信息化觀(guān)察網(wǎng)

本文來(lái)自支付寶開(kāi)發(fā)者。

近日，螞蟻科技集團(tuán)股份有限公司發(fā)布《數(shù)據(jù)安全與隱私保護(hù)特別約定》更新通知。

通知表示，為規(guī)范個(gè)人信息等數(shù)據(jù)處理事宜，維護(hù)個(gè)人信息主體和其他數(shù)據(jù)利益相關(guān)方的合法權(quán)益，保證數(shù)據(jù)應(yīng)用安全，根據(jù)可適用數(shù)據(jù)保護(hù)法律的要求，螞蟻集團(tuán)制定了《數(shù)據(jù)安全與隱私保護(hù)特別約定》以茲與合作伙伴共同遵守。

以下為《數(shù)據(jù)安全與隱私保護(hù)特別約定》全文：

數(shù)據(jù)安全與隱私保護(hù)特別約定

20230531版本

螞蟻科技集團(tuán)股份有限公司及其關(guān)聯(lián)公司（以下合稱(chēng)“螞蟻集團(tuán)”或“我們”）一直致力于數(shù)據(jù)安全與隱私保護(hù)。我們合作的金融機(jī)構(gòu)、供應(yīng)商和其他第三方（以下合稱(chēng)“合作伙伴”或“您”）可能會(huì)在開(kāi)展合作的過(guò)程中處理個(gè)人信息或其他受保護(hù)的數(shù)據(jù)。

為規(guī)范個(gè)人信息等數(shù)據(jù)處理事宜，維護(hù)個(gè)人信息主體的合法權(quán)益，保證數(shù)據(jù)應(yīng)用安全，根據(jù)可適用數(shù)據(jù)保護(hù)法律的要求，達(dá)成本數(shù)據(jù)安全與隱私保護(hù)特別約定（以下簡(jiǎn)稱(chēng)“本約定”）。

1定義

1.1“個(gè)人信息”是指以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。

1.2“數(shù)據(jù)”是指任何以電子或其他方式對(duì)信息的記錄，包括含有個(gè)人信息的數(shù)據(jù)和不包含個(gè)人信息的數(shù)據(jù)。本約定所指數(shù)據(jù)包括但不限于在履行約定所必需的范圍內(nèi)，數(shù)據(jù)提供方向數(shù)據(jù)接收方提供的數(shù)據(jù)，以及數(shù)據(jù)接收方的數(shù)據(jù)處理行為而生成的數(shù)據(jù)。

1.3“處理”是指對(duì)個(gè)人信息或數(shù)據(jù)進(jìn)行的任何操作或一系列操作，包括但不限于訪(fǎng)問(wèn)、收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除。

1.4“可適用數(shù)據(jù)保護(hù)法律”是指本約定生效前和生效后中國(guó)不時(shí)頒布生效的個(gè)人信息保護(hù)、數(shù)據(jù)合規(guī)相關(guān)的法律和法規(guī)，包括但不限于《網(wǎng)絡(luò)安全法》《消費(fèi)者權(quán)益保護(hù)法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》（僅為本約定之目的，為避免疑義，不包括中華人民共和國(guó)香港特別行政區(qū)、澳門(mén)特別行政區(qū)及臺(tái)灣地區(qū)的法律）。

1.5“數(shù)據(jù)處理者”是指在個(gè)人信息等數(shù)據(jù)處理活動(dòng)中自主決定處理目的、處理方式的組織、個(gè)人。

1.6“數(shù)據(jù)提供方”是指向數(shù)據(jù)接收方發(fā)送個(gè)人信息等數(shù)據(jù)的組織、個(gè)人。

1.7“數(shù)據(jù)接收方”是指從數(shù)據(jù)提供方處接收個(gè)人信息等數(shù)據(jù)的組織、個(gè)人。數(shù)據(jù)接收方接收數(shù)據(jù)后，在（a）共享模式下，有權(quán)根據(jù)雙方約定，自主決定個(gè)人信息等數(shù)據(jù)的處理目的、方式；或在（b）受托處理模式下，應(yīng)接受數(shù)據(jù)提供方委托，嚴(yán)格按照數(shù)據(jù)提供方的要求處理數(shù)據(jù)，此時(shí)“數(shù)據(jù)接收方”亦為“受托方”。

