本数据处理协议(“DPA”)构成 (i) Ultralytics 服务条款和/或 (ii) 客户(“客户”、“您”)与 Ultralytics 公司(“Ultralytics”、“公司”、“我们”)之间提及本 DPA 的任何适用订单、企业协议或其他书面协议(各称为“协议”)的一部分并纳入其中。
本 DPA 反映了双方就以下事项达成的协议:
本 DPA 在协议有效期内保持有效,并只要 Ultralytics 代表客户处理客户个人数据,即持续有效。
本 DPA 仅适用于 Ultralytics 在 Ultralytics 平台内对客户个人数据的处理。为免生疑问,本 DPA 不适用于客户在 Ultralytics 平台之外使用、部署或操作 Ultralytics YOLO 开源模型的情况,此类行为由客户自行承担全部责任。
Ultralytics 可不时更新本数据处理协议 (DPA),以反映法律、监管指南或服务的变化,自发布之日起生效,但更新不得在未经客户同意的情况下实质性降低客户个人数据的隐私保护(适用法律要求的情况除外)。
"关联公司" 指直接或间接控制一方、受一方控制或与一方受共同控制的任何实体,其中“控制”指拥有超过50%的投票权益。
"适当保障措施" 指根据适用的数据保护法律(特别是但不限于 GDPR 第46条)可能允许的、具有法律约束力的个人数据传输机制。
"子处理者" 指 Ultralytics 或其关联公司为代表 Ultralytics 处理客户个人数据而聘用的任何处理者,以提供服务。
"公司账户数据" 指与公司和客户关系相关的个人数据,包括客户授权访问其账户的个人姓名或联系信息,以及客户与其账户关联的个人的账单信息。公司账户数据还包括公司为管理与客户的关系、身份验证或适用法律法规要求的其他目的而可能需要收集的任何数据。
"公司使用数据" 指公司在提供服务过程中收集和处理的服务使用数据,包括但不限于用于识别通信源和目的地的数据、活动日志,以及用于优化和维护服务性能、调查和防止系统滥用的数据。
"客户数据" 指客户或其授权用户上传、提交、传输或以其他方式提供给服务进行处理的任何数据、内容、材料、文件或信息(包括数据集、图像、视频、标注、标签、元数据、模型输入和输出以及其他内容),包括通过客户使用服务为客户生成的任何数据。
“客户个人数据泄露”是指Ultralytics 其次级处理者因提供服务而处理的客户个人数据发生意外或非法销毁、丢失、篡改、未经授权披露或被访问的安全漏洞。 客户个人数据泄露不包括未成功的尝试或未危及客户个人数据的活动(例如:未成功的登录尝试、端口扫描、拒绝服务攻击,或其他针对防火墙或网络系统的攻击)。
"数据保护法律" 指适用于一方根据协议处理个人数据的所有相关隐私和数据保护法律,包括(如适用)GDPR、英国GDPR、瑞士FADP、ePrivacy/PECR、CCPA/CPRA 和其他适用的美国州隐私法律。
"GDPR" 指《欧盟通用数据保护条例》(EU) 2016/679;"英国GDPR" 指纳入英国法律的GDPR;"瑞士FADP" 指《瑞士联邦数据保护法》(修订版)。"指示" 指客户向 Ultralytics 发出的关于处理客户个人数据的书面指示,如第2.2节所述。
“SCCs”指欧盟标准合同条款(第2021/914号决定);“英国补充条款”指信息专员办公室(ICO)的《国际数据传输补充条款》。其他大写术语的含义以数据保护法和/或本协议中的规定为准。
"服务" 指 Ultralytics 根据协议向客户提供的服务和功能,包括 Ultralytics 平台以及任何相关的支持、管理和文档,具体如协议所述。
"Ultralytics 平台" 指 Ultralytics 的云端软件即服务环境,客户可通过该环境上传、管理、标注和版本化数据集;训练、评估、比较、导出和部署计算机视觉模型;管理项目和用户;以及访问相关功能和支持,并且 Ultralytics 根据本 DPA 代表客户处理客户个人数据。
