数据处理附录（客户）

最后更新：2023 年 12 月 20 日

概述

本数据处理附录（包括其附录）（以下简称 "DPADPA"）适用于向订购表中所列客户（"客户"）提供的任何服务。客户OPSWAT "）提供的任何服务。OPSWAT"）作为处理方或子处理方为客户（"客户"）提供的任何服务，并在此范围内处理个人数据。

客户和OPSWAT 在本协议中被称为 "一方"。方"合称"双方".

本 DPA 补充并纳入双方之间的任何协议，包括但不限于OPSWAT的标准条款和条件、OPSWAT的专业服务条款和条件、OPSWAT的网络安全评估服务条款或其他销售、许可或类似协议（如适用）（以下简称"协议"），并将在协议期内继续有效。

在不限制前述规定的一般性的前提下，本 DPA 规定的处理主题、性质和目的是为了提供协议规定的服务，个人数据类别和数据主体类别是提供协议规定的服务所必需的。

本 DPA 自 DPA 生效之日起生效并取代之前适用的任何数据处理和安全条款。

1.定义

在本 DPA 中，以下术语具有如下含义。在本 DPA 中使用但未定义的术语应具有协议中规定的含义。

"关联方就各方而言，"关联方 "是指控制方、受控方或与控制方处于共同控制之下的实体。

"汇总数据"是指通过删除个人信息或其他信息进行匿名化处理，使数据无法归属于特定个人或客户的统计、基准、措施和其他信息或数据（使用商业上合理的努力或根据适用法律的要求）。

"适用法律"指适用的国家、联邦、州和地方法律、法规、指导方针、法院或政府机构命令和规章。

"审计报告"是指 ISO 27001、SSAE 16 SOC II 或由合格第三方审计员执行的类似审计报告。

"控制权控制 "是指实际拥有一个实体百分之五十（50%）以上的投票权或股权。

"客户个人数据客户个人数据 "是指与受数据保护法保护的已识别或可识别自然人有关的信息，这些信息由客户提供或提供给OPSWAT ，或由OPSWAT 以其他方式代表客户处理，在每种情况下，与根据协议提供服务有关或作为协议的一部分，直至协议终止。

"数据控制方关联公司"指未与OPSWAT 签订自己的订购单或协议的客户关联公司，这些实体：(a) 受数据保护法的管辖；(b) 根据协议获准使用服务。

"数据保护法规"指适用于本协议项下客户个人数据处理的适用法律，包括但不限于欧洲经济区和/或成员国（如 GDPR）、英国和瑞士的法律（在所有情况下，经修订、取代或替换）。

"数据主体"指与客户个人数据相关的个人。

"欧洲经济区"指欧洲经济区。

"GDPR"指欧盟《通用数据保护条例》（General Data Protection Regulation EU 2016/679）。

"信息安全事件指违反安全规定，导致OPSWAT所拥有、保管或控制的客户个人数据意外或非法损毁或意外丢失、更改、未经授权披露或访问。"信息安全事件 "不包括不损害客户个人数据安全的不成功尝试或活动，包括不成功的登录尝试、ping、端口扫描、拒绝服务攻击以及对防火墙或网络系统的其他网络攻击。

"订购单 "系指注册或订购文件。

"处理处理 "是指对客户个人数据进行的任何操作或一系列操作，包括收集、记录、组织、构建、存储、改编或更改、检索、咨询、使用、通过传输、传播或以其他方式提供进行披露、排列或组合、限制或删除客户个人数据。处理"、"处理 "和 "处理过的 "等术语将据此解释。

"SCC"指欧盟委员会 2021 年 6 月 4 日关于根据欧洲议会和欧盟理事会条例 (EU) 2016/679 向第三国传输个人数据的标准合同条款的决定 (EU) 2021/914，可随时修订、重述或取代。

"安全措施"指OPSWAT 为保护客户个人数据而采取的技术和组织措施，详见第 5.1 节（OPSWAT的安全措施）。

"服务"在协议中定义，此外还指OPSWAT 根据协议向客户提供的服务和/或产品，详见订购单。

"分处理方 "指OPSWAT 以外的第三方，由OPSWAT 根据本 DPA 雇用和授权处理与服务相关的客户个人数据。

"期限"应具有第 2 节所述含义。

2.和平协议》的期限

本 DPA 将在协议生效时生效，并在协议终止时自动失效。

3.数据处理

3.1 处理范围；客户指示；OPSWAT 遵守客户指示。通过签订本 DPA，客户指示OPSWAT 仅根据数据保护法规处理客户个人数据。OPSWAT 仅根据客户的以下指示处理客户个人数据：(a) 提供服务；(b) 协议（包括本 DPA）授权；以及 (c) 客户提供的其他书面指示中记录的且OPSWAT 书面确认构成本 DPA 目的的指示，除非适用法律另有要求。附录 1（处理详情）中描述了处理的主题和详情。

