數據處理附錄

如何執行此資料保護協定：

要完成此資料保護協議，請發送電子郵件。 合法的@digital.ai收到有效填寫的DPA後 Digital.ai此類資料保護協議將具有法律約束力。

可下載《資料保護法》的PDF文件版本。 此處 供客戶評價。

數據處理附錄

本資料保護附錄（“DPA”）構成雙方之間協議（定義見下文）的一部分 Digital.ai 以及客戶 Digital.ai 向客戶提供服務。除非本協議另有定義，所有大寫術語均具有適用協議中賦予它們的含義。

Digital.ai 在根據本協議向客戶提供服務的過程中，可能會處理受歐盟《一般資料保護條例》（(EU) 2016/679 號條例）約束的客戶個人資料。歐盟通用資料保護條例」）以及歐盟《一般資料保護規範》(GDPR)，因為它根據2018年《歐盟（退出）法案》第3條成為英國法律的一部分（“英國 GDPR”）（統稱為“GDPR”）或其他資料保護法律。本資料處理協議規定了雙方根據本協議處理個人資料的義務。

鑑於雙方在此所列的相互義務，雙方同意遵守下列規定，各自以合理和誠信的方式行事。

1.定義

“成爲Affiliates「控制方」指直接或間接擁有、控制一方或受一方控制，或與一方受同一控制的任何個人或實體，其中控制定義為擁有或支配被控制實體中超過 50% 的有表決權的股權證券或類似所有權權益。

“協議「指雙方之間所有現有與未來的協議 Digital.ai 以及與此相關的客戶 Digital.ai 提供涉及代表客戶處理個人資料的服務，例如主訂閱協議（“海事局」）以及所有適用於服務的訂單。本資料處理協議透過此引用併入上述協議。

“控制器「是指單獨或與他人共同決定個人資料處理的目的和方式的實體。

“數據保護法「指所有適用於保護個人基本權利和自由以及其在本協議項下處理個人資料方面的隱私權的資料保護法律，包括地方、州、國家和/或外國法律法規、GDPR以及GDPR在國家法律中的實施細則，無論這些法律法規是否經過修訂、替換或廢除。

“個人資料「客戶資料」指與已識別或可識別的自然人相關的任何客戶資料（定義見本協議）。數據主題」），受資料保護法保護。

“個人數據洩露「安全漏洞」是指導致傳輸、儲存或以其他方式處理的個人資料遭到意外或非法銷毀、遺失、更改、未經授權的揭露或訪問，並且根據資料保護法，控制者有義務向主管資料保護機構或資料主體發出通知的安全漏洞。

“處理中「操作」是指對個人資料或個人資料集執行的任何操作或一系列操作，無論是否透過自動化方式，例如收集、記錄、組織、建置、儲存、改編或變更、檢索、查閱、使用、透過傳輸、傳播或其他方式揭露、排列或組合、限制、擦除或銷毀。

"處理器「指代表控制者處理個人資料的實體。

“服務範圍「指根據本協議提供維護和支援服務和/或軟體即服務（「SaaS」）和/或任何其他託管、管理或其他形式的服務，且該等服務旨在實現本協議的目的。 Digital.ai 代表客戶處理個人資料。

“標準合約條款「指 (i) 在歐盟《一般資料保護規範》(GDPR) 適用的情況下，指歐盟委員會 2021 年 6 月 4 日關於根據歐洲議會和理事會第 2016/679 號條例向第三國傳輸個人資料的實施決定 (EU) 2021/914 所公佈條款，該決定已正式附。 https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj  （'2021 年標準合約條款」）；以及 (ii) 在適用英國 GDPR 的情況下，根據英國 GDPR 第 46 條採納或允許的標準資料保護條款，如正式發佈於 https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087 （'2010 年標準合約條款“）。

