数据处理协议

协议背景及身份定义

（A）客户指已与Xnurta 签订合同的公司或个人（各自为“一方”，统称为“双方”），根据合同约定，Xnurta 将为客户提供相关服务。本数据处理协议（Data Processing Agreement,简称DPA）将作为合同的一部分，自合同签署之日起生效。

（B）如果Xnurta 代表客户处理与Xnurta 产品/服务有关的任何客户的个人数据，双方将同意按照本DPA条款执行。

1. 定义

1.1 本 DPA 中术语定义如下：

“关联公司”是指直接或间接拥有或控制、由一方拥有或控制、或与一方共同拥有或控制，并且是本协议受益人的实体;

“适用的数据保护法”是指与个人数据的隐私、保密性或安全性有关的所有适用法律、法规和政府要求，这些法律、法规和政府要求可能会不时修订或更新;

“附录”是指英国信息委员会根据 2018 年数据保护法 S119A（1） 发布并于 2022 年 2 月 2 日提交给英国议会的模板附录 B.1.0 版，可能会根据强制性条款中第 18 条进行修订;

“客户个人数据”是指Xnurta 代表客户或客户关联公司处理的与Xnurta 所提供服务有关的个人数据;

“EEA”是指欧洲经济区;

“GDPR”是指法规 （EU） 2016/679（“EU GDPR”）或《2018 年数据保护法》第 3 节中定义的“英国 GDPR”;

「强制性条款」指已批准的附录的「第2部分：强制性条款」;

“成员国”是指欧洲经济区的成员国，即欧盟、冰岛、挪威或列支敦士登的成员国;

“个人数据”是指与已识别或可识别的个人或设备有关的任何信息，或者其他“个人数据”、“个人信息”、“个人身份信息”和类似术语，并且此类术语的含义应与适用的数据保护法定义相同;

“安全事件”是指导致意外或非法破坏、丢失、更改、未经授权披露或未经授权访问客户个人数据的安全漏洞;

“标准合同条款”或“SCC”是指委员会实施决定 （EU） 2021/914 所附标准合同条款的模块二（从控制者到处理者）或模块三（从处理者到处理者）;

“分处理者”是指 Xnurta 关联公司和Xnurta 指定处理客户个人数据的第三方;

“美国数据保护法”是指，在美国生效的与数据保护、个人数据处理、隐私或数据保护有关的联邦和州法律。

1.2 术语“控制者”、“处理者”、“数据主体”、“流程”、“监管机构”、“销售”和“服务提供商”应与响应的数据保护法中规定的含义相同。

2. 与协议的互动

2.1 本 DPA 作为客户个人数据协议的补充，并将在出现相关争议时充当优先参照条款。

2.2 对于客户的关联公司，通过签订协议，客户保证其代表关联公司签订 本DPA，并且根据第 2.3 条，每个客户的关联公司同样受本 DPA 条款的约束。

2.3 客户保证，Xnurta 代表其根据本DPA正式授权（a）客户关联公司将执行本DPA的条款，并代表客户关联公司管理和处理与本DPA有关的任何索赔;（b） 代表客户关联公司接收和回复本 DPA 项下的任何通知或通信。

2.4 双方同意，Xnurta 向客户发送的任何通知时，应履行向客户关联公司发送此类通知的义务。

3. 当事人角色

3.1 双方承认并同意：

（a） 就GDPR而言，Xnurta 充当“处理者”或“分处理者”。Xnurta 作为处理者或分处理者的功能将由客户的功能决定：

（i） 通常情况下，客户方为控制者，而 Xnurta 为处理者。

（ii） 某些情况下，如果客户和客户的用户就如何处理用户的个人数据签订了数据处理协议，则客户代表其用户充当处理者;

（b）一般情况下，Xnurta 将作为“服务提供商”或“处理者”履行其在本协议下的义务。

4. 数据处理细节

4.1 数据处理细节（例如主题、性质和目的、个人数据类别和数据主体）见本协议附表 1。

4.2 Xnurta 将仅代表客户并根据客户的指示在遵守相应的数据保护法下进行处理，合同和本 DPA 应作为客户处理其个人数据的指示。此外，客户还可以根据本 DPA 提出进一步的书面要求。

4.3 如果客户的数据处理要求将导致Xnurta 违反现行的数据保护法，或超出协议要求或DPA的范围，Xnurta 应立即通知客户，除非有相关法律禁止Xnurta 此类通知行为。