3.2 客户的责任。客户声明并保证：(a) 客户已根据数据保护法获得任何必要的授权、同意和许可，以便OPSWAT根据本 DPA 条款处理客户个人数据（包括向OPSWAT 转移或提供访问客户个人数据的权限）；以及 (b) 客户有关处理客户个人数据的指示、决定和行动应遵守适用法律，包括数据保护法。如果客户无法遵守本第 3.2 条（客户责任），客户应及时通知OPSWAT 。

3.3 分析。 OPSWAT 可出于各种目的收集、开发、创建、提取、编译、综合、分析、使用、商业化或与第三方共享汇总数据，包括：(i) 维护、改进、营销和推广我们的服务；(ii) 识别、了解和预测性能和安全问题及其影响因素；(iii) 向我们的客户提供更新、增强功能和个性化体验；以及 (iv) 研究和开发新产品和服务。为避免疑义，汇总数据不包括客户个人数据或任何可识别客户身份的信息。

4.删除或返回数据。

在本 DPA 的有效终止日期，或应客户的书面请求，OPSWAT 应根据适用法律，在合理可行的情况下尽快从OPSWAT的系统中删除、允许客户访问、更正或归还客户个人数据（包括现有副本），除非适用法律要求或允许OPSWAT 保留客户个人数据（例如，适用法律可能允许OPSWAT 保留以电子方式存储在数据存档或备份系统中的客户个人数据副本）。

5.数据安全。

5.1OPSWAT的安全措施。 OPSWAT 应实施并维护合理适当的安全措施，以保护附录 2（安全措施）中所述的客户个人数据。OPSWAT 可随时更新或修改安全措施，前提是此类更新和修改不会严重降低服务的整体安全性。

5.2OPSWAT 员工的安全合规性。 OPSWAT 将仅允许员工、独立承包商、OPSWAT 关联公司和次级处理商访问客户个人数据，这些人员在其工作范围内需要访问客户个人数据，且其保密义务不低于OPSWAT在本协议中的保密义务。

5.3 信息安全事件

5.3.1 信息安全事件通知。如果OPSWAT 意识到信息安全事件，OPSWAT 将(a) 在意识到信息安全事件后，根据第 13 节（通知）的规定，无不当延迟地将信息安全事件通知客户；并且 (b) 采取合理措施，查明此类信息安全事件的原因，最大限度地减少伤害，并防止再次发生。除适用法律要求的范围外，未经客户事先书面同意，OPSWAT 不得向第三方发出明确指出客户的信息安全事件的任何通知，但经批准的分包商、执法部门、保险理算机构和OPSWAT的信息安全事件响应服务提供商除外。

5.3.2 通知。客户应自行负责遵守适用于客户的事件通知法律，并履行与任何信息安全事件相关的第三方通知义务（例如，GDPR 第 33 和 34 条）。在这种情况下，OPSWAT 将为客户提供合理的协助。

5.3.3OPSWAT 不承认过失。 OPSWAT根据本第 5.3 节（信息安全事件）对信息安全事件的通知或响应不应被解释为OPSWAT 承认对信息安全事件的任何过失或责任。

5.4 客户的安全责任和评估。

5.4.1 客户的安全责任。客户同意，在不影响OPSWAT第 5.1 节（OPSWAT的安全措施）和第 5.3 节（信息安全事件）规定的义务的情况下，客户有责任确保信息安全：

(a) 客户对其服务的使用负全部责任，包括

(i) 适当使用服务，确保客户个人数据的安全级别与风险相适应；

(ii) 确保客户用于访问服务的账户验证凭据、系统和设备的安全；

(iii) 确保客户系统和OPSWAT 用于提供服务的设备的安全；以及

(iv) 备份客户个人资料。

(b)OPSWAT 没有义务保护客户选择在OPSWAT及其子处理商系统之外存储或传输的客户个人数据（例如，离线或内部存储）。

5.4.2 客户安全评估。

(a) 客户自行负责审查和评估服务、安全措施和OPSWAT在本第 5 条（数据安全）下的承诺是否满足客户的需求，包括客户在数据保护立法下的任何安全义务。

(b) 客户承认并同意（考虑到行业标准、实施成本、处理客户个人数据的性质、范围、背景和目的以及对数据主体的风险），附录 2（OPSWAT的安全措施）所载由OPSWAT 实施和维护的安全措施提供了与客户个人数据风险相称的安全级别。

