Apigee 产品的数据处理和安全条款(客户)

上次修改日期:2019 年 1 月 28 日

同意接受本条款的客户(下称“客户”)与 Google LLC(以前称为 Google Inc.)、Google Ireland Limited、Google Asia Pacific Pte. Ltd.、Google Australia Pty Ltd. 或者直接或间接控制 Google LLC、被 Google LLC 控制或与 Google LLC 受共同控制的其他任何实体(视实际情况而定,以下统称“Google”)已达成协议(经不时修订,下称“协议”),Google 同意根据该协议向客户提供云服务。

Apigee 产品的这些数据处理和安全条款,包括其附件(下称“条款”),自条款生效日期(见下文定义)起生效,届时将替换所有以前适用的数据处理和安全条款。

这些条款是对协议的补充。若协议不能正常履行,则本条款将取代协议中任何管辖客户数据处理、安全性或隐私的条款。


1. 简介

本条款反映了双方就协议规定的客户数据处理和安全性条款达成的一致。


2. 定义

2.1 本条款中使用但未定义的术语采用协议中规定的含义。除非另有规定,否则在本条款中,以下术语将采用如下含义:

  • 附加安全控制措施是指客户可以根据其选择和/或确定使用的安全资源、特性、功能和/或控制措施,包括管理控制台以及云服务的其他特性和/或功能,如加密键值映射、日志记录和监控、身份和访问权限管理、数据脱敏和速率限制。
  • 管理控制台是指 Google 向客户提供的用于管理云服务的在线控制台和/或工具。
  • 约定的法律责任限额是指根据协议规定,一方按年度或按引起该法律责任的事件(视情况而定)承担的货币金额或付款金额上限。
  • 关联公司采用协议中规定的含义,若协议中未规定,则是指任何直接或间接控制一方、被一方控制或与该方受共同控制的实体。其中“控制”指控制一方百分之五十以上的投票权或股权。
  • 替代转移解决方案是指除《示范合同条款》之外,允许根据 GDPR 第 45 或 46 条(如《欧盟-美国隐私护盾》)将个人数据合法转移到第三方国家/地区的解决方案。
  • 经过审核的服务是指除根据 Apigee 产品弃用政策停用的云服务以外的云服务。
  • 云服务是指 http://apigee.com/about/specification-sheets 中详细介绍的 Edge 云服务产品。
  • 客户数据是指通过云服务,在客户的 Google 帐号下,由客户或客户的最终用户提供或代表客户或客户的最终用户提供的数据。
  • 客户个人数据是指客户数据中包含的个人数据。
  • 数据突发事件是指 Google 安全体系遭到入侵,从而导致 Google 管理的或以其他方式控制的系统上的客户数据遭到意外或非法破坏、丢失、更改、未经授权的披露或访问。“数据突发事件”不包括未破坏客户个人数据安全的失败尝试或活动,包括失败的登录尝试、ping、端口扫描、拒绝服务攻击以及防火墙或联网系统上发生的其他网络攻击。
  • Apigee 产品的弃用政策是指在 https://docs.apigee.com/deprecation 上列出的 Apigee 产品的弃用政策。
  • EEA 是指欧洲经济区。
  • 欧洲数据保护法规是指(如适用):(a) GDPR;和/或 (b) 1992 年 6 月 19 日颁布的《联邦数据保护法》(瑞士)。
  • GDPR 是指欧洲议会和欧盟理事会在 2016 年 4 月 27 日通过的第 2016/679 号(欧盟)条例,该条例针对在个人数据处理方面对自然人进行保护以及此类数据的自由流动作出规定,该条例取代了欧盟指令 95/46/EC。
  • Google 的第三方审核机构是指 Google 指定的、符合条件且独立的第三方审核机构,Google 将向客户披露该机构当时的身份。
  • 基础架构提供商采用第 5.3 条(“基础架构提供商”)中的定义。
  • ISO 27001 认证是指针对经过审核的服务的 ISO/IEC 27001:2013 认证或类似认证。
  • ISO 27017 认证是指针对经过审核的服务的 ISO/IEC 27017:2015 认证或类似认证。
  • ISO 27018 认证是指针对经过审核的服务的 ISO/IEC 27018:2014 认证或类似认证。
  • 示范合同条款MCC 是指为了向在不能确保足够的数据保护的第三方国家/地区设立的处理方转移个人数据而制定的标准数据保护条款,如 GDPR 第 46 条所述。
  • 非欧洲数据保护法规是指欧洲经济区和瑞士以外地区实施的数据保护或隐私法规。
  • 通知电子邮件地址是指客户在管理控制台、技术支持门户或者订购单或订购文档(如适用)中指定的电子邮件地址,用于接收 Google 的某些通知。
  • 安全文档是指 Google 根据第 7.5.1 条(“安全文档的审核”)提供的所有文档和信息。
  • 安全措施采用第 7.1.1 条(“Google 的安全措施”)中的定义。
  • SOC 2 报告是指由 Google 的第三方审核机构就与经过审核的服务相关的 Google 系统检查逻辑安全控制、物理安全控制和系统可用性而发布的机密服务组织控制 (SOC) 2 报告(或类似报告)。
  • SOC 3 报告是指由 Google 的第三方审核机构发布的与经过审核的服务相关的服务组织控制 (SOC) 3 报告(或类似报告)。
  • 分包商是指根据本条款获得授权,可以合理访问和处理客户数据以提供部分云服务和支持的第三方。
  • 期限是指从条款生效日期到 Google 的云服务提供结束的这段时期,包括(如适用)可能暂停提供云服务的任何时期以及 Google 为实现过渡可能继续提供云服务的任何终止后时期。
  • 条款生效日期指客户接受本条款或双方就其另行约定的日期。

