<b>版权声明</b> ©Connectnow AI Technology Co.,Limited 2025。保留一切权利。非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
商标声明
【ConnectNow】(和其他【ConnectNow】商标均)为Connectnow AI Technology Co.,Limited的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
<b>注意事项</b>
您购买的产品、服务或特性等应受到Connectnow AI Technology Co.,Limited商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,Connectnow AI Technology Co.,Limited对本文档内容不做任何明示或暗示的声明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
Connectnow AI Technology Co.,Limited
地址:深圳市南山区粤海街道滨海社区海天一路11、13、15号深圳市软件产业基地5栋C坐217
网址:ConnectNow - https://www.connectnowai.com
客户服务邮箱:privacy@connectnowai.com
一、概述
1.1 适用范围
《ConnectNow(欧盟版)GDPR合规遵从性说明》(以下简称“说明”)适用于Connectnow AI Technology Co.,Limited(以下或简称“我们”)向欧盟成员国用户或客户(以下简称“您”)提供的ConnectNow产品及其服务。本说明旨在阐明ConnectNow产品为遵循《欧盟通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)采取了哪些合规措施。
1.2 基本定义
a.<b>个人数据,</b>指与已识别或可识别的自然人(数据主体)相关的任何数据;可识别的自然人是指尤其通过姓名、身份证号、定位数据、网络标识符等标识符,或通过特定的身体、心理、基因、精神状态、经济、文化、社会等方面个人属性能够被直接或间接识别的自然人。
b.<b>数据主体的同意,</b>指数据主体依据其个人意愿,自由、明确、知情并清楚地通过陈述或积极行为表示对其个人数据进行处理的同意。
c.<b>数据控制者,</b>指单独或与他人共同决定个人数据处理的目的和方式的自然人、法人、公共权力机关、代理机构或其他机构。
d.<b>数据处理者,</b>指代表数据控制者处理个人数据的自然人、法人、公共权力机关、代理机构或其他机构。
e.<b>数据处理,</b>指对个人数据进行的任何操作或者一系列操作,无论其是否通过自动化手段进行,如数据收集、记录、组织、建构、存储、改编或修改,恢复、查询、使用、通过传播、分发方式进行披露或者其他使个人数据可被他人获得、排列或组合、限制、清除或销毁的操作。
二、GDPR的数据保护要求概述
2.1 GDPR简介
GDPR是全球最严格的隐私与数据保护法律之一,要求任何处理欧盟境内个人数据的组织,无论其所在地,均须遵守。自2018年5月25日生效以来,GDPR对全球数据保护实践产生了深远影响。
2.2 GDPR基本原则与核心要求
2.2.1. 基本保护原则
a.<b>合法性、合理性和透明性原则:</b>对涉及到数据主体的个人数据,应当以合法的、合理的和透明的方式来进行处理。
b.<b>目的限制原则:</b>个人数据的收集应当遵循具体的、清晰的和正当的目的。
c.<b>数据最小化原则:</b>充分、相关且仅限于与处理目的相关的必要信息。
d.<b>准确性原则:</b>个人数据应准确并及时更新;应采取措施,确保不准确的数据被及时删除或更正。
e.<b>限期储存原则:</b>对于能够识别数据主体的个人数据,其保存方式应当不长于为了实现个人数据处理目的所必要的期限。
f.<b>完整性与保密原则:</b>个人数据的处理应当通过合理的技术或组织手段,保障个人数据的安全。
