数据处理附录
最近更新:2026 年 5 月 16 日
本数据处理附录以英文、德文、简体中文、西班牙文和匈牙利文发布。如各语言版本之间存在冲突,以英文版本为准。通过引用纳入的标准合同条款以欧盟官方公报发布的权威文本为准。
本数据处理附录("DPA")是 Haltless Kft.("Haltless")与该协议中指定的客户("客户")之间就 Haltless 服务的提供而签订的主服务协议、服务条款或其他书面或电子协议(统称"协议")的组成部分。本 DPA 规范 Haltless 在提供服务过程中对客户个人数据的处理。如协议与本 DPA 在数据保护事项上存在冲突,以本 DPA 为准(仅限冲突范围内)。Haltless 可不时更新本 DPA,以反映适用法律或服务的变化,并按照协议规定通知客户。
1. 定义
"控制者"、"处理者"、"数据主体"、"个人数据"、"处理"和"监管机构"等术语具有 GDPR 中所赋予的含义。本 DPA 中使用但未定义的其他大写术语具有协议中规定的含义。此外适用以下定义:
- "适用的数据保护法"
- 适用于本 DPA 下客户个人数据处理的所有法律法规,包括:(i)《欧盟一般数据保护条例》(GDPR)(条例 (EU) 2016/679);(ii) 英国 2018 年《数据保护法》和英国 GDPR;(iii) 瑞士《联邦数据保护法》;(iv) 2018 年《加州消费者隐私法》及其经《加州隐私权法案》修订版本("CCPA");(v) 中华人民共和国《个人信息保护法》("PIPL");以及 (vi) 任何其他适用的数据保护或隐私法律,均以现行有效的版本为准。
- "客户个人数据"
- Haltless 代表客户在提供服务过程中处理的任何个人数据。客户个人数据不包括 Haltless 或 Paddle 作为独立控制者为计费、税务、欺诈预防或合规目的处理的客户计费联系人的个人数据。
- "个人数据泄露"
- 导致本 DPA 下传输、存储或以其他方式处理的客户个人数据意外或非法销毁、丢失、更改、未经授权披露或访问的安全事件。
- "允许目的"
- 根据客户的书面指示(包括从客户对服务的配置和使用、协议以及本 DPA 中合理推断出的任何指示)提供服务所必需的处理。
- "标准合同条款 (SCCs)"
- 根据 GDPR 向第三国传输个人数据的标准合同条款,规定于 2021 年 6 月 4 日委员会执行决定 (EU) 2021/914 中,并可不时修订或替换。在本 DPA 中,当客户为控制者时,SCCs 指模块二(控制者至处理者);当客户本身为代表其自身控制者行事的处理者时,SCCs 指模块三(处理者至处理者)。
- "子处理方"
- Haltless 在提供服务过程中聘用以代表客户处理客户个人数据的任何第三方。处理客户个人数据的 Haltless 关联实体也被视为子处理方。
- "英国附录"
- 由英国信息专员发布、自 2022 年 3 月 21 日起生效的《欧盟委员会标准合同条款国际数据传输附录》B1.0 版,并可不时修订或替换。
- "中国标准合同"
- 由中国国家互联网信息办公室发布、自 2023 年 6 月 1 日起施行的《个人信息出境标准合同》,并可不时修订。
2. 角色、范围和期限
客户作为控制者(或作为代表第三方控制者行事的处理者)处理客户个人数据,并指定 Haltless 为处理者。Haltless 仅为允许目的处理客户个人数据。数据主体类别、客户个人数据类别、处理操作及处理的其他细节在附件 I 中说明。
本 DPA 在 Haltless 处理客户个人数据期间适用,相当于协议的期限以及履行第 12 节(归还或删除)规定的义务和适用法律下的任何保留义务所需的额外期间。
如客户本身为代表第三方控制者行事的处理者,客户保证已获得该控制者签订本 DPA 所需的所有授权,且控制者已批准聘用 Haltless 及其子处理方。
3. 适用法律的遵守