2.2 本条款中使用的“个人数据”、“数据主体”、“处理”、“控制方”、“处理方”和“监督机构”这些术语采用 GDPR 中的定义,“数据导入方”和“数据导出方”这两个术语采用《示范合同条款》中的定义,无论是遵循欧洲数据保护法规还是遵循非欧洲数据保护法规的情况,这两条规定都适用。


3. 本条款的期限与修改

本条款自条款生效日期起生效,期限届满后仍然有效,在 Google 按照本条款中所述删除所有客户数据之时自动失效。Google 仅可在以下情况下更改本条款:(a) 需要进行此类更改以遵守适用法律、适用法规、法院命令或者政府监管机构或政府机关颁布的准则;(b) 本条款明确规定允许此类更改;或 (c) 此类更改满足以下要求:

  • 在商业上是合理的;
  • 不会导致服务的整体安全性下降;
  • 不会扩大本条款第 5.2 条(“处理范围”)所述的 Google 客户个人数据处理范围,也不会对 Google 的客户个人数据处理移除任何限制;并且
  • 不会以其他方式对本条款规定的客户权利产生实质性不利影响。

如果 Google 根据此条规定对本条款进行了实质性更改,Google 将把修改内容发布到包含本条款的网址中。不论协议中有无相反的规定,对本条款进行修改都无需客户和 Google 签署书面文件。Google 可能会不时更改本条款中引用的任何网址以及任何此类网址中的内容。


4. 数据保护法规的范围

4.1 欧洲法规的适用范围。 双方均认可并同意在以下情况下,将按照欧洲数据保护法规要求处理客户个人数据,例如:

  • 处理是在 EEA 领土范围内设立的客户开展的活动背景下进行的;并且/或
  • 客户个人数据是与 EEA 的数据主体相关的个人数据,且处理涉及在 EEA 向其提供商品或服务或监控其在 EEA 的行为。

4.2 非欧洲法规的适用范围。 双方均认可并同意还将按照非欧洲数据保护法规要求处理客户个人数据。

4.3 本条款的适用范围。 除非本条款另有规定,否则无论是按照欧洲数据保护法规还是非欧洲数据保护法规要求处理客户个人数据,本条款均适用。


5. 数据的处理

5.1 角色和法规遵从性;授权。

5.1.1 处理方和控制方的责任。 如果按照欧洲数据保护法规要求处理客户个人数据,则表示双方均认可并同意以下事项:

  • 处理的标的和详细信息如附录 1 中所述;
  • 根据欧洲数据保护法规规定,Google 是此等客户个人数据的处理方;
  • 根据欧洲数据保护法规规定,客户是此等客户个人数据的控制方或处理方(如适用);并且
  • 各方将履行欧洲数据保护法规中与处理此等客户个人数据相关的义务。

5.1.2 第三方控制方的授权。 如果按照欧洲数据保护法规要求处理客户个人数据且客户是处理方,则客户须向 Google 保证,其针对此等客户个人数据的指示和行动(包括将 Google 任命为另一个处理方)均已获得相关控制方的授权。

5.1.3 非欧洲法规规定的责任。 如果任何一方按照非欧洲数据保护法规要求处理客户个人数据,则表示双方均认可并同意相关方将履行该法规中与处理此等客户个人数据相关的任何适用义务。

5.2 处理的范围。

5.2.1 客户指示。 客户通过签订本条款,指示 Google 仅根据涉及以下方面的适用法律处理客户个人数据:(a) 提供云服务和支持;(b) 通过客户对云服务(包括管理控制台和云服务的其他功能)和支持的使用情况所作的另外规定;(c) 以协议(包括本条款)形式记录的规定;(d) 由客户在其他书面指示中提供且由 Google 认可为本条款所属指令的另外规定。