4.4 Xnurta 有权在遵守本DPA第5条前提下，在其或相关分处理者维护设施的任何地方存储和处理客户个人数据。

5. 分处理者

5.1 客户授予Xnurta 根据条款5.2选择和使用分处理者，我们将在官方网站 dtc.xnurta.com 发布更新分处理者名单列表。

5.2 Xnurta 应（i）与每个分处理方签订书面协议，在适用该分处理方提供的服务范围内，对客户个人数据的保护不低于Xnurta 在本DPA下的义务;以及 （ii） 对每个分处理方遵守本 DPA 规定的义务负责。

5.3 Xnurta 应至少提前15天通知客户，告知其用于处理客户个人数据的分处理者的任何变更（包括分处理者的新增或替换）。客户可以反对Xnurta 使用新的分处理者，可通过在Xnurta 向客户发送变更通知后10天内提供书面反对通知实现。如果客户反对Xnurta 使用新的分处理商，双方将共同努力找到可接受的解决方案。如果双方无法在合理的时间内达成一致，作为补救措施，任何一方都可以通过向另一方提供书面通知来终止本协议。在此类异议期内，Xnurta 可以暂停受影响的服务部分。

6. 数据主体权利请求

6.1 客户应自行决定并有责任回应任何个人就客户个人数据主张的权利。

6.2 Xnurta 将毫不拖延地将Xnurta 或任何分处理者收到的客户个人数据主体的请求转发给客户，并会建议该个人直接向客户提交请求。

6.3 考虑到客户个人数据处理的性质，Xnurta 将在合理的范围内为客户提供自助服务功能，以履行现行的数据保护法中的义务，用以响应数据主体的请求。Xnurta 可能会就此类超出产品/服务功能的额外服务向客户收取费用。

7. 安全和审计

7.1 为了确保客户个人数据的安全，Xnurta 将通过适当的技术进行数据保护和安全措施的执行，包括但不限于防止未经授权或非法的数据处理行为（包括但不限于，未经授权或非法披露，访问或更改客户个人数据）以及意外丢失，破坏或损坏。

7.2 Xnurta 将实施并将附表2中的条款作为最低标准。Xnurta 保留更新，修改附表2中条款的权利，前提是此类更新或修改不会降低Xnurta 根据本DPA对客户个人数据提供的整体保护水平。

7.3 客户或其被Xnurta 接受的独立第三方审计师（不具备资质或独立性或Xnurta 竞品的审计师除外）可以每年最多一次就Xnurta 履行本DPA中的义务进行审核，在发生安全事件或相应数据保护法律范围内，可适当增加频次，包括客户监管或政府机构要求的情况。

7.4 要申请审计，客户必须在拟议审计日期前至少两周向Xnurta 提交详细的拟议审计计划。Xnurta 将审查拟议的审计计划，并与客户沟通后就最终审计计划达成一致。所有此类审核必须在正常工作时间内进行，且须遵守商定的最终审核计划和 Xnurta 的安全或其他相关政策，不得不合理地干扰Xnurta 的业务活动。本第7.4条中的任何内容均不得要求Xnurta 违反任何保密义务。

7.5 如果要求的审核范围在ISO 27001认证，SOC 2 Type 2报告或由合格的第三方审核员在客户审核请求后的12个月内执行的类似审核报告中得到解决，并且Xnurta 确认审核的控制不存在已知重大变化，则客户同意接受报告，而不是要求对报告涵盖的相关内容进行审核。

7.6客户应立即通知Xnurta 在审计过程中发现的任何不合规情况，并向Xnurta 提供相关的审计报告，除非相关法律禁止或监管机构/政府机构另有指示。客户只能将审计报告用于满足自身的监管需求，并确认符合本 DPA 的要求。

