本 AppLovin 需求数据处理协议

Overview

AppLovin provides this translation as a courtesy. In the event of any conflict with the English version, the English version controls.

生效日期:2023 年 8 月 1 日

本 AppLovin 需求数据处理协议(“DPA”)属于 AppLovin 使用条款协议的一部分(可在https://www.applovin.com/terms查询),并受其约束,或受到其他 AppLovin Corporation(“AppLovin”)(即使协议缔约方为其他 AppLovin 下属公司)和用户间其他适用线下协议(即“协议”)的约束。在您使用服务的范围内,当您接受或签署相应协议时,即视为您已接受本 DPA。 

  1. 范围
    1. 各方同意本着确保符合相应数据保护法律之目的达成本 DPA。用户应代表自己及代表其授权下属机构达成此 DPA。AppLovin 可能会在用户使用服务时披露个人信息,考虑到本协议规定的双方义务,双方同意遵守与服务相关的任何个人数据处理规定。除了下文所述之修改,本协议条款将保持完整有效。 
  2. 定义 

    在本协议及上述规定的条款以外,就本 DPA 而言,以下术语应具有以下含义:

    1. 充分管辖权” 是指确保数据主体在个人数据处理方面的权利和自由得到充分保护的国家,在 GDPR 适用的情况下由欧盟委员会确定,在适用英国 GDPR 时由英国信息专员办公室确定。
    2. 下属公司” 是指由一方直接或间接控制,或被控制,或共同控制的实体机构。
    3. 获批附录” 是指由英国国际专员办公室(ICO)于2022 年 2 月 2 日根据《2018 年数据保护法》s119A 发布并提交给英国议会的附录模板(版本 B.1.0),其已根据该附录第 18 条进行了修订。
    4. CCPA”代表 2018 年加利福尼亚州消费者隐私法,Cal Civ。Code §1798.100 et seq., 以及不时修订的所有实施条例,例如 2020 年加利福尼亚州隐私权法(“CPRA”)。
    5. 数据保护法” 是指欧盟数据保护法、CCPA、巴西普通个人数据保护法,No.13,709/2018(即“LGPD”),以及在一方处理与服务相关的个人数据的范围内,保护自然人在处理个人数据方面隐私权的任何其他法律。
    6. 数据主体权利” 是指根据数据保护法所赋予的数据主体权利。
    7. 欧盟数据保护法” 是指 GDPR,即电子隐私权指令和国内实施的法律,以及瑞士联邦数据保护法。
    8. GDPR” 是指欧洲议会和委员会(“EU GDPR” 颁布的欧盟一般数据保护规范 2016/679,以及 2019 年数据保护、隐私和电子通信(修订等)(脱欧)条例中定义的 “UK GDPR” 。
    9. 成员国” 是指欧洲经济区成员国,以及瑞士和英国。
    10. SCC” 是指(a)关于欧盟向欧盟委员会认为不具有充分管辖权的第三国的数据转移,即委员会实施决定(欧盟)2021/914(“EU SCC”)所附标准合同条款模块 1(控制方到控制方)(b)关于来自英国的数据转移,获批附录第 2 部分:强制性条款(“英国强制性条款”), 以及对欧盟 SCC 的任何其他必要的合规性修改(统称为“英国 SCC”);以及(c)欧盟委员会、英国信息专员办公室、任何其他适用的数据保护机构或其他主管当局和管辖权的机构不时发布的与 GDPR 数据转移要求有关的任何更新、修订或单独条款。
    11. 共享的个人数据” 是指一方在履行协议的范围内,对从另一方(另一方即本定义中的“共享方”)处收到的个人数据所进行的个人数据处理。为了避免出现疑问,如果共享方允许接收方访问此类个人数据,则另一方也被视为从共享方“接收”了个人数据。
    12. 透明度通知” 的意义请见条款 3.2(a)。
    13. 术语“控制方”、“处理”、“处理方”、“数据主体”,以及“个人数据” 在欧盟数据保护法中均已给出明确含义。如果数据保护法使用不同的术语来描述与第 2.13 条中上述粗体术语所代表的概念类似的概念,则“控制方”、“处理”、“处理方”、“数据主体”,以及“个人数据” 应采用此类数据保护法所赋予这些不同术语的含义。
  3. 数据处理;独立控制方
    1. AppLovin 和用户:(a)在共享个人数据方面是独立控制方;且(b)能够独立决定个人数据处理的目的和方式。 
    2. 对于任何共享个人数据的处理,各方均应遵守数据保护法,包括以下内容:
      1. 各方应按照数据保护法的要求向数据主体提供所有相应通知,以便其合法处理共享个人数据(“透明度通知”)。 根据数据保护法规定,用户应当披露服务的使用情况,以及 AppLovin 是如何在透明度通知中处理个人数据的; 
      2. 各方应根据数据保护法为适用的数据主体权利提供所有必要的机制并确保其有效,同时回应政府当局的询问;
