view in:
汉语
ENGLISH
DEUTSCH
ESPAÑOL (LATAM)
ESPAÑOL (ESPANA)
FRANÇAIS
ITALIANO
日本語
한국어
POLSKI
PORTUGUESE
全球隐私义务
最近更新日期: 2022年11月21日
1. 引言
本《全球隐私义务》(下称
“《全球隐私义务》”
)规定了我们期望供应商及其他合作方(统称
“合作方”
)在向我们提供产品与服务时,应遵守的特定数据保护义务。本《全球隐私义务》是对我们与合作方之间签署的任何已包含本《全球隐私义务》之协议(下称
“协议”
)的补充,并构成协议的一部分。
本《全球隐私义务》各节的适用性视我们与合作方的关系而定。各节均对各自的适用条件作出了说明。
2. 定义
本节对所有合作方适用。
就本《全球隐私义务》而言,以下术语具有下列含义:
“控制者”
是指单独或与他人共同决定个人信息处理目的与方法的自然人或实体;
“客户”
、
“我们”
、
“我们的”
是指(i)已在本协议中明确且作为协议方之一的“华纳兄弟探索”实体;以及(ii)控制、受控于本协议中提及的“华纳兄弟探索”实体、或与 “华纳兄弟探索”实体处于共同控制之下的任何关联方或子公司;
“数据保护法”
是指任何联邦、州、省、地方、市、外国、国际、多国或其他与处理个人数据、隐私、数据保护(个人信息的保护)或网络安全有关的,由有权解释或执行的监管机关发布的宪法、法律、法规、条约、规则、条例、法令、法典和指南,并可能不时修订;
“数据主体”
是指与个人信息相关的个人;
“数据主体请求”
是指数据主体对其信息的请求,包括访问、更正、删除、限制、携带、反对、不出售、删除以及任何其他类似请求;
“处理说明”
是指合作方根据本协议处理的个人信息的描述;
“EEA”
是指欧洲经济区;
“EEA数据传输”
是指向EEA以外且被欧盟委员会认定为不符合标准的国家或地区传输受《通用数据保护条例》(GDPR)约束的个人信息;
“《EEA标准合同条款》”
是指依照欧盟委员会在2021年6月4日C(2021)3972号决议中批准的《欧洲议会和欧盟理事会(EU)2016/679 号条例》而规定的、向第三国传输个人数据的标准合同条款,点此获取全文https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=en;
“GDPR”
是指欧洲议会和理事会于2016年4月27日颁布的(EU)2016/679号条例(《通用数据保护条例》);
“信息安全义务”
是指附属于本协议或构成本协议一部分的任何适用信息安全义务;
“其他数据传输”
是指(i)受一国/地区法律约束的个人信息传输,该法律限制将个人信息传输到另一个被认定为不适宜接收该个人信息的国家/地区(
“限制国家/地区”
);以及(ii)不属于 EEA 数据传输或英国数据传输的个人信息传输;
“个人信息”
是指与已识别或可识别的自然人有关的任何信息,包括定义为“个人可识别信息”、“个人信息”、“个人数据”或数据保护法律所定义的类似上述术语的任何信息,仅限于合作方根据本协议处理的个人信息;
“处理”
是指对个人信息进行的任何一种操作或一组操作,无论是否通过自动方式进行,包括收集、记录、组织、结构化、存储、改编或更改、咨询、使用、通过传送、传输、宣传进行披露,或以其他方式提供、调整或组合、限制、删除或销毁个人信息;
“处理者”
是指代表控制者处理个人信息的个人或实体;
“安全事件”
应指:(i)合作方进行处理业务时的任何严重中断;(ii)任何未经授权的获取、丢失、访问、使用或滥用个人信息,以及失去个人信息访问权或使用权的情况(包括丢失储存个人信息的任何储存介质);或(iii)导致意外或非法破坏、丢失、更改、使用或滥用、未经授权披露或访问个人信息的任何安全漏洞;
“敏感个人信息”