7.7 任何审计费用均由客户承担。客户应就Xnurta 或其分处理者在此类审计中的投入进行补偿。

7.8 Xnurta 有义务定期审核其分处理者，并将根据客户的要求确认其遵守数据保护法以及数据处理协议中明确其应该承担的义务。客户可以在合理范围内要求Xnurta 进行进一步的审计。

7.9 客户承认并同意，考虑到现有技术、实施成本和处理的性质、范围、背景和目的，以及自然人权利和自由的不同可能性和严重程度的风险，附表 2 中规定的安全措施适用于确保客户个人数据的安全。

8. 安全事件

如果违反本DPA，现行的数据保护法或客户根据本DPA提出的任何书面指示，Xnurta 将立即以书面形式通知客户。此外，Xnurta 有义务在意识到任何安全隐患后以书面形式通知客户，并合理配合此类安全事件的调查以及客户根据相关法律条款向个人，监管机构，政府或其他监管机构发出通知的义务， 或向公众披露。Xnurta 应采取合理措施遏制，调查和减轻任何安全隐患，并应及时向客户发送有关安全事件的信息，包括但不限于安全事件的性质，采取的措施以及调查状态。Xnurta 根据第8条进行通知或回应，不代表Xnurta 承认与安全隐患有关的任何过错或责任。

9. 删除和退回

（a）如果客户在协议终止或到期之日提出要求，则Xnurta 应退还所有客户个人数据的副本或提供自助服务功能;（b）在协议终止或到期后的90天内，Xnurta 应删除其或任何分处理者处理的所有客户个人数据副本。

10. 合同期限

本DPA将于合同签署之日生效，即使合同终止，本协议仍将有效，直到Xnurta 删除本DPA中所述的所有客户个人数据。

11. 标准合同条款

双方同意标准合同条款模块二（从控制者到处理者）和模块三（从处理者到处理者）的条款，如本 DPA 附表 3 中所述，特此引用，并应被视为已由双方执行，并适用于从客户（作为数据输出者）到 Xnurta （作为数据输入者）的任何 GDPR 范围内的客户个人数据传输。

12. 支持跨境数据传输

为使客户能够遵守有关向第三国传输个人数据的要求，例如涉及位于欧洲经济区，瑞士和英国的数据主体，Xnurta 将为客户提供合理的支持。Xnurta 将根据要求，向客户提供进行传输影响评估（Transfer Impact Assessment，简称“TIA”）所需的合理信息。Xnurta 进一步同意实施本DPA附表4中的补充措施，以使客户能够遵守向第三国传输个人数据的要求。Xnurta 有权对在客户进行TIA、数据保护影响评估或与监管机构协商过程中给予的任何协助收取费用。

13. 受英国和瑞士数据保护法约束的客户个人数据

如果客户个人数据的处理受英国或瑞士数据保护法的约束，则参照附表 5。

14. 受美国数据隐私法约束的客户个人数据

如果客户个人数据的处理受美国保护法的约束，则参照附表6。

15. 通用条款

15.1 双方特此声明，了解并遵守本 DPA 中的条款。

15.2 本 DPA 和合同规定了双方就数据处理达成的完整协议。

─────────────────

附表1 处理细节

第一部分 缔约方名单

1. 数据输出方

客户或客户关联公司在欧洲经济区内、英国、瑞士运营，或位于任何国家或地区的客户或客户关联公司双方同意遵守 GDPR 或相应的瑞士法律。

在处理个人数据之前，客户和客户关联公司的信息，包含联系人职位，联系方式，数据保护官（如果有），相关代表的联系方式，应发送至Xnurta 指定的邮箱 inquiries@xnurta.com ，或通过Xnurta 的在线表单中提供。

该条款下的数据传输活动由本协议和数据输出方根据附表1中服务条款的个人数据处理范围决定。

2. 数据输入方

公司：上海弋关网络科技有限公司 Xnurta Inc.

