数据处理附录

1. 适用范围

本数据处理附录（“DPA”）适用于 Neurofinity AI Ltd. 通过 ShortURL.bot 代表企业客户处理个人信息，且适用的数据保护法要求处理者或服务提供商条款的情况。本 DPA 纳入服务条款。

2. 角色

客户是客户个人数据的数据控制者、企业或同等方。当我们代表客户处理客户个人数据时，我们是处理者、服务提供商或同等方。对于账户、账单、安全、滥用、域名、法律和平台运营数据，我们可能作为隐私政策中所述的独立控制者行事。

3. 客户个人数据

“客户个人数据”指客户通过表单、托管页面、转化追踪、API、MCP 工具、批量导入、Smart Replace、客户内容或类似功能提交、收集或指示我们处理的个人信息。可能包括访客标识符、表单回复、客户提供的电子邮件地址或姓名、点击 ID、转化事件、设备数据以及客户选择的其他数据。

4. 处理指示

我们将仅为提供、保护、支持、维护、改善和执行服务，遵循客户的书面指示，遵守法律，防止滥用，以及履行条款规定的义务而处理客户个人数据。客户对服务的使用和配置选择构成书面指示。

5. 客户义务

客户有责任拥有合法依据，提供必要通知，获得必要同意，遵守退出选择，合法配置保留和追踪，回应数据主体请求，并确保客户个人数据可合法转移给我们和我们的子处理方并由其处理。

特别是，客户应当：

• 数据主体请求。在适用法律要求的时限内回应和处理有关客户通过服务收集、托管或处理的客户个人数据的数据主体请求（如访问、更正、删除、可携带性、异议或退出请求），并在此类请求被发送给我们而非客户时，与我们合理合作。
• 保留和删除。按照适用法律配置客户个人数据的保留和删除，在法定时限内履行数据主体的保留和擦除请求，并使用服务提供的保留和导出控制。
• 向我们发出安全通知。在得知客户凭据、API 密钥、Webhook 密钥、工作区或成员账户的任何实际或疑似泄露，或通过服务对客户个人数据的任何未授权访问或外泄后，不当延迟地通知我们。

6. 保密性和安全性

我们将要求有权访问客户个人数据的人员对其加以保护，并将维护旨在保护客户个人数据免受未授权访问、丢失、滥用、篡改和披露的行政、技术和组织保障措施。

经授权的支持、安全和管理人员可以为有限的支持、安全、滥用响应、账单调查或系统维护目的访问客户账户或会话（包括通过模拟会话），如我们隐私政策第 8 条所述。此类访问仅限于必要范围，并在工作区所有者可访问的审计日志中记录（如果审计日志功能在客户的计划中可用）。

7. 子处理方

客户授权我们使用子处理方来提供服务。当前的主要子处理方列于子处理方页面。我们将要求子处理方以与本 DPA 一致的方式保护客户个人数据。

8. 国际传输

客户个人数据可能在加拿大、美国、欧洲经济区、英国以及我们或我们的子处理方运营的其他法域进行处理。在需要时，双方将依赖适用的传输保障措施，例如标准合同条款、同等的合同保护或其他合法传输机制。

9. 协助

考虑到服务的性质和我们可获得的信息，在法律要求时，我们将就数据主体请求、安全义务、数据保护影响评估和监管查询提供合理协助。我们可以就标准支持之外的协助收取合理费用。

10. 安全事件

在适用法律要求的范围内，我们将在得知影响客户个人数据的已确认或合理怀疑的个人数据泄露后，不当延迟地（在可行的情况下不超过七十二（72）小时）通知受影响的客户。通知可描述事件的性质、受影响的数据、已知后果、缓解措施和客户可合理获得的行动。初次通知时尚不可用的信息可在调查进展过程中以后续更新的方式提供。

11. 返还和删除

在终止时或收到有效请求后，我们将根据服务功能和我们的运营计划删除或返还客户个人数据，除非出于法律、账单、税务、安全、防滥用、备份或合法商业目的需要保留。

12. 审计

我们将提供合理的信息以证明遵守本 DPA。任何审计必须是有限的、保密的、预先安排的、非干扰性的，并须遵守合理的安全和保密要求。

13. 联系方式

DPA 相关问题可通过帮助中心或发送至admin@shorturl.bot。