数据处理协议
本数据处理协议(下称“本 DPA”)构成 Windflow(下称“处理者”)与使用 Windflow 代他人处理个人数据的企业客户(下称“控制者”)之间《用户协议》的一部分。它仅在 Windflow 作为处理者、代控制者处理个人数据的范围内适用。如果你是个人、为自己的目的使用 Windflow,本 DPA 不适用,届时以我们的隐私政策为准。
1. 定义
“个人数据”“处理”“控制者”“处理者”“子处理商”“数据主体”等术语,具有适用数据保护法律(在适用时包括欧盟《通用数据保护条例》(GDPR))赋予的含义。
2. 范围与适用
当控制者使用 Windflow 处理其负责的个人数据时,适用本 DPA。控制者决定该处理的目的和方式;Windflow 仅按控制者的书面指示(包括《用户协议》和本 DPA 所载)处理此类个人数据。
3. 数据处理详情
- 标的与期限。处理持续至控制者使用 Windflow 的期间。
- 性质与目的。提供 Windflow 服务——在控制者指示下操作网页并运行 AI 任务。
- 数据主体类别。控制者的授权用户,以及其数据出现在 Windflow 所处理内容中的任何个人。
- 个人数据类型。账户信息(如邮箱地址),以及经 Windflow 官方 AI 服务处理的浏览内容中所含的任何个人数据。
- 本地优先豁免。当你使用自己的 AI 服务商密钥(BYOK)时,浏览内容直接从你的设备发送给你所选的服务商,不由 Windflow 处理;此类数据不在本 DPA 范围内。
4. 控制者与处理者义务
控制者负责确保其处理具备合法依据,并对其所给指示的准确性与合法性负责。Windflow(处理者)将:仅按控制者的书面指示处理个人数据;确保获授权处理数据的人员负有保密义务;并实施下文所述的适当安全措施。
5. 安全措施
Windflow 维持与风险相称的合理技术与组织措施,包括传输加密、访问控制,以及依托成熟的基础设施服务商。没有任何系统是绝对安全的,但我们采取商业上合理的措施保护个人数据。
6. 数据主体权利
考虑到处理的性质,Windflow 将提供合理协助,帮助控制者响应数据主体行使其权利(如访问、更正或删除)的请求。
7. 子处理商
控制者授权 Windflow 使用以下子处理商:
- Cloudflare, Inc. —— 托管、官方 AI 模型推理、人机验证(Turnstile)及邮件发送。
- Google LLC —— 登录 / 身份验证。
- Stripe, Inc. —— 支付处理(仅在启用付费功能时;目前未使用)。
Windflow 对其子处理商施加与本 DPA 相当的数据保护义务,并会将子处理商的拟议变更告知控制者,使控制者有机会提出异议。
8. 国际数据传输
在个人数据发生跨境传输时,Windflow 依据适用法律采取适当的传输机制,例如欧盟委员会的标准合同条款(SCC)或适用的充分性认定。
9. 数据留存与删除
经 Windflow 官方 AI 服务处理的个人数据不做留存——转发以完成任务后即不再保存。账户数据在账户存续期间留存,并在账户关闭后或应控制者请求时删除,除非法律要求留存。
10. 审计权
在合理的事先通知下、每年不超过一次、并在保密前提下,Windflow 将提供为证明其遵守本 DPA 所合理必要的信息。
11. 责任限制
本 DPA 项下各方的责任,受《用户协议》所载责任限制与免除条款的约束。
12. 数据保护联系
如涉数据保护事宜,请通过 support@windflow.app 联系我们。
13. 适用法律与管辖
本 DPA 受《用户协议》所载法律与管辖约束。
14. 修订
Windflow 可能会不时更新本 DPA。重大变更将通过更新上方的“最后更新”日期予以体现。
15. 标准合同条款
在国际传输需要时,双方同意欧盟委员会的标准合同条款以引用方式并入本 DPA,并适用于相关传输。
16. 冲突
就个人数据处理而言,若本 DPA 与《用户协议》存在冲突,以本 DPA 在冲突范围内为准。