“分包商」 的意思是 Digital.ai 關聯公司或第三方受聘 Digital.ai 與服務相關，並根據本資料處理協議處理個人資料。

“監管機構「是指根據適用的資料保護法律設立的獨立公共機構。

2. 個人資料處理

2.1. 各方的角色。本資料處理協定適用於以下情況對個人資料的處理： Digital.ai 及其與提供服務相關的子處理者。就本資料處理協議而言， Digital.ai 是處理器，客戶是控制器。

2.2 處理範圍。個人資料處理的主題和期限在協議中有所規定，該協議描述了向客戶提供的服務。代表客戶處理個人資料的性質和目的、個人資料類型以及資料主體類別均在協議中有所規定。 附件二 致該資料保護協定。

2.3. 說明。 Digital.ai 僅代表客戶並依照客戶的書面指示處理個人資料。本協議（包括本資料處理協議）構成處理客戶個人資料的初始書面指示，每次使用服務均構成進一步指示。 Digital.ai 我們將盡合理努力遵守客戶的其他合理指示，前提是這些指示符合協議條款、資料保護法要求且技術上可行。 Digital.ai 如果無法遵守指示或 Digital.ai根據本公司意見，任何客戶指示均不得違反適用的資料保護法律。

2.4. 遵守法律。雙方同意遵守所有適用的資料保護法律，詳情如下：

2.4.1 Digital.ai 應遵守所有適用的資料保護法律 Digital.ai 作為個人資料處理者，在提供服務時， Digital.ai 應依照客戶的書面指示處理個人數據，包括將個人資料傳輸到第三國或國際組織（如第 7 節所述）。 Digital.ai 在適用資料保護法律要求的情況下，我們也可能處理個人資料。 Digital.ai 除非法律基於重要的公共利益理由禁止此類通知，否則應在處理之前告知客戶該法律要求。

2.4.2. 客戶作為資料控制者，應遵守所有適用於客戶的資料保護法律，並應獲得所有必要的同意，並向資料主體提供所有必要的通知，以便其能夠… Digital.ai 為依法進行本資料處理協議所設想的處理，客戶應負責個人資料的準確性和質量，以及客戶獲取個人資料的方式。

3. 資料主體權利

3.1. 資料主體請求。 Digital.ai 將以與服務功能一致的方式，並且 Digital.ai作為資料處理者，應向客戶提供合理的支持，使客戶能夠回應資料主體根據適用的資料保護法律行使其權利的請求（“數據主體請求“）。

3.2. 回應資料主體請求。客戶負責回應資料主體請求。如果 Digital.ai 收到資料主體關於個人資料處理的請求或其他投訴， Digital.ai 在法律允許的範圍內，如果資料主體已提供足夠的資訊以識別客戶，則將及時通知客戶。除非適用法律另有規定， Digital.ai 未經客戶事先書面授權或指示，不得回應任何此類資料主體請求，但確認該請求與客戶相關的除外。

4. 個人資料的保留與刪除

4.1. 個人資料保留。在雙方協議終止和/或本資料處理協議適用的服務終止後， Digital.ai 應根據資料保護法律和/或本協議條款，在合理可行的範圍內盡快刪除或返還任何客戶個人數據，除非適用法律要求進一步儲存。

5. 處理安全性

5.1. 安全措施。 Digital.ai 將實施並維持適當的技術和組織措施，具體規定見下文。 附件二 根據本資料處理協議，客戶應根據適用的資料保護法律，保護個人資料免遭意外或非法銷毀、遺失、變更、未經授權的揭露或存取。客戶有責任自行判斷服務的技術和組織措施是否符合客戶的要求，包括其在適用資料保護法律下的任何安全義務。

5.2. 人員。處理個人數據， Digital.ai 及其分包商僅可向已承諾遵守至少與本資料處理協議或本協議同等保密要求的授權人員授予存取權限。此類人員應依照客戶在本協議中規定的指示處理個人數據，且僅限於履行服務所必需的範圍。

6. 子加工商

6.1. 使用分包商。客戶授權 Digital.ai 依本資料處理協議聘用分包商，但前提是： Digital.ai 應與此類分包商簽訂符合本協議條款的書面協議。 Digital.ai 對於任何分包商的行為和不作為，本公司應承擔與分包商自身行為和不作為同等的責任。 Digital.ai.