5.2.2 Google 对指示的遵从。 Google 将遵守第 5.2.1 条(“客户指示”)中所述的指示(包括与数据转移相关的指示),除非 Google 所遵守的欧盟或欧盟成员国法律要求 Google 对客户个人数据进行其他处理,在这种情况下,Google 将通过通知电子邮件地址通知客户(除非该法律出于重要公共利益的原因禁止 Google 发出通知)。

5.3 基础架构提供商。 客户授权 Amazon Web Services, Inc.、Acquia Inc. 和 Pantheon Systems, Inc.(均称为“基础架构提供商”)通过 Google 的关联公司分包商 Apigee Corporation,在提供云服务时提供底层基础架构服务。


6. 数据的删除

6.1 由客户删除。 Google 允许客户在期限内按照云服务功能运作的方式删除客户数据。如果客户在期限内使用云服务删除任何客户数据且客户无法再恢复这些客户数据,则此行为将构成以下指示,即让 Google 根据适用法律从 Google 系统中删除相关客户数据。Google 将在合理可行的情况下尽快并在最长 180 天的期限内按照此指示操作,除非欧盟或欧盟成员国法律要求存储。只有删除客户的帐号会导致所有相关数据被删除。

6.2 终止时删除。 在期限届满时,客户应指示 Google 根据适用法律从 Google 的系统中删除所有客户数据(包括现有副本)。Google 将在合理可行的情况下尽快并在最长 180 天的期限内按照此指示操作,除非欧盟或欧盟成员国法律要求存储。在不违反第 9.1 条(“访问;校正;受限处理;可携性”)规定的情况下,客户应认可并同意,其负责在期限届满之前导出其希望保留的所有客户数据。


7. 数据安全

7.1 Google 的安全措施、控制和协助。

7.1.1 Google 的安全措施。 Google 将实施并维护技术和组织措施,以保护客户数据免遭意外或非法毁坏、丢失、篡改、未经授权的披露或访问,如附录 2(“安全措施”)中所述。如附录 2 中所述,“安全措施”包括对个人数据进行加密的措施;有助于确保 Google 系统和服务的持续机密性、完整性、可用性和灵活性的措施;有助于在突发事件发生后及时恢复个人数据访问的措施;以及定期测试有效性的措施。Google 可能会不时更新或修改安全措施,前提是此类更新和修改不会导致云服务的整体安全性下降。

7.1.2 Google 员工对安全法规的遵从。 Google 将采取相应措施,以确保其员工、承包商和分包商在其履职范围内遵从安全措施,包括确保所有获准处理客户个人数据的人员均作出保密承诺或履行相应的法定保密义务。

7.1.3 附加安全控制措施。 除安全措施外,Google 还将提供以下方面的附加安全控制措施:(a) 允许客户采取措施保护客户数据;(b) 向客户提供有关保护、访问和使用客户数据的信息。

7.1.4 Google 的安全协助。 客户同意,Google(根据客户个人数据处理的性质以及 Google 可获取的信息)通过以下方式为其提供协助,以确保其履行在保护个人数据和防范个人数据泄露方面的任何义务,包括(如适用)客户根据 GDPR 第 32 至 34 条(含)规定履行的义务:

  • 根据第 7.1.1 条(“Google 的安全措施”)实施并维护安全措施;
  • 根据第 7.1.3 条(“附加安全控制措施”)向客户提供附加安全控制措施;
  • 遵守第 7.2 条(“数据突发事件”)的条款;并且
  • 根据第 7.5.1 条(“安全文档的审核”)向客户提供安全文档和协议(包含本条款)中包含的信息。

7.2 数据突发事件

7.2.1 突发事件通知。 如果 Google 发现数据突发事件,Google 将:(a) 在发现数据突发事件后立即通知客户且不得无故拖延;(b) 立即采取合理措施,以尽量减少损害并保护客户的个人数据。

7.2.2 数据突发事件的详细信息。 根据本条规定发出的通知将尽可能详细地描述数据突发事件的详细信息,包括为减轻潜在风险所采取的措施以及 Google 建议客户为解决数据突发事件而采取的步骤。

7.2.3 通知传送。 任何数据突发事件通知都将传送到通知电子邮件地址或由 Google 自行决定直接传达(例如,通过电话或面对面会议)。客户应对确保通知电子邮件地址保持最新状态且有效负全部责任。

7.2.4 Google 不对客户个人数据进行评估。 Google 不会受任何特定法律要求的约束,对客户个人数据的内容进行评估以识别信息。在不影响第 7.2 条(“数据突发事件”)中规定的 Google 义务的情况下,客户应自行负责遵守适用于自身的突发事件通知法律,并履行与任何数据突发事件相关的所有第三方通知义务。

