数据处理协议

本数据处理协议（DPA）适用于您（客户、控制者）使用 Kapsule Cloud 服务处理关于其他个人的个人信息的情况（数据主体）。本协议构成您与 Kapsule Group Limited（Kapsule Cloud、我们、本公司、处理者）之间《服务条款》的一部分。

本 DPA 反映了新西兰《隐私法 2020》的要求。如您受其他适用隐私法的约束（例如欧盟《通用数据保护条例》、英国 GDPR 或《澳大利亚隐私法 1988》），本 DPA 的相关条款与我们的隐私政策及《分包处理者清单》一并解读，旨在提供与这些法律相当的保护。如需采取额外的合同措施以支持您遵守外国法律，我们将根据请求予以考虑。

如您仅使用本服务处理您自己的个人信息（而非关于其他个人的个人信息），本 DPA 不适用；仅适用隐私政策。

在本数据处理协议中：

《适用隐私法》是指Privacy Act 2020以及适用于客户使用本服务处理个人信息的任何其他隐私或数据保护法律。

《控制者》是指确定个人信息处理目的和方式的自然人或法人。

《客户个人信息》是指我们代表您使用本服务处理的与数据主体相关的个人信息。

《数据主体》是指已识别或可识别的自然人，《客户个人信息》与其相关。

《应通知的隐私泄露》具有Privacy Act 2020第112条中赋予的含义（指已经造成或可能造成严重伤害的隐私泄露）。

《个人信息》具有Privacy Act 2020中赋予的含义。

《处理者》是指代表《控制者》处理个人信息的人员。

《处理》是指对个人信息执行的任何操作或一系列操作，无论是否通过自动化手段进行。

《子处理者》是指我们委托代表我们处理《客户个人信息》的第三方。

《标准合同条款》是指由公认的数据保护机构采纳的标准数据保护条款（例如欧盟委员会的《欧盟标准合同条款》），用于从具有限制性跨境数据传输规则的司法管辖区传输个人数据。

其他大写术语具有《服务条款》中赋予的含义。

#2.1 角色。就客户个人信息而言，您是控制者，我们是处理者。您对客户个人信息的收集和处理的合法性负责，包括提供所有必需的隐私通知、获得所有必需的同意，以及在与数据主体的交易中遵守所有适用隐私法。

#2.2 文件化指示。我们仅在以下情况下处理客户个人信息：(a) 根据服务条款提供服务所需；(b) 按照您合理的、文件化的指示进行处理（服务条款、您在 KPanel 中做出的配置选择，以及您给予我们的任何进一步书面指示视为您的文件化指示）；和 (c) 根据适用于我们的法律的要求，在这种情况下，我们将在处理前通知您该法律要求，除非该法律因重要的公共利益考虑而禁止通知。

#2.3 不一致的指示。如果我们合理认为您的指示违反适用隐私法，我们将通知您。如果处理客户个人信息会导致我们违反适用隐私法，我们可能拒绝进行处理。

#3.1 我们将确保任何获权代表我们处理客户个人信息的人员受到保密义务的约束，无论是通过合同还是法律，并被告知该信息的保密性质。

#3.2 对客户个人信息的访问仅限于需要知道的基础之上，并受到访问控制、强制双因素身份验证和审计日志的保护。

#4.1 我们将实施并维护适当的技术和组织措施，以保护客户个人信息免受未经授权或非法处理、意外丧失、销毁或损害。当前措施总结见本DPA附件B及kapsulecloud.com/legal/security。

#4.2 我们将定期审查和更新安全措施，以适应最新技术水平、实施成本、处理的性质、范围、背景和目的，以及对数据主体权利和自由的风险。

#4.3 在未事先通知您的情况下，我们不会实质性降低整体保护水平。

#5.1 授权。您授权我们与kapsulecloud.com/legal/sub-processors上列出的次级处理者签约，以处理客户个人信息。

#5.2 次级处理者条款。我们将与每个次级处理者签订书面合同，该合同施加的数据保护义务不低于本DPA中的义务，包括保密性、安全性和有限处理的义务。

#5.3 新次级处理者的通知。在任何新的次级处理者开始处理客户个人信息之前，我们将至少提前三十（30）天以电子邮件和次级处理者页面发布的方式通知您。

#5.4 异议。您可以以合理的理由（例如，对拟议次级处理者的安全性、合规性或管辖权的有据可查的关切）在30天窗口期内通过电子邮件[email protected]提出异议。如果我们无法合理地接受您的异议（例如，通过更换次级处理者或修改配置），您可以终止受影响的服务，并获得该相关计费周期未使用部分任何预付费用的按比例退款。