      3. 除非本协议中明确允许,用户不得向任何第三方披露共享个人数据。此外,在发生任何下列情况时,用户应及时删除所有共享个人数据:(i)用户并未赢得共享个人数据相关的竞标,或(ii)在用户为了响应与该共享个人数据相关的广告请求(直接或间接,例如在后一种情况下通过第三方广告服务器),提供了广告之后。在不限制前述规定的情况下,用户不应也不得允许任何第三方在对任何最终用户或任何其他数据主体或任何移动财产或发布者进行任何分析,或在跟踪时使用任何共享个人数据;
      4. 任何一方均不得出于本透明度通知以外的目的处理共享个人数据,除非该处理已得到数据保护法和本协议授权;
      5. 双方应确保所有参与处理此类共享个人数据的员工能遵守本 DPA;
      6. 双方应采取技术和组织安全措施,以防止(i)对共享个人数据造成意外、非法或未经授权的损坏、丢失、篡改、披露,或访问,或者(ii)构成共享个人数据“个人数据泄露”的任何其他安全事件(根据数据保护法定义的此类术语或类似术语,如“安全系统漏洞”或“数据泄露”)((i)和(ii)的任何一种情况,即“数据泄漏”);以及
      7. 双方同意任何与分包处理商达成的任何协议均应遵守数据保护法。
    3. 除非相关法律禁止,否则双方应特别通知另一方,不得无故拖延:(i)在数据保护法要求的范围内,该方收到的关于共享个人数据的任何行使数据主体权利的请求;(ii)有关处理共享个人数据的监管查询,以及(iii)涉及共享个人数据泄漏,造成共享个人数据遭到重大破坏、丢失、更改、披露或访问的任何事件。 
    4. 在不限制本 DPA 和本协议其他规定的义务和限制的情况下,双方应根据数据保护法要求,随时向相关数据主体提供所有必要通知,并获得一切必要许可和同意,以合法允许该方以共享个人数据独立控制方的身份处理共享个人数据。
    5. 用户应遵守相应的数据保护法律和自律框架,遵守 AppLovin 向用户发送的关于数据主体是否已提供或未提供(或已撤回)的所有信号,同意或选择退出“销售”或“股份”(“销售”和“股份”这两个术语在数据保护法和 CCPA 中各自均拥有定义)或任何类似信号(例如,选择退出定向广告)。 
    6. 就 CCPA 而言,(i)在不限制本协议中规定的任何其他限制的情况下,将共享个人数据披露给用户旨在履行其有限及特定之目的,使用户能够通过服务对广告库存进行投标或提供广告,并且用户只能出于此目的处理共享个人数据;(ii)用户应遵守 CCPA,包括提供遵守 CCPA 所需的同等级别隐私保护;(iii)AppLovin 可以采取合理和适当的措施,确保用户处理共享的个人数据的方式能够符合 AppLovin 在 CCPA 下义务;(iv)在用户确定其无法履行 CCPA 的义务后,用户应立即通知 AppLovin;并且(v)AppLovin 可在接到通知后采取合理且恰当的措施,停止并弥补未经授权处理的共享个人信息。
  4. 一般
    1. 如果 SCC、本协议和本 DPA 之间存在任何冲突或差异,则以下顺序为准:(i)SCC、(ii)本 DPA 和(iii)本协议。 
    2. 本 DPA 并不会改变协议中规定的责任限制。
    3. 本 DPA 将自用户接受本协议之日或用户开始使用服务之日起生效。 在本协议终止或到期时,本 DPA 将同时自动终止。
    4. 根据数据保护法要求,本 DPA 将受相应司法辖区的法律监管。 在所有其他情况下,本 DPA 应受本协议中规定的司法辖区的法律管辖
  5. 国际转移
    1. 双方同意,在从 AppLovin 向用户转移时,SCC 适用于共享个人数据的转移,包括访问共享个人数据,其中:
      1. 用户未在对应司法管辖区内;且
      2. 共享个人数据的处理将受欧盟数据保护法的约束,或者 LGPD 或 AppLovin 应根据合同要求签订 SCC
    2. 出于 SCC 之目的:
      1. 附录 1.A(各方清单)应被视为包含了计划表 I 中的信息;
      2. 附录 1.B(转移描述)应被视为包含了计划表 III 中的信息; 
      3. 附录 1.C(主管监管机构)应被视为计划表 II 中确定的监管机构; 
      4. 附录 II(技术和机构措施)应被视为包含了计划表 II 中的信息;
      5. 不适用于 SCC 第 7 条中的可选语言;
      6. 不适用于 SCC 第 11(a) 条中的可选语言;
      7. 根据第 17 条,SCC 将受到爱尔兰法律管辖;  
      8. 根据 SCC 第 18(b)条,双方应根据 SCC 在塞浦路斯法院解决争议; 
      9. 根据英国强制执行条款中的表 4,按照英国强制执行条款第 19 条,任何一方均无权终止已批准的附录;且
      10. 对于成立于巴西(基于 LGPD 下转移共享个人数据之目的)境内的数据出口方,SCC 应受巴西联邦共和国管辖。此外,,对于 LGPD 下的此类转移,适用的数据保护法应理解为 LGPD,监管机构为巴西国家数据保护局(ANPD)。