6.2. 子處理器列表。以下列出了所使用的子處理器： Digital.ai 為提供服務，本資料處理協議的生效日期請參閱附件三，並已公佈於： https://info.digital.ai/rs/981-LQX-968/images/Data-Protection-FAQ-February-2025.pdf  （'子處理器列表“）。 Digital.ai 如擬對子處理者名單進行任何新增或替換，應至少提前三十 (30) 天透過更新已公佈的子處理者名單的方式通知客戶，方可授權任何新的子處理者處理個人資料。

6.3. 異議權。本第 6.3 條適用於客戶在歐洲經濟區（「歐洲經濟區」）設立的情況。EEA”），英國（“UK」）和/或瑞士，或客戶適用的資料保護法律另有規定的情況。在此情況下，如果客戶基於與資料保護相關的合理理由提出異議，則 Digital.ai如果客戶使用新的子處理器，則客戶應立即在十五 (15) 天內通知我們。 Digital.ai根據上文第 6.2 條的規定發出通知，並提供 Digital.ai 並以書面提出異議。如果出現此類異議， Digital.ai 將採取商業上合理的措施來解決客戶提出的異議，並向客戶提供合理的書面解釋，說明為解決此類異議而採取的措施。

7.資料傳輸

7.1. 轉帳。客戶授權 Digital.ai 及其子處理者為提供服務之目的處理個人數據，該處理可能包括根據本數據處理協議的條款進行必要的個人數據傳輸。

7.2. 受限傳輸。根據本資料處理協議，所有從歐洲經濟區、英國和/或瑞士向無法確保符合上述地區資料保護法所指的充分資料保護水準的國家/地區傳輸個人資料均屬受限（“受限制的國家」）應受相關標準合約條款的約束，這些條款已納入本資料處理協議。 safe本第 7 條規定的保護措施適用於：(i) 在適用歐盟 GDPR 的情況下，將個人資料從歐洲經濟區或瑞士傳輸到受限國家/地區；以及 (ii) 在適用英國 GDPR 的情況下，將個人資料從英國傳輸到受限國家/地區；（「受限轉讓“）。

7.3. 控制者與處理者之間的標準合約條款：標準合約條款適用於客戶（作為「資料匯出者」）向處理者進行的任何受限個人資料傳輸。 Digital.ai （作為「資料導入者」），具體如下：

7.3.1. 歐盟個人數據對於受歐盟《一般資料保護規範》(GDPR)保護的個人數據，2021版標準合約條款(SCC)將以以下方式適用：(i) 適用第二模組（控制者至處理者），第一、三和四模組將完全刪除；(ii) 刪除第7條，雙方可透過簽署補充資料處理協議(DPA)（以可取得的版本為準實體）將其他實體簽署。 此處（三）第9條適用選項2，具體內容詳見本資料處理協議第6節；（五）第17條適用選項1，2021年標準合約條款受荷蘭法律管轄；（六）第18(b)條規定的爭議應由荷蘭法院解決；以及（七）2021年標準合約條款的附件資訊和附件二應填寫本資料所處理資訊。

7.3.2. 瑞士個人數據就2021年標準合約條款而言，「成員國」一詞的解釋不得排除瑞士境內的資料主體根據第18(c)條在其慣常居住地（瑞士）提起訴訟以維護其權利的可能性。在2022年12月31日之前以及適用瑞士法律要求的任何更長期限內，2021年標準合約條款也應保護1992年6月19日瑞士聯邦資料保護法（SR 235.1；「FADP」）範圍內的法人實體的資料。

