草稿——仅供律师审查。
当客户使用服务处理个人数据时,本数据处理协议(“DPA”)将纳入 Boundless Intelligence Labs, Inc.(“处理器”或“Boundless”)与客户(“控制者”或“客户”)之间的服务条款。
1. 定义
- 个人数据: 与已识别或可识别的自然人有关的信息
- 处理: 对个人数据的任何操作(收集、存储、使用、披露、删除)
- 子处理者: Boundless 聘请处理个人数据的第三方
- 服务: Boundless API 路由器及相关服务
- GDPR: 欧盟通用数据保护条例
- CCPA/CPRA: 加州隐私法
2. 范围和角色
2.1 控制器与处理器
- 客户是 API 提示和账户数据中个人数据的控制者
- 当代表客户处理个人数据以提供服务时,Boundless 是处理者
- Boundless 是帐户、计费和网站分析数据的控制器(请参阅隐私政策)
2.2 处理说明
Boundless 仅处理个人数据:
- 如服务和本 DPA 中所述
- 根据客户通过 API 调用和帐户设置记录的说明
- 根据适用法律的要求
3. 处理细节
| 元素 | 描述 |
|---|---|
| 主题 | LLM API 路由和推理 |
| 持续时间 | 协议期限+每项保单的保留 |
| 自然 | 传输、瞬态处理、元数据记录 |
| 目的 | 提供API服务、计费、安全 |
| 数据类型 | 提示、完成(如果选择加入)、帐户标识符、使用元数据 |
| 数据主体 | 客户的最终用户和员工 |
默认值: 不存储提示/完成 (ZDR)。参见数据政策。
4. 客户义务
客户将:
- 确保处理的合法依据
- 如果没有适当的保障措施,请勿提交特殊类别数据
- 适当配置隐私设置
- 按要求通知数据主体
- 遵守模型提供商条款
5.无限的义务
意志无边:
- 仅按照书面说明进行处理
- 确保人员机密
- 实施适当的安全措施(第 7 节)
- 根据第 6 条聘用分处理者
- 协助处理数据主体请求(第 8 节)
- 终止时删除/返回数据(第 10 条)
- 为 DPIA 和审核提供信息(第 9 节)
- 违规通知(第 8 条)
6. 子处理者
6.1 授权
客户授权 Boundless 聘用子处理者列表 中列出的子处理者。
6.2 变更
Boundless 将在聘用前至少30 天通知客户新的分处理者。客户可以在 14 天内以合理理由提出反对。
6.3 流程向下
Boundless 对分处理者施加与本 DPA 同等的数据保护义务。
7. 安全措施
无限的工具:
- 传输中加密 (TLS 1.2+) 和静态加密
- 访问控制和最低权限
- API 密钥哈希
- 监控和入侵检测
- 事件响应程序
- 定期安全评估
详细信息:数据政策
8. 数据主体权利和违规通知
8.1 协助
Boundless 将利用可用的技术措施,在请求后 30 天内 协助客户响应数据主体请求(访问、删除、可移植性)。
8.2 违规通知
Boundless 将在发现影响客户数据的个人数据泄露后72 小时内立即通知客户,包括:
- 违规行为的性质
- 记录的类别和大致数量
- 可能的后果
- 已采取或提议的措施
9. 审计
客户可以每年在营业时间内审核一次 Boundless 合规性,并提前 30 天通知,但须遵守保密规定。 Boundless 可能会提供 SOC 2 报告来代替现场审核(如果有)。
10. Data Return and Deletion
终止时:
- 客户可以通过 API/仪表板(如果可用)导出数据
- Boundless 在90 天内删除客户个人数据,法律要求保留的情况除外
- 根据隐私政策保留元数据
11. 国际转账
欧洲经济区/英国以外的转账用途:
- 欧盟标准合同条款 (2021/914)
- 英国国际数据传输附录(如适用)
- 根据需要采取补充措施
美国数据处理:Boundless Intelligence Labs, Inc.,美国特拉华州。
12.CCPA
无边不会:
- 出售个人数据
- 出于提供服务以外的目的保留、使用或披露个人数据
- 将个人数据与其他来源结合起来,除非允许
Boundless 证明对 CCPA/CPRA 服务提供商要求的理解。
13. 责任
本 DPA 项下的责任受到服务条款中的限制。
14. 术语
在 Boundless 代表客户处理个人数据期间,本 DPA 仍然有效。
15. 联系方式
数据保护:privacy@boundlessapi.com
安全事件: security@boundlessapi.com
无限 API 公司
[注册地址——待定]
附件 A:子处理者
请参阅子处理器列表。
附录 B:标准合同条款
可根据企业客户的要求提供。