1.8“螞蟻集團(tuán)”是指螞蟻科技集團(tuán)股份有限公司及其關(guān)聯(lián)公司。

1.9“成員機(jī)構(gòu)”是指螞蟻集團(tuán)旗下各獨(dú)立的公司實(shí)體。

2個(gè)人信息保護(hù)原則

各方均認(rèn)可并同意，本約定項(xiàng)下個(gè)人信息處理應(yīng)共同遵循以下原則，保障個(gè)人信息主體個(gè)人信息權(quán)益。

2.1遵守合法、正當(dāng)、必要和誠(chéng)信原則。本約定項(xiàng)下所涉?zhèn)€人信息處理，需要遵循合法、正當(dāng)、必要和誠(chéng)信的原則，符合中華人民共和國(guó)法律法規(guī)及相關(guān)監(jiān)管機(jī)關(guān)要求。

2.2尊重個(gè)人信息主體的知情權(quán)。以明確、易懂和合理的方式公開(kāi)個(gè)人信息處理規(guī)則，包括處理個(gè)人信息的范圍、目的、方式等，并提供便于訪(fǎng)問(wèn)、查閱和保存的展示界面。個(gè)人信息處理規(guī)則發(fā)生變化時(shí)，應(yīng)及時(shí)更新并通過(guò)適當(dāng)方式告知個(gè)人信息主體。

2.3尊重個(gè)人信息主體的選擇權(quán)。堅(jiān)決杜絕通過(guò)誤導(dǎo)、欺詐、脅迫等方式處理個(gè)人信息，不強(qiáng)迫個(gè)人信息主體進(jìn)行不合理的“一攬子授權(quán)”，依法向個(gè)人信息主體提供個(gè)人信息權(quán)利主張的途徑。

2.4尊重個(gè)人信息主體授權(quán)，強(qiáng)化自我約束。嚴(yán)格遵守與個(gè)人信息主體約定的授權(quán)范圍，不收集與提供服務(wù)無(wú)關(guān)的信息。

2.5保障個(gè)人信息主體的信息安全。采取充分有效的技術(shù)手段和管理措施，并對(duì)委托處理個(gè)人信息的第三方進(jìn)行篩選，防止個(gè)人信息泄漏、毀損、丟失。

2.6保障產(chǎn)品和服務(wù)的安全可信。不在產(chǎn)品和服務(wù)中設(shè)置隱蔽功能進(jìn)行個(gè)人信息主體不知情的操作，發(fā)現(xiàn)安全缺陷、漏洞時(shí)，及時(shí)采取補(bǔ)救措施。

2.7聯(lián)合抵制黑色產(chǎn)業(yè)鏈。不采集通過(guò)非法渠道獲取的信息，堅(jiān)決杜絕與個(gè)人信息黑色產(chǎn)業(yè)鏈的任何交易及往來(lái)。

2.8倡導(dǎo)行業(yè)自律。共同探索可推廣、可復(fù)制并與國(guó)際接軌的個(gè)人信息保護(hù)最佳實(shí)踐，帶動(dòng)和幫助行業(yè)整體水平提升。

2.9接受社會(huì)監(jiān)督。切實(shí)履行企業(yè)承諾，主動(dòng)接受社會(huì)各方的監(jiān)督。

3合作模式及范圍

3.1本約定項(xiàng)下，各方理解并認(rèn)同，各方可能基于不同的角色開(kāi)展合作，各方亦可能同時(shí)開(kāi)展以下兩種合作模式：

3.1.1委托處理。數(shù)據(jù)提供方委托數(shù)據(jù)接收方處理數(shù)據(jù)僅限于為履行各方合作之目的的，數(shù)據(jù)接收方應(yīng)當(dāng)按照約定的范圍和方式處理所接收的數(shù)據(jù)。

3.1.2數(shù)據(jù)共享。各方均基于數(shù)據(jù)處理者的身份履行本約定項(xiàng)下的權(quán)利義務(wù)。數(shù)據(jù)提供方向數(shù)據(jù)接收方提供數(shù)據(jù)后，將由數(shù)據(jù)接收方按照本約定之目的決定處理個(gè)人信息等數(shù)據(jù)的目的、方式等。