7.3.3. 英國個人數據對於受英國《一般資料保護規範》(GDPR)保護的個人數據，2010 年版標準合約條款 (SCC) 將適用於從英國傳輸個人資料的情況。英國資料保護局為遵守 2018 年英國《資料保護法》中關於國際資料傳輸的規定而對 2010 年版標準合約條款進行的任何未來變更、更新或修訂，均應納入客戶與供應商之間的協議，並構成該協議的一部分。 Digital.ai2010 年標準合約條款的附錄 1 和附錄 2 應填入本資料處理協議附件一和附件二所列的資訊。

7.4. 澄清。雙方均無意且本資料處理協議（DPA）的效力在於與標準合約條款中的任何規定相抵觸或限制。本DPA在任何情況下均不限制任何資料主體或主管監理機關的權利。本DPA的任何內容均不得解釋為優先於2010版標準合約條款或2021版標準合約條款中任何與之衝突的條款。如果本DPA進一步規定了審計和子處理者規則，則該等規定同樣適用於2010版標準合約條款和2021版標準合約條款。

7.5. 替代資料傳輸機制。為避免疑義，如果本第 7 條規定的傳輸機制被主管機關或有管轄權的法院認定為無效，雙方應本著誠意努力協商替代機制（如可行且必要），以允許繼續傳輸個人資料。

8. 個人資料外洩通知

8.1. 個人資料外洩通知。 Digital.ai 一旦發現任何涉及客戶個人資料的個人資料外洩事件，我們將立即通知客戶，不得無故拖延。 Digital.ai 並提供其所掌握的合理信息，以協助客戶履行其根據資料保護法要求報告個人資料外洩的義務。 Digital.ai 將盡合理努力查明此類個人資料外洩的原因，並採取適當措施減輕影響，盡可能減少個人資料外洩造成的任何損害。 Digital.ai超出合理控制範圍。通知將依照第 8.2 條的規定送達客戶。該通知不應被解釋或理解為承認過錯或責任。 Digital.ai.

8.2. 通知送達。如有任何個人資料外洩事件，通知將透過以下方式送達客戶的一位或多位業務、技術或管理聯絡人： Digital.ai 可透過多種方式聯繫，包括電子郵件。客戶有責任確保始終提供並維護準確的聯絡資訊。

9。 審計

9.1. 資訊請求。 Digital.ai 應在客戶提出合理的書面請求後，向客戶提供與處理客戶個人資料相關的必要信息，以證明其合法性。 Digital.ai遵守本資料處理協議項下的義務。

9.2.客戶審核。 Digital.ai 應允許客戶（或其獨立審計師）就處理的個人資料提出檢查請求 Digital.ai 為了驗證 Digital.ai若符合以下條件，則視為遵守本資料保護協議：（a） Digital.ai 未能提供充分的書面證據證明其符合技術和組織措施，例如符合 ISO 27001 或其他標準的認證；(b) 發生個人資料外洩；(c) 客戶的監管機構正式要求進行審計；或 (d) 資料保護法賦予客戶強制性現場檢查權；但前提是，除非強制性資料保護法要求更頻繁的檢查，否則客戶每年行使該權利超過一次。任何由以下機構提供的信息 Digital.ai 根據本協議第9條，相關人員須遵守本協議的保密義務。此類檢查將以不影響被檢查設施、網路和系統的安全性、保密性、完整性、可用性和連續性，且不損害其中處理的任何機密資料的方式進行。

9.3 審計費用。除非審計發現有重大違約，否則客戶應承擔任何審計費用。 Digital.ai 然後，根據這項資料保護協議 Digital.ai 應自行承擔審計費用。如果審計結果確定： Digital.ai 已違反其在本資料處理協議下的義務， Digital.ai 將立即自費糾正違約行為。

10. 資料保護影響評估

10.1. 如果適用的資料保護法律要求客戶就其使用服務進行資料保護影響評估或事先諮詢監管機構， Digital.ai 應客戶合理要求，我們將提供服務通常可獲得的文件；例如，任何當時有效的服務組織控制 (SOC) SOC 2 報告、ISO/IEC 27001:2013 認證和/或適用於服務的類似行業標準後續報告。