各方均应遵守适用于其的数据保护法。客户负责确保在服务下进行的处理具有有效的法律依据,确保数据主体已获得 GDPR 第 13 和 14 条(以及其他适用数据保护法相应规定)所要求的所有信息,并已取得任何必要的同意。Haltless 负责履行其作为处理者的义务。如 Haltless 认为某项指示违反适用数据保护法,将告知客户,但 Haltless 没有义务主动监督客户的合规情况。
4. 客户指示与禁止类别
Haltless 仅根据客户的书面指示处理客户个人数据,包括关于将客户个人数据传输至第三国或国际组织的指示,除非 Haltless 所适用的欧盟或成员国法律另有要求;在此情况下,Haltless 将在处理前告知客户该法律要求,除非该法律基于重要公共利益理由禁止此类告知。协议、本 DPA 以及客户对服务的使用和配置构成客户的书面指示。
客户不得将以下类别的个人数据提交至服务,且不得允许数据主体提交:GDPR 第 9 条所指的特殊类别的个人数据(包括揭示种族或民族出身、政治观点、宗教或哲学信仰、工会成员身份的数据,以及遗传数据、用于唯一识别自然人的生物识别数据、健康数据或有关自然人性生活或性取向的数据)、有关刑事定罪和违法行为的数据(GDPR 第 10 条)、受 PCI DSS 规范的支付卡数据、政府签发的身份证号码或 16 岁以下儿童的个人数据。服务并未配置以处理这些类别的数据,Haltless 对违反本节提交此类数据所产生的任何责任不承担责任。
5. 授权人员的保密义务
Haltless 将确保在其授权下处理客户个人数据的任何自然人(包括其员工、承包商和代理人)均受书面保密义务约束或受适当的法定保密义务约束,并且仅按 Haltless 与本 DPA 一致的指示处理客户个人数据。保密义务在与相关人员的关系终止后继续有效。
6. 处理的安全性
考虑到技术现状、实施成本、处理的性质、范围、背景和目的以及对自然人权利和自由的不同可能性和严重性风险,Haltless 实施适当的技术和组织措施以确保与风险相适应的安全水平,如附件 II 所述。Haltless 定期审查和更新这些措施。Haltless 可不时更新附件 II,前提是更新后的措施所提供的安全水平实质上等同于或高于本 DPA 签订之日生效的措施。
7. 子处理方
客户授予 Haltless 总体授权以聘用子处理方处理客户个人数据,须遵守本节的条件。本 DPA 签订之日生效的子处理方名单列于附件 III,并发布于附件 III 中指定的网址。
Haltless 将在变更生效前至少三十 (30) 天通过更新已发布的名单并提供客户可订阅的通知机制,向客户告知任何拟新增或替换子处理方的事宜。客户可在通知之日起十五 (15) 天内基于合理的数据保护理由以书面形式反对拟议的子处理方变更。如双方无法在反对后三十 (30) 天内就解决方案达成一致,客户可终止无法在无该子处理方情况下提供的受影响服务部分,并按比例退还期限内未使用部分的任何预付费用。
Haltless 聘用子处理方时,将通过书面合同向该子处理方施加不低于本 DPA 规定的保护程度的数据保护义务,包括 GDPR 第 28 和 32 条规定的适用于 Haltless 的义务。Haltless 对每个子处理方履行其数据保护义务对客户负全部责任。
8. 数据主体权利协助
考虑到处理的性质,Haltless 将在可能的范围内通过适当的技术和组织措施协助客户履行其响应数据主体行使适用数据保护法所赋权利(包括访问权、更正权、删除权、限制处理权、数据可携权和反对权)请求的义务。服务提供自助工具,客户可访问、导出、更正或删除客户个人数据。如数据主体就客户个人数据相关的权利请求直接联系 Haltless,Haltless 不会作出实质性回应,并将不无故拖延地将该请求转交客户。
9. 个人数据泄露通知
Haltless 将在知悉影响客户个人数据的确认个人数据泄露后不无故拖延地通知客户,无论如何不晚于七十二 (72) 小时。初次通知将发送至客户账户中指定的安全联系人;如未指定该联系人,则发送至客户的主要管理员。