5.5 合规审查。审计报告可应客户的书面要求提供给客户，但须遵守本协议规定的保密义务。

6.资料当事人的权利

6.1 客户对数据主体请求的责任。如果OPSWAT 收到数据主体关于客户个人数据的任何请求，在适用法律允许的范围内，OPSWAT 将立即通知客户任何此类请求。客户将负责回复任何此类请求。

6.2OPSWAT的数据主体请求协助。 OPSWAT 将（考虑到处理客户个人数据的性质）向客户提供必要的合理协助，以便客户履行其在数据保护立法下的义务，回应数据主体请求。客户应按OPSWAT当时的专业服务收费标准向OPSWAT 补偿与此类协助相关的任何费用或成本。

7.数据传输

OPSWAT 根据下文第 8 条的规定，OPSWAT 、其关联公司或其次级处理商可在任何地方存储和处理客户个人数据。对于受欧洲经济区、瑞士和英国数据保护立法管辖的客户个人数据的国际转移，应适用附录 3 第 1.10 和/或 1.11 节的条款。

8.分处理器

客户授权OPSWAT 聘用其关联公司和其他第三方作为子处理商。OPSWAT的子处理程序列表可在https://www.opswat.com/legal/subprocessors上获取，客户可通过 RSS 订阅该列表的更新。如果客户签署了 SCC 或其他类似协议，则客户签署这些协议即构成客户事先书面授权OPSWAT 分包处理客户个人数据（如果 SCC 或其他类似协议要求此类授权）。OPSWAT 应对分包给其子处理方的所有义务以及子处理方的所有行为和疏忽负责。

9.数据控制者附属机构

9.1 关系和沟通。通过签署本 DPA，客户承认并同意，客户代表其自身，并在适用的数据保护法规要求的范围内，以其数据控制方关联公司的名义并代表其签署本 DPA，只要OPSWAT 处理的客户个人数据的数据控制方关联公司有资格成为控制方，从而在OPSWAT 和每个数据控制方关联公司之间建立 DPA，并遵守本协议和本 DPA 的规定。客户同意确保每个数据控制方关联公司同意接受本 DPA 义务的约束。但是，数据控制方关联公司不是也不会成为本协议的一方，而只是本 DPA 的一方。数据控制方关联公司对服务的所有访问和使用都必须遵守本协议，数据控制方关联公司违反本协议的任何行为都应视为客户违约。作为本协议签约方的客户应继续负责协调根据本 DPA 与OPSWAT 进行的所有通信，并有权代表其数据控制方关联公司进行和接收与本 DPA 有关的任何通信。

9.2 数据控制方关联公司的权利。如果数据控制方关联公司成为OPSWAT 的 DPA 的一方，其应仅在数据保护立法要求的范围内这样做。除非数据保护立法明确要求数据控制方关联公司直接向OPSWAT 行使本 DPA 规定的权利或寻求补救，否则双方同意：(a) 作为本协议订约方的客户应拥有代表数据控制方关联公司行使任何此类权利或寻求任何此类补救的唯一权利；以及 (b) 作为本协议订约方的客户应在数据保护立法未禁止的范围内，为其所有数据控制方关联公司共同行使本 DPA 规定的任何此类权利。

10.审计权

根据客户的书面要求，OPSWAT 应向客户提供其最新审计报告的副本，该副本应作为OPSWAT的机密信息遵守本协议的保密规定。OPSWAT 还应对客户向其提交的任何书面审计问题做出答复，但客户每年行使此项权利的次数不得超过一次。

11.针对具体司法管辖区的条款

如果OPSWAT 处理来自附录 3 所列司法管辖区的个人数据，则相应条款将适用于此类处理。

12.责任上限

除非适用法律禁止，否则任何一方及其关联公司（包括数据控制方关联公司）对另一方及其关联公司的合并总责任（无论是合同、侵权行为还是任何其他责任理论），根据本协议、本 DPA 和 SCC（如果签订）或与之相关的责任，将限于双方在协议中商定的责任限制或其他责任上限。OPSWAT 对于客户及其所有数据控制方关联公司因本协议或任何 DPA 而提出的所有索赔，OPSWAT Affiliates 的全部责任应合计适用于本协议和所有 DPA 下的所有索赔，不应理解为单独和个别适用于客户或作为任何此类 DPA 合同方的任何数据控制方关联公司。

13.通知

一方要求或允许发出的通知可 (a) 根据本协议的通知条款发出；(b) 发送至一方与另一方的主要联系人；和/或 (c) 发送至客户提供的任何电子邮件，以便向其提供与服务相关的通信或警报。客户应自行负责确保其电子邮件的时效性和有效性。所有通知的副本应通过电子邮件发送至Legal@opswat.com。