Ultralytics YOLO ”指 Ultralytics 适用的开源许可提供的开源计算机视觉模型及相关源代码,客户可在其自身环境中独立下载、部署、托管和运行该等模型。为明确起见,若客户在Ultralytics 之外部署或使用Ultralytics YOLO 模型Ultralytics 根据本《数据处理协议》代表客户处理个人数据。
2.1 遵守法律。客户负责遵守与其个人数据处理和使用服务相关的《数据保护法》,包括提供所需通知并获得任何所需同意和授权。
2.2 指示。本协议(包括本DPA),连同客户根据本协议对服务的配置和使用,构成了客户向Ultralytics处理客户个人数据的完整指示。客户可在协议期内提供额外指示,前提是这些指示与本协议和服务保持一致。如果Ultralytics合理认为额外指示需要重大变更或会增加负担,双方将真诚协商。
2.3 禁止数据。除非双方书面明确同意(包括就适用《数据保护法》要求的额外保障措施达成一致),客户不得向Ultralytics提供、通过Ultralytics提交或以其他方式向Ultralytics提供《GDPR》第9条项下的任何特殊类别个人数据(或等同数据),或《GDPR》第10条项下与刑事定罪或犯罪相关的数据。
仅为举例说明,但不限于此,禁止数据包括:
此外,服务也不旨在处理根据适用数据保护法律需要更高保护级别的其他数据,例如支付卡数据、银行账号或精确地理位置。客户全权负责确保上传到服务或通过服务处理的数据集、图像、视频、标注、标签、元数据或其他内容不包含被禁止的数据。任何违反本节处理被禁止数据的行为均构成对本DPA的重大违约。
2.4 不当数据;赔偿。客户对其提供给Ultralytics的客户个人数据的合法性以及确保其适用于服务负全责。对于因客户违反本协议、本DPA或适用《数据保护法》向服务提供个人数据而产生的任何第三方索赔,客户将为Ultralytics进行辩护并赔偿Ultralytics。
3.1 目的限制。Ultralytics将仅为以下目的处理客户个人数据:(a) 根据协议和附录A提供服务,(b) 遵循客户的指示,以及 (c) 遵守适用法律的要求。Ultralytics不会使用客户个人数据或客户数据来训练、改进或开发Ultralytics的通用或商业可用模型,除非客户通过书面形式或服务明确指示。
3.2 法律冲突。如果Ultralytics发现因法律要求无法按照指示处理客户个人数据,Ultralytics将(在法律允许的范围内)通知客户,并在必要时暂停受影响的处理(安全存储除外),直至客户发出符合要求的指示。
3.3 人员保密。Ultralytics将确保获授权处理客户个人数据的人员受保密义务约束。客户同意Ultralytics可在合理需要的情况下,为履行本协议/DPA之目的,向其专业顾问和审计师披露客户个人数据,但须遵守保密义务。
3.4 分包处理。Ultralytics可根据第5条聘用分包处理者,并对其履行同等义务负责。
3.5 删除 / 返回。服务终止后,Ultralytics将根据协议和附录A删除或返回客户个人数据,除非法律要求保留。根据SCCs的删除证明将应客户要求提供。
4.1 数据主体(或消费者)请求。如果Ultralytics收到数据主体(或消费者)行使其访问权(或披露权)、纠正权、限制处理权、删除权(或“被遗忘权”)、数据可携权、反对处理权或不受自动化个人决策约束的权利(“数据主体(或消费者)请求”)的请求,Ultralytics应在法律允许的范围内,立即通知账户中的主要联系人。
4.2 协助。考虑到数据处理的性质,若客户无法利用现有服务功能满足相关请求Ultralytics 向客户提供合理协助,以回应数据主体根据数据保护法行使权利的请求。
