最后更新日期 2022年6月24日
最后更新日期 2022年6月24日
本控制者到控制者标准合同条款(以下简称“SCC”)构成您作为卖家(以下简称“您”或“商家”)与PayPal之间适用的《PayPal用户协议》(以下简称“《协议》”)的一部分,并通过引用纳入其中。如果本SCC的条款与《协议》之间存在任何冲突,则以本SCC的条款为准。本SCC中使用但未定义的大写术语应具有《协议》中所述的含义。
在适用范围内:(i)您对《协议》的签署将被视为商家作为数据输出方和控制者签署并接受欧盟委员会2021年6月4日关于根据(欧盟)第2016/679号条例向第三国传输个人数据的标准合同条款(以下简称“欧盟传输条款”)的(欧盟)第2021/914号实施决定;(ii)PayPal对《协议》的签署将被视为PayPal作为数据输入方和控制者对欧盟传输条款的签署和接受;以及(iii)双方应遵守欧盟传输条款的模块1规定。
如果欧盟委员会修订并在此后公布新的欧盟传输条款(或欧盟委员会另有要求或以其他方式实施),双方同意,此类新的欧盟传输条款将取代目前的欧盟传输条款,并且双方将采取一切必要措施,使新的欧盟传输条款得以执行。
欧盟传输条款(模块1)将通过引用纳入《协议》,并在此《协议》生效时被视为由双方正式签署,同时须遵守以下详细规定:
附件1
欧盟传输条款附录
附件1.A. 根据欧盟传输条款的要求,以下内容适用
数据输出方
数据输入方
附件1.B. 传输说明
传输其个人数据的数据主体
传输的个人数据涉及以下类别的数据主体:
传输的个人数据的类别
敏感数据(如适用)和应用的限制或保障措施
传输的个人数据涉及以下类别的敏感数据:
应用限制和保障措施:
处理的性质
按照《协议》规定。
传输的目的
传输目的如下:
个人数据将被保留的期限,或者用于确定该期限的标准(如无法确定该期限)
数据输入方仅在收集数据的相关目的所需的时间范围内保留个人数据(请参阅上述目的)。为确定个人数据的适当保留期限,数据输入方会考虑个人数据的数量、性质和敏感性,未经授权使用或披露个人数据造成伤害的潜在风险,处理个人数据的目的以及此类目的是否可以通过其他方式实现,以及适用的法律、监管、税务、会计或其他要求。
传输至(二级)处理者时,也要说明处理的主题事项、性质和期限
数据输入方可能会与按照数据输入方的指示和代表数据输入方履行服务及职能的第三方服务提供商共享个人数据。例如,这些第三方服务提供商可能会提供《协议》规定的服务内容,例如客户认证、交易处理或客户支持,或者向数据输入方提供某项服务,以支持《协议》规定的服务(例如存储)。在确定由第三方服务提供商进行处理的期限时,数据输入方将应用本附件1.B中规定的上述标准。
附件1.C. 监管机构
根据欧盟传输条款第13(a)条,负责确保数据输出方在数据传输方面遵守欧盟第2016/679号条例的监管机构,如本SCC所述,应作为主管监管机构行事。
B. 技术和组织措施,包括确保数据安全的技术和组织措施
PayPal的规则确保遵守这一原则,并要求使用技术控制措施来防止个人数据泄露风险。PayPal对所有传输中和静止的个人数据都实施加密。我们还采用行业标准的假名化技术,例如在适用的情况下采用标记化来保护个人数据。PayPal拥有全面的规则,规定了当数据在企业内部传输和向外部第三方传输时保护数据的关键义务和流程。
PayPal强大的变更管理流程可确保变更得到适当的计划、批准、执行和审查,从而在整个生命周期内保护数据和系统的持续可用性和可恢复性。公司的业务连续性管理流程提供了一个框架,旨在建立组织恢复力,构建有效响应的能力,从而保障主要利益相关者的利益。
PayPal强大的灾难恢复计划制定了在发生任何重大中断的情况下恢复信息或技术系统的流程,工作重点是支持关键业务流程和客户活动的IT系统。PayPal的技术基础设施被放置在多个安全数据中心,这些数据中心具有主要和次要功能,每个中心都配备了网络和安全基础设施、专用应用程序和数据库服务器以及存储。
PayPal会定期规划、执行公司的测试计划并报告测试计划的结果,以评估和评价其技术和组织措施的有效性。该计划由我们的企业风险和合规团队进行管理,他们与相关的利益相关者合作,以获得和评估测试、报告和补救(如有必要)所需的信息。
