用户数据处理协议
本协议更新时间:【2022】年【06】月【02】日
第一条 协议概括说明
1.1 协议适用性
1.1.1 本用户数据处理协议(以下简称“本协议”)适用于用户使用深信服提供的产品/服务的过程中与数据处理相关的事项。用户基于使用相关产品/服务的目的授权委托深信服对相关数据进行处理,用户签署本协议即视为完成对深信服的授权委托。
1.1.2 本协议签署生效后,即成为用户在登录使用相应产品/服务时所签署的《用户协议》的组成部分,用户使用产品/服务的过程中除本协议约定的数据委托处理以外的其他相关事宜应按照用户所签署的《用户协议》相关约定执行。
1.1.3 如深信服提供的产品/服务中含有第三方产品/服务的链接或信息,该第三方产品/服务可能有其专门适用的数据处理协议或政策规定,本协议不适用于第三方收集并处理相关数据的情况。
1.2 协议生效
1.2.1 用户应在使用深信服产品/服务前仔细阅读并充分了解本协议全部内容,并通过在登录界面操作勾选确认同意的方式签署本协议方可使用我们的产品/服务。
1.2.2 无论用户是否已通过上条所述方式签署协议,如用户已开始使用深信服产品/服务,即表示已充分理解并同意本协议全部内容,本协议生效执行。
1.2.3 根据产品/服务功能更新、用户的使用需求变化、用户/深信服双方业务或经营等其他重大变化情况,深信服可能会不定期修订、更新本协议内容,更新后的协议将通过产品/服务登录界面重新提交给用户确认,并通过前述约定的方式签署生效后对用户及深信服均产生法律效力。
第二条 重要定义
2.1 用户
本协议所指“用户”是指使用深信服产品/服务的政府、金融、企业、教育等各个行业单位或团体组织。
2.2 关联方
“关联方”是指一方(被)直接控制、(被)间接控制或(被)共同控制的任何实体,其中“控制” 是指有权决定一个实体的财务或经营政策,无论是否通过投票权。
2.3 产品/服务
本协议所指“产品/服务”是指深信服提供的软件产品、硬件产品、订阅服务、授权、其他服务或上述列出的产品或服务形态的结合。
2.4 用户数据
“用户数据”是指用户在注册深信服产品/服务账户以及使用深信服产品/服务的过程中,由用户主动填写、或在使用产品/服务的过程中基于本协议约定而获取或采集的数据、以及由前述数据产生的其他相关数据,数据形态包括但不限于日志、会话数据、运行使用情况、威胁情报数据以及产品检测到的潜在恶意文件副本。用户数据中可能包含归属于管理员、终端用户或其他相关个人主体的个人信息(如姓名、联系电话、邮箱地址、通讯地址、IP地址、MAC地址等)、以及归属于用户单位的相关信息(如资产信息、设备配置及运行数据等)。
本协议附件将分别说明用户通过本协议确认同意传输至深信服的服务器、并授权委托深信服进行处理的部分用户数据的详细内容、以及通过本协议适用的产品处理、并保留在用户本地或终端设备本地的部分用户数据的具体情况。
2.5 个人信息
“个人信息”是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
第三条 数据委托处理
3.1 数据委托处理的必要性
为按照用户对网络及资产安全维护和内部管理等方面的需求向用户提供优质的产品/服务解决方案,深信服需根据用户需求努力开发,以实现产品/服务功能,同时需在用户使用功能的过程中竭力维护产品/服务的安全稳定运行,基于此必要目的,用户须向深信服提供数据处理的授权委托。深信服基于用户委托、并按照本协议、附件中相关产品/服务的数据说明及其他相关协议中的书面指示处理相关数据,特别地,用户或用户授权的管理员对产品/服务的配置等操作视为书面指示的一种形式。
3.2 数据处理的有效授权
3.2.1 用户应确保拥有充分的权限可向深信服提供本协议约定的授权委托,并确保授权委托深信服处理的所有用户数据来源及内容均合法、真实、有效。
3.2.2 特别地,对于授权深信服进行处理的用户数据中涉及的个人信息,归属于用户授权的管理人员的部分可由管理人员本人在签署本协议时确认明示同意,此外的其余部分个人信息则应由用户另行通过符合个人信息保护相关法律规范要求的方式获得相关个人主体的明示同意。
3.2.3 深信服将基于对用户的合理信赖、在用户授权的管理人员通过勾选确认的方式签署本协议后为用户提供所需的产品/服务,并将严格遵循相关法律法规的规定以及本协议约定履行对用户数据的保护义务。
3.3 用户数据管理权利
3.3.1 用户应自行对存储在其本地的用户数据进行管理,并对数据管理符合相关法律规范及政策要求、以及满足其自身对于产品功能及相关服务的使用需求负责。