地址：中国，上海市长宁区愚园路1107号，创邑SPACE 4 楼

电话：+86（21）54651237

可以通过邮箱 inquiries@xnurta.com 与数据输入方联系。

数据输入方该条款下与数据传输相关的活动如下：数据输入方代表数据输出方处理数据输出方提供的数据，该数据仅指数据输入方向数据输出方提供服务有关的个人数据，如附表 1 和协议中所述。

第二部分 传输说明

1. 数据主体的类别

个人数据被传输的主体类别：客户和客户关联公司的员工，以及客户的客户及其员工，以及营销活动的个人接收者，成为客户或客户关联公司或其客户的营销活动目标的其他个人。

2. 个人数据的类型

传输的个人数据类型包括： 根据客户的服务设置，可能包括姓名、电话号码、邮箱、地址、IP、设备、数据使用信息（例如用户在 Xnurta 系统、网站或电子邮件，使用的浏览器、使用的操作系统、跳转链接上的操作）。

此外，客户和客户关联公司可能会根据本协议使用数据主体的更多个人数据。

3. 特殊类型个人数据

以下个人数据不适用

1）Xnurta 的用户使用守则中明确禁止客户发送，展示，存储，处理，传输的数据；

2）涉及风险的应用限制或措施，例如有严格目的限制、访问限制、保留访问数据的记录、对转发或其他安全措施限制的个人数据。

4. 传输频次

数据传输是连续进行的，具体由客户的服务设置决定。

5. 处理的主题和性质

数据处理的主题为，为客户邮件营销自动化平台及数据分析，追踪。

6. 数据传输和进一步处理的目的

数据传输和进一步处理的目的是，根据合同向客户提供服务，以便客户增强其客户关系并向客户发送营销内容。

7. 持续时间

个人数据的保留期限，参考本 DPA 第 10 条。

8. 分处理者

对于向分处理方的数据传输，需要明确数据处理的主题、性质和持续时间：参考 DPA 第 5.1 条，分处理者可以在本DPA期限内访问个人数据，或者直到与相应分处理者的服务合同终止，或根据Xnurta 与客户之间的约定排除某分处理者的访问。

第三部分 主管监督机关

根据SCC第13条确定主管监管机构

如果数据输出方是在欧盟成员国设立的：数据输出方监督机关为所在国家/地区的主管当局。

如果数据输出方不是在欧盟成员国成立的，但根据GDPR第3（2）条属于GDPR的适用地域范围，并且根据GDPR第27（1）条任命了相应的代表，则主管监管机构是该代表成员国的成立地。

如果数据输出方不是在欧盟成员国成立的，但根据GDPR第3（2）条属于GDPR的适用领土范围，但无需根据GDPR第27（2）条指定代表，则主管机构是爱尔兰的监管机构，即数据保护委员会（https://www.dataprotection.ie/）。

─────────────────

附表2 技术和组织措施

Xnurta 已通过以下技术和措施（包括相关认证），来保障安全等级，同时考虑到数据处理的性质，范围，背景和目的，以及自然人的权利和自由的风险：

1. 组织管理层和专职人员负责Xnurta 信息安全计划的开发，实施和维护。

2.审计和风险评估程序，用于定期审查和评估Xnurta 的风险，监控Xnurta 对相关政策和法律程序的遵守情况，并向内部高级管理层报告其信息安全和合规性状况。

3. 对客户个人数据使用商用和行业标准的加密技术，即：

（a）由Xnurta 通过公共网络（即互联网）传输或无线传输;

（b） 存储在便携式或可移动介质（即笔记本电脑、CD/DVD、USB 驱动器、备份磁带）上。

4. 数据安全控制，包括但不限于数据的逻辑隔离、旨在根据权限级别和工作职能对数据和系统电子访问的控制（例如，仅对每位访问者所必需的信息开放访问权限，为所有用户使用唯一的 ID 和密码， 定期审查，并在雇佣关系终止或工作职能发生变化时立即撤销/修改访问权限）。

5. 管理和控制密码强度、已过期和使用中的密码管理，包括禁止用户共享密码，并要求分配给员工的 Xnurta 账户密码：（i） 长度至少为8个字符，（ii） 不得以可读格式存储在 Xnurta 的系统上;（iii） 必须符合对密码复杂性的要求;（iv） 必须具有历史记录，以防止重复使用密码;（v） 新颁发的密码必须在首次使用后更改。