3.2代理簽約

為有效約束各方數(shù)據(jù)活動(dòng)，保護(hù)個(gè)人信息主體權(quán)益，各方同意，若合作伙伴過(guò)往與一個(gè)或者多個(gè)成員機(jī)構(gòu)達(dá)成合作關(guān)系，則我們（當(dāng)前簽約的成員機(jī)構(gòu)）有權(quán)代理成員機(jī)構(gòu)（過(guò)往簽約過(guò)的螞蟻主體）與合作伙伴簽署本約定。本約定生效后，合作伙伴與成員機(jī)構(gòu)間應(yīng)互相履行本約定下的各方權(quán)利義務(wù)。

3.3適用優(yōu)先

本約定主要適用于本條3.1款中的合作模式。因業(yè)務(wù)場(chǎng)景的不同，若各方另行簽署的合作協(xié)議中對(duì)各方的數(shù)據(jù)活動(dòng)存在特殊約定，則特殊約定將優(yōu)先適用；合作協(xié)議中未涵蓋的內(nèi)容，以本約定內(nèi)容為準(zhǔn)。

4數(shù)據(jù)提供方權(quán)利和職責(zé)

4.1數(shù)據(jù)提供方承諾，已按照可適用數(shù)據(jù)保護(hù)法律開(kāi)展收集、使用等數(shù)據(jù)處理行為。其提供數(shù)據(jù)給數(shù)據(jù)接收方的行為不違反數(shù)據(jù)保護(hù)規(guī)定，不違反與其他方的協(xié)議約定，或侵害第三方權(quán)益等。

4.2數(shù)據(jù)提供方認(rèn)為數(shù)據(jù)接收方數(shù)據(jù)安全能力與數(shù)據(jù)的敏感程度及數(shù)量不匹配時(shí)，有權(quán)向數(shù)據(jù)接收方發(fā)出問(wèn)詢(xún)。

4.3數(shù)據(jù)提供方應(yīng)當(dāng)按照相關(guān)法律規(guī)定采取有效的技術(shù)和管理措施，確保在向數(shù)據(jù)接收方提供信息前，其提供的信息是準(zhǔn)確的且是最新的，并應(yīng)確保提供過(guò)程的安全。

4.4數(shù)據(jù)提供方準(zhǔn)確記錄和存儲(chǔ)所提供數(shù)據(jù)的處理情況，包括委托處理、共享的日期、規(guī)模、目的等。

4.5若數(shù)據(jù)提供方提供的數(shù)據(jù)包含個(gè)人信息，則：

4.5.1該方應(yīng)當(dāng)說(shuō)明個(gè)人信息來(lái)源并保證信息來(lái)源合法；

4.5.2該方承諾已獲得的個(gè)人信息處理的授權(quán)同意，包括使用目的、范圍，個(gè)人信息主體是否同意轉(zhuǎn)讓、共享、公開(kāi)披露、刪除等；

4.5.3開(kāi)展業(yè)務(wù)所需進(jìn)行的個(gè)人信息處理活動(dòng)超出已獲得的授權(quán)同意范圍的，應(yīng)在處理個(gè)人信息前，征得個(gè)人信息主體的明示同意；

4.5.4承擔(dān)因未取得合法有效的授權(quán)而需要承擔(dān)的侵權(quán)責(zé)任，數(shù)據(jù)接收方有權(quán)就其所遭受的經(jīng)濟(jì)損失向數(shù)據(jù)提供方進(jìn)行追償。

5數(shù)據(jù)接收方權(quán)利和職責(zé)

5.1數(shù)據(jù)接收方承諾，將按照本約定及可適用數(shù)據(jù)保護(hù)法律的要求處理其從數(shù)據(jù)提供方接收的數(shù)據(jù)。數(shù)據(jù)接收方嚴(yán)格遵守本約定項(xiàng)下義務(wù)，僅可將數(shù)據(jù)用于被允許的范圍、處理目的和方式，對(duì)任何超越范圍和違反協(xié)議的處理行為承擔(dān)法律責(zé)任。

5.2除非各方書(shū)面約定的情形或?yàn)閿?shù)據(jù)處理活動(dòng)所必需，且符合可適用數(shù)據(jù)保護(hù)法律的要求，數(shù)據(jù)接收方不得將全部或者任何部分的數(shù)據(jù)提供給任何第三方或者進(jìn)行公開(kāi)披露，但政府機(jī)關(guān)、司法部門(mén)另有要求除外。