3.3.2 针对用户授权委托深信服处理的所有数据,深信服将在授权委托的范围内拥有处理权限,用户自身仍拥有访问、更正、删除、撤回授权委托、获得副本等相关管理权利。用户理解并认可:用户对已授权委托深信服处理的数据进行自主管理可能需遵循一定的程序要求(如用户身份验证等)、或需耗费合理期限方可实现管理目的,且将不影响此前深信服基于用户的授权委托而开展的数据处理活动的效力。
3.3.3 基于前述说明的授权委托处理数据的必要性,用户行使上述数据管理权利可能导致深信服无法继续为用户提供相应的产品功能或相关服务,因用户自主行使对数据的管理权而导致产品/服务的使用障碍或遭受的损失,深信服将无法承担责任。
3.4 个人信息主体请求处理
用户应向涉及处理的个人信息归属的相关个人主体提供意见反馈的有效渠道,在个人主体提出有关处理其个人信息的反对意见时,确保及时、妥善处理,切实保护个人信息合法权益。如深信服或深信服转委托的第三方收到相关个人信息主体行使权利的请求或其他与数据有关的诉求,深信服将在第一时间将相关请求转交给用户处理,并将尽最大努力向用户提供必要的协助。
第四条 用户数据使用及安全保护
4.1 用户数据使用范围
深信服将仅在用户授权委托的范围内处理用户数据,确需超出用户授权的目的或类型范围处理用户数据的,深信服将通过更新本协议或其他方式重新与用户达成一致约定。
4.2 转委托处理
4.2.1 用户同意深信服在本协议授权委托的范围内,将全部数据处理权限转委托给深信服的关联方;用户同意深信服在本协议附件约定的范围内将相关数据处理权限转委托给载明的第三方。
4.2.2 如基于为用户提供产品/服务或其他必要目的,深信服需将用户数据转委托给除上述说明以外的其他第三方处理,深信服将于第一时间通过更新本协议或相应的数据说明的方式另行征求用户的授权同意,并将仅在用户授权同意的范围内进行转委托处理,且深信服将与该第三方签署适当的协议,确保该第三方对用户数据的保护义务不低于本协议约定。
4.3用户数据存储
4.3.1 深信服在中华人民共和国境内受托处理的数据信息将存储于中华人民共和国境内的服务器上,并将按照相关法律规定或与用户约定的期限(需满足为用户提供产品或服务的必要需求)存储。若为了处理跨境业务,确需向境外机构传输境内受托处理的相关数据信息的,深信服会通过更新本协议或相应的数据说明的方式另行征求用户同意,并按照法律、行政法规和相关监管部门的规定执行数据的安全保护。
4.3.2 除法律法规另有规定外,在用户注销产品/服务账号后,深信服将停止为用户提供相应的产品/服务,并根据法律法规关于数据保存的最低期限要求或与用户达成的更长期限保存数据的约定保存用户数据,法定或约定的保存期限届满后深信服将不再存储用户数据,或对用户数据进行脱敏。
4.4 用户数据安全保护
4.4.1 对于用户自行处理和管理的数据,用户应自行负责安全保护,尤其是对于其中包含的归属相关个人主体的个人信息,用户应切实采取并向个人主体明示个人信息保护的措施和机制,包括但不限于对个人信息进行加密、脱敏、严格控制个人信息的访问权限等,以便有效保障个人主体的合法权益。
4.4.2 深信服承诺按照相关法律法规的要求履行对于受托处理的用户数据的安全保护义务,并将遵循与用户签署的产品/服务相关用户协议、购销合同、保密协议等文件的约定处理用户数据。
4.4.3 深信服将运用安全加密、防入侵、防病毒等多种安全技术保护受托处理的用户数据免遭受未经授权的访问、使用、披露、滥用或破坏,并通过建立内部安全管理制度及工作流程,对受托处理的用户数据的访问进行严格的权限管控,以及定期进行数据安全风险评估,及时处置相关风险问题,以便不断提升用户数据保护的安全能力。
第五条 免责条款
5.1 用户自行处理数据的责任承担
针对用户在使用深信服产品/服务期间产生、但未授权深信服进行处理的部分用户数据,将保存在用户本地服务器或相关终端设备本地,由用户自行管理并承担全部责任。如用户通过借用、租赁、测试等方式在一定期限内使用深信服产品,使用期限截止后用户应将相关设备返还至深信服或深信服授权的经销商合作伙伴,针对该等设备上承载的用户数据,用户应在返还设备前自行负责删除处理,否则,如因用户未及时删除而导致相关数据泄露或毁损,深信服将不承担任何损害赔偿责任。
5.2 征求用户授权同意的例外
基于履行法律法规或政策规定的义务、或执行监管单位相关管理要求的必要、或履行与用户达成的其他约定、或其他必要目的,深信服可能需超出用户通过本协议授权委托的范围采集、披露或使用相关用户数据,针对该种例外情况,用户同意免于追究深信服的违约或损害赔偿责任:
5.2.1 与国家安全、国防安全、公共安全、公共卫生、重大公共利益直接相关的义务履行。
