Shopify 数据处理附录

我们当前正在更新我们的《数据处理附录》,更新后的附录将于 2025 年 7 月 25 日生效。点击此处详细了解变更内容。
生效日期:2025 年 7 月 25 日

Shopify 数据处理附录

I. 目的

本 Shopify 数据处理附录(“DPA”)是对 Shopify 服务条款的补充,并通过引用并入其中,连同您(或“商家”)选择使用并由您和 Shopify 签约实体(“Shopify”,如条款所定义)之间使用的任何其他 Shopify 服务适用的任何条款(“条款”),共同概述了与 DPA 相关的具体业务目的和服务。如果条款与本 DPA 之间存在任何冲突,在处理您的客户个人数据(如下文所定义)时,应以 DPA 为准。

您和 Shopify(各称“一方”,合称“双方”)同意,本 DPA 规定了双方在处理您的客户个人数据方面的义务。在您使用依赖我们处理您的客户个人数据的服务(附录 E 中所述的服务除外)期间,您应作为数据控制者,而 Shopify 应作为数据处理者处理您的客户个人数据。

如果根据本 DPA 对个人数据的处理须遵守欧洲经济区(“EEA”)、英国(“UK”)或瑞士的数据保护要求,并且 Shopify 充当数据处理者,则附录 C 将对本 DPA 进行补充。如果附录 C 与本 DPA 的其他章节之间存在任何冲突,在根据欧洲经济区、英国和瑞士的数据保护要求处理您的客户个人数据时,应以附录 C 为准。为免生疑问,附录 C 不适用于 附录 E 中所述的处理活动。

如果根据本 DPA 对个人数据的处理须遵守美国数据保护法,并且 Shopify 充当数据处理者或服务提供商,则附录 D 将对本 DPA 进行补充。如果附录 D 与本 DPA 的其他章节之间存在任何冲突,在根据美国数据保护法处理您的客户个人数据时,应以附录 D 为准。为免生疑问,附录 D 不适用于 附录 E 中所述的处理活动。

如果您使用 Shopify 提供的优化服务(如[服务条款]/zh/legal/terms)第 9.2 条所定义),Shopify 应按照附录 E 中的规定,以数据控制者或企业身份处理您的客户个人数据。如果附录 E 与本 DPA 的其他章节之间存在任何冲突,则就 Shopify 以数据控制者或企业身份处理您的客户个人数据而言,应以附录 E 为准。

为免生疑问,本 DPA 不适用于 Shopify 处理因客户通过 Shop 和 Shop Pay 等服务与 Shopify 建立关系而收到的有关该客户的任何个人数据这种情形。

II. 定义

本 DPA 中使用但未定义的术语与条款中赋予它们的含义相同:

A. 适用的数据保护法:任何适用于 Shopify 根据本条款处理个人数据的数据保护法或隐私法、其实施条例和辅助法规(每项法律都可能不时进行修订、更新或替换),包括根据商家和/或您的客户的所在地或居住地适用的法律。

B. 客户:访问、使用和/或购买您的商店的产品、商品或服务的个人或实体。

C. 数据权利请求:个人根据适用的数据保护法行使与个人数据有关的可用权利的有效合法请求。

D. 数据控制者或企业:确定个人数据处理目的和方式的一方,或任何适用数据保护法另有定义的一方。

E. 数据处理者或服务提供商:代表数据控制者提供服务并根据数据控制者的指示处理个人数据的一方或其他实体或企业,或任何适用数据保护法定义的相关主体。

F. 个人数据:根据适用数据保护法定义为“个人数据”、“个人信息”或“个人身份信息”(或类似术语)的信息或数据。

G. 个人数据泄露:关于您的客户个人数据,应根据适用数据保护法进行解释。

H.“处理”********:(a) 对个人数据或个人数据集进行的任何操作或一系列操作,无论是否采用自动化手段,例如收集、记录、组织、构建、存储、改编或更改、检索、咨询、使用、通过传输、传播或以其他方式提供进行披露、排列或组合、限制、删除或销毁;或 (b) 适用的数据保护法赋予该术语的定义。

