通用数据保护条例

一、前言

北京市沧数云科信息科技有限公司（以下简称"公司"或"我们"）高度重视用户个人数据的保护。虽然欧盟《通用数据保护条例》（General Data Protection Regulation，以下简称"GDPR"）主要适用于欧盟境内的数据处理活动，但我们自愿采纳其核心原则作为全球数据保护标准，确保为所有用户提供高水准的数据保护服务。

本文档阐述了我们在数据保护方面遵循的原则、措施以及数据主体（即用户）享有的权利。请您仔细阅读以下内容，以了解我们如何收集、处理和保护您的个人数据。

二、数据处理的法律基础

我们仅在具备合法法律基础的情况下处理个人数据，主要包括：

数据主体的同意：在您明确同意的情况下，我们按照声明的用途处理您的数据
履行合同必要：为履行与您签订的服务协议而必须处理的数据
法定义务：为遵守适用法律法规而必须处理的数据
合法权益：为实现合法商业利益且不影响您基本权利的情况下处理的数据

三、数据最小化与目的限定原则

3.1 数据最小化

我们严格遵循数据最小化原则：

只收集实现服务目标所必需的最少量个人数据
避免过度收集与非服务相关的信息
定期审查数据收集的必要性
在不影响服务质量的前提下减少数据保留量

3.2 目的限定

我们承诺：

仅为明确、合法的目的收集和处理数据
不将数据用于与原定目的不相容的其他目的
如需改变数据处理目的，将重新征求您的同意

四、数据主体权利

根据GDPR原则，您作为数据主体享有以下权利：

4.1 访问权 (Right of Access)

您有权获取我们持有的关于您的个人数据的副本，以及有关数据处理活动的透明信息。

4.2 更正权 (Right to Rectification)

如果您的个人数据不准确或不完整，您有权要求数据控制者予以更正或补充完善。

4.3 删除权 (Right to Erasure / "被遗忘权")

在某些情况下，您有权要求删除您的个人数据，例如：数据不再需要原始收集目的、撤回同意、数据被非法处理等情况。

4.4 限制处理权 (Right to Restriction of Processing)

在某些情况下，您可以限制我们处理您的数据，例如对数据准确性存在争议时。

4.5 数据可携带权 (Right to Data Portability)

您有权以结构化、常用且机器可读的格式接收您的数据，并在技术上可行的情况下将这些数据传输给另一个控制者。

4.6 反对权 (Right to Object)

基于合法利益或公共利益进行数据处理时，您有权基于特定理由提出反对。

4.7 不受自动化决策约束的权利

您有权不受仅基于自动化处理（包括画像）作出的具有法律效力或类似严重影响的决定的约束。

五、跨境数据传输

如涉及跨境数据传输，我们将确保采取适当的保护措施，包括但不限于：

确保接收国具有充足的数据保护水平
采用欧盟委员会批准的标准合同条款
实施企业约束规则(BCR)（如适用）
获得数据主体的明确同意

六、数据安全措施

我们采取的技术和组织措施包括：

加密技术：采用TLS/SSL加密传输、AES加密存储敏感数据
访问控制：基于角色的权限管理系统(RBAC)，最小权限原则
审计日志：记录所有数据访问和操作，支持追溯审计
备份恢复：定期自动备份，完善的灾难恢复计划
安全培训：定期开展员工数据保护意识培训
渗透测试：定期邀请第三方进行安全评估

七、数据保留期限

我们仅在实现处理目的所需的期限内保存个人数据：

账户信息：自账户注销之日起保留180天（法律规定除外）
业务办理记录：按相关法规要求的最低期限保存
日志数据：最长保留90天
营销数据：在您撤回同意后立即删除

超过保留期限的个人数据将被安全删除或匿名化处理。

八、数据泄露通知

如发生可能导致用户权利受损的个人数据泄露事件，我们将在知悉后的72小时内：

向相关监管机构报告（如适用）
及时通知受影响的用户
说明泄露的性质、类别和大致数量
说明可能的后果和我们已采取/拟采取的措施
提供降低潜在风险的建议

九、数据保护官(DPO)联系信息

如有任何与数据保护相关的疑问、投诉或行使数据主体权利的请求，请通过以下方式联系我们的数据保护团队：

北京市沧数云科信息科技有限公司数据保护部门
电子邮箱：csyk_beijing@sina.com
运营单位：北京市沧数云科信息科技有限公司
监管单位：张家口市蔚县音创云图互联网有限公司

我们将在收到您的请求后30天（或法律规定的时限内）内予以回复。

十、条款变更

我们可能根据法律法规变化或业务需要对本文档进行更新。重大变更将通过网站公告或邮件通知的方式告知您。建议您定期查阅本文档以了解最新信息。

通用数据保护条例合规声明