> >查看所有协议

卡直接付款处理产品的数据保护控制者附录

 

版本2.0

本数据保护控制者附录(以下简称本“附录”)适用于PayPal集团实体(以下简称“PayPal”)向您,即商家(以下简称“商家”或“您”)提供Braintree和其他类似的卡付款、网关服务和(或)欺诈维护工具的任何产品。本附录不适用于PayPal品牌钱包服务,例如“快速结账”或使用PayPal按钮付款。本附录构成商家与PayPal就PayPal向您提供付款处理服务达成的相关协议(以下简称“《协议》”)的一部分。如果本附录的条款与《协议》之间存在冲突,则以本附录的条款为准。本附录中使用但未定义的大写术语应具有《协议》中所述的含义。

本附录自(i)《协议》中规定的生效日期或(ii)就《协议》或本附录的修订向您发出的通知中所述的生效日期两者中的较晚日期起生效。我们可以随时以在我们的网站上发布修订版的方式修订本附录。修订版将在我们发布时生效。此外,如果我们对本附录的更改会减少您的权利或增加您的责任,我们会在我们网站的“规则更新”页面上发布通知,并在《协议》规定的期限内提前向您发出书面通知。我们也可能会通过电子邮件或其他方式向您告知该等变更。如果您不同意对本附录的任何变更,您可以随时终止使用《协议》。

定义
以下术语在本附录中使用时具有以下含义:

控制人”是指确定处理个人数据的目的和手段的实体,或者,如果此类术语(或涉及类似功能的术语)在数据保护法律中定义,则“控制人”应具有适用的数据保护法律中规定的含义。

客户”是指您的在美国境外使用付款处理服务的客户,在本附录中,客户是数据主体。

客户资料”是指(i)客户提供给商家,商家通过使用付款处理服务转交给PayPal的个人数据;(ii)PayPal通过商家使用付款处理服务从客户的设备和浏览器中收集的个人数据。本附录中使用的客户数据不包含商家的美国客户的个人数据。

数据保护法律”是指适用于提供付款处理服务的任何适用的数据保护法律、法规、指令、监管要求和行为守则,包括对其的任何修订和任何相关的法规或文书(例如,《通用数据保护条例》(欧盟)2016/679(GDPR)、澳大利亚《1988年隐私法》(联邦法)、《个人信息保护和电子文件法》(加拿大)、《个人数据(隐私)条例》(第486章)(香港)、巴西《通用数据保护法》第13,709/2018号联邦法律和《2012年个人数据保护法》(新加坡))。

“PayPal集团实体”是指PayPal, Inc.以及PayPal或其继任者不时直接或间接拥有或控制的所有公司。

个人数据”是指与已识别或可识别的自然人(以下简称“数据主体”)有关的任何信息;可识别的自然人尤其是指通过参照姓名、身份证号码、位置数据、网络识别码等标识符或与该自然人的身体、生理、遗传、心理、经济、文化或社会身份有关的一个或多个特定因素可直接或间接识别的自然人。

本附录中所使用的“流程”或涉及类似功能的术语应具有适用的数据保护法律中规定的含义。

PayPal为数据控制人

PayPal应遵守本附录中有关使用个人数据的适用于控制者的数据保护法律要求(包括但不限于始终实施并维护所有与处理个人数据有关的适当安全措施),不得故意对个人数据做任何或允许做任何可能导致商家违反数据保护法律的事情。PayPal仅应出于提供付款处理服务的目的将个人数据传输给第三方、分处理商或PayPal集团实体的成员,并且应与此类第三方和分处理商签订书面协议,其中应包含保护客户数据的条款,而此类条款的保护程度不低于本附录中规定的条款。

处理与付款处理服务有关的个人数据

双方确认并同意,商家和PayPal是与付款处理服务有关的所有已处理个人数据的各自独立控制者。因此,PayPal会独立确定处理此类个人数据的目的和方法,而并非与商家共同处理此类个人数据的联合控制者。

双方确认并同意,PayPal可以出于以下有限目的使用、复制并处理客户数据和付款交易数据:

  • 在合理必要的情况下向商家及其客户提供和改进付款处理服务,包括防欺诈工具;
  • 监控、防止和检测欺诈付款交易,并防止对商家、PayPal和第三方造成伤害;
  • 遵守适用于PayPal处理和保留付款数据时需要遵守的法律或监管义务,包括适用的反洗钱和身份验证义务;
  • 分析、开发和改进PayPal的产品和服务;
  • 内部使用,包括但不限于数据分析和指标;
  • 当在汇总中无法识别您的个人或用户个人数据时,汇编和披露客户数据和付款交易数据,包括按地区或行业计算您的平均值;
  • 遵守适用的法律要求,并协助执法机构,依法回应其披露信息的请求;以及
  • 其告知商家的任何其他目的,只要此类目的符合数据保护法律的规定。

商家对客户的通知

商家应作出合理的商业努力,(i)在其隐私权保护规则中通知客户,如本附录所述,就处理客户数据而言,PayPal是独立控制人;以及(ii)在商家的隐私权保护规则中加入适用的PayPal或Braintree隐私权保护规则的链接。

互助

双方同意在合理必要的范围内相互合作,使另一方可以根据数据保护法律充分履行作为独立控制者的责任。双方同意,在商家收到主体访问请求或客户根据数据保护法律行使其权利的情况下,商家应直接回复此类客户的访问请求。商家还应告知客户,他们可以根据www.paypal.com的《隐私政策》中所述的指示,行使其与PayPal的付款处理服务相关的数据主体权利。此外,如果因任何安全事件,PayPal自行决定必须通知受影响的客户,并且PayPal没有与受影响的客户进行此类通信的必要联系信息,则商家应作出商业上合理的努力,向PayPal提供商家可能拥有的客户信息,以便PayPal遵守数据保护法律下适用的通知受影响客户的义务。

跨境数据传输

双方同意,PayPal可在提供付款处理服务所需的情况下,将根据此《协议》处理的个人数据传输到数据收集地以外的国家或地区。如果PayPal将受本附录保护的个人数据传输到数据收集地的适用监管机构尚未对其做出适当性裁定的司法管辖区,PayPal将确保根据适用的数据保护法律为个人数据传输实施相应的保障措施。例如,出于遵守GDPR的目的,我们依靠主管监管机构批准的有法律约束力的公司规则和其他数据传输机制,将客户个人数据传输给其他PayPal集团实体。

关于您将位于欧盟、瑞士、欧洲经济区和(或)其成员国及英国的客户的数据传输至PayPal,我们双方同意:(i)您签署《协议》,即被视为商家(作为数据输出方)签署并接受欧洲委员会2004年12月27日决定(C(2004)5721)批准的控制者至控制者标准合同条款(以下简称“C2C传输条款”);(ii)PayPal签署《协议》将被视为PayPal(作为数据输出方)签署并接受C2C传输条款。如果欧洲委员会修改并随后发布新的C2C传输条款,或欧洲委员会另有要求或实施,双方同意此类新的C2C传输条款将取代现有的C2C传输条款。C2C传输条款将通过引用纳入《协议》,并在此《协议》生效时被视为双方正式签署,同时须遵守以下详细规定:

  1. PayPal同意将根据C2C传输条款的第II条第II(h)(iii)款处理客户数据,其签署《协议》将被视为正式签署并接受此第II(h)(iii)款;以及
  2. 双方同意,C2C传输条款附件B所要求的详细规定载于附件1。

附件1

C2C传输条款附件B

数据主体
传输的个人数据涉及以下类别的数据主体:

数据输出方及其客户。

传输目的
传输目的如下:

根据《协议》履行数据输入方向数据输出方提供的服务。

数据类别
传输的个人数据可能包含以下类别的数据:

客户姓名、收费金额、日期/时间、银行账户详情、付款卡详情、CVC代码、邮政编码、国家或地区代码、地址、邮箱地址、传真、电话、网站、过期数据、发货详情、纳税状况、唯一客户标识符、IP地址、位置,以及PayPal根据《协议》收到的任何其他数据。

接收者
传输的个人数据只可向以下接收者披露:

输入方的服务提供商、附属公司以及根据《协议》履行服务的人员。

敏感数据(如适用)
传输的个人数据涉及以下类别的敏感数据:

不适用,除非商家配置服务以获取此类数据。

数据输出方的数据保护注册信息(如适用)

不适用

其他有用信息(存储限制和其他相关信息)

按照《协议》规定。

数据保护查询联系人

数据输入方:数据输入方的联系人可以在《协议》中找到。

数据输出方:数据输出方的联系人可以在《协议》中找到。