14.本条款的效力

除本 DPA 所做的更改外，本协议和/或与服务相关的任何其他协议保持不变并具有完全效力。如果协议与本 DPA 之间存在冲突，则应以本 DPA 的规定为准。如果本 DPA 与 SCC 之间存在冲突，则 SCC 的规定应控制并管辖 SCC 的主题事项。

15.准据法

本 DPA 受与协议相同的司法管辖区的法律管辖，除非数据保护立法要求本 DPA 受另一司法管辖区的法律管辖。

附录1

处理细节


主题	OPSWAT向客户提供本协议中详述的服务。
处理期限	期限加上自 DPA 有效终止日期起至OPSWAT 根据 DPA 删除所有客户个人数据为止的期间。
个人资料的类型	客户员工、独立承包商或服务授权用户的身份和联系信息（如姓名、职务、公司地址、公司电话、公司电子邮件）；客户在服务上的购买和使用历史数据；信息技术（"IT"）相关数据（如OPSWAT网站访问者的 IP 地址、在线导航数据、浏览器类型、语言偏好、像素数据、cookies 数据、网络信标数据、日志文件）；以及在提供服务期间提交扫描或提供给OPSWAT 的任何文件、电子邮件或其他数据的内容和元数据
处理的性质和目的	OPSWAT 将根据协议和 DPA 处理客户个人数据，以便向客户提供服务。
特殊类别的个人数据	双方之间不会交换任何特殊类别的个人数据。
数据对象	授权使用服务的客户及其关联公司的雇员或独立承包商。

有关OPSWAT 如何处理客户个人数据的更多详情，请参阅我们的隐私政策：https://www.opswat.com/legal/privacy-policy.

附录2

安全措施

OPSWAT 在处理客户个人数据时采取了以下安全措施：

1. 实体访问控制。

OPSWAT 采取旨在防止未经授权人员进入处理客户个人数据的数据处理系统的措施，如使用保安人员、安全建筑和数据中心场所。

2. 系统访问控制。

除其他控制措施外，还可根据订购的特定服务采取以下措施：通过密码和/或双因素验证进行身份验证、记录授权流程、记录变更管理流程以及记录多个级别的访问。对于OPSWAT 托管的服务环境：(i) 记录OPSWAT 员工和子处理程序对服务环境的登录；(ii) 限制对数据中心的逻辑访问，并通过防火墙/VLAN 和路由规则加以保护；(iii) 使用入侵检测系统、集中记录和警报以及防火墙。OPSWAT 根据每个系统的安全策略管理作为服务软件开发一部分的每个系统。这些政策由OPSWAT 风险所有者批准，并由资产所有者管理。例如，独立承包商不得访问构建系统。

3. 传输控制。

除非服务另有规定（包括订购单、工作说明书或协议中提及的适用服务规范），服务环境外的数据传输均已加密。OPSWAT 维护适当的网络安全计划，包括对客户个人数据进行加密。客户可对某些服务进行配置，以允许访问需要未加密通信的第三方网站。通过某些电子邮件或信息服务发送的通信内容（包括发件人和收件人地址）可能未加密。客户应对其决定使用此类未加密通信或传输的结果承担全部责任。

4.输入控制。

客户个人数据的来源由客户控制，客户个人数据通过安全文件传输（即通过网络服务或输入应用程序）从OPSWAT 整合到OPSWAT 系统。某些服务允许客户使用未加密的文件传输协议。在这种情况下，客户应对其使用此类非加密文件传输协议的决定承担全部责任。

5. 数据备份。

对于OPSWAT 托管的服务：定期进行备份；根据订购单中详细说明的服务，采用技术和实体控制相结合的方式确保备份安全。

业务连续性；灾难恢复。

OPSWAT 实施了业务连续性和灾难恢复计划。

7.Supply Chain 安全。

服务的子处理程序或第三方组件在作为服务的一部分使用之前，要经过OPSWAT 官员和OPSWAT 法律部门的审查。

漏洞扫描。

每周都会进行漏洞扫描，以持续确定风险威胁，并对该环境进行补救。

9.OPSWAT 子处理程序。

OPSWAT OPSWAT 产品所使用的子处理程序都经过安全风险评估，并需要与签订数据处理附录 (DPA) 和/或标准合同条款，以确保遵守 GDPR 规定的最低安全要求和服务水平。OPSWAT

10.软件。

服务软件开发遵循严格的系统开发生命周期（"SDLC"）程序，包括OPSWAT 产品经理（"PM"）设定和执行需求、设计、实施、单元测试、代码审查、自动测试、手动质量保证（"QA"）测试和验收测试。