I.“分支处理机构”:关联公司或第三方数据处理者或服务供应者,可在 Shopify 的指示下处理个人数据,以提供服务。

J.“”、“您的”或“商家”:指您经营并使用或受益于服务、优化服务或其他附加服务且与 Shopify 签订本条款的每个企业。

K.“您的客户个人数据”:来自或关于您的客户的个人数据,但不包括 Shopify 因客户与 Shopify 的关系而收到的有关客户的任何个人数据(此类数据受 Shopify 的消费者隐私政策而非本 DPA 约束)。

III. 处理的性质和各方的作用

**Shopify 作为数据处理者或服务供应商。**Shopify 接收并处理您的客户个人数据是为了向您提供服务,以及下文规定的其他用途。根据您要求或使用的服务,Shopify 将以附录 A 所载的方式和依据处理附录 A 所载的各类个人数据。

Shopify 作为数据处理者或服务提供商处理您的客户个人数据,仅用于提供本条款及任何补充条款中所指示的服务,以及在必要时提供、开发和改进其服务,以及实现适用数据保护法所允许的任何其他目的。

**Shopify 作为数据控制者或企业。**Shopify 作为数据控制者或企业在处理您的客户个人数据时,应 (a) 按照附录 E 规定的情形和处理方式,且 (b) 出于遵循客户指示和适用数据保护法的任何其他目的而处理。

IV. 各方义务

下文描述了双方在处理本 DPA 所涉及的个人数据方面各自的义务。

A. 一般合规性

  1. 双方将遵守各自在适用数据保护法下的义务。

  2. Shopify 没有义务为您解释或建议您在适用数据保护法下的义务,包括处理本 DPA 所涵盖的个人数据。您需自行负责确定您的法律和监管义务,包括评估服务的技术和组织措施是否符合您独立的法律和监管义务。

B. Shopify 的义务

1. 数据安全
Shopify 将实施并维护适当的技术和组织措施,以保护您的客户个人数据免受未经授权或非法处理,以及意外丢失、破坏、损坏、盗窃、篡改或披露,如附录 B 所述。

2. 个人数据泄露通知和调查

a) 根据适用数据保护法要求,Shopify 将在确认任何个人数据泄露后向您发出通知。

b) 此类通知应包括适用数据保护法所要求的信息,只要 Shopify 可合理获取此类信息。Shopify 对个人数据泄露的回应或通知不代表 Shopify 承认任何过失或责任。

c) Shopify 同意调查任何个人数据泄露事件,并尽商业上合理的努力来识别、预防、减轻和补救其影响。

C. 您在个人数据方面的义务

1. 隐私声明和透明度:您声明并保证,您遵守适用数据保护法规定的所有义务,就您根据条款处理您的客户个人数据以及使用服务提供通知和透明度。您应根据适用数据保护法,向相关个人传达所有必要的披露,以便 Shopify 能够合法、公平地处理与本 DPA 有关的您的客户个人数据,此类披露包括您在使用优化服务或其他附加服务时进行的相关披露,具体方法为提供 Shopify 消费者隐私政策或您的隐私政策的链接以及提供条款第 9.2.5 条所述的其他披露信息。

2. 客户权利和许可:您声明并保证,您拥有所有必要的权利、许可和同意,可向 Shopify 提供您的客户个人数据,并且让 Shopify 根据本条款、本 DPA 和适用法律保护法处理您的客户个人数据,以便您接收服务,包括您使用的优化服务或其他附加服务。

3. 数据权利要求:您声明并保证,对于由 Shopify 处理的您的客户个人数据(您是数据控制者),您将按照适用数据保护法要求,为您的客户提供行使数据权利请求的能力。

4. 监管查询:除非适用法律禁止,否则您应根据条款中的通知规定,及时通知我们有关您使用服务的任何政府、监管机构或其他第三方查询或投诉。

V. 其他条款

A. 全球数据传输
您知晓,您的客户个人数据可能会在 Shopify、其关联公司或第三方服务提供商所在的任何国家/地区(包括新加坡和加拿大)进行传输和处理。向这些接收方进行的任何您的客户个人数据传输都将遵守适用数据保护法。有关 Shopify 须遵守欧洲经济区、英国或瑞士的数据保护要求,以进行国际数据传输的更多信息,请参阅附录 C 第 II(B)(8) 节。