应指能够显示出以下信息的个人信息:种族或民族血统;政治观点;宗教或哲学信仰;工会成员身份;生理或心理健康状况;性生活或性取向;为特定识别数据主体的生物性数据、基因数据的处理;与刑事定罪和罪行或相关安全措施有关的个人信息;政府颁发的身份证件号码;账户凭证;包含支付卡号码在内的金融账户号码;精确地理位置数据;不针对合作方和客户的通信内容;以及被视为“敏感”或需要根据使用的数据保护法律加强保护的个人信息子集;
"服务"
具有本协议规定的含义,如本协议未作定义,则是指合作方根据本协议向我们提供的产品或服务;
“子处理者”
是指代表处理者处理个人信息的个人或实体;
“英国数据传输”
是指向英国以外、英国国务大臣认定为不符合标准的国家或地区传输受《英国 GDPR》约束的个人信息;
“英国GDPR”
是指依据《2018 年欧盟(退出)法案》第三节构成英格兰、苏格兰、威尔士和北爱尔兰法律一部分的GDPR;以及
“英国SCC附录”
是指由英国信息专员办公室发布并根据《数据保护法(2018年)》的s119A节于2022年2月2日提交议会(根据第18节修订)的模板附录,点此获取全文:https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf。
3. 针对所有合作方的条款
本节对所有合作方适用。
遵守法律。
合作方应遵守所有适用的数据保护法律,并提供适当的隐私保护,以履行法律规定的义务。如合作方确定其不能继续履行数据保护法规定的义务,应发送邮件至wmprivacy@warnermedia.com通知客户。客户有权采取适当措施,清除和补救合作方对个人信息进行的任何未授权处理。
安全。
合作方应实施并维持适当、充分的技术和组织措施,以保护个人信息安全。合作方制定的安全措施应:(i)确保个人信息保密、可用且完整;(ii)防止个人信息安全或完整性遭受任何可预见的威胁或危险;以及(iii)防止出现未授权处理。
第三方通信。
如合作方收到任何来自个人、监管机构、政府机关或其他第三方与以下内容有关的通信:
合作方就本协议对个人信息做出的处理;或
客户进行的个人信息处理,
合作方应(除非被法律禁止)立即通知客户(联系
wmprivacy@warnermedia.com
),告知该通信的全部详情,并根据客户提出的合理请求就回复该通信向客户提供所有协助。除非法律有强制要求,否则合作方不得在未经客户事先授权的情况下直接回复该通信。
对请求和事件的回复。
在未事先获得客户书面同意的情况下,合作方不能在以下任何内容中提到客户(包括客户的任何子公司或关联方):(i)对数据主体的回复;(ii)关于处理的公开批露;(iii)安全事件通知;或(iv)向数据保护机关或其他法律机关做出的有关处理的披露。
有效期及存续条款。
当合作方停止就本协议处理个人信息时,本《全球隐私义务》即终止,但受第三节第6 条(b)款之约束,。
尽管有第三节第6条(a)款的规定,第三节第4条、第三节第5条和第三节第7条应在本协议和本《全球隐私义务》终止或到期后继续生效。
翻译。
如本《全球隐私义务》的英文版本与任何其他语种版本存在冲突,应始终以英文版本为准。
不限制责任。
为避免疑义,本《全球隐私义务》下的各方责任,不应受本协议中任何责任限制或例外情况的约束。
4. 处理者条款
本节适用以下情况:
合作方代表客户作为处理者处理任何个人信息;或
本协议明确规定本节适用。
指示。
合作方仅应按照客户的书面指示处理个人信息(除非合作方被要求根据法律规定处理该个人信息,在此情况下,合作方应在开始处理前将该法律规定告知客户,除非该法律规定禁止将之告知客户)。客户的书面指示要求在以下情况下进行个人信息处理:(i)合作方需处理个人信息,方能交付服务或履行本协议内的任何其他义务;以及(ii)客户不时以书面指令另行要求进行个人信息处理。如合作方认为客户的指令或指示违反了适用的数据保护法,则应立即告知客户。
处理说明。
处理说明中详细说明处理的主要内容及持续时间、处理的性质和目的、个人信息类型以及数据主体类别。
使用限制。
