适用于电脑和移动游戏的 Xbox 网络服务数据处理附录
此适用于电脑和移动游戏的 Xbox 网络服务数据处理附录(“附录”)是你与 Microsoft 之间签订的应用开发人员协议(“ADA”)的一部分,它控制通过包含 Xbox 网络服务的电脑和移动应用向你提供的个人数据的处理。 如果 ADA 条款与本附录的条款之间存在任何冲突,则以本附录的条款为准。
1. 定义。 本附录中使用的大写术语具有 ADA 或本附录规定的定义。
1.1“数据出口方”是指符合以下条件的一方:(1) 在需要国际数据传输机制的管辖区开设有公司或具有其他稳定布局;以及 (2) 向数据进口方传输个人数据或提供个人数据。
1.2 “数据进口方”是指符合以下条件的一方:(1) 所在管辖区与数据出口方不同;以及 (2) 从数据出口方接收个人数据或者能够访问数据出口方提供的个人数据。
1.3“数据保护法”是指适用于你或 Microsoft 的与数据安全、保护、处理和/或隐私相关的任何法律、条例、法规、法令、章程或其他规定、指令、授权令或决议,以及任何实施、衍生或相关的立法、条例、法规和监管指南(经修订、扩展、废除和替换或重新颁布)。
1.4“个人数据”是指与已识别或可识别的自然人(“数据主体”)相关的任何信息,以及根据任何适用的数据保护法构成个人数据或个人信息的任何其他数据或信息。
2. 数据保护法合规性。 对于依照 ADA 和本附录传输的个人数据,双方一致同意,你和 Microsoft 都是独立的数据控制者,而不是一般数据保护条例 (GDPR) 中定义的各自独立处理的个人数据的联合控制者。 本附录中使用的“控制者”是指决定个人数据处理目的和方式的实体,“处理”是指一方对个人数据执行的任何操作或一组操作,包括收集、记录、组织、存储、改编或更改、检索、咨询、使用、通过传输、传播或以其他方式提供来进行披露、排列或组合、阻止、限制、擦除或销毁。 “已处理”具有相应的含义。 作为个人数据的独立控制者,各方同意如下所示:
2.1 常规。 各方独立负责合规性,并遵守数据保护法(例如控制者的义务),包括但不限于根据数据保护法(例如 GDPR 第 13 条和第 14 条,如果适用)的要求向数据主体提供通知,根据数据保护法(例如 GDPR 第三章)的要求响应数据主体行使其权利的请求,并确定处理的合法依据(例如同意或合法权益)。
2.2 合作。 如果任何一方从政府、立法、司法、执法或监管机构(如美国联邦贸易委员会、美国某州司法部长或欧洲数据保护机构)收到任何类型的请求或询问,或者因各方处理依照 ADA 和本附录共享的个人数据而面临的实际或潜在索赔、查询或投诉(统称为“查询”),除非适用法律禁止此类通知,否则其应立即通知另一方。 接收方将立即向另一方提供与查询相关的信息(包括与索赔辩护相关的任何信息),以使该方能够对查询作出回应。 根据请求,一方将向另一方提供相关信息,以履行其执行数据保护影响评估或事先与数据保护机构协商的义务(若有)。
2.3 数据安全性。 你必须确保你的网络、操作系统、软件、数据库和其他相关计算机系统正确构建、配置和操作,以安全的方式存储、管理和保护从 Microsoft 接收或获取的任何个人数据,并且符合 Xbox 要求(“XR”)中包含的所有相关要求。 各方将根据良好行业惯例和数据保护法中与数据安全相关的规定(包括根据 GDPR 第 32 条)采取所有必要的措施。
2.4 保密性。 各方将确保获得授权处理个人数据的人员已承诺履行保密义务,该保密义务的保护性不低于 NDA 的规定或者遵循适当的法定保密义务。
2.5 禁止销售个人数据。 根据客户的其他授权或与之相反的指示,你将 (i) 仅使用与游戏和游戏相关服务的预配相关的个人数据,并且 (ii) 不将个人数据传输、共享或销售给任何第三方,但受合同约束的处理者或代表你运营的子处理者除外(其中“共享”和“销售”由加利福尼亚州消费者隐私法案或其他适用的数据保护法定义)。 如果 Microsoft 根据适用的数据保护法传输被视为去标识化数据的数据,则你不会(并且将确保子处理者不会)试图重新标识数据,使其成为个人数据。 在《加利福尼亚州消费者隐私法案》应用于任何个人数据的范围内,你证明你了解上述限制并遵守这些限制。 如果你确定无法再履行适用数据保护法规定的义务,那么你需要通知 Microsoft。
2.6 你将遵守 Microsoft 关于从客户处接收数据主体权利请求的指示以及 ADA 中规定的控制个人数据使用的其他合理要求。
2.7 你将遵守 Microsoft 的请求,依照本附录的条款和适用法律的要求,对你遵守和/或履行隐私义务的情形开展合规性审查。 Microsoft 可能会在每个日历年或者客户投诉时要求进行一次此类审查。 除非发生客户投诉,否则你可以提交合规性证明,而不是参与合规性审查。