B. 回应法律要求

  1. 您知晓,在向您提供服务的过程中,Shopify 可能会共享您的客户个人数据 (i) 以遵守法律要求或回应法院命令或其他类似的政府或监管要求;或 (ii) 以防止或调查涉嫌欺诈、威胁人身安全、非法活动或违反合同(如服务条款)或我们的政策(如可接受使用政策)的行为。

  2. Shopify 在提供您的客户个人数据之前,将尽合理努力确保此类披露为适用数据保护法所允许,并在适用法律框架下被视为机密信息。

C. 公司交易中的披露
您知晓,在向您提供服务的过程中,Shopify 可能需要与任何公司或重组交易的潜在交易方共享您的客户个人数据。

D. Shopify 对服务提供商的使用

  1. 您知晓并同意,在向您提供服务的过程中,Shopify 可能会使用服务提供商来处理您的客户个人数据。Shopify 持续更新所有使用的服务提供商的最新列表。如果适用数据保护法律赋予您此类权利,您可以反对 Shopify 使用服务提供商,如果 Shopify 不能或不愿意满足此类要求,您可以根据此类法律,在通知后 30 天内根据条款终止使用受影响的服务。

  2. Shopify 使用服务提供商处理您提供的客户个人数据时将遵守适用的数据保护法律。当 Shopify 聘用服务提供商时,Shopify 将与服务提供商签订书面协议,规定与本 DPA 中规定的基本相同的合同义务。

E. DPA 修订 您知晓并同意,Shopify 可通过在 Shopify 网站 (https://shopify.com/legal/dpa) 上发布相关修订和重述的 DPA 来不时修订本 DPA,此类 DPA 修订自发布之日起生效。修改后的 DPA 发布到 Shopify 网站后,您继续使用服务即表示您同意并接受修改后的 DPA。如果您不同意 DPA 的任何修改,请勿继续使用服务。

VI. 附录

  1. 附录 A - 个人数据的类别

  2. 附录 B - 数据安全

  3. 附录 C - GDPR、英国 GDPR 和瑞士数据处理附录

  4. 附录 D - 美国数据保护法律

  5. 附录 E - Shopify 作为数据控制者或优化服务企业

附录 A:个人数据的类别

作为您使用服务的一部分,根据您使用的服务,我们可能会接收和处理以下类别的个人数据以提供服务:

● 客户姓名、电子邮件、联系方式、账单和发货信息。

● 您商店的购买信息和其他交易信息。

● 有关您或您的商店的交易状态的更新。

● 客户在您的商店中的活动,包括查看过的产品和/或购物车中包含的产品。

● 客户偏好信号,包括全球隐私控制(“GPC”)、选择退出和选择加入信号。

● 访问您的商店时使用的设备的客户设备信息,包括 IP 地址、浏览器和网络活动。

● 有关客户与您互动的其他信息。

● 您的客户选择向 Shopify 提供的任何其他个人数据。

附录 B:数据安全

Shopify 将维护信息安全计划,旨在 (a) 确保您的客户个人数据安全,防止未经授权或非法处理以及意外丢失、破坏、损坏、盗窃、篡改或披露;(b) 识别您所获得服务的安全性和可用性的合理可预见风险;以及 (c) 最大限度降低服务的安全风险。

I. Shopify 的信息安全计划将包括以下保障措施:

A. 逻辑安全

  1. 访问控制:Shopify 将仅允许授权人员访问其系统,且仅在维护和提供服务的必要情况下。Shopify 将通过使用防火墙和/或其他技术和认证控制等方式,维护访问控制和政策,以管理对其系统的访问授权。

  2. 限制用户访问:Shopify 将 (i) 根据人员的工作职能,按照最低权限原则提供和限制对其系统的访问,以及 (ii) 要求对其系统的访问进行双重验证 (2FA)。