5.3在任何情況下，數(shù)據(jù)接收方都不得以將導(dǎo)致數(shù)據(jù)提供方違反其在可適用數(shù)據(jù)保護(hù)法律下的任何義務(wù)的方式處理數(shù)據(jù)。

5.4在受托處理情形下，受托方如需將受托處理的數(shù)據(jù)轉(zhuǎn)委托他人處理，需事先取得數(shù)據(jù)處理者同意。受托方在任何情況下都不得以將導(dǎo)致委托方違反其相關(guān)法律規(guī)定下的任何義務(wù)的方式進(jìn)行受托處理活動(dòng)。

5.5數(shù)據(jù)接收方應(yīng)當(dāng)按照可適用數(shù)據(jù)保護(hù)法律要求，建立相對(duì)應(yīng)的數(shù)據(jù)安全能力，落實(shí)必要的管理和技術(shù)措施，為數(shù)據(jù)傳輸及處理提供充分的安全保障，防止數(shù)據(jù)遭受未經(jīng)授權(quán)的使用、泄漏、損毀、丟失。如數(shù)據(jù)接收方在處理數(shù)據(jù)過(guò)程中無(wú)法提供足夠的安全保護(hù)水平或落實(shí)必要的管理和技術(shù)措施，應(yīng)及時(shí)向數(shù)據(jù)提供方反饋，數(shù)據(jù)提供方有權(quán)采取管控措施，數(shù)據(jù)接收方應(yīng)根據(jù)數(shù)據(jù)提供方的要求及時(shí)對(duì)安全保護(hù)系統(tǒng)進(jìn)行升級(jí)和調(diào)整，但這并不能視為數(shù)據(jù)接收方對(duì)其任何違約行為的免責(zé)。

例如：數(shù)據(jù)接收方從數(shù)據(jù)提供方獲取用戶(hù)個(gè)人信息進(jìn)行個(gè)人信息處理活動(dòng)時(shí)，需要提供數(shù)據(jù)安全能力證明或通過(guò)數(shù)據(jù)提供方組織的周期性數(shù)據(jù)安全能力評(píng)估，確保用戶(hù)個(gè)人信息被共享后能夠持續(xù)有效地得到保護(hù)。當(dāng)數(shù)據(jù)接收方未按要求按時(shí)、如實(shí)完成評(píng)估或安全管控能力不足以有效保證用戶(hù)個(gè)人信息得到持續(xù)保護(hù)時(shí)，數(shù)據(jù)提供方有權(quán)采取管控措施，包括但不限于開(kāi)放接口限流/禁用/回收、應(yīng)用下架/隱藏等。

5.6數(shù)據(jù)安全保障措施應(yīng)當(dāng)考慮到現(xiàn)有技術(shù)水平，實(shí)施成本，處理的性質(zhì)、范圍、背景和目的，以及給個(gè)人信息主體的權(quán)利和自由造成損害的風(fēng)險(xiǎn)的可能性。包括但不限于：

5.6.1場(chǎng)所及設(shè)施的權(quán)限控制。必須采取措施以防止對(duì)存放個(gè)人信息等數(shù)據(jù)的場(chǎng)所和設(shè)備未經(jīng)授權(quán)的物理訪(fǎng)問(wèn)，例如權(quán)限控制系統(tǒng)，身份識(shí)別讀卡器、磁卡及芯片卡，監(jiān)控設(shè)備，設(shè)施出/入記錄等。

5.6.2訪(fǎng)問(wèn)限制。貫徹訪(fǎng)問(wèn)權(quán)限的人數(shù)最小化以及訪(fǎng)問(wèn)信息的數(shù)量最小化原則，僅供確有需要，且經(jīng)授權(quán)的員工訪(fǎng)問(wèn)。未經(jīng)授權(quán)的人員不得訪(fǎng)問(wèn)數(shù)據(jù)處理方獲取的數(shù)據(jù)及其處理系統(tǒng)，無(wú)論是物理接觸還是邏輯訪(fǎng)問(wèn)。