11.Secure SDLC。

OPSWAT 采用了 OWSAP SAMM软件保证成熟度模型）和 OWASP ASVS（应用程序安全验证标准）来确保 SDLC 的安全。

12.IT 安全。

OPSWAT 使用多因素身份验证（"MFA"）进行安全身份验证，并遵循 NIST 800-63B 标准：https://pages.nist.gov/800-63-3/sp800-63b.html#memsecretver。

附录3

司法管辖区的具体规定

1.欧洲经济区、瑞士和联合王国

1.1 范围。以下条款仅适用于OPSWAT根据欧洲经济区、瑞士和英国的数据保护法处理客户个人数据。

1.2 定义。

(a) 术语 "控制者"、"处理者 "和 "监管机构 "应具有 GDPR 中赋予的含义。

(b) "英国附录 "是指英国信息专员办公室发布的《SCC 国际数据传输附录》B1.0 版。

1.3 处理者和控制者的责任。 双方承认并同意

(a) 根据数据保护法，OPSWAT 是客户个人数据的处理方或次级处理方（如适用）；

(b) 根据数据保护法，客户是客户个人数据的控制者或处理者（如适用）；

(d) 各方在处理客户个人数据时，将遵守数据保护法规定的适用于其的义务。

1.4 第三方控制方的授权。如果客户是处理方，则客户向OPSWAT 声明并保证，客户有关客户个人数据的指示和行动，包括指定OPSWAT 为处理方，均已获得相关控制方的授权。客户承认，OPSWAT 不负责收集处理客户个人数据的同意或授权。

1.5OPSWAT 为遵守适用法律而进行的处理。如果OPSWAT 必须违反客户的指示或协议（包括本 DPA）的授权处理客户个人数据以遵守适用法律，OPSWAT 应在处理前通知客户适用法律，除非适用法律基于重要的公共利益理由禁止此类通知。

1.6 安全措施。 OPSWAT 应（考虑到技术水平、实施成本、处理的性质、范围、背景和目的，以及对数据当事人的权利和自由造成的不同可能性和严重程度的风险）实施适当的安全措施，以确保与风险相适应的安全级别，包括附录 2 中详述的安全措施，并视情况而定：

(a) 客户个人数据的假名化和加密；

(b) 确保处理系统和服务的持续保密性、完整性、可用性和弹性的能力，包括以下具体措施和做法；

(d) 定期测试、评估和评价技术和组织措施有效性的程序，以确保客户个人数据处理的安全性。

1.7 合理协助。根据适用于OPSWAT作为处理方的适用法律的要求，OPSWAT 将向客户提供合理协助，以便客户履行根据 GDPR 第 35 条进行数据保护影响评估的义务。在客户对客户个人数据的处理导致数据主体的权利和自由面临高风险的情况下，OPSWAT 将在客户根据 GDPR 第 36 条寻求监管机构的事先咨询时向客户提供合理的协助。

1.8 信息安全事件的细节。根据《数据保护法》第 5.3 节（信息安全事件）发出的通知将

(a) 描述信息安全事件的性质，包括（如有可能）相关数据主体的类别和大致数量，以及相关个人数据记录的类别和大致数量；

(b) 告知数据保护官员或其他联系人的姓名和联系方式，以便获取更多信息；

(d) 说明OPSWAT 已采取或拟采取的处理信息安全事件的措施，包括在适当情况下减轻事件可能造成的不利影响的措施。

在无法同时提供信息的情况下，可分阶段提供信息，不得无故拖延。

1.9 合规审计。

1.9.1在协议有效期内，客户可以根据合理的事先书面要求（不少于四十五 (45) 天的事先书面通知），每十二 (12) 个月对OPSWAT履行本 DPA 规定的义务的情况进行一次审核，以满足数据保护立法的要求。客户必须在OPSWAT 正常营业时间内执行所有审核，且不得不合理地干扰OPSWAT 的业务活动。在数据保护法规要求的范围内，包括在客户的监管机构授权的情况下，客户或客户的监管机构可以执行频繁的审核。

1.9.2如果由第三方进行审计，OPSWAT ，如果OPSWAT的合理意见认为该审计员不具备适当的资格或独立性，或者是OPSWAT 的竞争对手，则可对该审计员提出异议。OPSWAT 的反对将要求客户指定另一名审计员或自行进行审计。

1.9.3要申请审计，客户必须在拟议审计日期前至少两 (2) 周向OPSWAT 提交一份详细的拟议审计计划。拟议的审核计划必须说明审核的拟议范围、持续时间和开始日期。OPSWAT 将审查拟议的审核计划，并向客户提出疑虑或问题（例如，任何可能危及OPSWAT 安全、隐私、雇用或其他相关政策的信息请求）。OPSWAT 将与客户合作，商定最终审核计划。本第 1.9 条（合规性审核）中的任何内容均不得要求OPSWAT 违反保密义务。