6. 系统审计或事件记录及相关监控程序主动记录用户访问和系统活动，以供日常审查。

7. 数据中心、服务器机房设施和其他包含个人数据的物理和环境安全，旨在：（i） 保护信息资产免受未经授权的物理访问，（ii） 管理、监控和记录人员进出 Xnurta 的设施，以及 （iii） 防止环境危害，如高温、火和水。

8. 操作程序和控制措施，采用行业标准配置、监控和维护技术和信息系统，以保障所有信息或数据在最终处置或从 Xnurta 释放之前不可被破译或恢复。

9. 变更管理程序和追踪机制，目的在于测试、批准和监控 Xnurta 技术和信息资产的变更。

10. 事件/问题管理程序，目的在于允许Xnurta 调查，响应，通知与Xnurta 的技术和信息资产相关的事件。

11. 网络安全控制，提供防火墙系统、入侵检测系统以及其他流量和事件关联程序，以保护系统免受入侵并限制任何攻击成功的范围。

12. 漏洞评估、补丁管理和威胁防护技术以及计划监控程序，旨在识别、评估和防范已识别的安全威胁、病毒和恶意代码。

13. 业务弹性/连续性和灾难恢复程序，用于保障服务稳定性或从紧急情况/灾难中恢复。

─────────────────

附表3 标准合同条款

就标准合同条款而言：

1. 模块二适用于 DPA 第 3.1（a）（i） 条的处理，模块三应适用于DPA 第 3.1（a）（ii） 条进行处理的情况。

2. 标准合同条款第 7 条不适用。

3. 选择第 9（a） 条选项 2（书面授权），时间期限在 本DPA 第 5.3 条中确定。

4. 标准合同条款（独立争议解决机构）第 11（a） 条中的选项不适用。

5. 关于标准合同条款（管辖法律）第 17 条，双方同意适用选项一。双方同意管辖法律应为爱尔兰共和国法律。

6. 在标准合同条款（法院和管辖权的选择）第 18 条中，双方服从爱尔兰共和国法院的管辖。

7. 就标准合同条款附件 I 而言，附表 1 包含有关双方、转让说明和主管监管机构的规范。

8. 就标准合同条款附件 II 而言，附表 2 包含技术和组织措施。

9. 标准合同条款附件 III 的规范由 DPA 第 5.1 条确定。Xnurta 将根据要求提供分处理方联系人的姓名，职位和联系方式。

─────────────────

附表4 补充措施

Xnurta 进一步承诺根据欧盟监管机构提供的指导实施补充措施，以加强对与第三国处理相关的客户个人数据的保护，如本附表4所述。

1. 附加技术措施

1.1 个人数据使用强加密进行传输（双方之间和Xnurta 在数据中心之间以及与分处理方的传输往来）。

1.2 静态个人数据由Xnurta 使用强加密存储

2. 其他组织措施

2.1 数据传输的内部治理政策，特别是企业组织间的传输

（a） 通过内部政策，明确数据传输的责任、汇报渠道，以及建立当局正式或非正式要求的查阅数据的标准程序。

（b） 为负责管理公共当局查阅个人数据请求的人员制定具体培训计划，这些计划应定期更新，以适应第三国和欧洲经济区新的立法和判例发展。

2.2 透明度和问责制

在法律允许的情形内，定期发布有关政府访问数据请求的透明度报告或摘要以及提供的答复类型。

2.3 组织内数据最佳实践措施

双方制定和实施最佳实践，以及时地让各自的数据保护官（如果有）以及法律和内部审计部门就个人数据传输的国际传输事宜提供信息。

2.4 其他

Xnurta 采用并定期审查内部政策，以评估所实施的补充措施可用性，并在必要时确定和实施其他或替代解决方案，以确保与EEA保护水平相当的个人数据传输保护。

3. 附加合同措施

3.1 透明度义务

（a）Xnurta 声明（1）没有故意创建可用于访问系统或个人数据的任何程序，（2）没有故意创建或更改其业务流程，以促进访问个人数据或系统

（b） Xnurta 将定期验证为TIA问卷提供的信息的有效性，并在发生任何更改时立即通知客户。SCC 的第 14（e） 条不受影响。

3.2 采取具体行动的义务

如果有任何命令披露或授予对个人数据的访问权限，Xnurta 承诺通知请求当局该命令与GDPR第46条传输工具中包含的保护措施不兼容，以及由此产生的Xnurta 义务相冲突。