合作方不得:(i)出售个人信息或以其他方式披露个人信息,以换取金钱或其他有价值的报酬;(ii)为提供服务或遵照客户指令以外的任何目的处理个人信息;(iii)在合作方与客户直接业务关系之外,处理个人信息;或(iv)将个人信息与从他处(或代表他人)接收的或从消费者处收集的个人信息相结合。合作方证明其理解并将遵守本节关于使用限制的规定。
数据主体请求。
如合作方收到数据主体请求或来自数据主体(或代表数据主体)的通信,且该请求或通信是关于其就服务处理的个人信息,则合作方应立即将该请求或通信告知客户;除回复确认收到数据主体的请求或通信之外,不得对数据主体作出其他回复(除非数据保护法另有要求或客户另有指示)。如有必要,合作方应协助客户回复数据主体请求,包括提供适当的技术和组织措施,以及任何必要的产品特性和功能。合作方应迅速提供此类协助,且在任何情况下,应在数据主体提交请求或客户提出协助请求后的五(5)天内进行协助。在适当情况下,应客户的合理要求,合作方应协助客户将个人信息处理的相关情况告知个人,包括向适用的数据主体提供——或指导适用的数据主体查阅——符合数据保护法的隐私政策或通知。合作方应保留其协助的数据主体请求的完整准确的记录,并向客户提供访问该记录的合理权限。
员工保密。
合作方应确保其每位员工都遵守个人信息保密义务。
安全。
合作方将实施和维持《信息安全义务》中规定的信息安全程序和措施。
审核和协助。
无论《信息安全义务》中有何审计规定,合作方都应:
向客户提供合理要求的信息与协助,以确认合作方是否遵守本《全球隐私义务》,包括协助完成数据保护影响评估、与数据保护机关进行磋商。合作方应进一步为客户提供合理的必要协助,以使其遵守数据保护法;以及
根据客户的指令,提交其数据保护计划和处理个人信息的设施,以审核其是否遵守本《全球隐私义务》和/或适用的数据保护法律。该审核可由客户或客户指定的代表进行,前提是该代表同意签署合作方接受的保密协议。客户将合理提前发出通知,并将在正常营业时间内进行任何此类审核,不会无理干扰供应商的运营。为免生疑问,本条款不会要求合作方向任何客户提供合作方其他客户的保密信息。
安全事件。
如已发生或合理怀疑将要发生安全事件,合作方将立即(在任何情况下不超过四十八(48)小时)通知客户和WarnerMedia安全运营中心热线,可拨打电话(001)404-827-1900和发送电子邮件至
cybersecurity@WarnerMedia.com
。根据客户的指令,为调查、缓解和应对安全事件,合作方将向客户提供其合理要求的所有信息和协助,至少包括适用的数据保护法所要求的、或客户为通知安全事件所需的任何信息或协助。合作方同意,在就安全事件向数据保护机关或数据主体作出任何公开声明或通知之前,应与客户事先磋商。如合作方、其关联方、受让人或子处理者处理的个人信息造成安全事件与其有所关联,且因此导致客户需承担所有费用、责任、损失、损害和支出(包括律师费),合作方应对该等后果承担全部责任,并应客户要求进行偿付。
子处理。
合作方可聘请或以其他方式允许子处理者代其处理个人信息,前提是合作方:
已与各子处理者签订了书面义务条款,且其规定义务的保护性不低于本《全球隐私义务》中适用于合作方的规定义务;
进行适当的尽职调查,确保各子处理者能够履行必要的职责,使合作方能履行本《全球隐私义务》条文中适用于合作方的规定义务;
提前将合作方拟聘用的任何新子处理者以书面形式通知客户。客户在收到该通知后的三十(30)天内,有权反对合作方聘用该新子处理者。如客户在此期限内未提出反对意见,则合作方可允许子处理者处理个人信息。如客户反对聘用该子处理者,则合作方需在收到客户反对意见后的十(10)天内及时处理该意见。如合作方不能在这十(10)天内圆满解决客户的反对意见,则客户可随时选择以书面形式通知合作方立即终止本协议而不受处罚。合作方将不允许新子处理者在下述期间处理个人信息:(i)发出新子处理者聘用意向通知后的三十(30)天内,或(ii)客户对聘用子处理者的反对意见未得到圆满解决的任何期间内;并且
对各子处理者进行的所有个人信息处理承担全部责任。
处置或归还。