  3. 漏洞评估:Shopify 将维护漏洞评估和渗透测试计划,负责调查和跟踪服务中发现的问题,必要时予以解决。

  4. 应用安全:Shopify 维护应用安全计划,负责保护服务免受应用安全威胁。

  5. 变更管理:Shopify 将对现有服务资源的变更进行记录、授权、测试、批准和记录,并在变更管理或部署工具中记录变更细节。Shopify 将根据其变更管理标准对变更进行测试,然后再迁移到生产中。

  6. 数据完整性:在适当的情况下,Shopify 将在服务的传输、存储和处理过程中保持旨在提供数据完整性的控制措施。

  7. 可用性:Shopify 将 (i) 在适当的情况下,对服务实施冗余,以最大限度地减少故障对服务的影响;(ii) 设计服务以预测和容忍故障;(iii) 实施适当的流程,以便在必要时将“个人数据”流量从受影响的区域转移,以从故障中恢复。

  8. 业务连续性和灾难恢复:Shopify 将维持一个风险管理计划,旨在支持其关键业务功能的连续性,包括识别、响应和恢复可能阻止或严重损害 Shopify 向您提供服务的事件的流程和程序。

  9. 事件管理:Shopify 为您提供文件来报告安全或可用性事件,提出安全或可用性问题,并提交有关潜在安全或可用性问题的信息。Shopify 将维护纠正行动计划和事件响应计划,旨在检测、减轻、调查和响应针对服务的潜在安全威胁。

B. 物理安全:在保护服务的必要情况下,Shopify 将 (i) 采取合理措施,防止对服务的未经授权的物理访问、损坏或干扰;(ii) 使用适当的控制设备,仅限有合法业务需求的授权人员才能访问服务;(iii) 定期进行审查,以验证是否符合这些标准。

C. Shopify 员工:获得授权访问您的客户个人数据的 Shopify 员工必须遵守保密义务,这是其雇佣条款的一部分。Shopify 将实施和维护有关 Shopify 信息安全要求的员工安全培训计划。安全意识培训计划将定期审查和更新。

II. 对本附录的修改

Shopify 会不时审查其安全措施,并可自行决定更新本附录。任何此类更新将从 Shopify 发布更新版本之日起,取代本附录之前的版本。

附录 C:GDPR、英国 GDPR 和瑞士数据处理附录

如果根据 DPA 处理您的客户个人数据须遵守欧洲经济区(“EEA”)、英国(“UK”)或瑞士的数据保护要求(统称“欧洲数据保护法”),并且 Shopify 的角色为数据处理者,则附录 C 将对本 DPA 进行补充。

I. 处理的性质和各方的作用

A. 个人数据

根据本附录,您应作为数据控制者,而 Shopify 应作为数据处理者,处理附件 1 中所述的您的客户个人数据,以实现条款中所述的商业目的,并为您提供您选择使用的服务。

II. 各方义务

A. 您的义务

您应遵守:

● 对您使用服务具有约束力的欧洲数据保护法;以及

● DPA 中规定的您的义务,包括本附录中规定的您的义务。

您声明并保证,您处理您的客户个人数据(包括向 Shopify 提供任何此类数据)具有有效的法律依据,并已获得任何必要的同意、权利和授权,并发出任何必要的通知,以便 Shopify 根据欧洲数据保护法的要求处理您的客户个人数据以提供服务。

B. Shopify 的义务

1. 控制方的指示和违反欧洲数据保护法的行为

a) 双方同意,本条款和本 DPA 构成您对 Shopify 处理您的客户个人数据的书面说明(“书面说明”)。

b) Shopify 将在以下情况下作为数据处理者处理您的客户个人数据:(i) 根据您的书面说明,或 (ii) 遵守 Shopify 在适用法律下的义务,但须遵守 Shopify 受其约束的欧洲经济区、欧洲经济区成员国、英国或瑞士法律下的任何通知要求。