#5.5 对次级处理者的责任。就客户个人信息而言，我们对我们次级处理者的作为和不作为向您承担责任，如同这些作为和不作为是我们自己的一样。

#6.1 我们将考虑到数据处理的性质，提供合理的协助，帮助您响应数据主体根据《适用隐私法》行使其权利的请求，包括访问权、更正权、删除权、限制权和数据可携带权。

#6.2 如果我们收到与您使用本服务相关的数据主体请求，我们将：(a) 将数据主体转介给您（控制者）；以及 (b) 除非法律禁止，否则应在无不必要延迟的情况下通知您该请求。

#6.3 协助通过 KPanel 的访问、导出和删除功能提供（如这些功能足以满足需求），以及通过人工支持提供（如技术功能无法满足请求）。

#6.4 对于超出常规支持范围的人工协助，如该请求明显无根据或过度，我们可能会收取合理费用。

#7.1 通知。我们将在不必要延迟的情况下通知您任何确认的影响客户个人信息的可通知隐私泄露，且无论如何应在发现泄露后的七十二（72）小时内进行通知。

#7.2 通知内容。通知应包括，在通知时已知且合理可得的范围内：(a) 泄露的性质，包括在可能的情况下，受影响的数据主体和记录的类别及大约数量；(b) 泄露可能产生的后果；(c) 我们已采取或拟采取的措施以处理泄露并减轻其可能的不利影响；以及(d) 进一步信息的联系方式。

#7.3 后续更新。如果某些信息在初始通知时不可得，我们将在切实可行的范围内尽快在后续更新中提供该信息。

#7.4 合作。我们将在任何必要的调查、向相关机构通知、向受影响数据主体通知以及补救措施中与您进行合理合作。

#7.5 客户责任。您仍应负责根据您所适用的法律评估泄露是否构成可通知隐私泄露，以及向隐私专员办公室、受影响的数据主体或其他监管机构进行必要的通知。我们将提供您合理需要的信息以供您做出此类评估。

#8.1 信息。我们将向您提供必要的信息以证明遵守本数据处理协议，包括位于 kapsulecloud.com/legal/security 的安全声明、分包处理者名单以及我们持有的任何第三方审计报告或认证（如有）。

#8.2 现场审计。如果第 8.1 条款中的信息不足以证明我们在您以书面形式提出的特定问题上遵守本数据处理协议，您可以在以下条件下对我们遵守本数据处理协议的情况进行审计：(a) 审计由您承担费用（包括我们协助的合理费用）；(b) 您至少提前三十 (30) 天以书面形式通知我们；(c) 审计在我们的正常营业时间内进行；(d) 审计在任何十二 (12) 个月期间内不超过一次，但在确认发生影响您的可通知隐私泄露后，可在合理通知的情况下进行额外审计；(e) 审计不会不合理地干扰我们的业务运营或危及其他客户信息的保密性；(f) 审计员必须具有资格，独立于我们的竞争对手，并受到我们可接受的保密义务的约束；(g) 我们可以根据我们的选择，通过提供第三方审计报告或认证的副本（如有）或回答安全问卷来履行我们的审计义务。

#8.3 您将向我们提供任何审计报告和任何发现结果的副本，我们将采取合理努力在商定期限内解决重大发现。

#9.1 您确认我们的部分数据处理商位于新西兰境外。当前位置详见 kapsulecloud.com/legal/sub-processors。

#9.2 如果客户个人信息被转移到新西兰境外，我们将确保适用相当的保护措施，包括：(a) 确保数据处理商受到我们认为能提供与《隐私法 2020》相当保护的隐私法约束；或 (b) 与数据处理商签订合同保护措施，要求提供相当的保护（例如，在适当情况下参照标准合同条款）；或 (c) 获得您对该转移的明确授权。

#9.3 通过订立本数据处理协议，您授权进行《隐私政策》第 7 条和本协议第 5 条所述的转移，并以第 9.2 条的保护措施为基础。

#10.1 在服务期间，您可以通过 KPanel 使用我们的标准导出工具（CSV、JSON、档案下载或数据库转储，具体取决于数据类型）导出客户个人信息。

#10.2 在服务终止时，根据您的选择，我们将：(a) 在终止后三十（30）天内（«宽限期»）提供客户个人信息供导出；以及 (b) 其后，从活跃系统中永久删除客户个人信息。

#10.3 加密备份副本将在下一个计划的轮换周期中清除，不迟于从活跃系统删除后三十（30）天。

#10.4 在法律要求的情况下，我们可能会在终止后保留客户个人信息（例如，根据 Tax Administration Act 1994 保留的账单和税务记录，或用于为法律主张辩护）。任何此类保留将限制在必要的最低限度内，且该信息将继续受本 DPA 中保密和安全义务的约束。

#11.1 《服务条款》中的责任条款（包括第16条中的责任限制）适用于本DPA。

#11.2 不损害第11.1条的权利，本DPA中的任何内容均不限制任何一方对欺诈、欺诈性陈述、故意不当行为或根据《适用隐私法》不能合法限制的任何责任的责任。

#11.3 如果我们因您未能遵守本DPA或《适用隐私法》下的义务而产生或与其相关的监管罚款，该罚款金额将被视为可从您处收回的损失，但须受《服务条款》中的限制约束。