7.2.5 Google 不承认过错。 根据第 7.2 条(“数据突发事件”)的规定,Google 对数据突发事件的通知或回应均不得解释为 Google 承认与数据突发事件相关的过错或责任。

7.3 客户的安全责任和评估。

7.3.1 客户的安全责任。 客户应同意,在不影响第 7.1 条(“Google 的安全措施、控制和协助”)和第 7.2 条(“数据突发事件”)中规定的 Google 义务的情况下:

  • 客户对云服务的使用应负全责,包括以下各项:
    • 合理使用云服务和附加安全控制措施来确保提供与客户数据相关风险对应的安全级别;
    • 保护客户用于访问云服务的帐号身份验证凭据、系统和设备;
    • 视具体情况备份其客户数据;并且
  • Google 没有义务保护客户选择在 Google 及其分包商的系统外(如离线或本地存储)存储或转移的客户数据副本,也没有义务在客户未选择使用附加安全控制措施的范围内通过实施或维护附加安全控制措施来保护客户数据。

7.3.2 客户的安全评估。

  • 客户应自行负责审核安全文档并评估云服务、安全措施、附加安全控制措施以及 Google 在第 7 条(“数据安全性”)之中的承诺是否满足客户的需求,包括与欧洲数据保护法规和/或非欧洲数据保护法规(如适用)中规定的任何客户安全义务相关的需求。
  • 客户应认可并同意(考虑到最新技术水平、实施费用及客户个人数据处理的性质、范围、背景和目的,以及对个人带来的风险)Google 按照第 7.1.1 条(“Google 的安全措施”)规定实施和维护的安全措施可提供与客户数据相关风险对应的安全级别。

7.4 安全认证和报告。 为评估并帮助确保安全措施的持续有效性,Google 将实施以下各项:

  • 维护 ISO 27001 认证、ISO 27017 认证和 ISO 27018 认证;并且
  • 每 18 个月至少更新一次 SOC 2 报告和 SOC 3 报告。

7.5 法规遵从情况的审核与审计

7.5.1 安全文档的审核。 除了协议(包括本条款)中包含的信息之外,Google 还会向客户提供以下文档和信息以供审核,证明 Google 履行了本条款规定的义务。

  • 颁发的 ISO 27001 认证、ISO 27017 认证和 ISO 27018 认证相关证书;
  • 当时的 SOC 3 报告;以及
  • 当时的 SOC 2 报告,客户须按照第 7.5.3(a) 条规定提出请求。

7.5.2 客户的审计权利。

  • 如果按照欧洲数据保护法规要求处理客户个人数据,Google 将允许客户或客户指定的独立审计机构开展审计工作(包括检查),以验证 Google 是否根据第 7.5.3 条(“用于审核与审计的附加商业条款”)履行了本条款规定的义务。Google 将参与第 7.4 条(“安全认证和报告”)和第 7.5 条(“法规遵从情况的审核与审计”)中所述的此类审计。
  • 如果客户已按照第 10.2 条(“从 EEA 转移出数据”)中所述签订了《示范合同条款》,则 Google 将在不影响监督机构根据此类《示范合同条款》规定享有的任何审计权利的情况下,允许客户或客户指定的独立审计机构根据第 7.5.3 条(“用于审核与审计的附加商业条款”)规定开展《示范合同条款》中所述的审计工作。
  • 客户还可以通过审核安全文档(该文档反映 Google 的第三方审计机构开展的审计工作的结果)开展审计工作,以验证 Google 是否遵守了本条款规定的义务。

7.5.3 用于审核与审计的附加商业条款。

  • 客户须按照第 7.5.1(b) 条规定将 SOC 2 报告的任何审核请求,或按照第 7.5.2(a) 条或第 7.5.2(b) 条规定将 SOC 2 报告的任何审计请求发送至第 12 条(“云数据保护团队;处理记录”)中所述的 Google 云数据保护团队。
  • 在 Google 收到客户根据第 7.5.3(a) 条规定提出的请求后,Google 和客户将事先就以下事项进行讨论并达成一致意见:(i) 根据第 7.5.1(b) 条规定对 SOC 2 报告开展任何审核工作所适用的合理日期、以及安全性和机密性控制措施;(ii) 根据第 7.5.2(a) 条或第 7.5.2(b) 条规定开展任何审计工作所适用的合理开始日期、范围和持续时间以及安全性和机密性控制措施。
  • Google 可能会对根据第 7.5.1(b) 条规定对 SOC 2 报告开展的任何审核工作和/或根据第 7.5.2(a) 条或第 7.5.2(b) 条规定开展的审计工作收取费用(基于 Google 的合理费用)。在开展任何此类审核或审计工作之前,Google 将向客户提供任何应计费用的详细信息及其计算基准。客户应负责支付其指定的任何审计机构为执行任何此类审计工作而收取的所有费用。
  • 如果 Google 经过合理考量认为审核机构不具备合适的资格或独立性、属 Google 的竞争对手或其他方面明显不合适,则 Google 可能会以书面形式反对客户指定的审计机构开展第 7.5.2(a) 条或 7.5.2(b) 条规定的审计工作。如果 Google 提出任何此类异议,客户必须指定其他审计机构或自行开展审计工作。

