v2026.02.28 本数据处理附录(“DPA”)构成 Giftpack, Inc.(“Giftpack”)与向 Giftpack 提交个人数据或使用 Giftpack 服务的客户、用户、合作伙伴或组织(“客户”)之间协议的一部分。当 Giftpack 根据适用数据保护法律,作为处理者、服务提供商、承包商或类似角色代表客户处理个人数据时,本 DPA 适用。客户可通过签署订单、接受服务条款、在平台中点击接受、提交收件人数据、批准活动或使用涉及代表客户处理个人数据的服务来接受本 DPA。单独签署的数据处理协议将在冲突范围内取代本在线 DPA。
“数据保护法律”指适用于处理客户个人数据的隐私、数据保护和安全法律,可能包括 GDPR、UK GDPR、瑞士联邦数据保护法、CCPA/CPRA 及其他适用法律。“客户个人数据”指客户提供给 Giftpack 或供 Giftpack 代表客户处理的个人数据、个人信息或类似受监管数据。“GDPR”指欧盟条例 2016/679;“CCPA”指经 California Privacy Rights Act 及实施规则修订的 California Consumer Privacy Act。控制者、处理者、企业、服务提供商、承包商、个人数据、个人信息、处理和数据主体等术语具有适用数据保护法律赋予的含义。
对于与客户管理的活动、收件人流程、订单履约、平台管理、报告及相关服务有关的客户个人数据,客户为控制者或企业,Giftpack 为处理者、服务提供商、承包商或类似角色。Giftpack 可按隐私政策所述,为账户管理、安全、欺诈预防、分析、法律合规、服务改进、账单和内部运营,作为独立控制者或企业处理某些数据。
Giftpack 仅根据客户的书面化指示处理客户个人数据,包括本 DPA、服务条款、适用订单、活动订单、平台配置、客户通过服务提交的指示及双方同意的其他书面指示,除非法律另有要求。如 Giftpack 认为某项指示违反数据保护法律,将通知客户,法律禁止的除外。
处理的主题、期限、性质、目的、个人数据类别和数据主体类别载于附录 A。客户负责确保其指示合法,并已提供所需通知且取得 Giftpack 处理客户个人数据所需的权利、许可、同意和法律依据。
Giftpack 将确保获授权处理客户个人数据的人员受保密义务或专业保密职责约束,并获得有关数据处理的适当指示。
Giftpack 将实施并维护适当的技术和组织措施,以保护客户个人数据免受未经授权或非法处理以及意外丢失、毁坏、损坏、披露或访问。当前安全措施载于附录 B 及 Giftpack 安全页面。Giftpack 可不时更新安全措施,但更新不得实质性降低客户个人数据的整体保护水平。
客户授权 Giftpack 使用子处理者提供和支持服务。Giftpack 将对子处理者施加书面数据保护义务,该等义务在适用于其服务的范围内与本 DPA 基本相似。Giftpack 在数据保护法律要求的范围内仍对子处理者的处理负责。Giftpack 将应请求或通过信任、安全或隐私渠道提供子处理者信息。客户可在收到通知后的合理期限内,基于合理的数据保护理由反对新的子处理者。
Giftpack 在知悉确认的安全事件后,将无不当延迟地通知客户;该事件须导致代表客户处理的客户个人数据发生意外或非法毁坏、丢失、变更、未经授权披露或访问。Giftpack 将提供其合理可得的信息,以协助客户履行违规通知义务。通知不构成过错或责任承认。
考虑处理性质,Giftpack 将在可行时通过适当技术和组织措施向客户提供合理协助,以帮助客户回应适用数据保护法律下的数据主体、消费者或隐私权请求。如 Giftpack 直接收到个人关于客户个人数据的请求,除非法律要求另行回应,Giftpack 可将该个人转介给客户。