5.6.3可用性控制。采取措施確保數(shù)據(jù)得到保護(hù)而不受意外破壞或丟失，至少應(yīng)包括以下內(nèi)容：確保已安裝的系統(tǒng)在發(fā)生中斷后能夠恢復(fù)，確保系統(tǒng)正常運(yùn)行并報(bào)告故障，確保儲(chǔ)存的個(gè)人信息等數(shù)據(jù)不會(huì)因系統(tǒng)故障而被損壞，業(yè)務(wù)連續(xù)性程序，遠(yuǎn)程存儲(chǔ)和防病毒/防火墻系統(tǒng)。

5.6.4密碼、加密和匿名化。數(shù)據(jù)處理方應(yīng)采用合理的商業(yè)物理安全技術(shù)和電子安全技術(shù)來(lái)創(chuàng)建和保護(hù)密碼，以及采取匿名化處理。如存儲(chǔ)個(gè)人敏感信息、與關(guān)鍵信息基礎(chǔ)設(shè)施有關(guān)的信息、重要數(shù)據(jù)，數(shù)據(jù)處理方應(yīng)使用行業(yè)標(biāo)準(zhǔn)加密工具實(shí)施加密措施。

5.6.5數(shù)據(jù)接收方應(yīng)對(duì)技術(shù)和組織措施進(jìn)行定期檢查，以確保這些措施持續(xù)提供適當(dāng)?shù)陌踩健?/p>

5.7數(shù)據(jù)接收方儲(chǔ)存數(shù)據(jù)的期限應(yīng)為實(shí)現(xiàn)其處理目的所需或可適用數(shù)據(jù)保護(hù)法律所要求的最短時(shí)間，超出上述儲(chǔ)存期限后，數(shù)據(jù)接收方應(yīng)對(duì)數(shù)據(jù)進(jìn)行刪除或匿名化處理。

5.8當(dāng)本約定因任何原因終止或解除、或者數(shù)據(jù)存儲(chǔ)期間到期（以先發(fā)生的為準(zhǔn)）或應(yīng)數(shù)據(jù)提供方要求時(shí)，除數(shù)據(jù)接收方另行取得個(gè)人信息主體的同意外，數(shù)據(jù)接收方應(yīng)立即停止處理數(shù)據(jù)并以數(shù)據(jù)提供方合理要求的方式和格式將相關(guān)信息返還；或者，經(jīng)數(shù)據(jù)提供方明確指示，數(shù)據(jù)接收方應(yīng)刪除其所掌握或控制的部分或全部信息，并向數(shù)據(jù)提供方提供刪除的證明。如果法律、行政法規(guī)規(guī)定的保存期限未屆滿(mǎn)，或者刪除數(shù)據(jù)從技術(shù)上難以實(shí)現(xiàn)的，數(shù)據(jù)接收方應(yīng)當(dāng)停止除存儲(chǔ)和采取必要的安全保護(hù)措施之外的處理。本約定不生效、無(wú)效、被撤銷(xiāo)或者終止的，數(shù)據(jù)接收方應(yīng)當(dāng)將數(shù)據(jù)返還給數(shù)據(jù)提供方并且刪除和銷(xiāo)毀委托處理的信息及所有副本/備份。

5.9數(shù)據(jù)接收方應(yīng)當(dāng)指定數(shù)據(jù)安全負(fù)責(zé)人，負(fù)責(zé)與數(shù)據(jù)提供方間的數(shù)據(jù)安全相關(guān)事務(wù)。數(shù)據(jù)接收方應(yīng)當(dāng)將數(shù)據(jù)安全負(fù)責(zé)人的姓名和聯(lián)系方式提供至數(shù)據(jù)提供方，并保證信息的準(zhǔn)確、暢通和有效更新。

5.10數(shù)據(jù)接收方應(yīng)當(dāng)建立數(shù)據(jù)安全應(yīng)急處置機(jī)制，當(dāng)發(fā)生數(shù)據(jù)安全事件時(shí)應(yīng)及時(shí)啟動(dòng)應(yīng)急響應(yīng)機(jī)制。

6監(jiān)測(cè)及安全事件處置

6.1各方開(kāi)展數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度，組織開(kāi)展數(shù)據(jù)安全教育培訓(xùn)，采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全。

