>> 查看所有协议

PayPal卡处理产品数据保护附录

 

最后更新日期:2021年9月10日

本PayPal卡处理产品数据保护附录(以下简称本“附录”)适用于PayPal集团成员(以下简称“PayPal”)向您,即商家(以下简称“商家”或“您”)提供卡处理、网关和(或)防欺诈保护服务(以下简称“付款服务”)的任何产品、服务或其他产品或服务。本附录不适用于PayPal钱包服务,例如使用PayPal付款或PayPal的延期付款服务。本附录构成商家与PayPal就PayPal向您提供付款服务达成的相关协议(以下简称“《协议》”)的一部分。如果本附录的条款与《协议》之间存在任何冲突,则以本附录的条款为准。本附录中使用但未定义的大写术语应具有《协议》中所述的含义。

本附录自以下两者中的较晚日期起生效:(i)《协议》中规定的生效日期,或(ii)就本附录发布的通知或向您发出的通知中所述的生效日期。我们可能会不时修订本附录。除非另有说明,否则修订版从发布至PayPal网站起即刻生效。如果我们所做的变更减少了您应享受的权利或增加了您应承担的责任,我们将在《协议》要求的时间范围内,在PayPal网站的“规则更新”页面上发布相应声明。如果您不同意对本附录的任何变更,您可以随时停止使用付款服务。

定义
以下术语在本附录中使用时具有以下含义:

控制者”是指确定处理个人数据的目的和方式的实体,或者,如果该术语(或涉及类似功能的术语)在数据保护法律中有所定义,则“控制者”应具有适用的数据保护法律中规定的含义。

客户”是指使用付款服务的客户,在本附录中,客户是数据主体。

客户数据”是指(i)客户提供给商家,商家通过使用付款服务转交给PayPal的个人数据;(ii)PayPal在商家使用付款服务的过程中从客户的设备和浏览器中收集的个人数据。

数据保护法律”是指适用于提供付款服务的任何适用的数据保护法律、法规、指令、监管要求和行为守则,包括对其作出的任何修订以及任何相关的法规或文书(例如,《2018年加州消费者隐私法》(加州民法典第1798.100节等)、《通用数据保护条例》(欧盟)2016/679(GDPR)、澳大利亚《1988年隐私法》(联邦法)、《个人信息保护和电子文件法》(加拿大)、《个人数据(隐私)条例》(第486章)(香港)、巴西《通用数据保护法》第13,709/2018号联邦法律和《2012年个人数据保护法》(新加坡))。

“PayPal集团”是指PayPal以及PayPal或其继任者不时直接或间接拥有或控制的所有公司。

个人数据”是指与已识别或可识别的自然人(以下简称“数据主体”)有关的任何信息;可识别的自然人尤其是指通过参照姓名、身份证号码、位置数据、网络识别码等标识符或通过与该自然人的身体、生理、遗传、心理、经济、文化或社会身份有关的一个或多个特定因素可直接或间接识别的自然人。

本附录中所使用的“流程”或涉及类似功能的术语应具有适用的数据保护法律中规定的含义。

PayPal作为控制者

PayPal应遵守本附录中有关处理客户数据的适用于控制者的数据保护法律要求(包括但不限于始终实施并维护所有与处理客户数据有关的适当安全措施),不得故意对个人数据做任何或允许做任何可能导致商家违反数据保护法律的事情。PayPal仅应将客户数据传输给签订书面协议的第三方、分处理商或PayPal集团的成员,该协议应包含保护客户数据的条款,而此类条款的保护程度不低于本附录中规定的条款。

处理与付款处理服务有关的客户数据

双方确认并同意,商家和PayPal是与付款服务有关的所有已处理客户数据的各自独立控制者。因此,PayPal会独立确定处理此类客户数据的目的和方法,而并非与商家共同处理此类客户数据的联合控制者。

双方确认并同意,PayPal可以出于以下有限目的使用、复制并处理客户数据和付款交易数据:

  • 在合理必要的情况下向商家及其客户提供和改进付款服务,包括防欺诈保护工具;
  • 监控、防止和检测欺诈付款交易,并防止对商家、PayPal和第三方造成伤害;
  • 遵守适用于PayPal处理和保留付款数据时需要遵守的法律或监管义务,包括适用的反洗钱和身份验证义务;
  • 分析、开发和改进PayPal的产品和服务;
  • 内部使用,包括但不限于数据分析和指标;
  • 当在汇总中无法识别您的个人或用户客户数据时,汇编和披露客户数据和付款交易数据,包括按地区或行业计算您的平均值;
  • 遵守适用的法律要求,并协助执法机构,依法回应其披露信息的请求;以及
  • 其告知商家的任何其他目的,只要此类目的符合数据保护法律的规定。

商家对客户的通知

商家应作出商业上合理的努力,(i)在其隐私权保护规则中通知客户,如本附录所述,就处理客户数据而言,PayPal是独立控制者;以及(ii)在商家的隐私权保护规则中加入PayPal隐私政策的链接。

互助

双方同意在合理必要的范围内相互合作,使另一方可以根据数据保护法律充分履行作为独立控制者的责任。双方同意,在商家收到主体访问请求或客户根据数据保护法律行使其权利的情况下,商家应直接对此类客户的访问请求作出回应。商家还应告知客户,他们可以根据www.paypal.com的《隐私政策》中所述的指示,行使其与PayPal的付款服务相关的数据主体权利。此外,如果因任何安全事件,PayPal自行决定必须通知受影响的客户,并且PayPal没有与受影响的客户进行此类通信的必要联系信息,则商家应作出商业上合理的努力,向PayPal提供商家可能拥有的客户信息,以便PayPal遵守数据保护法律下适用的通知受影响客户的义务。

跨境数据传输

双方同意,PayPal可在提供付款处理服务所需的情况下,将根据此《协议》处理的客户数据传输到数据收集地以外的国家或地区。如果PayPal将受本附录保护的客户数据传输到数据收集地的适用监管机构尚未对其做出适当性裁定的司法管辖区,PayPal将确保根据适用的数据保护法律为客户数据传输实施相应的保障措施。例如,出于遵守GDPR的目的,我们依靠主管监管机构批准的有法律约束力的公司规则和其他数据传输机制,将客户个人数据传输给PayPal集团的其他成员。

关于您将位于欧盟、瑞士、欧洲经济区和(或)其成员国及英国的客户的数据传输至PayPal,我们双方同意:(i)您签署《协议》,即被视为商家(作为数据输出方)签署并接受欧洲委员会2004年12月27日决定(C(2004)5721)批准的控制者至控制者标准合同条款(以下简称“C2C传输条款”);(ii)PayPal签署《协议》将被视为PayPal(作为数据输入方)签署并接受C2C传输条款。如果欧洲委员会修改并随后发布新的C2C传输条款,或欧洲委员会另有要求或实施,双方同意此类新的C2C传输条款将取代现有的C2C传输条款。C2C传输条款将通过引用纳入《协议》,并在此《协议》生效时被视为由双方正式签署,同时须遵守以下详细规定:

  1. PayPal同意将根据C2C传输条款的第II条第II(h)(iii)款处理客户数据,其签署《协议》将被视为正式签署并接受此第II(h)(iii)款;以及
  2. 双方同意,C2C传输条款附件B所要求的详细规定载于附件1。

附件1

C2C传输条款附件B

数据主体
传输的个人数据涉及以下类别的数据主体:

数据输出方及其客户。

传输目的
传输目的如下:

根据《协议》履行数据输入方向数据输出方提供的服务。

数据类别
传输的个人数据可能包含以下类别的数据:

客户姓名、收费金额、日期/时间、银行账户详情、付款卡详情、CVC代码、邮政编码、国家或地区代码、地址、邮箱地址、传真、电话、网站、过期数据、发货详情、纳税状况、唯一客户标识符、IP地址、位置,以及PayPal根据《协议》收到的任何其他数据。

接收者
传输的个人数据只可向以下接收者披露:

输入方的服务提供商、附属公司以及根据《协议》履行服务的人员。

敏感数据(如适用)
传输的个人数据涉及以下类别的敏感数据:

不适用,除非商家配置服务以获取此类数据。

数据输出方的数据保护注册信息(如适用)

不适用

其他有用信息(存储限制和其他相关信息)

按照《协议》规定。

数据保护查询联系人

数据输入方:数据输入方的联系人可以在《协议》中找到。

数据输出方:数据输出方的联系人可以在《协议》中找到。