3.3 授权数据主体行使其权利

（a）Xnurta 承诺如因违反其所包含的承诺而披露传输的个人数据使数据主体遭受任何物质和非物质损失，将给予合理的赔偿。

（b）针对上述规定，在数据主体已经收到同等赔偿时，Xnurta 没有义务进行再次补偿。

（c） 赔偿仅限于GDPR规定的物质和非物质损害，不包括间接损害和所有其他非因Xnurta 违反GDPR而造成的损害。

4. 公共当局提出的其他要求或访问权限

4.1 Xnurta 应及时通知客户：

（a） 执法部门或其他政府机构（即公共当局）提出的披露客户共享的个人数据;此类通知应包括所请求的个人数据类型、请求当局、请求的法律依据和答复信息。通知应在响应请求披露前进行。

（b）如果意识到公共当局根据目的地国家/地区的法律直接访问以传输个人数据，则此类通知应包括Xnurta 可获得的所有信息。

（c）如果Xnurta 被禁止通知客户和/或数据主体，Xnurta 同意尽最大努力获得禁令的豁免，以期尽快传达尽可能多的信息。Xnurta 同意尽其最大努力，以便能够根据数据输出者的要求提供服务。

4.2 Xnurta 同意根据目的地国的法律审查公共当局请求的合法性，特别是它是否在授予请求的公共当局的管辖范围内，如果经过评估，Xnurta 认为目的地国法律有理由这样做，则将尽全力质疑请求。这包括根据美国海外情报监视法院第702条或第12333号行政命令提出的请求。在对请求提出质疑时，Xnurta 应寻求临时措施，以期在法院就案情作出裁决之前暂停请求。Xnurta 不得披露或提供对所请求的个人数据的访问，除非根据适用的程序规则要求这样做，并且应仅提供遵守请求所需的最少信息。

4.3 Xnurta 同意在协议有效期内保留遵守本附表4所需的信息，除非相关法律禁止，否则应将其提供给主管监管机构。

─────────────────

附表5 英国和瑞士附录

1. 英国附录

关于从客户（作为数据输出方）向Xnurta （作为数据输入方）传输属于英国GDPR范围内的客户个人数据的任何传输：

1.1 本附表 5 中进一步规定的批准附录应构成本 DPA 的一部分，根据强制性条款第 12 条，标准合同条款应根据批准附录的规定进行阅读和解释。

1.2 根据经批准的附录表1，并根据强制性条款第17条，双方在本DPA的附表1第1部分中进一步指定。

1.3 根据经批准的附录表2确定的选定模块和条款在本DPA的附表3中进一步规定，并经强制性条款修订。

1.4 批准附录表3的附件1 A和B由本DPA的附表1指定，批准附录的附件II由本DPA的附表2进一步指定，批准附录的附件III由本DPA的附表1条款B.10进一步指定。

1.5 Xnurta （作为数据输入方）可以根据强制性条款的第19条，在批准的附录适用的范围内终止本DPA。

1.6 强制性条款第16条不适用。

2. 瑞士附录

根据 DPA 第 13 条的规定，此瑞士附录适用于受瑞士数据保护法或同时受瑞士数据保护法和 GDPR 约束的客户个人数据的任何处理。

2.1 本附录的解释

（a） 如果本附录使用标准合同条款中定义的术语，如本 DPA 附表 3 中进一步规定的术语，则这些术语的含义应与标准合同条款中的含义相同。此外，以下术语具有以下含义：

（i） “本附录”是指此条款的附录。

（ii） “条款”是指本 DPA 附表 3 中进一步规定的标准合同条款。

（iii） “瑞士数据保护法”是指 1992 年 6 月 19 日的《瑞士联邦数据保护法》和 1993 年 6 月 14 日《瑞士联邦数据保护法》的瑞士条例，以及这些法律可能会生效的任何新版本或修订版本。