1.9.4如果在客户提出审计要求后的十二 (12) 个月内，所要求的审计范围在审计报告中得到解决，且OPSWAT 确认所审计的控制措施没有已知的重大变化，则客户同意接受审计报告，而不要求对审计报告所涵盖的控制措施进行审计。

1.9.5审计费用由客户承担。对于OPSWAT 或其次级处理商根据本第 1.9 条（合规性审核）进行的任何审核所花费的时间，客户应按OPSWAT当时的专业服务费率向OPSWAT 进行补偿。客户应支付由客户指定的任何审计员为执行任何此类审计而收取的所有费用。

1.9.6双方同意，本第 1.9 节（合规性审核）应满足OPSWAT根据《标准合同》第 5(f)条适用于数据进口商以及第 11 条和第 12(2)条适用于任何子处理商的审核要求所承担的义务。

1.10 将数据传输到欧洲经济区或瑞士境外。如果客户个人数据的存储和/或处理涉及将客户个人数据转出欧洲经济区或瑞士，且数据保护立法适用于此类客户个人数据的转移，则应适用以下规定，除非转移至欧洲经济区国家，且该国家已获得欧盟委员会的充分性决定：

1.10.1如果OPSWAT 是数据保护法律规定的客户个人数据处理者，而客户是客户个人数据的控制者，则附录 4 应适用，OPSWAT 将根据其中提及的控制者对处理者 SCC 进行此类转移。

1.10.2如果OPSWAT 是次处理方，而客户是数据保护法律规定的客户个人数据处理方，则应适用附录 5，OPSWAT 将根据其中提及的处理方对处理方 SCC 进行此类转移。

1.11 向英国境外转移数据。如果客户个人数据的存储和/或处理涉及将客户个人数据传输出英国，且数据保护法适用于此类客户个人数据的传输，则应适用附录 6，且OPSWAT 将根据其中提及的 SCC 进行此类传输，除非传输至欧洲经济区国家或欧盟委员会做出充分性决定并得到英国政府承认的国家。

1.12 子处理程序协议。 OPSWAT 可在回应客户根据《标准合同》第 9(c)条索取子处理程序协议副本的要求之前，编辑其与子处理程序协议中的所有机密业务或法律条款。

1.13 反对子处理方变更的机会。如果在合同期内聘用了新的子处理商，OPSWAT 将在新的子处理商处理任何客户个人数据之前至少十五 (15) 天，通过更新其位于https://www.opswat.com/legal/subprocessors 的子处理商列表，以书面形式通知客户。客户可在OPSWAT的通知日期后五（5）个工作日内向OPSWAT 发送书面通知，以反对新的子处理程序。如果客户对新的分处理器提出异议，客户和OPSWAT 将真诚合作，找到双方都能接受的解决异议的办法。如果双方无法在合理期限内达成双方均可接受的解决方案，客户可向OPSWAT 发送书面通知，终止使用相关子处理程序的服务的适用订单，作为其唯一且排他性的补救措施。

1.14 处理记录。客户承认，根据 GDPR 的要求，OPSWAT ：(a) 根据 GDPR 第 30 (2) 条收集和保存某些信息的记录，包括OPSWAT 所代表的每个处理方和/或控制方的名称和联系详情，以及（如适用）该处理方或控制方的当地代表和数据保护官的名称和联系详情；以及 (b) 根据 GDPR 第 30 (4) 条向监管机构提供此类信息。如果 GDPR 适用于客户个人数据的处理，客户将应要求向OPSWAT 提供此类信息，并确保所提供的所有信息保持准确和最新。

2.加利福尼亚州

2.1 范围。以下条款仅适用于OPSWAT根据 2018 年《加州消费者隐私法》（Cal. Civil Code §1798.100 etq.经《加州隐私权法案》修订的《加州民法典》§1798.100 及其后条款，以及可能不时进一步修订的相关法规（统称"CCPA"）。

2.2 定义。 销售"、"分享"和"服务提供商" 与 CCPA 中定义的含义相同。

2.3 服务提供商。 OPSWAT 是客户的服务提供商。OPSWAT 只应出于提供服务的目的处理客户个人数据。除非本协议或 CCPA 允许：

(a)OPSWAT 不得出于商业目的或履行本协议预期目的之外的任何目的进一步收集、保留、使用或披露客户个人数据；

(b)OPSWAT 不得在双方直接业务关系之外保留、使用或披露客户个人数据；以及

(c)OPSWAT 不得将从客户或代表客户获得的客户个人数据与从其他人处获得的个人数据或从其自身与客户的互动中收集的个人数据合并，除非是根据协议提供服务所必需的。