通知将在当时已知的范围内包括:(i) 对泄露性质的描述,包括所涉数据主体和记录的类别和大致数量;(ii) 泄露的可能后果;(iii) 为应对泄露并减轻其可能不利影响所采取或拟采取的措施;以及 (iv) Haltless 处可获取更多信息的联系点。如无法同时提供信息,将分阶段在不延误的情况下提供。Haltless 将与客户合作并提供合理协助,使客户能够履行其根据 GDPR 第 33 和 34 条(以及其他适用数据保护法相应规定)对监管机构和数据主体的通知义务。
10. 数据保护影响评估与事先咨询
考虑到处理的性质和 Haltless 可获得的信息,Haltless 将就客户根据 GDPR 第 35 和 36 条(或其他适用数据保护法的相应规定)针对 Haltless 处理客户个人数据所需进行的数据保护影响评估及与监管机构的事先咨询,向客户提供合理协助(费用由客户承担)。此类协助可包括提供本 DPA、附件 I、附件 II 以及 haltless.io/security 上的信任与安全中心所载的信息。
11. 国际数据传输
若客户个人数据的处理涉及从欧洲经济区、英国或瑞士向不享受适用数据保护法下充分性决定的国家传输的情形,双方通过引用纳入 SCCs 的模块二(控制者至处理者),或模块三(处理者至处理者,若客户作为处理者行事),并作出以下选择:包括第 7 条(对接条款);第 9 条选项 2(一般书面授权)适用,并采用第 7 节规定的三十 (30) 天事先通知期;第 11(a) 条可选措辞被排除;第 17 条(适用法律)为匈牙利法律;第 18 条(管辖法院)指定匈牙利法院;SCCs 的附件参照本 DPA 的附件 I、附件 II 和附件 III 填写。
对于受英国 GDPR 约束的个人数据传输,英国附录通过引用纳入并使用本 DPA 附件 I、附件 II 和附件 III 中的信息填写。英国附录的表 1、2 和 3 由本 DPA 中填写的 SCCs 填充,表 4 表明数据进口方可在允许的情况下终止英国附录。
对于受瑞士《联邦数据保护法》约束的传输,SCCs 适用以下调整:在相关情形下,对 GDPR 的提及应解释为对瑞士《联邦数据保护法》的提及;"成员国"一词应作不排除在瑞士的数据主体行使其权利的解释;主管监管机构为瑞士联邦数据保护和信息专员。
对于受 PIPL 及中国国家互联网信息办公室发布的跨境传输规则约束的、位于中国大陆境内个人的个人信息传输,双方将根据所传输个人信息的数量和敏感性使用中国标准合同或其他合法机制(如安全评估或认证)。客户作为个人信息处理者负责其所需的备案或评估;Haltless 将提供合理配合,包括完成标准合同所需的信息。
双方确认,Haltless 可将客户个人数据传输至已根据《欧盟-美国数据隐私框架》、《欧盟-美国数据隐私框架英国扩展》或《瑞士-美国数据隐私框架》进行自我认证的美国接收方。在发生此类传输的情况下,已认证的接收方依据相关框架。如接收方未认证或相关框架不再有效,则适用本节规定的 SCCs。
12. 个人数据的归还或删除
在服务提供结束后,Haltless 将根据客户的选择删除或归还所有客户个人数据并删除现有副本,除非欧盟或成员国法律要求保留。在协议期限内,客户可随时使用服务提供的导出工具导出客户个人数据。在协议终止或到期后,客户有三十 (30) 天时间请求获取客户个人数据;该期限过后,Haltless 将在六十 (60) 天内从生产系统中删除客户个人数据,并按照附件 II 中所述的备份轮换计划从加密备份中删除。
若 Haltless 根据欧盟或成员国法律必须在上述删除时限之外保留客户个人数据,Haltless 将隔离数据,限制对其进一步处理至保留目的,并在保留义务到期后删除数据。Haltless 可保留不再识别任何数据主体的匿名化或聚合数据用于自身目的,符合协议规定。
13. 审计和检查
Haltless 维持其信息安全计划的独立第三方评估和认证,包括 ISO 27001 一致性评估及同等证明,相关信息列于 haltless.io/security。客户可通过发送电子邮件至 privacy@haltless.io 申请最新审计报告及其支持文档的摘要。此类信息属于 Haltless 机密信息,并按照协议的保密义务提供。