7.5.4 不对 MCC 进行修改。 第 7.5 条(“法规遵从情况的审核与审计”)中的任何内容均不会改变或修改第 10.2 条(“从 EEA 转移出数据”)中所述的已签订的任何《示范合同条款》中规定的客户或 Google LLC 的任何权利或义务。


8. 影响评估与协商。

客户应同意,Google(考虑到处理的性质以及 Google 可获取的信息)通过以下方式为其提供协助,以确保其履行在数据保护影响评估与事前协商方面的任何义务,包括(如适用)客户根据 GDPR 第 35 条和第 36 条规定履行的义务:

  • 根据第 7.1.3 条(“附加安全控制措施”)规定提供附加安全控制措施,并根据第 7.5.1 条(“安全文档的审核”)规定提供安全文档;并且
  • 提供协议(包括本条款)中包含的信息。


9. 数据主体权利;数据导出

9.1 访问;校正;受限处理;可携性。 在期限内,Google 将按照云服务功能运作的方式,使客户能够访问、校正和限制客户数据的处理,包括通过 Google 提供的删除功能(如第 6.1 条(“由客户删除”)中所述),以及导出客户数据。

9.2 数据主体请求

9.2.1 客户对请求的责任。 在期限内,如果数据主体就客户个人数据向 Google 提出任何请求,Google 会建议数据主体将该请求提交给相应客户,客户将负责回应此类请求,包括在必要时使用云服务功能。

9.2.2 Google 的数据主体请求协助。 客户应同意,Google(考虑到客户个人数据处理的性质)通过以下方式为其提供协助,帮助其履行在回应数据主体提出的请求方面的任何义务,包括(如适用)GDPR 第三章规定的客户对要求行使数据主体权利的请求作出回应的义务:

  • 根据第 7.1.3 条(“附加安全控制措施”)提供附加安全控制措施;并且
  • 遵守第 9.1 条(“访问;校正;受限处理;可携性”)和第 9.2.1 条(“客户对请求的责任”)中规定的承诺。


10. 数据转移

10.1 数据存储与处理设施。 根据第 10.2 条(“从 EEA 转移出数据”),Google 可以在 Google 或其分包商维护的设施所在地存储和处理客户数据。

10.2 从 EEA 转移出数据。

10.2.1 Google 的转移义务。 如果客户个人数据的存储和/或处理涉及从 EEA 转移出客户个人数据,且欧洲数据保护法规适用于此类数据转移(“转移的个人数据”),Google 将履行以下义务:

  • 如果客户要求,确保 Google LLC 作为转移的个人数据的数据导入方与作为此类数据导出方的客户签订《示范合同条款》,并确保转移符合此类《示范合同条款》的规定;且/或
  • 提供替代转移解决方案,确保转移符合此类替代转移解决方案的规定,并向客户提供此类替代转移解决方案的相关信息。

10.2.2 客户的转移义务。 关于转移的个人数据,客户须同意履行以下义务:

  • 如果 Google 根据欧洲数据保护法规合理要求客户针对此类转移签订《示范合同条款》,客户应签订《示范合同条款》;并且
  • 如果 Google 根据欧洲数据保护法规合理要求客户使用 Google 提供的替代转移解决方案并合理请求客户采取必要措施(可能包括文件的执行)以全面实施此类解决方案,客户应履行这些义务。

10.3 Google 数据中心信息。 如需了解 Google 数据中心位置的信息,请访问:https://www.google.com/about/datacenters/inside/locations/index.html(Google 可能会不时更新此网址)。

10.4 披露包含个人数据的机密信息。 如果客户已按照第 10.2 条(“从 EEA 转移出数据”)中所述签订了《示范合同条款》,不论协议中是否有任何相反的条款,Google 都将确保按照此类《示范合同条款》规定披露包含个人数据的客户机密信息,并就此类披露发送通知。


11. 分包商

11.1 同意分包商参与。 客户应对以下实体作为分包商参与进行明确授权:(a) 第 11.2 条(“分包商的相关信息”)中指定网址中所列的自条款生效日期起的实体;(b) 所有其他不时加入的 Google 关联公司。此外,客户一般可授权任何其他第三方作为分包商(下称“新的第三方分包商”)。如果客户已按照第 10.2 条(“从 EEA 转移出数据”)中所述签订了《示范合同条款》,上述授权构成客户对 Google LLC 就客户数据处理进行分包的事先书面同意(如果根据《示范合同条款》规定需要取得此类同意)。