2.4 不得出售或共享。 OPSWAT 不得出售或共享客户个人数据。

2.5 遵守 CCPA。 OPSWAT 应遵守 CCPA 的所有适用条款，包括就根据本协议处理的客户个人数据提供 CCPA 所要求的同等水平的隐私保护。

2.6 CCPA 审计。

2.6.1 在协议有效期内，客户可以根据合理的事先书面请求（不少于四十五 (45) 天的事先书面通知），每十二 (12) 个月对OPSWAT履行本 DPA 规定的义务的情况进行一次审计。客户必须在OPSWAT 正常营业时间内执行所有审计，且不得无理干扰OPSWAT 的业务活动。在 CCPA 要求的范围内，包括在加利福尼亚州隐私保护机构规定的情况下，客户可以经常进行审核。

2.6.2 如果由第三方进行审计，OPSWAT ，如果OPSWAT的合理意见认为该审计员不具备适当的资格或独立性，或者是OPSWAT 的竞争对手，则可对该审计员提出异议。OPSWAT 的反对将要求客户指定另一名审计员或自行进行审计。

2.6.3 要申请审计，客户必须在拟议审计日期前至少两 (2) 周向OPSWAT 提交一份详细的拟议审计计划。建议的审计计划必须描述建议的审计范围、持续时间和开始日期。OPSWAT 将审查建议的审计计划，并向客户提出疑虑或问题（例如，任何可能危及OPSWAT 安全、隐私、就业或其他相关政策的信息请求）。OPSWAT 将与客户合作，就最终审计计划达成一致。本第 2.6 条（CCPA 审核）中的任何内容均不得要求OPSWAT 违反保密义务。

2.6.4 如果在客户提出审计要求后的十二 (12) 个月内，所要求的审计范围在审计报告中得到解决，且OPSWAT 确认所审计的控制措施没有已知的重大变化，则客户同意接受审计报告，而不要求对审计报告所涵盖的控制措施进行审计。

2.6.5 审计费用由客户承担。OPSWAT 对于OPSWAT 或其次级处理商根据本第 2.6 条（CCPA 审计）进行的任何审计所花费的任何时间，客户应按OPSWAT当时的专业服务费率向其偿付。客户应支付由客户指定的任何审计师执行任何此类审计所收取的所有费用。

2.6.6 双方同意，本第 2.6 条（CCPA 审计）应满足OPSWAT在 CCPA 下的义务，即客户有权采取合理适当的措施，确保OPSWAT在本协议下对客户个人数据的处理符合OPSWAT在 CCPA 下的义务。

2.7 通知。如果OPSWAT 确定无法继续履行 CCPA 规定的义务，则OPSWAT 应通知客户。在OPSWAT根据本第 2.7 条发出通知后，双方应本着诚意协商修改本协议或服务，以使OPSWAT 能够履行 CCPA 规定的义务。如果此类协商超过三十 (30) 天，客户可终止要求OPSWAT处理个人数据的适用订单。

2.8 对未经授权使用个人数据的补救。 应客户的书面要求，OPSWAT 应停止处理客户个人数据，并根据 DPA 第 4 条（数据的删除或返还）删除或返还客户个人数据。OPSWAT 应向客户提供一份证明书，证明OPSWAT已遵守客户的书面要求。双方同意，本第 2.8 条应满足OPSWAT的义务，使客户有权采取合理适当的措施，停止和补救OPSWAT对客户个人数据的未经授权的使用。

2.9 合理安全。双方同意，第 5 节（数据安全）应满足OPSWAT在 CCPA 规定的数据安全方面的义务。

2.10 CCPA 数据主体请求。双方同意，DPA 第 6 条（数据主体权利）应满足OPSWAT在 CCPA 数据主体请求方面的义务。

2.11 子处理程序。双方同意，DPA 第 8 节（子处理程序）应满足OPSWAT在 CCPA 下与子处理程序有关的义务。

附录4

SCC - 控制器到处理器

双方特此同意遵守《标准合同》第 2 单元的规定，该单元的内容通过引用纳入本文，其副本可在https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en 上找到。客户也可向 privacy@opswat.com 索取相关条款的副本。