此外,客户可在合理的事先书面通知后,且每日历年不超过一次(除非发生影响客户个人数据的个人数据泄露),对 Haltless 履行本 DPA 的情况进行审计。审计将在正常工作时间内、由客户负担费用,由客户或受适当保密义务约束的独立第三方审计师进行。审计范围不得要求披露会损害 Haltless 或其其他客户的安全、保密或商业利益的信息。双方将本着诚信原则商定审计范围、方法和时间。
14. 加州消费者隐私法条款
就 CCPA 而言,客户为"业务方",Haltless 就客户个人数据为"服务提供方"或"承包商",按 CCPA 所定义。Haltless 将:(i) 仅为协议和本 DPA 中规定的有限且具体的业务目的处理客户个人数据;(ii) 不出售或共享(按 CCPA 所定义)客户个人数据;(iii) 不为规定的业务目的以外的任何目的或在与客户直接业务关系之外保留、使用或披露客户个人数据;(iv) 不将客户个人数据与 Haltless 从其他人处获得的个人信息合并,除非 CCPA 允许;以及 (v) 在 Haltless 认定其无法继续履行 CCPA 义务时通知客户。
Haltless 将协助客户应对 CCPA 下的经核实消费者请求,包括知情、删除、更正以及拒绝出售或共享的请求。客户负责核实请求消费者的身份并决定是否回应。客户授予 Haltless 在任何时候采取合理和适当步骤以制止和补救对客户个人数据的任何未经授权使用的权利。
15. 边缘代理与工业控制数据
Haltless 边缘代理在客户控制的基础设施上运行,并从客户明确配置的工业端点(如 OPC UA 服务器、Modbus 设备和历史数据库)读取数据。边缘代理不会从客户未配置的端点读取数据。工业遥测数据(传感器读数、机器状态、事件计数器)通常不属于个人数据;但客户或其操作员输入的辅助字段(如主管姓名、操作员姓名和班次注释)可能构成个人数据,并在本 DPA 下被视为客户个人数据。
客户负责边缘代理的主机环境,包括操作系统补丁、网络分段、电力供应以及访问工业端点所用的凭据。Haltless 对因客户配置错误或第三方行为造成的可编程逻辑控制器、人机界面或其他工业设备损坏不承担责任。服务为监测和分析平台;其不构成 IEC 61511 意义上的安全仪表系统,客户不得仅依赖服务进行安全关键控制决策。客户仍需对其运营所适用的行业特定网络安全义务负责,包括在适用情况下依据指令 (EU) 2022/2555 (NIS2) 及条例 (EU) 2024/2847(网络弹性法)的规定。
16. 责任
各方因本 DPA 或与之相关而产生的责任,受协议中规定的责任限制的约束,该限制适用于双方在协议和本 DPA 项下的合计责任。本 DPA 中的任何规定均不限制任何一方对以下事项的责任:根据 GDPR 第 82 条对数据主体造成的损害、违反 SCCs 下第三方受益人权利、赔偿义务、欺诈或故意不当行为、违反保密义务,或根据适用数据保护法不能被排除或限制的任何责任。
17. 期限、优先顺序和存续条款
本 DPA 自双方签订协议之日起生效,并在 Haltless 处理客户个人数据期间持续有效。协议的终止不解除任何一方因性质上仍需履行的义务,包括有关客户个人数据归还或删除、保密、对期限内已发生的处理的审计权、责任以及适用法律的义务。
如发生冲突,优先顺序如下:(i) 适用范围内的 SCCs(以及适用的英国附录和中国标准合同);(ii) 本 DPA;以及 (iii) 协议。如 Haltless 更新其子处理方名单、技术和组织措施或安全文档,相关更新自发布之日起生效,但须遵守本 DPA 中规定的通知和异议权利。
18. 适用法律和管辖权
本 DPA 受匈牙利法律管辖,不包括其冲突法原则,但 SCCs、英国附录或中国标准合同就其规范的事项要求适用不同法律的除外。匈牙利布达佩斯法院对因本 DPA 引起的或与之相关的任何争议拥有专属管辖权,但不损害数据主体根据 SCCs 和适用数据保护法在其惯常居住地法院提起诉讼的权利。
若客户在欧盟、英国或瑞士设立,且该法域的强制性规定要求对客户个人数据处理的特定方面适用不同的法律,则该强制性规定在所要求的范围内适用。