计划表 I

各方

合同缔约方和职责

各方地址、联系人姓名、位置和联系详情以及(如适用),其数据保护官和/或欧盟代表

与这些条款相关的数据转移行为
AppLovin(控制方) AppLovin Corporation

地址:1100 Page Mill Road, Palo Alto, CA 94304 USA

电子邮件:dataprotection@applovin.com 

 将个人数据从 AppLovin 转移给与服务相关的用户。
用户(控制方) 如协议中规定。

向用户提供的与服务相关的个人数据。

计划表 II 

SCCS

被视为属于 SCC 的信息

数据出口方

AppLovin

数据进口方

用户

附录 I.A

各方清单:此处所列的计划表 I 和计划表 II 中有关“数据出口方”和“数据进口方”的相关信息仅供参考。

附录 I.B

转移描述:在此处参考中已包含计划表 III 中的相关信息

附录 I.C

主管监管机构:主管监管机构应为塞浦路斯个人数据保护委员会,除非在英国 SCC 监管下,在英国 SCC 下,主管监管机构应为英国信息委员会。

附录 II

技术和机构措施: 

数据进口方将采取并保持相应管理、实体和技术方案,以保护共享个人数据的安全、保密性和完整性,包括:

1.假名化和加密共享个人数据的措施: 

A. 通过设计将数据最小化和隐私纳入其软件或其他产品/服务的开发生命周期中,以防止通过不符合本协议的方式使用共享个人数据。例如,数据进口方仅处理假名数据,并具有国际控制权,禁止内部人员和任何相关子处理商将数据重新识别为任何直接识别的个人数据(如姓名、地址)。