PayPal的访问管理流程要求用户使用唯一的企业网络账号和密码登录企业网络,进行用户身份验证,然后才能访问任何其他范围内的应用程序。自动执行有关密码组合、长度、更改、重设和锁定的规则。基于角色的访问和审批每季度进行一次认证,在所有范围内的系统中实施,以落实最低权限原则。
PayPal的全球安全和安保规则和流程根据适用的法律、法规和合作伙伴要求,规定了促进健全的安全和安保流程(包括物理安全)的必要要求。根据公司的信息安全处理标准,在建设收发室、设备存储室、运输和收货区、计算机/服务器室、通信保险库或机密文件/信息存储区等特殊或敏感区域时,将特别注重安全系统和保障措施。
PayPal已经概述并定义了事件记录和监控类型和属性。公司收集并汇总了多种类型的日志到集中安全监控系统。标准的配置管理控制已经到位,可确保从系统中收集日志,然后转发到我们的集中安全监控系统。PayPal规则和支持流程规定,系统配置和强化基准必须在所有系统中实施。
PayPal在全公司范围内推广树立强大的安全理念。我们的首席信息安全官负责监督我们全球企业的信息安全。作为企业风险与合规管理计划的一部分,我们的技术监督和信息安全计划旨在支持公司管理技术和信息安全风险,识别、保护、检测、应对信息安全威胁并从信息安全威胁中恢复。PayPal通过各种企业计划对其流程和产品予以认证和保证,包括(i)对PayPal的技术行业标准义务进行审计和评估,包括但不限于ISO 27001、支付卡行业(PCI)的适用标准(DSS、PIN、P2PE等)和美国注册会计师协会(AICPA)的SOC-1和SOC-2;(ii)风险控制识别流程(RCIP),确保早期参与并采用标准方法来衡量、管理和监控与产品解决方案的制定和发布相关的风险;(iii)整合到产品和软件开发流程初期的隐私影响评估;(iv)全面的第三方管理计划,该计划通过在与第三方合作的整个生命周期内持续管理风险来提供保证。
我们的规则要求,要通过技术控制确保收集和生成的数据元素具有充分性、相关性,并仅限于与数据处理目的相关的必要范围内。PayPal的隐私影响评估流程确保遵守这些规则。
PayPal的访问和质量规则确保所有个人数据是正确的、完整的、最新的数据,使个人用户能够访问系统来纠正和修改他们的详细信息(例如,地址、联系信息等),并在收到数据主体的纠正要求时,提供使其拥有纠正权的服务。我们的数据治理计划负责监控数据质量、问题和补救措施(如有必要)。我们要求所有数据根据其业务价值进行分类,并指定保留期,这是基于PayPal的法律、监管和业务记录要求所作的规定。保留期满后,数据和信息将被处置、删除或销毁。
PayPal制定了一套信息安全、技术、数据治理、第三方管理和隐私权保护规则和原则,这些规则和原则与行业标准保持一致,旨在通过利益相关者的协作和合作,使其认识并遵守整个组织范围内的此类规则和控制措施,确保整个组织自上而下参与其中,承担责任。每个计划都定义了跨职能的数据相关决策、流程和控制措施的责任划分。作为数据控制者,PayPal负责通过实施隐私权保护计划规则以及底层组织和技术控制结构,证明其遵守了GDPR和其他适用数据保护法律中含责任承担义务的相关条款,从而确保整个企业遵守隐私法律、法规、规则和程序。这包括能够通过以下方式证明对数据保护法律的遵守:1)强大的合规文化,2)企业风险和合规治理结构,包括管理委员会、监督角色、隐私报告,3)业务职能部门对隐私权保护计划的遵守情况负责,包括建立、记录和维护业务流程和控制措施,4)企业合规组织内的全球隐私部门监督企业对隐私权保护计划的遵守情况,并定义由业务职能部门运用的规则、标准、程序和工具,5)由全球隐私职能部门向企业传达信息,提高对隐私权保护的认识和理解,6)企业风险和合规管理框架,确保使用一致的流程,包括隐私影响评估、隐私监控和测试、隐私问题管理、隐私培训、年度隐私计划,以及7)向监督隐私权保护计划的管理委员会提交报告和分析。
PayPal制定了一个计划来确保数据主体的访问、纠正和删除等权利得到满足。除非PayPal有法律、监管义务或其他合法的业务原因需要保留数据,否则将满足数据删除的要求。PayPal的规则确保删除在整个客户的生命周期内都会发生。
PayPal制定了一个全面的第三方管理计划,该计划通过在与第三方合作的整个生命周期内持续管理风险来提供保证。我们实施合同控制措施,要求我们的处理者及其二级处理者在整个处理链中实施全面的数据安全和隐私标准。所有二级处理者在被聘用前必须得到我们的事先批准。