g.<b>可问责性原则:</b>数据控制者有责任遵守上述原则,并且有责任对此提供证明。
2.2.2. 数据安全
GDPR要求数据控制者及数据处理者采取“适当的技术和组织措施”来安全地处理数据。
2.2.3. 获取数据主体的同意
GDPR 对于同意做出了严格限定,例如:
a.同意必须是“自由给出的、具体的、知情的和明确的”;
b.同意请求必须“与其他事项清楚地区分开来”,并以“清晰、简单的语言”提出;
c.数据主体可以撤回同意,此时应通知数据主体撤回同意可能引发的后果,并且必须尊重他们的决定;
d.需要保留同意的书面证据。
2.2.4. 数据处理记录(RoPA)
GDPR要求所有控制者及其代表(如适用)与数据处理者应保留其职责范围内的处理活动记录。
2.2.5. 保护数据主体权利
GDPR的目标之一是赋予数据主体以权利并让他们控制自己的个人数据。其中关于数据主体的权利,包括访问权、纠正权、删除权、限制处理权、数据可移植权、反对权和权利不受仅基于自动化处理的决定的影响。
2.2.6. 数据保护影响评估(DPIA)
如果数据处理(尤其是采用新技术时)可能对个人权益构成高风险,数据控制者应在处理前评估其对数据保护的影响,并考虑处理的性质、范围、背景和目的。
2.2.7. 任命数据保护官(DPO)
GDPR建议企业任命一名数据保护官,以适当且及时地参与个人数据保护相关的所有问题。
2.2.8. 数据处理协议(DPA)
数据控制者和数据处理者须签订处理个人数据的协议或合同。
2.2.9. 数据泄露报告
在个人数据泄露的情形中,数据处理者在发现数据泄露后,应当尽快通知数据控制者;数据控制者应当在数据泄露发生后72小时内通知网络安全部门。对于不能在72小时以内告知监管机构的情形,应当提供延迟告知的原因。
2.2.10. 数据跨境传输
若正在处理或准备在转移到第三国或国际组织后进行处理的个人数据的转移,只有在控制者和处理者遵守GDPR第五章的相关规定的情况下,才应进行。
三、我们的数据角色
在此服务过程之中,ConnectNow产品或服务可能涉及您的两类数据,一类为在您注册、登录使用ConnectNow时,您的注册、登录信息及后续使用数据(以上合称“ConnectNow产品使用数据”),另一类为您通过ConnectNow及相关服务所收集、保存、上传、下载、分发、加工、使用以及通过其他方式处理的数据(如消费者个人信息、联系方式等,以上合称“业务数据”)。
根据我们提供的服务形式不同,对于上述两类数据的处理方式会有所差异,我们的数据角色也存在差异,GDPR下的数据角色涉及数据控制者、数据处理者。此外,单纯的技术服务提供者不涉及处理数据。
我们主要通过以下两种方式为您提供ConnectNow服务:公有云方式和私有化部署方式。
(1)当您以公有云方式使用ConnectNow产品或服务时:
a.对于您的ConnectNow产品使用数据,我们是数据控制者,关于我们如何处理您的ConnectNow产品使用数据,请参见《ConnectNow隐私政策》
b.对于您的业务数据,我们是数据处理者,我们郑重承诺未经授权不接触上述业务数据。具体而言,ConnectNow产品采用 SaaS 部署方式,即您系统服务端多节点分布式部署,我们无权接触您的业务数据,仅出于服务目的对服务资源进行托管。您应确保,您在处理此类个人信息前,已根据适用的法律采取相应合规措施,如已通过隐私政策等方式告知数据主体该等数据处理的方式与目的。
(2)当您以私有化部署方式使用ConnectNow产品时:
我们仅为技术服务提供商,不涉及处理您的任何数据。您应确保,您在处理此类相关数据之前,已根据适用的法律采取相应合规措施,如已通过隐私政策等方式告知数据主体该等数据处理的方式与目的。
四、ConnectNow如何遵循GDPR要求
| 数据保护义务 | ConnectNow采取一系列技术与组织措施保护数据安全,如假名化和加密处理、访问控制、安全审计、成立数据保护小组、建立数据保护的各项制度等。 |
| 合法性、公平性和透明度 | ConnectNow确保所有数据处理活动均具有合法依据,在提供ConnectNow产品及服务时,将合法、合理地获取用户的同意,并通过隐私政策向数据主体透明地展示其数据将如何被处理。 |