10.2. 為配合監管機構履行與本第10條相關的職責，雙方應根據資料保護法的要求，並考慮到處理的性質和可獲得的信息，就與監管機構的合作或事先磋商提供的任何額外協助達成一致。 Digital.ai在法律允許的範圍內，客戶應承擔由此產生的任何費用。 Digital.ai提供此類援助

11。 一般

11.1. 客戶關聯方。客戶負責協調與所有關聯方的溝通。 Digital.ai 客戶代表其關聯公司就本資料處理協議作出聲明。客戶聲明其已取得授權代表其關聯公司簽訂本資料處理協議及任何納入本協議或依本資料處理協議所簽訂的標準合約條款，發出指示，並就本資料處理協議進行及接收任何通訊或通知。

11.2 衝突。本資料處理協議適用其所附主協議的法律和管轄法院。若本資料處理協定與該主協定之間存在任何衝突或不一致之處，則以本資料處理協定為準，但僅限於與個人資料相關的部分。

11.3. 終止。本資料處理協議的期限將根據協議條款終止。

11.4. 其他事項。本協議中凡提及“資料保護協議”，均指本協議及其附件和/或附錄。本協議中的章節標題僅供參考，不應以任何方式影響本協議的含義或解釋。

為此，雙方簽署本資料處理協議，該協議成為客戶與對方之間協議的約束性組成部分。 Digital.ai截至下方客戶簽名日期。若本文件已由任何一方進行電子簽名，則該電子簽名與手寫簽名具有同等法律效力。

附件一

處理過程描述

本附件 1 適用於描述依據 2010 年標準合約條款、2021 年標準合約條款和適用的資料保護法處理客戶個人資料的情況。

A. 當事人名單

數據導出者：

1。 名稱： 客戶名稱以相關協議中所示為準

地址： 客戶地址以相關協議中所示為準

聯絡人姓名、職位及聯絡方式： 協議的授權簽字人

相關活動： 用於 Digital.ai根據本協議，提供產品和服務。

簽名及日期： 透過簽署資料處理協議，資料匯出方將被視為已於資料處理協議生效日簽署了本協議所包含的標準合約條款。

角色（控制器/處理器）：   控制器

數據導入者：

名稱： Digital.ai 軟件公司

地址： 北卡羅來納州羅利市費耶特維爾街555號210室，郵編：27601

聯絡人姓名、職位及聯絡方式： 合法的@digital.ai

相關活動： 提供 Digital.ai根據本協議，提供產品和服務。

簽名及日期： 透過簽訂資料處理協議，資料匯入方將被視為已於資料處理協議生效之日簽署了本協議中包含的標準合約條款。

角色（控制器/處理器）： 處理器

B. 轉讓說明

個人資料被傳輸的資料主體類別：

資料主體類別包括客戶用戶（定義見協定） Digital.ai 產品與服務。

傳輸的個人資料類型：

身分資訊（姓名、職稱、電子郵件地址）；登入資訊（使用者名稱和密碼）；登入資料（日誌的時間和日期）；與使用者支援請求相關的資料。

傳輸的敏感資料（如適用）及所應用的限製或 safe應採取充分考慮資料性質和相關風險的安全措施，例如嚴格限制資料用途、限制存取權限（包括僅限經過專門培訓的員工存取）、記錄資料存取情況、限制後續傳輸或採取其他安全措施。:

不處理任何敏感訊息 Digital.ai.