5.2.2 与刑事侦查、起诉、审判和判决执行等直接相关的义务履行。
5.2.3 出于维护用户或其他个人的生命、财产等重大合法权益的目的但又很难得到用户授权同意的情况。
5.2.4 维护深信服产品/服务的安全稳定运行所必需的,如发现或处置产品/服务的漏洞或故障。
5.2.5 用户已自行向社会公开相关数据信息。
5.2.6 从合法公开的信息中收集相关数据信息,如通过新闻报道、政府信息公开等渠道。
5.3 用户数据安全保护的有限责任
5.3.1 深信服承诺愿尽最大努力采取合理措施保护其受托处理的用户数据的安全,但用户理解并认可,任何安全措施都并非完全可靠,深信服将竭诚与用户合作,共同保障数据安全。如因黑客攻击、病毒侵入等原因,或因不可抗力因素而导致发生相关用户数据泄露、丢失或损毁等安全事件,用户理解深信服将无法承担任何直接或间接的损失或责任。
5.3.2 对于因用户将所使用的产品/服务账户密码告知他人、或通过线上授权或更改配置的方式将产品/服务账户交由第三方管理、或用户违反本协议/《用户协议》相关约定等用户自身原因导致发生相关用户数据泄露、丢失或损毁等安全事件,深信服也将无法承担任何直接或间接的损失或责任。
第六条 法律适用及争议解决
6.1 协议签订地
本协议签订地为广东省深圳市南山区。
6.2 法律适用
本协议的成立、生效、履行、解释及纠纷解决等相关事宜,均适用中华人民共和国境内法律(不包括法律适用法);如无相关法律规定的,则可参照适用商业实践惯例。
6.3 争议解决
若用户和深信服之间发生任何纠纷或争议,首先应友好协商解决;协商不成的,用户同意将纠纷或争议提交本协议签订地有管辖权的人民法院管辖。
第七条 联系方式
用户在使用深信服产品/服务的过程中可通过客服热线400-630-6430或电子邮件support@sangfor.com.cn或在线技术支持与深信服的客服人员联系,以反馈数据处理相关的疑问或咨询。
附件:数据说明
本数据说明适用于深信服向用户提供的零信任控制中心(aTrust)产品及相关服务。
为满足用户保障内外网统一的安全访问需求,深信服零信任控制中心(aTrust)产品结合零信任安全代理网关,支持对接统一身份认证平台,并可基于身份认证提供ACL细粒度访问控制,还可支持集成外部安全能力,实现对身份、终端、行为等多方面的信任评估和威胁自动阻断的能力。基于零信任控制中心(aTrust)产品功能实现的目的,用户可按自身实际情况确定所需管控的具体终端范围,并在管理平台自主完成相应配置,在此基础上aTrust在使用过程中将处理的用户数据的具体情况如下:
1. 需由用户授权同意传输至深信服的服务器、并委托深信服进行处理的用户数据:
(1)归属于用户单位的相关信息
① 设备软硬件版本及授权信息,如版本号、序列号、网关ID、硬件型号等。
② 设备配置信息,如端口开放情况(含端口号)、功能开启情况、出口和接入IP等。
③ 设备运行信息,如运行状态信息(CPU利用率、内存利用率、磁盘利用率)、设备状态(集群状态信息、控制器与代理网关对接状态)、SSH(异常)账号列表、进程异常信息(bt/core文件、内核崩溃转储文件等)、设备关键服务运行情况、设备关键服务dump情况、安装/待安装的补丁列表、设备文件指纹信息等。
④ 设备文件扫描结果,如可疑文件(文件路径、文件MD5、文件大小、文件创建、修改及访问时间)、可疑软件信息(可疑的系统命令、可疑的系统环境变量名称、可疑的内核模块、可疑进程名)等。
⑤ 设备日志信息,如系统安全审计日志(Shell操作日志、SSH日志、dmesg日志、secure日志)、WAF日志、服务日志等。
(2)可能包含的个人信息
个人基本信息:基于产品的功能实现、产品能力升级和安全维护、以及产品运行过程中出现紧急情况时的联络需要,用户授权的管理人员可通过自主填写提交并授权深信服处理其姓名、联系电话、电子邮箱地址信息。
2. aTrust在用户本地处理数据的具体情况:
aTrust的身份认证和控制能力需通过处理终端用户的如下信息来实现:计算机名、操作系统版本信息、浏览器版本信息、IP地址、设备MAC地址、CPU型号等基本信息,终端系统相关信息(包括系统版本信息、系统网络配置、进程列表信息、系统服务列表),aTrust客户端程序版本、配置及运行日志记录信息,以及终端设备运行的其他信息(是否运行指定杀毒软件、是否安装指定软件、是否运行指定进程、是否存在指定文件、是否开启系统防火墙等),以及如用户配置启用对终端工作空间的审计功能,aTrust会采集并处理终端上执行拷贝/导入/导出操作的进程名称、导出/入的文件名称、文件大小、文件md5数值、复制文本的内容。