附件 I. 处理活动说明
数据主体类别
Haltless 代表客户处理以下数据主体类别:客户的员工、承包商和其他服务授权用户;客户的操作员、主管、维护技术人员及其他姓名出现在班次记录、工单或审计跟踪中的轮班人员;以及联系方式存储在客户对服务的配置中的个人(如升级联系人和值班名单)。
个人数据类别
客户可通过服务提交以下类别的个人数据,其范围和内容由客户决定:
| 标识符与联系数据 | 全名、工作电邮地址、工作电话、职位、雇主名称,以及提供时的邮政地址。 |
|---|---|
| 身份验证与安全工件 | 哈希密码、多因素认证密钥、单点登录主体标识符、会话标识符、设备指纹、IP 地址、浏览器和操作系统元数据。 |
| 审计跟踪数据 | 操作者用户标识符、IP 地址、时间戳、操作类型、目标资源标识符和请求元数据,为安全、合规和取证目的捕获。 |
| 班次与运营记录 | 操作员姓名、主管姓名、班次注释、工单备注,以及客户人员在使用服务时输入的辅助字段。 |
| 支持与通信数据 | 客户人员与 Haltless 支持团队之间通信的姓名、联系方式和内容,包括工单正文、附件以及(如适用)通话录音。 |
| 推送与通知端点 | VAPID 推送订阅端点(Apple Push Notification、Firebase Cloud Messaging、Mozilla autopush)、通知偏好和送达回执。 |
| 与计费相关的个人数据 | 计费联系人的姓名、电邮地址、账单地址和税务标识符,由 Paddle 作为登记商户处理。Haltless 接收该数据的有限子集用于账户管理。 |
| 营销归因数据 | UTM 参数、推荐人 URL、营销同意时间戳和互动记录(在客户人员选择接收营销通信的情况下)。 |
敏感数据
根据本 DPA,GDPR 第 9 条意义上的特殊类别个人数据以及 GDPR 第 10 条意义上的与刑事定罪和违法行为相关的数据并不计划被处理。客户不得将此类数据提交至服务。服务并未配置为应用此类数据所需的额外保护措施。
处理频率
在协议期限内持续进行,与客户对服务的使用一致。
处理性质和目的
为提供服务、安全运营平台、遵守法律义务以及向客户提供支持所必需的收集、记录、组织、构建、存储、检索、查阅、使用、向授权用户传输披露、对齐、合并、限制、删除或销毁。具体目的包括账户配置和认证、工业遥测数据的摄取和展示、警报和异常通知的生成、审计日志、安全监测、客户支持和账单管理。
保留
个人数据按 Haltless 隐私政策(haltless.io/privacy)和协议规定的期限保留。审计日志记录保留七 (7) 年,以支持 SOC 2 证明和安全取证的合法利益。运营遥测数据保留按客户计划(试点、站点、企业)配置。服务结束后的保留遵循本 DPA 第 12 节。
主管监管机构
匈牙利国家数据保护和信息自由局(Nemzeti Adatvédelmi és Információszabadság Hatóság,NAIH)担任主管监管机构。如客户在另一欧盟成员国设立,且 Haltless 的处理主要与该设立地相关,则该成员国的数据保护机构为主管监管机构。
附件 II. 技术和组织措施
考虑到处理的性质、范围、背景和目的以及对自然人权利和自由的风险,Haltless 实施并维持以下技术和组织措施。Haltless 可不时更新这些措施,前提是更新后的措施所提供的安全水平实质上等同于或高于以下所述措施。
| 传输加密 | 所有面向客户的连接使用 TLS 1.2 或更高版本及现代密码套件。在边缘代理控制通道上使用严格传输安全和证书固定,并在 Web 端点上使用 HSTS。 |
|---|---|
| 静态加密 | 生产数据库、对象存储和备份采用 AES-256 加密。在适用情况下采用按租户密钥派生,密钥由经过加固的密钥管理服务管理。 |
| 访问控制 | 基于角色的访问控制以最低权限为默认,开发、运营和安全角色之间的职责分离,生产环境的限时提升访问权限,以及访问生产系统的所有人员强制单点登录与多因素认证。 |