双方同意适用以下条款：

1.第 7 条： 双方选择列入第 7 条。

2.第 9(a)条：双方选择了方案 2（一般书面授权），期限为 15 天。

3.第 11(a)条：缔约方未纳入允许数据主体免费向独立争议解决机构提出申诉的可选措辞。

4.第 17 条： 本条款受欧盟成员国法律管辖，前提是该法律允许第三方受益权。双方同意以数据输出方所在成员国的法律为准。如果数据输出方不在欧盟，双方同意以爱尔兰法律为准。

5.第 18(b)条： 双方同意，这些法院应为数据出口方所在欧盟成员国的法院。如果数据输出方不在欧盟，双方同意由爱尔兰法院管辖。

双方同意，《标准合同》单元 2 优先于双方之间的任何其他协议，无论这些协议是在本条款签订之日前还是之后签订的。如果任何司法管辖区的法律或监管程序要求，双方应作为单独文件执行或重新执行《标准合同》模块 2。

附录 4 附件 1

A.缔约方名单

数据输出方：客户
角色（控制方/处理方）：控制器
数据导入者：OPSWAT
角色（控制器/处理器）：处理器

B. 转让说明

資料當事人的類別：見《個人資料保護法令》附錄 1
轉移的個人資料類別：見《個人資料保護法令》附錄 1
敏感／特別類別的資料：無
轉移的頻密程度：根據提供服務的需要持續進行
資料轉移的性質或處理方式及目的：見《個人資料保護法令》附錄 1
保留個人資料的期限：見《個人資料保護法令》附錄 1

C. 主管监督机构

数据出口方所在的欧盟成员国。如果数据输出国不在欧盟，则应为爱尔兰。

附录 4 附件 2

技术和组织措施，包括确保数据安全的技术组织措施

参见 DPA 附录 2。对于向次级处理者的转移，OPSWAT 应确保这些次级处理者在实质上遵守 DPA 附录 2 中列出的安全措施。

附录5

SCC - 处理器到处理器

双方特此同意遵守《标准合同》第 3 单元的规定，该单元的内容通过引用纳入本协议，其副本可在https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en 上找到。客户也可向 privacy@opswat.com 索取相关条款的副本。

双方同意适用以下条款：

第 7 条：双方选择列入第 7 条。

2. 第 9(a)条：双方选择了方案 2（一般书面授权），期限为 15 天。

第 11(a)条：缔约方未纳入允许数据主体免费向独立争议解决机构提出申诉的可选措辞。

第 17 条： 本条款受欧盟成员国法律管辖，前提是该法律允许第三方受益权。双方同意以数据输出方所在成员国的法律为准。如果数据输出方不在欧盟，双方同意以爱尔兰法律为准。

第 18(b)条 双方同意，这些法院应为数据出口方所在欧盟成员国的法院。如果数据输出方不在欧盟，双方同意由爱尔兰法院管辖。

附件 I A.见《数据保护法》附录 4 附件 1，客户和OPSWAT 均为处理者。

附件 I B 和 C： 见《数据保护法》附录 4 的附件 1。

附件 II：见《达尔富尔和平协议》附录 4 附件 2。

双方同意，《标准合同》模块 3 优先于双方之间的任何其他协议，无论这些协议是在本条款签订之日前还是之后签订的。如果任何司法管辖区的法律或监管程序要求，双方应作为单独文件执行或重新执行《标准合同》模块 2。

附录6

将客户个人数据转出英国

双方特此同意，他们将遵守由附录 4 或附录 5（分别）完善并经英国附录修订的《标准合同条款》模块 2 或模块 3（视适用情况而定），该附录以引用方式纳入，其副本可在信息专员办公室网站(https://ico.org.uk/media/for-organisations/documents/4019535/addendum-international-data-transfer.docx) 上找到。客户也可向 privacy@opswat.com 索取相关条款的副本。

1. 表 1：缔约方

数据导出器：客户
数据导入器：OPSWAT

表 2：选定的 SCC、模块和选定条款

由附录 4 或附录 5 完成的 SCC 模块 2 或模块 3

3 表 3：附录信息

附件 1A：参见《数据保护法》附录 4 的附件 1
附件 1B：参见《数据保护法》附录 4 的附件 1
附件 II：参见《数据保护法》附录 4 的附件 2
附件 III：OPSWAT"次级处理者 "名单，请访问https://www.opswat.com/legal/subprocessors.

表 4：当批准的增补件发生变化时终止本增补件

进口商或出口商
双方同意，经《英国附录》修订的《标准集装箱货运公约》模块 2 或模块 3（视适用情况而定）优先于双方之间的任何其他协议，无论这些协议是在本条款签订日期之前还是之后签订的。如果任何司法管辖区的法律或监管程序要求，双方应将经英国附录修订的《标准合同条款》模块 2 或模块 3（如适用）作为单独文件执行或重新执行。

OPSWAT 法律中心