c) 如果 Shopify 收到合理认定违反欧洲数据保护法的指令,Shopify 将通知您(但 Shopify 没有义务积极监督您遵守欧洲数据保护法的情况)。

2. 保密义务

Shopify 将确保其授权处理您的客户个人数据的人员签订书面保密协议或履行法定保密义务。

3. 安全措施

a) Shopify 应实施并维护适当的技术和组织措施,以保护您的客户个人数据免受未经授权或非法处理,以及意外丢失、破坏、损坏、盗窃、未经授权的访问、篡改或披露,如附件 2 中所述。

b) 考虑到您的客户个人数据和相关处理的性质,Shopify 将根据您的合理要求提供合理协助,帮助您履行欧洲数据保护法规定的安全义务。

c) Shopify 一旦发现安全漏洞,导致意外或非法破坏、丢失、篡改、未经授权披露或访问您传输、存储或以其他方式处理的您的客户个人数据,应立即通知您,不得无故拖延。

d) Shopify 同意对任何此类安全漏洞进行调查,并尽商业上合理的努力减轻影响。

4. 分支处理机构

a) 通常情况下,您授权 Shopify 聘请分支处理机构处理您的客户个人数据。您进一步同意,Shopify 可聘请其附属公司作为分支处理机构。

b) Shopify 通过分支处理机构处理您的客户个人数据时将遵守欧洲数据保护法。

c) Shopify 持续更新附件 3 中列出的所有分支处理机构的最新名单https://help.shopify.com/zh-CN/manual/your-account/privacy/subprocessors)。Shopify 将在适当的时候更新分支处理机构列表,并为您提供获取新增或更换分支处理机构通知的机制。您可以反对 Shopify 使用新的分支处理机构。

d) 若您反对 Shopify 使用分支处理机构,但 Shopify 无法或不愿满足您的要求,您可在收到通知后 30 天内根据条款终止使用受影响的服务。

e) 若 Shopify 聘用新的分支处理机构,Shopify 将与该分支处理机构签订书面协议,Shopify 将对该分支处理机构施加与本 DPA 规定基本相同的合同义务。Shopify 将对其分支处理机构的行为和疏忽承担全部责任,其责任范围与 Shopify 直接根据本 DPA 条款为每个分支处理机构提供服务的责任范围相同。尽管如此,Shopify 的责任仍受条款中规定的条件和责任限制的约束。

5. 对控制方的协助
考虑到您的客户个人数据和相关处理的性质,Shopify 应提供您合理要求的合理协助,以协助您遵守您的义务:

● 就 Shopify 对您的客户个人数据的所有处理活动,对根据欧洲数据保护法提出的数据权利要求做出回应;

● 将个人数据泄露事件通知相关机构和/或数据主体;

● 进行数据保护影响评估和事先磋商;

● 根据第 3 节的规定,确保处理过程的安全。

6. 评估遵守情况

a) Shopify 可根据您的书面要求并在保密的前提下,向您提供以下信息,以履行您在欧洲数据保护法下与您的客户个人数据处理相关的审核权:

(i) Shopify 最新的审计报告结果,可以是 Shopify 自我审计的结果,也可以是由独立第三方审计机构编制的结果;
(ii) Shopify 可控制的其他信息(如果由数据保护机构或政府机构提出要求)。

b). 在欧洲数据保护法赋予您此项权利的前提下,您可以在以下情况下行使审核权:(i) 国际公认的独立审计师证明 Shopify 提供的审计报告无法为您提供足够的信息以验证 Shopify 是否遵守本 DPA 和欧洲数据保护法;或 (ii) 您对政府部门的审计做出必要的回应。每次审计必须符合以下参数:(i) 由与 Shopify 签订保密协议的独立第三方进行;(ii) 审计范围仅限于您评估 Shopify 是否遵守本《数据保护协议》以及双方是否遵守欧洲数据保护法所合理要求的事项,并经双方同意;(iii) 在双方同意的日期和时间进行,且仅在 Shopify 正常营业时间内进行;(iv) 每年不超过一次(除非欧洲数据保护法要求);(v) 仅涵盖 Shopify 控制的设施;(vi) 仅限于您的客户个人数据的调查结果;以及 (vii) 在欧洲数据保护法允许的最大范围内,将任何结果视为机密信息。为澄清起见,Shopify 将根据其对第三方的保密义务,遵守您在本第 6 条下的任何权利。