| 目的限制 | 在获得客户同意收集提供服务所必须的客户个人数据后,ConnectNow仅出于合同约定和隐私政策声明中限定的目的处理客户个人数据,不会将您的数据用于任何其他用途。 |
| 数据最小化 | ConnectNow只收集和处理为实现特定目的所必需的最少量的个人数据。ConnectNow通过定期审查数据处理活动,确保数据收集和处理的必要性。 |
| 存储限制 | 达到保留期限后,ConnectNow将按照合同约定删除/匿名化客户个人数据。 |
| 数据安全 | a.关联公司已通过ISO 27001信息安全管理认证,并且采取了其中的技术措施; b.ConnectNow依据GDPR制定了《数据保护制度》《数据保存制度》等内部管理制度,完善数据保护内部流程; c.ConnectNow制定了《数据泄露应急预案》以应对可能的数据泄露等安全事件。 |
| 同意 | 在以同意为合法性基础时,ConnectNow会在注册、登录界面取得用户的明示同意后处理相应个人数据,且ConnectNow仅在合同约定和隐私政策声明中限定的目的范围内处理个人数据。 |
| 数据处理记录(RoPA) | ConnectNow依据欧盟GDPR规定,以《数据处理记录表》的形式记录数据处理活动,并定期结合实际情况更新。 |
| 维护数据主体权利(知情权、访问权、更正权、删除权、反对与退出权、数据可携权(数据导出权)) | a. ConnectNow通过隐私政策或其他方式,以简洁、透明、易于理解且便于获取的形式,使用清晰直白的语言告知数据主体其将如何行使个人数据权利的信息。 b. ConnectNow在产品或服务设计中通过可交互界面中提供数据主体能够访问、更正、删除、导出数据的功能。 c. ConnectNow的DPO会同客服部门保障数据主体投诉渠道畅通,并根据GDPR要求及时响应个人数据权利的请求。 |
| 数据保护影响评估(DPIA) | a.当处理高风险数据时,ConnectNow会开展数据保护影响评估。 b.基于DPIA的结果,ConnectNow会提出数据保护措施的改进建议,减轻数据处理中的风险。 |
| 数据保护官(DPO) | ConnectNow任命DPO,负责监督数据保护策略的实施并作为数据保护问题的主要联系人。DPO的联系方式公开在我们的隐私政策中。 |
| 数据处理协议(DPA) | ConnectNow作为数据处理者,已准备数据处理协议模板,并向数据控制者(客户)提供相应数据处理协议。 |
| 数据泄露报告 | a.ConnectNow如作为数据处理者,在发现数据泄露后,将及时通知数据控制者; b.ConnectNow如作为数据控制者,在发现数据泄露后,将在72小时内通知有权监管机构。 |
| 数据跨境传输 | ConnectNow不涉及数据跨境传输,其数据本地化部署方案为:对于位于欧盟的客户或终端用户,个人数据将保存于欧盟范围内的服务器中。 |
五、总结
我们致力于为您提供可靠、安全和符合法律法规要求的产品与服务,切实地保障您及全体用户的数据的可用性、机密性和完整性。我们承诺以数据保护为核心,以技术能力为基石,打造业界领先的竞争力,构建完善的数据安全保障体系,并始终如一地将信息安全保障作为我们的重要发展战略之一。
为实现各地区开展的业务符合当地隐私保护法规的要求,我们将持续跟踪相关法律法规的更新,并将法规的新要求转换为我们内部的规定,优化内部流程,以保证我们开展的各类活动满足法律法规的要求。我们将根据更新的法律法规要求不断发展和持续推出隐私保护相关的服务和方案,帮助您满足隐私保护法律法规的新要求。
遵循GDPR与相关数据保护法律法规的要求是一项长期和多方位的任务,我们愿意在未来持续提升能力,满足相关法律法规的要求,为您提供安全、可信的产品或服务。
本文仅供参考,不具备法律效应或构成法律建议。请您酌情评估自身情况,并确保在使用ConnectNow时对GDPR的遵从性。
六、版本与记录
| 版本 | 发布日期 | 版本描述 |
|---|---|---|
| 1.0 | 2025年4月27日 | 首次发布 |