#11.4 SLA下的服务积分不是本DPA下的积分。

#12.1 本DPA自您首次使用本服务之日起生效（或2026年5月15日，以较晚者为准），并在服务终止且我们根据第10条的删除义务完成后终止。

#12.2 我们可能会不时更新本DPA，以反映法律或我们运营的变化。重大变更将至少提前三十(30)天通知。

#13.1 如本DPA与《服务条款》或《隐私政策》之间就客户个人信息的处理存在冲突，本DPA应优先适用。

#13.2 如本DPA与《适用隐私法》的任何强制性规定存在冲突，在冲突范围内，该强制性规定应优先适用。

隐私官员

Kapsule Group Limited，基督城，新西兰。

电子邮箱：[email protected]

A.1 处理事项。提供云托管、域名注册、电子邮件托管及相关服务，如《服务条款》所述。

A.2 期限。服务期限加上宽限期，以及第10条规定的任何法律要求的保留期。

A.3 性质和目的。存储、传输、备份、安全、复制、索引、格式转换（用于技术兼容性）、滥用预防、计费以及运营服务所必需的其他处理。

A.4 客户个人信息的类别。由您确定和上传。可能包括：名称、联系方式（电子邮件、电话、地址）、账户凭证、身份验证信息、支付信息、交易数据、IP地址、设备标识符、照片和其他图像、网站和应用程序内容、电子邮件内容、消息元数据、客户关系管理记录、支持通讯以及您选择通过服务处理的任何其他个人信息。

A.5 数据主体的类别。由您确定。可能包括：您的员工、承包商、代理、客户、潜在客户、供应商、成员、最终用户、捐赠者以及您选择通过服务处理其个人信息的其他个人。

A.6 特殊类别。未经我们事先书面同意关于适当的额外保护措施，您不得向服务上传任何特殊类别或敏感个人信息（如健康信息、生物特征信息、犯罪记录、宗教信仰、性取向或工会会员身份）。如您在未征得我们同意的情况下上传此类信息，您应对此类信息的合法性负责，并就任何相关主张对我们进行赔偿。

A.7 处理的频率和期限。连续进行，持续整个服务期限。

我们实施以下技术和组织措施，并可能不时更新以维持或改进整体保护：

B.1 信息安全政策和治理。已编制文档的信息安全和隐私政策，至少每年审查一次。指定隐私官负责合规性。人员在入职时及之后每年接受隐私和安全培训。对有权访问生产系统的人员进行背景调查（如法律允许）。

B.2 访问控制。基于最小权限原则的严格角色型访问控制。所有有权访问生产系统的人员必须使用双因素认证。定期进行访问审查，在角色变更或离职时及时撤销权限。隔离生产环境和非生产环境。记录特权访问日志。

B.3 加密和数据保护。对所有传输中的数据使用TLS加密（至少TLS 1.2）。对离站备份（restic）和敏感数据存储进行静态加密。Restic加密的离站备份存储在Cloudflare R2（大洋洲地区）。采用安全密钥管理，并保有主恢复密钥的离线副本。

B.4 网络和系统安全。在客户环境间进行网络分段。通过Cloudflare提供Web应用防火墙和DDoS保护。定期对操作系统、运行时和应用程序进行安全补丁。对面向互联网的基础设施进行漏洞扫描。定期进行渗透测试。

B.5 日志、监控和事件响应。集中记录访问、变更和安全事件的日志。全天候24x7监控平台健康状况和安全信号。已编制文档的事件响应计划，规定了严重程度等级和上报路径。可报告的隐私泄露通知程序符合Privacy Act 2020和本DPA第7条。

B.6 备份、业务连续性和灾难恢复。每日对客户站点数据和电子邮件数据进行加密离站备份。离站备份保留期至少三十（30）天，更高级别的Plan有更长的保留期。已编制文档的灾难恢复程序和运行手册。定期进行恢复测试。

B.7 人员和分包处理者。所有人员的保密承诺。与所有分包处理者签署的书面合同，规定的保护措施不低于本DPA的保护措施。每年审查分包处理者是否持续适合。

B.8 物理安全。生产服务器运营在Tier III或同等数据中心，具有受控的物理访问、24x7安全、环境控制和火灾抑制。

B.9 应用安全。安全软件开发生命周期，包括代码审查、依赖关系扫描和发布前测试。使用密钥管理（源代码中不含密钥）。生产变更强制进行代码审查。

B.10 数据分离和删除。客户数据的逻辑分离。已编制文档的数据删除程序符合本DPA第10条。已编制文档的程序用于处理数据主体的访问、更正和删除请求。

这些措施的更详细版本已发布在kapsulecloud.com/legal/security，并不时更新。