7. 处理结束

a) 在使用服务期间,您可以利用账户工具访问、归还给您本人或删除您的客户个人数据。

b) 终止后,Shopify 将根据您的选择,删除或归还您的客户个人数据。尽管有上述规定,Shopify 可能会在以下情况下保留您的客户个人数据:(i) 根据法律要求,包括欧洲数据保护法;和 (ii) 根据其标准备份或记录保留政策,但在这两种情况下,Shopify 将对保留的您的客户个人数据保密,并遵守本 DPA 的适用规定,除适用法律允许的目的和期限外,不会进一步处理保留的您的客户个人数据。

8. 国际传输

a) 在遵守欧洲数据保护法的前提下,Shopify International Ltd. 可根据提供服务的需要,将根据本附录处理的您的客户个人数据传输至欧洲经济区、英国和瑞士以外(“国际传输”)。

b) 此类传输主要包括将您的客户个人数据传输至位于加拿大的 Shopify Inc.,该公司受惠于欧盟委员会 2001 年 12 月 20 日关于充分保护个人数据的第 2002/2/EC 号决定,而该决定由《加拿大个人信息保护和电子文件法》提供。

c) 任何向未达到欧洲数据保护法规定的数据保护水平的国家/地区进行的国际传输,都将受到适当的保护,包括以下传输机制:

● 根据欧盟委员会 2021 年 6 月 4 日第 2021/914/EC 号决定批准的 2021 年标准合同条款的相关模块;

● 英国信息专员办公室根据《2018 年英国数据保护法》S119A(1) 发布的欧盟委员会国际数据传输标准合同条款的《国际数据传输附录》;

● 为满足 1992 年 6 月 19 日《瑞士联邦数据保护法》(经不时修订)的要求而修订的《2021 年标准合同条款》(2001 年 9 月 25 日修订);以及

● 任何可能取代当前条款和附录的标准合同条款、国际数据传输附录或其他条款、附录或传输机制。

d) Shopify 可自行决定更换任何传输机制,以确保数据传输符合适用法律。如果数据传输以标准合同条款为基础,且相关部门对此类条款进行了更新,则更新后的条款或类似协议将被纳入本 DPA,如同在本 DPA 中进行了完整陈述。

附件 1 - 个人数据

个人数据处理说明

I. 处理事项

向商家提供 Shopify 服务。

II. 数据主体的类别

商家的客户。

III. 处理的个人数据的类别

见上文附录 A

IV. 传输频率

持续。

V. 处理的性质

收集、记录、托管、访问、使用、转移和删除条款中所述的个人数据。

VI. 代表控制方处理个人数据的目的

用于执行和改进本条款所述的服务。

VII. 处理的时长

本条款或适用协议规定的服务时长,加上期满后直至匿名化、归还或删除数据的期限。

VIII. 主管监督机构 主管监督机构为爱尔兰数据保护委员会。

附件 2 - 安全措施

DPA 的附录 B 提供了有关安全措施的信息。

附件 3 - 分支处理机构列表

Shopify 为根据本条款提供服务而使用的分支处理机构在此处列出。

在与 Shopify 签订协议期间,分支处理机构将处理与服务相关的上述各类个人数据。

附录 D:美国数据保护法律

本节仅在以下情况下适用:(i) 美国数据保护法适用于您和/或您因使用服务而涉及的您的客户个人数据;(ii) 美国数据保护法要求满足以下规定;并且 (iii) Shopify 的角色是数据处理者或服务提供商。为免生疑问,本附录 D 不适用于附录 E 中所述的处理活动。