4.3 DPIA;事先咨询。考虑到处理的性质以及Ultralytics可获得的信息,Ultralytics将向客户提供合理协助,以进行 (i) 数据保护影响评估和 (ii) 客户与监管机构的咨询和/或合作,前提是《数据保护法》要求且客户无法自行获取相关信息。除非《数据保护法》要求或与客户个人数据泄露相关,客户不得在任何十二 (12) 个月内请求此类协助超过一次。在法律允许的情况下,客户将报销Ultralytics因提供此类协助而产生的合理成本和费用。
5.1 一般授权。客户授予Ultralytics一份一般书面授权,允许其聘用分包处理者为服务处理客户个人数据。
5.2 列表和通知。当前分包处理者列表可在https://trust.ultralytics.com/subprocessors(“列表”)查阅。Ultralytics将提供一种机制,供客户订阅列表更新通知,并将在授权新的分包处理者处理客户个人数据前至少十 (10) 天发出通知。客户有责任在可用时订阅此类通知;如果客户未订阅,客户承认可能无法通过该机制收到事先通知。在所有情况下,列表的更新应构成对分包处理者变更的通知。客户承认某些分包处理者对于提供服务至关重要,并且反对使用某个分包处理者可能会导致公司无法向客户提供服务。
为明确起见,参与提供服务的Ultralytics关联公司,包括Ultralytics Ltd(英国)和Ultralytics AI Spain, S.L.,在与服务相关的背景下代表Ultralytics Inc.处理客户个人数据时,可作为集团内部子处理者。
5.3 反对新的分包处理者。客户可根据第5.2条,基于合理的数据保护理由,书面反对聘用新的分包处理者。如果Ultralytics无法合理解决客户的反对意见,客户可通过书面通知终止受影响的服务,但这不免除客户在该终止前已产生的所有费用。
5.4 向下传导。Ultralytics仅在进行合理、基于风险的尽职调查以评估分包处理者是否能够根据适用《数据保护法》为客户个人数据提供适当保护水平后,才会聘用分包处理者,并会作为其供应商管理计划的一部分,定期监控分包处理者。Ultralytics将确保其分包处理者遵守的数据保护义务与本DPA中规定的义务实质等同或更具保护性。应客户要求,Ultralytics将提供根据SCCs要求的分包处理者相关数据保护条款副本(可能为保密目的进行编辑)。
6.1 措施。 考虑到最新技术水平、处理的性质、范围、背景和目的,以及对自然人权利和自由造成不同可能性和严重程度的风险,Ultralytics 应根据适用的数据保护法(包括 GDPR 第 32 条)实施并维护适当的技术和组织措施,以确保与此类风险相适应的安全级别。这些措施在附录 C 中描述,Ultralytics 可不时更新,前提是任何此类更新不会实质性降低客户个人数据的整体保护水平。
6.2 客户责任。 尽管有上述规定,客户承认,除本数据处理协议中明确规定外,客户负责安全使用服务,包括保护其账户认证凭据、适当配置访问控制,并确保其用户以符合适用数据保护法和 Ultralytics 提供的安全功能的方式访问和使用服务。
7.1 文档。 经合理请求,Ultralytics 将提供合理必要的信息以证明符合本数据处理协议(包括可用的当前第三方审计报告或认证)。Ultralytics 将维护足以证明符合本数据处理协议的记录,并在终止后合理期限内(例如三 (3) 年)保留此类记录,除非法律要求更长的期限。
7.2 审计。 在数据保护法要求且文档不足的情况下,客户可经合理事先书面通知并由客户承担费用,请求对 Ultralytics 的相关系统和流程进行审计或检查。任何此类审计或检查应仅在双方就审计的范围、时间、持续时间达成书面协议后进行,以及 Ultralytics 因审计而花费的时间和资源的任何合理报销费率。根据本节进行的任何审计应:
客户应及时通知 Ultralytics 审计期间发现的任何重大不合规情况,以便 Ultralytics 有合理机会解决这些发现。
8.1 通知。 Ultralytics 将在不无故延迟的情况下通知客户,但最迟在得知客户个人数据泄露后的 72 小时内。
8.2 协助。 考虑到 Ultralytics 可获得的信息,Ultralytics 将为客户向监管机构和受影响数据主体发出的必要通知提供合理协助。
8.3 不构成承认。 泄露通知不构成对过错或责任的承认。如果客户个人数据泄露是由客户或其用户的行为或不作为造成的,则泄露通知义务不适用。
9.1 国际传输。 客户承认,Ultralytics 的主要处理操作可能在美国和其他必要地点进行,以提供服务。
为明确起见,客户个人数据也可能在Ultralytics Inc.及其关联公司(包括Ultralytics Ltd(英国)和Ultralytics AI Spain, S.L.)之间传输,前提是这些关联公司在提供服务时充当子处理者。如果此类传输根据适用的数据保护法律构成国际传输,则应遵守适当保障措施,包括SCCs(在适用情况下为模块3)或其他有效传输机制。
如果需要将客户个人数据传输到未被认定提供足够数据保护水平的国家,此类传输将根据适用的数据保护法律(包括,如适用,并入本 DPA 的 SCCs 和英国附录)遵守适当的保障措施。
9.2 欧盟标准合同条款。 对于受 GDPR 约束的客户个人数据向无充分性认定第三国的传输,双方纳入欧盟标准合同条款。模块二(控制者→处理者)适用于客户是控制者的情况;模块三(处理者→子处理者)适用于客户是处理者的情况。标准合同条款附件通过附录 B(附件 I/III)和附录 C(附件 II)完成。
9.3 英国附录。 对于受英国 GDPR 约束的传输,双方纳入英国附录,通过参考附录 B/C 和适用的传输机制选择完成。
9.4 瑞士。 对于瑞士传输,欧盟标准合同条款适用标准瑞士修改(提及 GDPR 包括瑞士 FADP;FDPIC 作为主管机构等),通过参考附录完成。
9.5 政府访问请求。 Ultralytics 将根据适用法律和标准合同条款处理对客户个人数据的具有法律约束力的请求,包括(在法律允许的情况下)通知客户并提供合理合作。
10.1 范围。 本节适用于各方作为独立控制者(而非共同控制者)对控制者个人数据的处理,包括 Ultralytics 对公司账户数据和公司使用数据的处理。
10.2 独立控制者义务。 各方将:
10.3 Ultralytics 控制者处理。 Ultralytics 作为控制者处理公司账户数据和公司使用数据,用于:账户管理、账单、安全监控和滥用预防、身份验证、法律合规、审计/会计以及服务运营(包括性能和可靠性)。此类处理在 Ultralytics 隐私政策中有所描述。本 DPA 中的任何内容均不得解释为在双方之间建立共同控制者关系。
为避免疑义,Ultralytics 及其关联公司可能会在商业推广、演示、合作和客户关系管理活动中,作为独立的控制者处理有限的业务联系数据(例如姓名、公司电子邮件地址和专业联系方式)。
11.1 服务提供商 / 处理者。 在 CCPA/CPRA 适用且 Ultralytics 代表客户处理客户个人数据的范围内,Ultralytics 充当“服务提供商”和/或“处理者”,并且不会“出售”或“共享”此类个人信息。
11.2 有限使用。 除 CCPA/CPRA 允许的情况外,Ultralytics 不会保留、使用或披露超出提供服务直接商业目的的客户个人数据。
11.3 歧视。双方不得因消费者行使其权利而对其进行歧视。
12.1 责任限制。协议中的限制和排除条款适用于本DPA,但法律或SCCs/英国附录禁止的情况除外。
12.2 可分割性。如果本DPA的任何条款无效或不可执行,则本DPA的其余部分仍将有效并具有约束力。无效或不可执行的条款应 (i) 进行必要的修订以确保其有效性和可执行性,同时尽可能保留双方的意图;如果无法做到,则 (ii) 以该无效或不可执行部分从未包含在内的形式进行解释。