本协议终止或到期时或客户另有指示时,合作方应按照客户的指示:(i)以双方合理商定的形式和格式,将就本协议处理的个人信息的完整副本归还与客户;以及(ii)安全地处置其拥有的或控制的、根据本协议处理的个人信息(包括所有副本)。
5. 控制者条款
本节适用以下情况:
合作伙伴自行决定其依据本协议处理任何个人信息的目的与方式;或
本协议明确规定本节适用。
通知与透明度。
合作方应制定并以显著的方式维持明确的隐私政策,告知数据主体(合作方就本协议处理其个人信息)合作方如何处理其个人信息,且该政策遵守所有适用法律。
安全事件。
如已发生或合理怀疑会发生任何安全事件,且该安全事件对依据本协议处理的个人信息有影响,合作方应立即通知相关客户,并立即将安全事件的性质、受影响的个人信息以及合作方应对、缓解安全事件的措施告知客户。
6. 跨境传输
当发生 EEA 数据传输、英国数据传输或其他数据传输时,本节对合作方适用。
数据传输(处理者)。
本条适用条件与第四节(“处理者条款”)相同。
EEA 数据传输。
当且仅当合作方处理的个人信息属于 EEA 数据传输时,《EEA 标准合同条款》通过引用并入本文,且应用如下:
应用。
合作方是数据输入方,客户是数据输出方;
对接。
为第一节第 7 条所述之目的,可选对接条款应适用;
模块。
模块二(从控制者到处理者的传输)适用;
指示。
就第二节第 8.1 条(模块二)而言,对数据输入方的指示应指导其根据协议规定进行必要的个人信息处理,以履行合作方的服务和/或供应合作方的产品;
子处理者。
为第二节第 9 条(模块二)所述之目的,模块 2 适用(数据输入方应提前三十(30)天将任何变更意向告知数据输出方);
纠正。
为第二节第 11 条所述之目的,可选条款不适用;
法律选择。
就第四节第 17 条和 18 条而言,在适用的数据保护法允许的范围内,双方同意各自在《EEA 标准合同条款》下的义务应受爱尔兰共和国法律和法院的管辖。
附件一 A 部分的填写。
附件一 A 部分(“各方列表”)在此视为已依照本协议规定填写如下信息:(i)客户(作为数据输出方)详细信息;以及(ii)合作方(作为数据输入方)详细信息;
附件一 B 部分的填写。
《EEA 标准合同条款》附件一 B 部分(“传输说明”)在此视为已按“处理说明”中提供的信息填写完毕。
附件一 C 部分的填写。
对于《EEA 标准合同条款》附件一 C 部分(“主管监督机构”),在适用的数据保护法允许范围内,双方选择爱尔兰共和国数据保护机关作为主管监督机构。
附件二的填写。
《EEA 标准合同条款》附件二(“技术和组织措施,包括确保数据安全的技术和组织措施”)在此视为已按《信息安全义务》中的条文填写完毕;以及
条款冲突。
如果《EEA 标准合同条款》与本节之间存在任何不一致或冲突,应以对数据主体提供最大保护的方式解释这些条文。
《EEA 标准合同条款》在限制国家/地区的解释。
当且仅当客户向合作方披露个人信息的行为构成其他数据传输时,《EEA 标准合同条款》通过引用并入本文,并应按第六节本文中的规定适用,但:(i)《EEA 标准合同条款》中提及的“欧盟”、“联盟”、“欧盟成员国”或“成员国”应改为指代该限制国家/地区;(ii)提及的“《(EU)2016/679 号条例》”或“该条例”应改为指代该限制国家/地区的数据保护法,而提及的 GDPR 具体条文或条例替换为该限制国家/地区数据保护法中最接近的等效条文或条例;(iii)“监管机关”应指代该限制国家/地区的数据保护机关;(iv)“条款”应指代本条,因本条包含并修改该条款。
英国数据传输。
当且仅当合作方处理的个人信息属于英国数据传输时,《英国 SCC 附录》通过引用并入本文,且应用如下:
表 1 的填写。
《英国 SCC 附录》表 1 已按本协议提供的客户(作为数据输出方)详细信息和合作方(作为数据输入方)详细信息填写完毕。“起始日期”是指本协议的起始日期、生效日期或与前两者概念等同的日期;客户的“关键联系人”是指“首席隐私官”或可通过
wmprivacy@warnermedia.com