11.2 分包商相关信息。 如需了解 Google 分包商的相关信息(包括职责和位置),请访问:https://cloud.google.com/terms/third-party-suppliers(Google 可能会根据本条款不时更新此网址)。

11.3 分包商参与要求。 在与任何分包商合作时,Google 将:

  • 通过书面合同确保以下事项:
    • 分包商仅在履行分包义务所需范围内访问和使用客户数据,并根据协议(包括本条款)和已签署的任何《示范合同条款》或第 10.2 条(“从 EEA 转移出数据”)中所述的 Google 采用的替代转移解决方案访问和使用客户数据;并且
    • 如果根据 GDPR 的要求处理客户个人数据,则分包商须履行 GDPR 第 28(3) 条规定的数据保护义务(如本条款所述);并且
  • 对分包给分包商的所有义务以及分包商的所有行为和疏忽承担全部责任。

11.4 反对更改分包商的机会。

  • 如果在期限内有任何新的第三方分包商参与,Google 将至少在新的第三方分包商处理任何客户数据前 30 天向通知电子邮件地址发送电子邮件,以通知客户有新的第三方分包商参与(包括相关分包商的名称和地点及其将要执行的活动)。
  • 客户在向 Google 发出书面通知后立即终止协议即可反对任何新的第三方分包商,条件是客户须在收到第 11.4(a) 条中所述的分包商参与通知后 90 天内提供此通知。如果客户反对任何新的第三方分包商,则此终止权利是客户唯一且排他性的救济。


12. 云数据保护团队;处理记录。

12.1 Google 的云数据保护团队。 如果您有 Edge 云支持套餐,请通过 Edge 支持门户创建支持服务工单,与 Google 的云数据保护团队联系。如果您没有该支持套餐,或者希望采用其他方式,请填写 https://support.google.com/cloud/contact/dpo 中的表单(和/或通过 Google 不时可能提供的其他方式)与 Google 的云数据保护团队联系。

12.2 Google 的处理记录。 客户应认可根据 GDPR 要求,Google 必须履行以下义务:(a) 收集和维护某些信息的记录,包括 Google 所代表的每个处理方和/或控制方的名称和联系方式,以及(如适用)此类处理方或控制方的本地代表和数据保护官的姓名和联系方式;(b) 向监督机构提供此类信息。相应地,如果按照 GDPR 要求处理客户个人数据,客户应在收到请求时通过管理控制台或 Google 提供的其他方式向 Google 提供此类信息,并应使用管理控制台或此类其他方式确保所有提供的信息准确无误且是最新的。


13. 法律责任

13.1 法律责任限额。如果已按照第 10.2 条(“从 EEA 转移出数据”)中所述签订《示范合同条款》,任何一方及其关联公司对协议及《示范合同条款》中或与之相关的另一方及其关联公司的全部综合法律责任,将按照第 13.2 条(“法律责任限额除外条款”)限制为相关方的约定法律责任限额。

13.2 法律责任限额除外条款。 第 13.1 条(“法律责任限额”)中的任何规定均不会影响协议中与法律责任相关的其余条款(包括法律责任限制中的任何特定除外条款)。


14. 第三方受益人

不论协议中有无任何相反的规定,如果 Google LLC 并非协议的一方,Google LLC 都将是本条款第 7.5 条(“法规遵从情况的审核与审计”)、第 11.1 条(“同意分包商参与”)和第 13 条(“法律责任”)中的第三方受益人。


15. 本条款的效力

不论协议中有无相反的规定,如果本条款和协议中其余条款发生冲突或者不一致,则以本条款为准。


附录 1:标的和数据处理的详细信息

标的
Google 向客户提供的云服务和支持。

处理的期限
期限加上从期限届满至 Google 根据本条款删除所有客户数据之时的这段时期。

处理的性质和目的
Google 将出于向客户提供云服务和支持的目的,根据本条款处理客户个人数据。

数据类别
由客户或客户的最终用户(或根据其指示)通过云服务提供给 Google 的相关个人数据。

数据主体
数据主体包括由客户或客户的最终用户(或根据其指示)通过云服务提供给 Google 的数据所属的个人。


附录 2:安全措施

自条款生效日期起,Google 将实施并维护本附录 2 中规定的安全措施。Google 可能会不时更新或修改此类安全措施,前提是此类更新和修改不会导致云服务的整体安全性下降。