12.3 本DPA的签署。本DPA被纳入并构成本协议的一部分。客户通过以下方式签署本DPA(包括适用的欧盟标准合同条款和英国附录):
客户声明并保证,代表客户接受协议和/或使用服务的个人有权约束客户以及(在适用情况下)其关联公司。
12.4 联系方式。隐私请求:privacy@ultralytics.com;数据保护官:dpo@ultralytics.com;法律通知:legal@ultralytics.com。
客户代表其自身及其根据协议授权使用服务并作为客户个人数据控制者/处理者(“许可关联公司”)的关联公司签订本数据处理协议。客户声明其有权约束许可关联公司。
性质:Ultralytics提供基于云的软件及相关服务,使客户能够访问和使用Ultralytics产品和功能,包括模型训练、推理、数据集管理、部署工作流以及相关的支持和管理(“服务”),如协议所述。
为明确起见,服务包括Ultralytics平台,Ultralytics通过该平台根据本DPA代表客户处理客户个人数据。此外,Ultralytics还提供Ultralytics YOLO开源模型,客户可以在其自己的环境中独立部署和运行。如果客户在Ultralytics平台之外部署或使用Ultralytics YOLO模型,Ultralytics不代表客户处理个人数据,客户应全权负责实施适当的技术和组织措施、确定处理目的和方式,并确保遵守与此类部署和使用相关的适用数据保护法律。
目的:Ultralytics代表客户处理客户个人数据,目的如下:
Ultralytics 不会使用客户个人数据来训练或改进 Ultralytics 的通用模型,除非客户以书面形式或通过服务明确指示。为明确起见,Ultralytics 可以使用公司使用数据以及聚合或去标识化数据(在允许的情况下)来运营、保护和改进服务。
如果客户选择通过服务的社区或公共功能共享数据集、模型或其他内容,则此类共享构成客户的书面指示。客户仍全权负责确保其拥有所有必要的权利和合法依据,以将此类数据提供给其他用户。
处理期限:Ultralytics 将在协议期间以及根据客户指示提供服务所需的期限内处理客户个人数据。协议终止或到期后,除非适用法律要求进一步保留,Ultralytics 将根据协议和本 DPA 删除或返还客户个人数据。为明确起见,如果 Ultralytics 根据第 10 条作为独立控制者处理控制者个人数据(包括公司账户数据和公司使用数据),则此类处理将按照 Ultralytics 隐私政策中规定的期限进行。
数据主体类别:客户个人数据可能涉及以下数据主体类别,具体由客户确定和控制:
个人数据类别:客户个人数据可能包括以下类别的个人数据,前提是这些数据由客户或代表客户提交给服务或通过服务提供:
处理的个人数据类别可能进一步包括Ultralytics隐私政策中描述的那些。
敏感数据或特殊类别数据:服务并非设计或旨在处理特殊类别的个人数据(如GDPR第9条或适用数据保护法下的等效规定所定义)或与刑事定罪和犯罪相关的个人数据(GDPR第10条),客户被禁止提供此类数据,除非与Ultralytics书面明确同意并遵守额外保障措施。
以下包含欧盟SCCs附件I和附件III以及英国附录表1、附件1A和附件1B所需的信息。
1. 各方
数据出口方:
数据进口方:
2. 转让说明
3. 主管监督机构
监管机构应为数据出口方的监管机构,根据欧盟标准合同条款(EU SCCs)第13条确定。就英国附录而言,监管机构应为英国信息专员办公室。
以下包含欧盟SCCs附件II和英国附录附件II所需的信息。
欧盟委员会标准合同条款之国际数据传输附录
表 1:各方
表 2:选定的SCCs、模块和选定条款
表3:附录信息
