1. 双方
本数据处理协议("DPA")由以下双方签订:
- 数据处理者:Hareki LLC,美国新墨西哥州("Hareki"、"我们")
- 数据控制者:使用 Hareki Studio 平台的自然人或法人("用户"、"您")
本 DPA 是 Hareki Studio 使用条款的组成部分,规定了双方关于代表用户处理个人数据的权利和义务。
2. 定义
- 个人数据:与已识别或可识别的自然人相关的任何信息(GDPR 第 4 条/1,KVKK 第 3 条/d)。
- 特殊类别个人数据:种族、民族、政治观点、宗教、健康数据等敏感类别(GDPR 第 9 条,KVKK 第 6 条)。
- 数据处理:对个人数据进行的任何操作,包括收集、记录、组织、存储、更改、转移、删除。
- 子处理者:受数据处理者委托处理个人数据的第三方服务提供商。
- 数据泄露:导致未经授权访问、丢失、销毁、更改或披露个人数据的安全事件。
- 数据控制者:决定个人数据处理目的和方式的自然人或法人。
- 数据处理者:受数据控制者委托并在其授权下处理个人数据的自然人或法人。
3. 处理的范围和目的
在 Hareki Studio 平台上处理以下类别的个人数据:
| 数据类别 | 处理目的 | 法律依据 |
|---|
| 品牌数据(Logo、色彩、调性) | AI 内容生成 | 合同履行 |
| 账号信息(姓名、邮箱) | 服务交付、身份验证 | 合同履行 |
| 支付数据 | 通过 Stripe 计费 | 合同履行 |
| 使用数据(日志、偏好) | 服务改进、错误追踪 | 合法利益 |
| 生成的内容 | 内容管理和导出 | 合同履行 |
不处理特殊类别的个人数据。平台不收集健康、生物识别或基因数据。
4. 数据处理者义务
Hareki LLC 作为数据处理者,承担以下义务:
- 遵循指令:仅按照数据控制者记录的书面指令处理个人数据。如法律义务要求进行其他处理,则在处理前通知数据控制者。
- 保密承诺:确保所有可访问个人数据的人员均受保密义务约束。该义务在雇佣关系结束后继续有效。
- 安全措施:根据 GDPR 第 32 条实施适合处理性质的技术和组织安全措施(详见附件)。
- 子处理者使用:在聘用子处理者前获得数据控制者的事先一般书面同意。添加新子处理者时提前 30 天通知。
- 协助义务:在行使数据主体权利(访问、更正、删除、可携性)方面为数据控制者提供必要的技术支持。
- 数据删除/返还:处理关系终止后,按照数据控制者的偏好删除或返还所有个人数据。受法律保存义务约束。
- 审计权:接受数据控制者或其指定的独立审计机构进行合理审计,以验证本 DPA 下义务的合规性。
5. 子处理者
Hareki Studio 使用以下子处理者提供服务:
| 子处理者 | 服务 | 位置 |
|---|
| Vercel Inc. | 托管、CDN、边缘网络 | 美国加利福尼亚州旧金山 |
| Supabase Inc. | 数据库、身份验证 | 美国加利福尼亚州旧金山 |
| OpenRouter / OpenAI | AI 内容处理 | 美国加利福尼亚州旧金山 |
| Stripe Inc. | 支付处理 | 美国加利福尼亚州旧金山 |
| Sentry | 错误追踪和性能 | 美国加利福尼亚州旧金山 |
| Resend | 邮件投递 | 美国 |
变更通知:添加新的子处理者或更换现有子处理者时,至少提前 30 天向数据控制者发出书面通知。
数据控制者可在通知之日起 14 天内以合理理由提出异议。如异议无法解决,数据控制者可终止协议。
6. 国际数据传输
Hareki LLC 总部位于美国,个人数据在美国的服务器上处理。对于从欧盟/EEA 或土耳其传输的数据,适用以下保护机制:
- 标准合同条款 (SCC):适用欧盟委员会 2021 年 6 月 4 日实施决定 (2021/914) 下的当前标准合同条款。
- 欧美数据隐私框架:在子处理者相关认证有效的范围内,作为额外保护机制考虑。
- 附加保护措施:对传输的数据应用端到端加密 (TLS 1.3)、假名化和访问控制。
- KVKK 合规:对于从土耳其的传输,在第 6698 号法律 KVKK 第 9 条下确保必要承诺和遵守委员会决定。
7. 数据泄露通知
在检测到个人数据泄露的情况下,Hareki LLC:
- 在发现泄露后最迟 72 小时内以书面形式通知数据控制者。
- 通知包含以下信息:
- 泄露的性质和范围
- 受影响的数据类别和估计记录数量
- 泄露可能产生的后果
- 已采取的措施和建议的措施
- 联系人信息
- 立即采取必要措施以减轻泄露影响并防止再次发生。
- 在调查和报告过程中向数据控制者提供全面配合。
- 记录与泄露相关的所有事实、影响和纠正措施。
8. 技术和组织措施(附件)
根据 GDPR 第 32 条实施的安全措施:
8.1 加密
- 传输中数据:TLS 1.3 协议
- 静态数据:AES-256 加密
- 数据库连接:强制 SSL/TLS
- 备份:加密存储
8.2 访问控制
- 基于角色的访问控制 (RBAC)
- Supabase 行级安全 (RLS) — 数据库级别隔离
- 基于租户的数据分离 — 多租户架构
- 最小权限原则
8.3 身份验证
- 密码哈希:bcrypt 算法
- OAuth 2.0 集成(Google、Apple、Microsoft、LinkedIn)
- 会话管理:JWT 令牌、安全 Cookie
- 速率限制:暴力破解防护
8.4 监控和日志
- 应用错误追踪:Sentry
- 访问日志和审计追踪
- 异常活动检测
8.5 备份和灾难恢复
- 每日自动数据库备份
- 地理分布式备份
- 时间点恢复能力
- 灾难恢复计划和定期测试
8.6 人员和组织
- 数据保护意识培训
- 保密协议 (NDA)
- 定期访问授权审查
- 安全事件响应程序
9. 期限和终止
- 本 DPA 于使用条款生效时生效,在服务关系存续期间保持有效。
- 服务关系终止后,数据处理者在 30 天内删除或返还所有个人数据给数据控制者。
- 因法律保存义务而保留的数据在相关期限结束后自动删除。
- 数据删除过程完成后,向数据控制者发送书面确认。
10. 适用法律
- GDPR:欧盟通用数据保护条例(2016/679 号法规)——适用于欧盟/EEA 公民的数据。
- KVKK:第 6698 号个人数据保护法——适用于土耳其共和国公民的数据。
- 争议解决:双方之间的争议应首先尝试友好解决。如无法达成解决,美国新墨西哥州法院具有管辖权。
最后更新:2026 年 3 月 12 日 · 联系方式:legal@hareki.com