（b） 本附录应根据瑞士数据保护法的规定进行阅读和解释，根据 GDPR 第 46 条或瑞士数据保护法第 6 条第 （2） 款第 （a） 项提供适当的保护措施。

（c） 本附录的解释不得与瑞士数据保护法规定的权利和义务相冲突。

（d） 凡提及立法（或立法的具体规定）是指可能随时间变化的立法（或具体规定）。这包括在本附录生效后合并、重新颁布或替换该立法（或特定条款）的情况。

2.2 层次结构

如果本附录与双方之间商定的条款或其他相关协议的规定之间存在冲突或不一致，则以为数据主体提供最大保护的条款为准。

2.3 条款的纳入

（a） 对于受瑞士数据保护法或同时受瑞士数据保护法和 GDPR 约束的任何个人数据处理，本附录修订了 DPA，包括本 DPA 附表 3 中进一步规定的内容，以使其运作：

（i） 对于数据输出方向数据输入方进行的传输，只要瑞士数据保护法和 GDPR 适用于数据输出方在进行传输时的处理;以及

（ii） 根据 GDPR 第 46 条或瑞士数据保护法第 6（2）（a） 条（视情况而定）为传输提供适当的保障。

（b） 在个人数据的任何处理完全受瑞士数据保护法约束的范围内，本数据保护法附表 3 中进一步规定和本瑞士附录第 2.1 条要求的 DPA 修订（包括 SCC）包括（但不限于）：

（i） 对“条款”或“SCC”的引用是指修订SCC的瑞士附录，以及

（ii） 第6条 传输说明改为：

“传输的详细信息，特别是传输的个人数据类别和传输目的，是本 DPA 附表 1 中指定的内容，其中瑞士数据保护法适用于数据输出方在进行传输时的处理。”

（iii） 对“法规 （EU） 2016/679”或“GDPR”的引用将替换为“瑞士数据保护法”，对“法规 （EU） 2016/679”或“GDPR”的特定条款的引用将替换为适用的瑞士数据保护法的同等条款或章节。

（iv） 删除对法规 （EU） 2018/1725 的引用。

（五） “欧洲联盟”、“欧盟”、“欧盟”和“欧盟成员国”均改为“瑞士”。

（六） 不使用附件一第13（a）条和C部分;“主管监管机构”是联邦数据保护和信息专员（“FDPIC”），只要传输受瑞士数据保护法管辖;

（七） 将第17条改为：

“只要传输受瑞士数据保护法管辖，这些条款受瑞士法律管辖”。

（八） 将第18条改为：

“与瑞士数据保护法有关的这些条款引起的任何争议应由瑞士法院解决。数据主体还可以向其惯常居住地所在的瑞士法院对数据输出方和/或数据输入方提起法律诉讼。双方同意服从这些法院的管辖。

在修订后的瑞士数据保护法生效之前，本条款还应保护法人实体的个人数据，法人实体应根据本条款获得与自然人相同的保护。

2.4 在个人数据的任何处理均受瑞士数据保护法和 GDPR 约束的范围内，DPA 将 （i） 按原样和 （ii） 此外，在传输受瑞士数据保护法约束的范围内适用，经本瑞士附录第 2.1 条和第 2.3 条修订， 唯一的例外是，SCC 的第 17 条不得按照本瑞士附录第 2.3（b）（vii） 条的规定被替换。

2.5 客户保证其或客户关联公司已根据瑞士数据保护法的要求向FDPIC发出任何通知。

─────────────────

附表6 美国附录

根据 DPA 第 14 条的规定，本美国附录适用于受美国数据保护法约束的客户个人数据的任何处理。

根据美国数据保护法的要求，Xnurta 被禁止：

（a） 出售客户个人数据或以其他方式向任何第三方提供客户个人数据以用于金钱或其他有价值的考虑;

（b） 与任何第三方共享客户个人数据以进行跨行为广告;

（c） 出于本协议规定的商业目的或美国数据保护法允许以外的任何目的保留、使用或披露客户个人数据;

（d） 在双方直接业务关系之外保留、使用或披露客户个人数据;以及

（e）除非美国数据保护法另有允许，否则将客户个人数据与Xnurta 从或代表他人收到的个人数据相结合，或从其与数据主体的互动中收集的个人数据相结合。