1. 数据中心和网络安全

第 1 条仅描述了 Google 自有和运营的数据中心和网络安全,而未对第三方分包商或基础架构提供商的数据中心和网络安全进行描述。

(a) Google 数据中心。

基础架构。 Google 维护着多个分布在不同地理位置的数据中心。Google 将所有生产数据存储在物理上十分安全的数据中心内。

冗余。 基础架构系统可消除单点故障,并将预期环境风险的影响降至最低。双电路、交换机、网络或其他必要设备帮助实现了这种冗余。云服务的设计让 Google 可以在正常运行的同时对其执行某些类型的预防性和纠正性维护。所有环境设备和设施都具备书面预防性维护程序,这些程序按照制造商或内部的规范要求详细说明了实施流程和频率。数据中心设备的预防性和纠正性维护安排按照书面程序要求通过标准更改流程确定。

电源。 数据中心电力系统全天候提供冗余性、易于维护,且不会影响连续运行。在大多数情况下,数据中心的重要基础架构组件均配有容量相同的主电源和备用电源。备用电源通过不间断电源 (UPS) 电池等各种机制提供,在电网限能时间、中断时间、过压、电压不足和频率超差条件下提供始终如一的可靠电源保护。如果公用电源中断,备用电源可为数据中心临时供电,提供充足容量,在柴油发电机系统接替之前,最长可供电 10 分钟。柴油发电机能够在几秒钟内自动启动,提供足够的应急电力供数据中心满负荷运行,通常可维持数天。

服务器操作系统。 Google 服务器使用为应用环境量身打造的基于 Linux 的实现。使用专有算法存储数据,可增强数据安全性和冗余。Google 采用代码审核流程,可提高用于提供云服务的代码的安全性,并增强生产环境中的安全产品。

业务连续性。 Google 会在多个系统上复制数据,以防止意外破坏或丢失。Google 已设计并定期计划和测试其业务连续性计划/灾难恢复计划。

(b) Google 网络和传输。

数据传输。 为了在数据中心之间提供安全、快速的数据传输,数据中心通常通过高速专用链路连接。这是为了防止数据在电子传输或传送过程中或在记录到数据存储介质上时,在未经授权的情况下被读取、复制、更改或移除。Google 通过互联网标准协议传输数据。

外部攻击面。 Google 采用多层网络设备和入侵检测机制来保护其外部攻击面。Google 会考虑潜在的攻击媒介,并将相应的专用技术纳入面向外部的系统中。

入侵检测机制。 入侵检测机制的目的是提供有关正在进行的攻击活动的见解以及应对突发事件的足够信息。Google 的入侵检测机制涉及以下各项:

  • 通过预防措施严格控制 Google 攻击面的大小和组成;
  • 在数据入口点采用智能检测控制措施;并且
  • 采用相应的技术针对某些危险情况自动进行补救。

突发事件响应。 Google 会通过监控各种通信渠道来发现安全突发事件,并且 Google 的安全人员会迅速对已知的突发事件采取应对措施。

加密技术。 Google 支持 HTTPS 加密(也称为 SSL 或 TLS 连接)。Google 服务器支持使用 RSA 和 ECDSA 签名的临时椭圆曲线 Diffie-Hellman 加密密钥交换。这些完全正向加密 (PFS) 方法有助于保护网络流量,并最大程度减少密钥泄露或加密破解的影响。


2. 访问控制与站点控制

(a) 站点控制。 第 2(a) 条规定仅描述了 Google 自有和运营的数据中心站点控制,而未对第三方分包商或基础架构提供商的站点控制进行描述。

现场数据中心安全运维体系。 Google 的数据中心拥有全天候负责所有物理数据中心安全功能的现场安全运维体系。现场安全运维人员会监控闭路电视 (CCTV) 摄像机和所有警报系统。现场安全运维人员会定期在数据中心内外巡逻。

数据中心访问程序。 Google 拥有正式的访问程序,以允许对数据中心的物理访问。数据中心位于需要电子卡钥匙才能进入的设施内,配有与现场安全运维体系相连的警报。进入数据中心的所有人员都必须表明身份并向现场安全运维人员出示身份证明。只有获得授权的员工、承包商和访问者才能进入数据中心。只有获得授权的员工和承包商可以申请使用电子卡钥匙进入这些设施内。申请人员必须通过电子邮件提出关于使用电子卡钥匙进入数据中心的申请,且必须获得其管理人员及数据中心主管的批准。需要临时进入数据中心的所有其他人员必须满足以下要求才可入内:(i) 事先获得特定数据中心以及要访问的内部区域的数据中心管理人员的批准;(ii) 在现场安全运维人员处登记;(iii) 提及获批的数据中心访问记录,确定本人已获得批准。