2.8 在 ADA 因故终止、负面合规性审查发现你处理数据不当或查询开始时,你应按照 Microsoft 的要求,立即删除依照 ADA 和本附录共享的所有个人数据副本或将其返还给 Microsoft,但根据适用的数据保护法,你有权或义务在终止后保留个人数据的情况除外。 如果 Microsoft 要求,你应在三十 (30) 天内以书面形式确认删除。
2.9 国际个人数据传输要求。 一些管辖区要求,将个人数据传输给另一管辖区的接收方的实体应采取额外措施来确保当接收方的管辖区法律未以与传输实体管辖区等效的方式保护个人数据时,个人数据具有特殊保护(“国际数据传输机制”)。 各方将遵守适用数据保护法(包括标准合同条款)可能要求的任何国际数据传输机制。 “标准合同条款”是指欧盟委员会 2021 年 6 月 4 日通过的 2021/914 号实施决定中关于从欧洲经济区向第三方国家或地区进行国际传输的欧盟标准合同条款。 各方进一步同意如下事项:
2.9.1 如果各方依赖的国际数据传输机制失效或被取代,则各方将真诚合作,寻找合适的替代方案。
2.9.2 对于位于需要国际数据传输机制的管辖区(如 EEA、瑞士或英国)的数据主体的个人数据(Microsoft 向你传输或允许你访问这些数据),各方同意,通过执行本附录,他们也执行标准合同条款,其将通过引用并入并构成本附录的一个组成部分。 各方同意,对于需要各方意见的标准合同条款要素,附表 1 包含与标准合同条款附件相关的信息。 各方同意,对于英国、瑞士或者附表 1 中规定的其他国家或地区的数据主体的个人数据,他们将对附表 1 中列出的标准合同条款进行修改,以使标准合同条款适应当地法律(如适用)。
2.10 附表 1。 附表 1 描述了各方处理的目的、处理中涉及的个人数据的类型或类别、受处理影响的数据主体的类别以及各方在相关数据保护法下的状态。
附表 1 — 处理说明
| 处理活动 | 各方的状态 | 可能处理的个人数据的类别 | 可能处理的敏感数据的类别 | 适用的 SCC 模块 |
|---|---|---|---|---|
| 你以控制者身份收集或接收个人数据。 | Microsoft 充当控制者。 由你充当控制者。 |
|
|
模块 1 |
注意:列出的类别是描述性的,并不一定意味着各方正在处理列出的每一类数据。
1. 国际传输信息:
1.1 传输频率:所有个人数据均为连续传输。
1.2 保留期:作为控制者,各方保留个人数据的期限为商业用途相应的期限或适用法律允许的最长期限。
2. 出于标准合同条款的目的:
2.1 第 7 条:各方不采用可选对接条款。
2.2 第 11(a) 条:各方不选择独立争议解决选项。
2.3 第 17 条:各方选择选项 1。 各方同意治理管辖权为爱尔兰。
2.4 第 18 条:各方同意集会场所为爱尔兰。
2.5 附录 I(A):数据出口方是“数据出口方”(定义见上文),“数据进口方”是“数据进口方”(定义见上文)。
2.6 附录 I(B):各方同意计划 1 描述传输。
2.7 附录 I(C):主管监管机构是爱尔兰数据保护委员会。
2.8 附录 II:各方同意,本附表 1 第 4 节描述适用于传输的技术和组织措施。
3. 为了本地化标准合同条款:
3.1 瑞士
3.1.1 各方对所有数据传输采用 GDPR 标准。
3.1.2 第 13 条和附录 I(C):第 13 条和附录 I(C) 中规定的主管部门是联邦数据保护和信息专员,以及上述 EEA 成员国当局。
3.1.3 第 17 条:各方同意治理管辖权为爱尔兰。
3.1.4 第 18 条:各方同意集会场所为爱尔兰。 各方同意解释标准合同条款,以便瑞士的数据主体能够根据第 18(c) 条的规定就其在瑞士的权利提起诉讼。
3.1.5 各方同意解释标准合同条款,以便“数据主体”包括有关瑞士法律实体的信息,直到修订后的《联邦数据保护法》生效。
3.2 英国
3.2.1 各方同意,标准合同条款被视为针对从英国到第三国家/地区的传输进行操作所必需的程度进行了修正,并根据英国一般数据保护条例(“英国 GDPR”)第 46 条提供适当的传输保护措施。 此类修正包括将对 GDPR 的引用更改为英国 GDPR,以及将对欧盟成员国的引用更改为英国。
3.2.2 第 17 条:各方同意治理管辖权为英国。
3.2.3 第 18 条:各方同意法庭为英格兰和威尔士法院。 各方同意,数据主体可能会在英国任何郡县的法院对任何一方提起法律诉讼。
3.2.4 来自英国的传输应受 Microsoft 实施的 IDTA 管辖。 就本协议而言,“IDTA”是指英国信息专员办公室根据《2018 年英国数据保护法案》S119A(1) 颁发的欧盟委员会国际数据传输标准合同条款的国际数据传输附录。
4. 技术和组织安全措施。 你将遵守附录第 2.3 节中所述的技术和组织措施。