  1. 双方同意,本条款和本 DPA 构成您对 Shopify 处理您的客户个人数据的书面说明(“书面说明”)。

  2. 附录 E 中规定的您使用某些优化服务的情况外,Shopify 不会:(i) 在与您的直接业务关系之外或出于本 DPA 和/或本条款中确定的有限和特定目的(包括提供、开发和改进服务或适用美国数据保护法允许的其他目的)以外的任何其他目的保留、使用或披露您的客户个人数据,或 (ii) “出售”或“分享”您的客户个人数据或利用您的客户个人数据进行“定向广告”(相关定义符合 CCPA 或其他美国数据保护法);或 (iii) 将您的客户个人数据与从其他来源收到的个人数据结合。对于上述每种情形,美国数据保护法允许的情况除外。

  3. Shopify 将 (i) 提供与美国数据保护法要求企业或数据控制者同等水平的隐私保护,并在确定无法再履行这些义务时通知您,在此情况下,您可采取合理适当的步骤停止或补救任何未经授权对您的客户个人数据的处理;(ii) 确保其授权处理您的客户个人数据的人员签订书面保密协议,或履行法定保密义务;(iii) 根据合理的书面要求,并作为使您能够采取合理和适当的步骤,以确保 Shopify 以符合美国数据保护法的方式使用您的客户个人数据的一部分,提供 SOC2 报告,显示对 Shopify 信息安全计划的合理评估;以及 (iv) 在终止向您提供服务时,Shopify 将启动清除程序,删除或归还交由 Shopify(仅作为数据处理者或服务提供商)处理的您的客户个人数据或取消对此类数据的身份识别。

  4. 您声明并保证,您不会与 Shopify 分享任何行使了您承诺尊重的选择退出权的个人的个人数据,或任何未同意按照适用数据保护法的要求处理此类敏感数据的个人的敏感个人数据。

附录 E:Shopify 作为数据控制者或优化服务企业

当您使用服务条款第 9.2 条定义的优化服务时,Shopify 将充当数据控制者或企业。Shopify 可能会不时更新其作为数据控制者或企业所服务的和产品。

在 Shopify 提供优化服务过程中,您同意 Shopify 将根据适用数据保护法,以数据控制者或企业身份处理您的客户个人数据,以便为您和其他商家提供、开发和改进分析、产品定制、广告以及其他服务,这些服务将整合您的客户与您的商店、其他商家以及 Shopify 之间的互动和交易。当 Shopify 以此方式处理您的客户个人数据时,适用 Shopify 的消费者隐私政策和本 DPA 的附录 E。您可通过在此处禁用 Shopify Network Intelligence 功能来禁止 Shopify 以上述方式使用您的客户个人数据,但如此处所述,您将无法使用某些应用或功能。

1. 隐私声明、透明度和权利。您应根据适用数据保护法,向相关个人传达所有必要的披露,以便 Shopify 能够合法、公平地处理您的客户个人数据,为您提供与本 DPA 附录 E 有关的优化服务,具体披露方法包括在您的隐私政策中提供 Shopify 消费者隐私政策的链接,以及提供服务条款第 9.2.5 条所规定的披露信息。

2. 欧洲要求。如果您位于欧洲经济区、英国或瑞士,或者如果您的客户位于欧洲经济区、英国或瑞士,您同意、声明并保证您已获得客户的同意,并为客户提供在适用数据保护法要求的情况下行使撤回同意、反对某些处理活动以及选择退出某些处理活动的权利。为免生疑问,您必须在适用数据保护法要求的范围内,就优化服务中的定向广告以及使用 Cookie 或其他本地存储技术征得客户的同意。有关实施上述要求的更多信息,请访问此处。

3. 控制方责任。您是您的客户个人数据的数据控制者,并应单独确定您处理您的客户个人数据的目的和方式以及使用和处理您的客户个人数据的方法,包括确定您根据适用数据保护法处理数据的法律依据。Shopify 是其根据本附录 E 处理的您的客户个人数据的控制者,并应单独确定其处理此类个人数据的目的和方式以及使用和处理此类个人数据的方法,包括确定其根据适用数据保护法处理数据的法律依据。

每一方均应单独负责回应其作为数据控制者处理您的客户个人数据所收到的数据权利请求。

4. DPA 的其余规定不受影响。本附录 E 不得以其他方式影响任何体现商家与 Shopify 之间数据控制者和数据处理者关系的条款(包括本 DPA 的其余规定)。