6.2安全事件：本約定所指安全事件，包含數(shù)據(jù)安全缺陷、漏洞、威脅等風(fēng)險(xiǎn)事件以及其他安全事件。

6.3任何一方知曉或懷疑發(fā)生相對(duì)方違反本約定條款的情形，或發(fā)現(xiàn)相對(duì)方無(wú)法提供足夠的安全保護(hù)水平或發(fā)生了安全事件的，應(yīng)當(dāng)毫不遲延地通知相對(duì)方。

6.4違約方或安全事件發(fā)生方以及其合作的受托方應(yīng)本著及時(shí)、有效、誠(chéng)信的原則采取必要的應(yīng)急和補(bǔ)救措施，包括但不限于：

6.4.1毫不遲延地通知本約定相對(duì)方。若數(shù)據(jù)接收方發(fā)生安全事件，則數(shù)據(jù)提供方可通過(guò)網(wǎng)頁(yè)提示、網(wǎng)頁(yè)公告、站內(nèi)信、電子郵件、手機(jī)短信或常規(guī)的信件傳送等方式中的一種或多種方式通知數(shù)據(jù)接收方，該等通知自公告之日或發(fā)送之日視為已送達(dá)。通知后未及時(shí)響應(yīng)造成的影響，由數(shù)據(jù)接收方自行承擔(dān)；

6.4.2積極配合相對(duì)方的調(diào)查取證要求；積極配合相對(duì)方的應(yīng)急及安全管控措施，包括但不限于開(kāi)放接口限流/禁用/回收、應(yīng)用下架/隱藏等；

6.4.3按照可適用數(shù)據(jù)保護(hù)法律的要求采取補(bǔ)救措施以降低安全事件的影響，且應(yīng)當(dāng)使相對(duì)方知曉與安全事件相關(guān)的進(jìn)展；

6.4.4根據(jù)可適用數(shù)據(jù)保護(hù)法律通知個(gè)人信息主體，告知其可采取何種措施避免泄漏造成損害。如各方采取的措施能夠有效避免數(shù)據(jù)泄漏造成危害的，可不通知個(gè)人信息主體；

6.4.5記錄所有與數(shù)據(jù)泄漏相關(guān)的事實(shí)，包括其影響以及采取的任何補(bǔ)救措施，向監(jiān)管報(bào)告的內(nèi)容，并留存相應(yīng)的記錄，視情況按照相對(duì)方的需求提供該記錄；

6.4.6履行己方安全事件上報(bào)義務(wù)，并在相對(duì)方為履行可適用數(shù)據(jù)保護(hù)法律下的安全事件上報(bào)義務(wù)而要求時(shí)向相對(duì)方及時(shí)提供相關(guān)信息和協(xié)助；

6.4.7根據(jù)相對(duì)方的要求配合改造，避免安全事件再次發(fā)生。

6.5違約方或安全事件發(fā)生方應(yīng)承擔(dān)相對(duì)方及個(gè)人信息主體合法權(quán)益造成的損失，包括但不限于相對(duì)方的調(diào)查費(fèi)用，相對(duì)方因安全事件所支出的監(jiān)管處罰費(fèi)用、調(diào)查費(fèi)用、律師費(fèi)用、訴訟費(fèi)用以及相對(duì)方向個(gè)人信息主體支付的賠償費(fèi)用。

7監(jiān)管及審計(jì)配合

7.1數(shù)據(jù)接收方應(yīng)當(dāng)按照數(shù)據(jù)提供方的要求配合監(jiān)管機(jī)關(guān)，并向數(shù)據(jù)提供方提供為了證明數(shù)據(jù)提供方遵守可適用數(shù)據(jù)保護(hù)法律等相關(guān)目的而需要的必要信息。數(shù)據(jù)接收方應(yīng)當(dāng)將從監(jiān)管機(jī)關(guān)收到的關(guān)于數(shù)據(jù)處理的任何要求、通知或其他通訊立即同步告知數(shù)據(jù)提供方，但法律法規(guī)有相反規(guī)定的除外。

7.2數(shù)據(jù)接收方應(yīng)當(dāng)向數(shù)據(jù)提供方提供合理和及時(shí)的幫助以使數(shù)據(jù)提供方可以響應(yīng)：