傳輸頻率（例如，資料是一次性傳輸還是連續傳輸）：

雲端產品和服務的轉帳將持續進行，而支援請求的轉帳將以一次性方式進行。

處理性質：

Digital.ai 作為處理者，處理客戶在使用過程中提交的個人資料。 Digital.ai的產品和服務；處理的性質包括傳輸、儲存以及根據協議條款規定的其他處理活動。

資料傳輸和進一步處理的目的：

提供和支持 Digital.ai依照本協議（包括本資料處理協議）中約定的方式，向客戶提供產品和服務。

個人資料的保留期限，或者，如果不可能，則用於確定該期限的標準:

在與…簽訂的協議有效期限內 Digital.ai除非本協議另有規定，或法律另有允許或要求。

對於向（子）處理者傳輸數據，也應具體說明處理的主題、性質和持續時間：

Digital.ai （資料導入器）使用在下列位置識別的子處理器： 子處理器列表 載於 附件三， 支持 Digital.ai 在向客戶（資料導出者）提供產品和服務方面。 處理事項和處理期限已在本附件中概述。具體子處理服務的性質在子處理商清單中有更詳細的說明。 附件三中列明。

C. 主管監督機構

根據第13條規定，確定主管監理機關：

根據標準合約條款第 13 條確定的主管監理機關。

• 2021 年標準合約條款：2021 年標準合約條款的適用法律為荷蘭法律。

• 2010 標準合約條款：2010 標準合約條款應受資料出口商所在成員國（即英國）的法律管轄。

附件二

技術和組織安全措施

本附件二旨在描述 2010 年標準合約條款、2021 年標準合約條款和適用資料保護法的適用技術和組織措施。

資料導入者已實施附件二中規定的技術和組織措施，以確保適當的安全級別，同時考慮到處理的性質、範圍、背景和目的，以及對自然人的權利和自由造成的各種可能性和嚴重程度的風險。

技術和組織措施的描述，包括確保以下方面的技術和組織措施： 資料安全：

資訊安全政策、程序和標準. Digital.ai 將維護資訊安全計畫（包括採納和執行內部政策和程序），旨在協助保護個人資料免於意外或非法遺失、存取或外洩。對所有以下內容進行審查 Digital.ai 資訊安全策略、流程和技術標準至少每年進行一次審查。在適用情況下，可提供個人資料備份副本並定期進行測試，以確認其完整性並證明其可靠性。關鍵系統會定期進行漏洞評估，滲透測試至少每年進行一次。

加密. Digital.ai 採用符合業界最佳實踐的安全加密方法來保護靜態資料和傳輸中的資料。所使用的加密方法達到或超過傳輸層安全協定 (TLS) 1.2 或高級加密標準 (AES) 256 的要求。

審計如適用， Digital.ai 將聘請外部審計師和/或進行內部審計，以根據 ISO 27001、SOC 2 或 ISO 13485 標準驗證其安全措施的充分性。

存取控制。使用者身分識別和授權。 Digital.ai 將維護存取控制和策略，以管理允許的存取權限。 Digital.ai 網路從每個網路連接和用戶，包括使用防火牆或功能等效的技術和身份驗證控制。

實體安全。 實體屏障控制用於防止未經授權的人員進入處理個人資料的設施，這些設施無論是由個人資料處理者本人處理還是代表個人資料處理者處理。 Digital.ai安保措施涵蓋周界和樓宇入口。通常情況下，進入需要電子門禁系統驗證（例如，門禁卡系統等）或人工保全人員驗證（例如，保全公司或內部保全、接待員等）。員工和承包商均需佩戴帶有照片的身份識別徽章，且在任何設施內活動時都必須佩戴。訪客需在指定人員處登記，出示有效身份證明，並佩戴訪客身份識別徽章，且在任何設施內活動時都必須佩戴。訪客在參觀期間必須始終由授權的員工或承包商陪同。

事件日誌記錄。 Digital.ai的網路和系統經過配置，可以記錄系統錯誤和安全事件，並且日誌檔案受到保護，防止使用者更改。

系統配置。 Digital.ai 將制定、記錄並維護所有相關係統的最新基線配置。基線必須每年進行審查和更新，並根據系統升級、修補程式或其他重大變更的需要進行更新。必須保留先前的配置以支援回滾。對於具有更高安全控制等級的資訊系統或計算機，必須建立最低基線配置。