“附录信息”指为所选模块必须提供的信息,如经批准的欧盟标准合同条款(不包括各方)附录中所述,且就本英国附录而言,载于:
表 4:当批准的英国附录变更时终止本英国附录
注意:本条款允许被选定的当事方(如有)终止英国附录,如果 ICO 更改了已批准的英国附录,且直接导致以下情况的实质性、不成比例且可证明的增加:(a) 其履行英国附录项下义务的直接成本,或 (b) 其在英国附录项下的风险。
各方同意受本英国附录所载条款和条件的约束,以换取另一方也同意受本英国附录的约束。
尽管经批准的欧盟标准合同条款(Approved EU SCCs)的附件1A和第7条要求各方签署,但为了进行英国境外传输,各方可以任何使其对各方具有法律约束力并允许数据主体行使其在本英国附录中规定的权利的方式签订本英国附录。签订本英国附录将与签署经批准的欧盟标准合同条款及其任何部分具有相同的效力。
如果本英国附录使用的术语在经批准的欧盟 SCCs 中有定义,则这些术语应与经批准的欧盟 SCCs 中的含义相同。此外,以下术语具有以下含义:
英国附录必须始终以符合英国数据保护法的方式进行解释,以履行双方提供适当保障的义务。
如果英国附录中包含的条款以批准的欧盟标准合同条款或批准的英国附录不允许的任何方式修订批准的欧盟标准合同条款,则此类修订将不被纳入英国附录,并由批准的欧盟标准合同条款的等效条款取而代之。
如果英国数据保护法与英国附录之间存在任何不一致或冲突,则应适用英国数据保护法。
如果英国附录的含义不明确或存在多种含义,则应适用最符合英国数据保护法的含义。
任何提及法规(或法规的具体条款)均指该法规(或具体条款)可能随时间变化。这包括在英国附录生效后,该法规(或具体条款)已被整合、重新颁布和/或取代的情况。
尽管《已批准的欧盟标准合同条款》第5条规定《已批准的欧盟标准合同条款》优先于双方之间的所有相关协议,但双方同意,对于非英国传输,以下第10节中的层级将优先适用。
如果经批准的英国附录与(如适用)欧盟 SCCs 之间存在任何不一致或冲突,则经批准的英国附录优先于欧盟 SCCs,除非(且仅限于)欧盟 SCCs 中不一致或冲突的条款为数据主体提供了更大的保护,在这种情况下,这些条款将优先于经批准的英国附录。
如果本英国附录包含为保护受 GDPR 约束的欧盟以外传输而订立的欧盟 SCCs,则双方确认英国附录中的任何内容均不影响这些欧盟 SCCs。
本英国附录纳入了欧盟标准合同条款(EU SCCs),并进行了必要的修订,以确保:
除非双方已同意符合本英国附录第12节要求的替代修正案,否则本英国附录第15节的规定将适用。
除为满足本英国附录第 12 条的要求外,不得对已批准的欧盟标准合同条款 (EU SCCs) 进行任何修订。
对欧盟标准合同条款(EU SCCs)作出以下修订(为本英国附录第12节之目的):
双方可同意修改欧盟标准合同条款(EU SCCs)第17条和/或第18条,以指代苏格兰或北爱尔兰的法律和/或法院。
如果双方希望更改批准的英国附录第1部分:表格中包含的信息格式,他们可以通过书面同意变更来实现,前提是该变更不会降低适当保障措施。
ICO 可能会不时发布修订后的《经批准的英国附录》,其中:
修订后的英国批准附录将指定变更生效的开始日期,以及各方是否需要审查本英国附录(包括附录信息)。本英国附录将根据修订后的英国批准附录中规定的开始日期自动修订。
如果ICO根据本英国附录第18条发布经修订的批准的英国附录,且一方因批准的英国附录的变更而直接导致以下情况出现大幅、不成比例且可证明的增加:
并且在任何一种情况下,该方已首先采取合理措施降低这些成本或风险,使其不再是实质性且不成比例的,则该方可在合理通知期结束时终止本英国附录,通过在修订后的经批准的英国附录生效日期之前向另一方提供该期限的书面通知。
双方无需任何第三方同意即可对本英国附录进行修改,但任何修改都必须符合其条款。
