理措施向对方进行通报,并有权要求另一方按照隐私保护规定采取必要措施进行配合。2.5 买方与服务商须建立各自安全应急响应机制,对服务履行中相关数据已发生或潜在安全问题,特别是个人信息安全事件,通过邮件、传真或其他书面方式向对方进行通报。2.6 应服务商的合理要求,买方应采取任何措施协助服务商遵从隐私保护规定或与其他方签订的协议中适用的服务项下数据的安全、数据违规通知和沟通、数据保护影响评估、事前协商、可归责的义务或其它义务。

3. 责任和赔偿

3.1 买方与服务商承诺,对其各自控制下的数据安全及个人信息保护负有保护义务。如因一方的故意或过失,发生数据安全或个人信息安全事件而导致政府监管部门的处罚、个人信息主体的索赔以及其他形式的成本支出或损害,均由过错方负责。3.2 若一方(“违约方”)违反本承诺,则另一方有权要求违约方在指定的合理期限内以费用自担的方式纠正其与法定要求或本承诺不符的行为。情节严重或未能采取合理救济措施的,另一方可终止合作。

4. 其他

4.1 买方和服务商均应对其员工在履行合作中的数据安全和个人信息保护行为做出制度约束和承担主体责任。4.2 本承诺在买方和服务商合作中一直有效,并作为合作协议的有效组成部分,有效期同合作期。4.3 如本承诺的任何条款与适用法律法规相冲突而无效时,应视为该条款从本承诺中剥离而不影响其他条款的效力。买方及服务商将在法律法规的适用范围内确定各自的责任和义务。