联系到的个人代表,合作方的“关键联系人”相关信息(包括联系人具体职务和电子邮件地址)将不时传达给客户。
表 2、表 3 的填写。
《英国 SCC 附录》表 2 已通过选择“《经批准的欧盟 SCC》,包括附录信息,且就该附录而言,在《经批准的欧盟 SCC》中,仅下列模块、条款或可选条文有效”填写完毕。《英国 SCC 附录》表 2、表 3 所指的“《经批准的欧盟 SCC》”已按第六节本文中的规定填写完毕。
表 4 的填写。
《英国 SCC 附录》表 4 已通过选择“非任何一方”填写完毕。
条款冲突。
如果《英国 SCC 附录》与本《全球隐私义务》之间存在任何不一致或冲突,应以《英国 SCC 附录》为准。
数据传输(控制者)。
本条适用条件与第五节(“控制者条款”)相同。
EEA 数据传输。
当且仅当合作方处理的个人信息属于 EEA 数据传输时,《EEA 标准合同条款》通过引用并入本文,且应用如下:
应用。
合作方是数据输入方,客户是数据输出方;
对接。
为第一节第 7 条所述之目的,可选对接条款适用;
模块。
模块一(从控制者到控制者的传输)适用;
纠正。
为第二节第 11 条所述之目的,可选条款不适用;
法律选择。
就第四节第 17 条和 18 条而言,在适用的数据保护法允许的范围内,双方同意各自在《EEA 标准合同条款》下的义务应受爱尔兰共和国法律和法院的管辖。
附件一 A 部分的填写。
附件一 A 部分(“各方列表”)在此视为已依照本协议规定填写如下信息:(i)客户(作为数据输出方)详细信息;以及(ii)合作方(作为数据输入方)详细信息;
附件一 B 部分的填写。
《EEA 标准合同条款》附件一 B 部分(“传输说明”)在此视为已按“处理说明”中提供的信息填写完毕。
附件一 C 部分的填写。
对于《EEA 标准合同条款》附件一 C 部分(“主管监督机构”),在适用的数据保护法允许范围内,双方选择爱尔兰共和国数据保护机关作为主管监督机构。
附件二的填写。
《EEA 标准合同条款》附件二(“技术和组织措施,包括确保数据安全的技术和组织措施”)在此视为已按《信息安全义务》中的条文填写完毕;以及
条款冲突。
如果《EEA 标准合同条款》与本节之间存在任何不一致或冲突,应以对数据主体提供最大保护的方式解释这些条文。
《EEA 标准合同条款》在限制国家/地区的解释。
当且仅当客户向合作方披露个人信息的行为构成其他数据传输时,《EEA 标准合同条款》通过引用并入本文,并应按第六节本条上文中的规定适用,但:(i)《EEA 标准合同条款》中提及的“欧盟”、“联盟”、“欧盟成员国”或“成员国”应改为指代该限制国家/地区;(ii)提及的“《(EU)2016/679 号条例》”或“该条例”应改为指代该限制国家/地区的数据保护法,而提及的 GDPR 具体条文或条例替换为该限制国家/地区数据保护法中最接近的等效条文或条例;(iii)“监管机关”应指代该限制国家/地区的数据保护机关;(iv)“条款”应指代本条,因本条包含并修改该条款。
英国数据传输。
当且仅当合作方处理的个人信息属于英国数据传输时,《英国 SCC 附录》通过引用并入本文,且应用如下:
表 1 的填写。
《英国 SCC 附录》表 1 已按本协议提供的客户(作为数据输出方)详细信息和合作方(作为数据输入方)详细信息填写完毕。“起始日期”是指本协议的起始日期、生效日期或与前两者概念等同的日期;客户的“关键联系人”是指“首席隐私官”或可通过
wmprivacy@warnermedia.com
联系到的个人代表,合作方“关键联系人”相关信息(包括联系人具体职务和电子邮件地址)将不时传达给客户。
表 2、表 3 的填写。
《英国 SCC 附录》表 2 已通过选择“《经批准的欧盟 SCC》,包括附录信息,且就该附录而言,在《经批准的欧盟 SCC》中,仅下列模块、条款或可选条文有效”填写完毕。《英国 SCC 附录》表 2、表 3 所指的“《经批准的欧盟 SCC》”已按第六节本文中的规定填写完毕。
表 4 的填写。