7.2.1個(gè)人信息主體要求行使其在可適用數(shù)據(jù)保護(hù)法律下的任何權(quán)利的請(qǐng)求；以及

7.2.2從個(gè)人信息主體或者其他與數(shù)據(jù)處理相關(guān)的第三方處收到的任何其他通信、詢(xún)問(wèn)或者投訴。如果該等通信、詢(xún)問(wèn)或者投訴直接向數(shù)據(jù)接收方做出，數(shù)據(jù)接收方應(yīng)當(dāng)通知數(shù)據(jù)提供方并提供所有該等通信、詢(xún)問(wèn)或者投訴的細(xì)節(jié)。

7.3經(jīng)各方事先協(xié)商一致或另有協(xié)議約定，數(shù)據(jù)接收方應(yīng)當(dāng)允許數(shù)據(jù)提供方或者數(shù)據(jù)提供方委派的第三方審計(jì)機(jī)構(gòu)對(duì)數(shù)據(jù)接收方進(jìn)行審計(jì)，以確認(rèn)數(shù)據(jù)接收方處理數(shù)據(jù)是否符合可適用數(shù)據(jù)保護(hù)法律和本約定的要求。

7.4數(shù)據(jù)接收方應(yīng)向數(shù)據(jù)提供方的授權(quán)代表或者數(shù)據(jù)提供方委托的第三方提供進(jìn)行該等審計(jì)必要的協(xié)助。

8數(shù)據(jù)跨境傳輸

8.1本約定通常不涉及各方之間的數(shù)據(jù)跨境傳輸，若各方涉及數(shù)據(jù)跨境傳輸，應(yīng)當(dāng)另行簽署《個(gè)人信息出境標(biāo)準(zhǔn)合同》或者其他相關(guān)協(xié)議。

8.2未經(jīng)數(shù)據(jù)提供方書(shū)面同意，數(shù)據(jù)接收方不應(yīng)將數(shù)據(jù)向中華人民共和國(guó)以外的國(guó)家和區(qū)域提供。為避免歧義，在本約定項(xiàng)下，向中華人民共和國(guó)香港、澳門(mén)或臺(tái)灣地區(qū)的組織或個(gè)人提供數(shù)據(jù)，亦視為本條約定下的跨境傳輸情形。

8.3經(jīng)數(shù)據(jù)提供方同意后，數(shù)據(jù)接收方向境外傳輸數(shù)據(jù)的，應(yīng)當(dāng)按照可適用數(shù)據(jù)保護(hù)法律，以及各方之間的協(xié)議約定（如有），由數(shù)據(jù)接收方自行或指定部門(mén)，完成跨境安全評(píng)估、取得監(jiān)管機(jī)關(guān)的批準(zhǔn)/備案（如適用）后方可實(shí)施跨境傳輸。

9生效和終止

9.1本約定自簽署之日起開(kāi)始生效，持續(xù)有效直至當(dāng)事方最后一次的數(shù)據(jù)處理事項(xiàng)完成。

9.2主協(xié)議不生效、無(wú)效、被撤銷(xiāo)或者終止的，不影響本約定的效力。

10其他約定

10.1如果司法機(jī)關(guān)或監(jiān)管機(jī)構(gòu)認(rèn)為本約定條款的任何部分全部或部分無(wú)效或不可執(zhí)行，本約定其他條款的有效性以及所涉條款的其余部分均不受影響。

10.2各方同意并確認(rèn)可以在線(xiàn)簽署本約定，且以在線(xiàn)形式簽署的協(xié)議視為書(shū)面協(xié)議，與以紙質(zhì)形式簽署的文件具有相同法律效力，各方均應(yīng)同樣遵守。同時(shí)，鑒于本約定項(xiàng)下的內(nèi)容均未超出各方法定義務(wù)范疇，為確保各方合作項(xiàng)下的數(shù)據(jù)處理活動(dòng)滿(mǎn)足可適用法律法規(guī)的合法合規(guī)要求，本約定亦可通過(guò)由螞蟻集團(tuán)向合作伙伴通知送達(dá)的方式進(jìn)行簽署。

10.3本約定由中華人民共和國(guó)法律法規(guī)管轄并據(jù)其解釋?zhuān)绺鞣揭虮炯s定發(fā)生爭(zhēng)議，各方應(yīng)友好協(xié)商解決，如協(xié)商不成，參照主協(xié)議爭(zhēng)議解決。

https://mp.weixin.qq.com/s/mDPd4uSRbwNCxT1A3CJLqA