现场数据中心安全设备。 Google 的数据中心采用电子卡钥匙和与系统警报相连的生物识别门禁系统。门禁系统监控并记录每个人的电子卡钥匙以及他们进入周边大门、收发货区域以及其他重要区域的时间。未经授权的活动和失败的访问尝试由门禁系统记录下来,我们将视具体情况对其进行调查。对业务运营场所和数据中心的授权访问将受到不同地区和个人岗位职责的限制。数据中心的防火门配有警报。数据中心内外的 CCTV 摄像机均可正常运行。重要区域全面覆盖摄像机,包括周边、数据中心楼宇大门以及收发货区域等位置。现场安全运维人员负责管理 CCTV 监控、记录和控制设备。整个数据中心的安全电缆均连接 CCTV 设备。摄像机全天候通过数字录像机记录现场情况。监控记录最多可保留 30 天,视具体活动情况而定。

(b) 访问控制。

基础架构安全人员。 Google 制定有并维护针对员工的安全政策,同时要求将安全培训纳入员工的培训内容。Google 的基础架构安全人员负责持续监控 Google 的安全基础架构、检查云服务以及应对安全突发事件。

访问控制和特权管理。 客户的管理员必须通过中央身份验证系统或单一登录系统验证自己的身份,以便管理云服务。

内部数据访问流程和政策 - 访问政策。Google 的内部数据访问流程和政策可防止未经授权的人员和/或系统访问用于处理个人数据的系统。Google 根据以下要求设计其系统:(i) 仅允许获得授权的人员访问其有权访问的数据;(ii) 确保个人数据在处理、使用过程中以及记录后,不会在未经授权的情况下被读取、复制、更改或移除。这些系统可检测出任何不恰当的访问。Google 采用集中式访问管理系统来控制人员对生产服务器的访问,并只对少数获得授权的人员提供访问权限。LDAP、Kerberos 和一个使用 SSH 证书的专有系统可为 Google 提供安全灵活的访问机制。这些机制仅授予对站点主机、日志、数据和配置信息的获批的访问权限。Google 要求使用唯一的用户 ID、安全系数高的密码、双重身份验证和受到密切监控的访问列表,以最大限度降低数据遭到未经授权的帐号利用的可能性。访问权限的授予或修改依据:已获授权人员的岗位职责;执行已获授权任务所需的岗位职责要求;以及基于必要性。访问权限的授予或修改还必须符合 Google 的内部数据访问政策和培训。审批工作由维护所有更改的审计记录的工作流工具管理。对系统的访问将被记入日志,以创建审计跟踪,确定责任。如果使用密码进行身份验证(例如,登录到工作站),应执行不低于行业标准规范的密码政策。这些标准包括针对密码重用和足够的密码强度的限制。对非常敏感的信息(如信用卡数据)的访问,Google 使用硬件令牌。


3. 数据

(a) 数据存储、隔离和日志记录。 Google 将数据存储在多租户环境中。在多个分布于不同地理位置的 Google 自有或运营的数据中心复制数据和文件系统架构。此外,Google 还对客户数据进行有逻辑的隔离。客户具有对特定数据共享政策的控制权。根据具体的云服务功能,客户可通过这些政策确定适合其用户的特定用途的产品共享设置。客户可以选择使用 Google 可能通过服务提供的某些日志记录功能。

(b) Google 数据中心的停用磁盘和磁盘擦除政策。 包含数据的磁盘可能会因性能问题、错误或硬件故障而被停用(下称“停用磁盘”)。每个停用磁盘都将经历一系列数据销毁过程(下称“磁盘擦除政策”),才会离开 Google 设施以作重复利用或销毁。停用磁盘的擦除过程涉及多个步骤,并且通过至少两个独立的验证人员确认完成验证。擦除结果按停用磁盘的序列号记录,以便跟踪。最后,已擦除的停用磁盘收归库存,以作重复利用和重新部署。如果由于硬件故障而无法擦除停用磁盘,我们会将其安全存储,直至可以物理销毁为止。我们会定期对每个设施进行审核,监控其遵从磁盘擦除政策的情况。


4. 员工安全

Google 员工的行为举止必须符合公司的机密性、商业道德、合理使用和专业标准准则。Google 会在法律允许范围内,根据当地适用的劳动法和法律法规,合理进行适当的背景调查。

员工必须履行保密协议,且必须认可、知悉并遵守 Google 的机密性与隐私权政策。我们为员工提供安全培训。处理客户数据的员工必须符合与其职能相称的其他要求(例如,认证)。在未经授权的情况下,Google 的员工不得处理客户数据。


5. 分包商安全

在与分包商合作前,Google 会对分包商的安全和隐私权规范进行审核,确保分包商提供的安全和隐私级别与其访问数据和所提供的服务范围相称。Google 对分包商存在的风险进行评估后,分包商必须按照本条款第 11.3 条(“分包商参与要求”)中的规定,签署相应的安全、保密和隐私合同条款。