《英国 SCC 附录》表 4 已通过选择“非任何一方”填写完毕。
条款冲突。
如果《英国 SCC 附录》与本节之间存在任何不一致或冲突,应以《英国 SCC 附录》为准。
其他跨境传输条文。
当且仅当合作方处理的个人信息属于 EEA 数据传输、英国数据传输或其他数据传输时,本条适用。
补充措施
双方承认并同意,欧盟法院在 C-311/18 号案件中的判决澄清了下述事实:即,为确保属于 EEA 传输或英国传输的个人信息所获得的保护水平,与其在来源地被处理时所受的保护基本相当,可能需要采取补充措施(在《EEA 标准合同条款》中包含的保护措施外)。因此,双方同意将以下第六节第 4 条(b)款到(g)款所列的措施作为补充措施,以确保上述提及的保护水平基本相当。
如合作方知悉执法、监管、司法或政府机关(
“机关”
)请求或要求获得就本协议处理的个人信息的访问权限、部分或全部副本,合作方无论自愿与否都应:
立即将此机关请求通知客户;
在第四节(“处理者条款”)适用的情况下告知该机关,合作方是个人信息处理者,且客户未授权合作方向该机关披露此类个人信息;
告知机关,任何及所有访问此类个人信息的请求或要求,都应书面通知或送交客户(作为控制者);以及
受第六节第 4 条(c)款约束,不向该机关提供此类个人信息的访问权限,除非且直到获得客户的书面授权。
尽管有第六节第 4 条(b)款(iv)之规定,合作方在收到机关的请求或要求后,可在无客户事先书面授权的情况下,向该机关披露个人信息,前提是(除非法律禁止):
合作方已事先将该请求或要求合理地通知客户,以便客户有合理的机会提出反对意见或申请保护令或寻求其他适当的补救措施;
合作方合理配合客户(成本和费用由客户承担),以便客户有机会提出反对意见或申请保护令或寻求其他适当的补救措施;以及
在任何情况下,合作方只能披露法律要求披露的相应部分个人信息。
当合作方向机关披露个人信息时,合作方应只在法律要求的范围内披露该个人信息,并且仅根据适用的法律程序披露。
合作方不得蓄意以超出民主社会中必要、适当范围的方式,大量或不加选择地披露个人信息。
合作方应制定、维持并遵守一项书面政策,以管理来自机关的个人信息请求,该政策至少应禁止:
大量或不加选择地披露与欧洲数据主体相关的个人信息;以及
在没有强制披露该信息的传召、手令、令状、判令、传票或其他具有法律约束力的命令的情况下,向机关披露与欧洲数据主体相关的个人信息。
合作方应根据良好的行业惯例,制定并维持防止个人信息被拦截(包括在从客户到合作方的传送中,以及在不同系统和服务之间的传送中)的措施。这包括建立和维持网络保护,使攻击者无法在数据传送过程中拦截和加密数据,从而使其无法读取数据。
其他数据传输条文
为了进行 EEA 传输、英国传输或其他传输(视适用情况而定),在客户认为必要的情况下,合作方同意真诚配合,签订额外文件、实施额外保护或将处理限制在某些地区。
合作方在任何时候处理源自任何国家/地区——该国家/地区限制将个人信息传输到另一个其认为不适宜接收该个人信息的司法管辖范围——的个人信息时,将遵照客户的指示:
采取所有必要的措施,并根据该国家/地区适用的数据保护法签订必要的协议,以使任何处理合法化;并且
确保对客户个人信息提供充分的保护。
如任何数据保护主管机关认为双方所依赖的数据传输机制无效,或任何数据保护主管机关或适用的法律要求暂停个人信息传输或将其限制在特定司法管辖范围内,则客户可酌情要求合作方停止处理个人信息,且合作方应真诚配合客户,推动使用替代数据传输机制、签订额外文件、实施额外保护或将数据处理限制在特定司法管辖范围内。
7. 赔偿
本节对所有合作方适用。
除本协议中规定的合作方赔偿义务之外,若因下列原因或与相关原因招致客户承受任何及所有第三方索赔、诉讼、开支、负债、损失、损害和费用(包括律师费),合作方应为客户辩护、赔偿并使之免受损害:(i)安全事件;或(ii)合作方或合作方的关联方、子处理者(包括合作方的关联方指定的子处理者)和受让人违反本附录,包括但不限于数据保护机关或数据主体提出的索赔或诉讼。
后退