| 身份验证与密码卫生 | 客户身份验证强制实施强密码策略、bcrypt 或 Argon2 哈希算法,以及对 TOTP 和 WebAuthn 多因素认证的支持。会话令牌使用 HMAC-SHA256 签名,具有较短生命周期,并在注销或泄露时撤销。 |
| 网络与基础设施安全 | 纵深防御网络分段、基于主机的防火墙、容器镜像扫描、具有优先修复的漏洞管理,以及对生产基础设施的持续监测。 |
| 应用程序安全 | 安全的软件开发生命周期,包括代码审查、依赖项扫描、静态和动态分析、密钥检测,以及对面向客户的组件和边缘代理组件的定期第三方渗透测试。 |
| 日志记录与审计跟踪 | 使用 HMAC-SHA256 哈希链的防篡改审计日志,保留七 (7) 年。日志涵盖身份验证事件、特权操作、配置更改以及对客户个人数据的访问。 |
| 备份与灾难恢复 | 每日加密备份并跨区域复制,定期恢复测试,已记录的 RPO 和 RTO 目标,以及每季度的业务连续性演练。 |
| 事件响应 | 已记录的事件响应手册,针对高严重性事件提供 24 小时值班覆盖,预定义的通知时限(包括 72 小时数据泄露通知承诺),以及对重大事件的事后审查。 |
| 人员安全 | 在合法的范围内对访问生产系统的人员进行背景调查,强制书面保密承诺,年度安全和隐私意识培训,以及管理员账户与个人账户的隔离。 |
| 物理安全 | 生产环境托管在通过 ISO 27001 或 SOC 2 认证的数据中心,由底层云提供商运营物理访问控制、环境监测和 24/7 监控。 |
| 子处理方治理 | 已记录的子处理方入网尽职调查、与施加于 Haltless 的条款等同的合同数据保护条款、定期审查子处理方的安全态势,以及本 DPA 第 7 节所述的通知机制。 |
附件 III. 子处理方
Haltless 聘用以下子处理方提供服务。当前名单及每次新增或替换的日期发布于 haltless.io/security。客户可按本 DPA 第 7 节所述订阅更新。
| 子处理方 | 目的 | 处理地点 |
|---|---|---|
| 云基础设施提供商 | 托管生产应用服务器、数据库、对象存储和备份。 | 欧盟(主要),EEA 内的备份区域。 |
| Paddle.com Market Limited | 作为销售、计费、税务核定与缴纳、欺诈预防和退款的登记商户。 | 英国和欧盟。 |
| 交易电邮提供商 | 交易类电邮(账户验证、密码重置、警报、计费通知)的投递。 | 欧盟或美国(依据《欧盟-美国数据隐私框架》)。 |
| 推送通知网关 | 通过 Apple Push Notification 服务、Firebase Cloud Messaging 和 Mozilla autopush 投递网页和移动推送通知。 | 依提供商路由,位于美国和欧盟。 |
| 单点登录身份提供商 | 在客户启用的情况下,使用 Google 和 Microsoft 进行 OpenID Connect 联合身份登录。 | 依提供商位于欧盟和美国。 |
| 错误监测服务 | 捕获和汇总应用错误事件以支持可靠性工程。客户个人数据在传输前已被清理。 | 欧盟。 |
| 客户支持平台 | 托管支持工单、知识库内容以及通过产品内支持组件发起的客户通信。 | 欧盟。 |
| 状态与事件沟通平台 | 运营 status.haltless.io,包括事件通知和维护公告。 | 欧盟。 |
| 可观测性与日志平台 | 汇总应用程序日志和指标以进行运营监测。客户个人数据在传输前已最小化。 | 欧盟。 |
| Haltless 关联实体 | 由 Haltless 集团实体在与 Haltless Kft. 相同的数据保护条款下执行工程、支持和安全运营工作。 | 欧盟(匈牙利)。 |
其他子处理方仅在客户指示下并仅在相关集成范围内被聘用于 ERP、MES 或 CMMS 集成。在任何客户个人数据被传输之前,将按照第 7 节通知客户此类聘用。
如对本 DPA 有疑问,希望订阅子处理方通知,或协调审计,请联系 privacy@haltless.io.