B. 用户在使用服务时不使用敏感的个人数据(如 GDPR 中“特殊类别的个人数据”)或直接可识别的个人数据。

C. 用户在存储共享个人数据时(例如,静态加密)以及在某些情况下使用散列或其他加密保护的标识符时,采用相应的行业标准加密。

2.确保处理系统和服务长期保密性的措施

A. 用户已部署并设立了书面信息安全流程,并已采取措施确保个人数据的完整性、可用性和安全性,包括定期漏洞扫描和端点保护。

B. 用户拥有一个书面数据保留/删除时间表,其符合协议中关于共享个人数据的保留/删除要求。

3.确保处理系统和服务长期完整性的措施

A. 用户已部署并设立了书面信息安全流程,其包含了相应的管理、技术和物理保护措施,以防止潜在的数据泄露,并弥补实际或合理怀疑的数据泄露,并且满足(i)与用户行业相关的行业最佳实践,以及(ii)数据保护法要求的任何安全要求。

4.确保处理系统和服务长期可用性和恢复能力的措施

A. 用户将通过其书面信息安全计划保持共享个人数据的可用性和弹性,例如通过安全和监控的运营站点、事件和其他可审计日志、具有适当冗余的基础设施、事件响应和供应商尽职调查的流程和政策、业务连续性计划、备份程序和灾难恢复计划。

5.确保恢复可用性的能力,以及在出现实际或技术事故时及时访问共享个人数据的措施

A. 请见上文。

6.为确保处理的安全性所进行的定期测试、分析和评估技术及组织措施有效性的流程

A. 至少每年一次对安全措施和书面信息安全计划进行审查和测试,以符合本文的要求和行业最佳实践。

B. 安全合规性已经融入用户的产品/服务开发生命周期中,用户团队将通过定期协作确保这些标准的时效性。

7.用户识别和授权的措施

A. 用户有相应的程序来验证和响应提交权利请求数据主体的请求(例如,访问、便携性、擦除),并且这些程序符合数据保护法。

B. 用户拥有相应的操作和技术控制措施,以确保对共享个人数据和相关基础设施进行一定的系统访问控制,确保只有授权人员才能根据“需知”条件获得访问权限(未经授权的现任或前任人员无法不正当访问此系统)。

8.存储期间保护共享个人数据的措施

A. 有关用户如何处理共享个人数据的限制,请更加全面地参考上文和协议。

B. 对存储在用户或其子处理商、系统中的共享个人数据,用户已采取并保持了数据最小化流程。

9.确保处理共享个人数据位置实际安全的措施

A. 共享个人数据处理涉及的设施只能由授权人员访问,并具有相关的逻辑和物理控制(例如,双重身份验证、防火墙、反恶意软件、访问控制、VPN、访问徽章和日志、物理屏障)。

10.确保可靠性的措施

A. 用户已经采取了符合数据保护法的数据映射操作,并创建了与之相关处理活动的相应记录。

B. 用户已经实施了与处理个人数据范围和性质相对应的隐私计划,包括在适用的情况下审查和遵守自律框架进行数据保护影响评估,并在适当的情况下任命数据保护官员(DPO)或其他负责隐私和数据安全的个人。

计划表 III

对转移的描述

所转移数据的数据主体类别 

所转移的个人数据涉及以下类别的数据主体:

  • 作为 AppLovin 向用户发送的投标请求主题的个人或以其他方式进行展示。

所转移数据的类别

所转移的个人数据涉及以下数据类别:

移动设备广告识别符(例如,IDFA/Google Ad ID、IP 地址)或其他数字/设备识别符

设备/用户代理数据,如生产商、型号、操作系统、设备属性和设置、位置数据、应用 ID 和应用版本

点击并查看(展示)数据

所转移的敏感数据(如适用)

所转移的个人数据涉及以下敏感数据类别:

无。

转移的频率

根据本协议,该转移将以实时,连续的方式进行 

处理的本质和转移及进一步处理的目的

根据本协议处理与服务使用相关的个人数据。

个人数据所保留的期限,或者,在无法做到时,用于确定该期限的标准

用户保留共享个人数据的时间不得超过本协议允许的时间。

对于向(子)处理方的转移,还应指定处理的主题、性质和持续时间

转移的个人数据只能披露给以下接收方或该类别接收方:

用户使用的相关服务供应商以及其透明度通知中另行说明的服务供应商。 

处理的持续时间将与上述数据保留期一致。