在数据保护法律要求且请求的协助涉及 Giftpack 对客户个人数据的处理时,Giftpack 将就数据保护影响评估、事先咨询、网络安全评估及其他合规义务向客户提供合理协助。除非适用法律禁止或另有约定,Giftpack 可对超出标准支持的协助收取合理费用。
服务终止或客户书面请求后,Giftpack 将根据协议、平台功能和适用法律删除或返还客户个人数据。Giftpack 可为法律要求、合法商业记录、欺诈预防、安全、争议解决、税务、会计、合规或备份目的保留客户个人数据,但保留数据在删除前仍受本 DPA 保护。
Giftpack 将提供合理必要的信息以证明遵守本 DPA。在数据保护法律要求时,客户可请求审计或评估 Giftpack 相关控制。审计的范围、频率、时间和保密性必须合理,并可通过 SOC 2 报告、安全问卷、认证、摘要或其他适当文件满足。现场审计须提前书面通知、范围合理,并经 Giftpack 安全和保密批准。
客户授权 Giftpack 及其子处理者在美国及 Giftpack 或子处理者运营所在的其他司法管辖区处理客户个人数据。当客户个人数据从欧洲经济区、英国或瑞士传输至未提供充分保护水平的国家时,双方将使用适当传输机制,包括标准合同条款、英国附录或其他适用的合法传输机制。必要时,适用 SCC 以引用方式并入,Giftpack 为数据进口方,客户为数据出口方,除非事实需要不同配置。
在 CCPA 适用时,Giftpack 将作为服务提供商或承包商,为附录 A 所述商业目的处理客户个人数据。Giftpack 不会出售或共享客户个人数据,不会为协议规定或 CCPA 另行允许以外的目的保留、使用或披露客户个人数据,不会在与客户的直接商业关系之外保留、使用或披露客户个人数据,除非 CCPA 允许,也不会将客户个人数据与来自其他来源的个人信息结合,除非 CCPA 允许。Giftpack 将遵守适用于服务提供商和承包商的 CCPA 义务,并在确定无法继续履行该等义务时通知客户。
Giftpack 可为分析、基准比较、产品改进、服务可靠性和商业运营处理去标识化、汇总或匿名化数据,但该等数据不得识别客户或任何个人,并须按适用法律处理。
如本 DPA 与协议冲突,就客户个人数据处理而言,以本 DPA 为准。如需要 SCC 且 SCC 与本 DPA 冲突,则在法律要求范围内以 SCC 为准。
| 字段 | 详情 |
|---|---|
| 主题 | Giftpack 提供平台、礼赠、奖励、寻源、活动管理、收件人互动、履约协调、捐赠/影响力分配、报告、支持及相关服务。 |
| 期限 | 协议期限内,以及为保留、删除、法律合规、争议解决和备份另行需要的期间。 |
| 性质和目的 | 托管、存储、组织、传输、显示、分析、保护、支持、履行、配送、沟通、报告、排错及以其他方式处理客户个人数据以提供服务。 |
| 数据主体 | 客户管理员、授权用户、员工、收件人、最终用户、购买者、捐赠者、供应商联系人、受益人联系人及其数据提交给 Giftpack 的其他个人。 |
| 个人数据类别 | 姓名、商务联系方式、提供时的个人联系方式、配送地址、电子邮件、电话、公司、职位、账户凭据、活动信息、礼品偏好、消息、兑换活动、订单详情、支付元数据、配送状态、支持通信、设备/日志数据及通过服务提交的其他数据。 |
| 敏感数据 | Giftpack 不要求客户提交敏感个人数据,除非明确支持并经书面批准。客户不得提交敏感数据,除非协议和适用法律授权。 |
| 客户义务 | 客户负责法律依据、通知、许可、数据准确性、活动资格和指示。 |
Giftpack 维护旨在保护客户个人数据的措施,包括云基础设施控制、传输中和静态加密、基于角色的访问控制、最小权限实践、内部保密义务、安全意识、日志和监控、漏洞扫描和定期测试、事件响应流程、备份和灾难恢复实践、变更管理、供应商和子处理者审查,以及适合服务性质的物理、行政和技术保障措施。Giftpack 公开安全页面提供高层概览,并可不时更新。