钉钉企业组织认证用户数据委托处理协议

 

 

本《钉钉企业组织认证用户数据委托处理协议》（以下简称“本协议”）由开通和使用钉钉服务的钉钉企业组织用户（以下简称“您”）与钉钉（中国）信息技术有限公司和钉钉科技有限公司（合称“钉钉”）在【杭州市余杭区】签订。

 

1.

定义

1.1.

“数据”：指任何以电子或者其他方式对信息的记录。本协议约定的数据为您方向甲方提供服务期间处理的全部数据（含个人信息），包括但不限于您方向钉钉提供的数据、钉钉服务中收集的数据以及钉钉服务过程中产生的数据等。

1.2.

“企业组织控制数据”指企业组织用户及其最终用户使用钉钉服务过程中提交或产生的信息和数据，包括企业用户及其管理员提交或要求最终用户提供的信息、企业用户分配给最终用户的信息，以及为完成工作需求、满足企业日常管理需求由最终用户提交给企业用户的信息，具体关于企业组织控制数据相关约定，请参见《钉钉隐私权政策》关于企业组织控制数据的表述。

1.3.

“个人信息”是指您方委托钉钉处理的，以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

1.4.

“敏感个人信息”是指甲方委托钉钉处理的，一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

1.5.

“个人信息处理者”是指认证企业组织用户在使用钉钉服务进行在线移动办公、沟通与协同中，有权决定个人信息处理目的、方式等的组织或个人。为免疑义，本协议使用钉钉服务的最终用户的个人信息处理者为钉钉企业组织用户，钉钉是处理管理员及最终用户在使用钉钉服务进行在线移动办公、沟通与协同时上载、录入、传输、存储、共享或产生的企业组织控制数据的受托人，依据管理员操作、配置等指令，受托对企业组织控制数据（含最终用户个人信息）进行收集、存储、使用、加工、传输、提供、公开、删除等数据处理。

1.6.

“数据保护法律”是指与网络安全、数据安全、个人信息保护和/或隐私有关的任何适用法律、规则、条例、法令、法规或其他法则、命令、授权或决议，以及任何经修订、扩展、废除和替换或重新颁布的实施、衍生或相关的立法、规则和条例，包括但不限于《中华人民共和国民法典》、《中华人民共和国个人信息保护法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《儿童个人信息网络保护规定》。

1.7.

“个人信息安全规范”是指由国家标准化管理委员会发布的《信息安全技术 个人信息安全规范》和其不时之修订版本，但不包括其中与《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》及其他数据保护法律规定发生冲突的内容。

1.8.

“处理”及其类似术语是指对个人信息进行的任何操作或一系列操作，包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

1.9.

“钉钉企业组织用户”是指企业组织授权的管理员代企业组织创建钉钉企业组织架构，邀请组织成员作为企业组织最终用户下载、注册钉钉账号或为最终用户配置企业账号，完成钉钉企业组织创建后，由企业组织授权管理员配置、开通、管理和使用钉钉办公应用进行在线移动办公、沟通与协同的用户。钉钉企业组织用户含钉钉认证企业组织和非认证企业组织。钉钉企业组织用户包括法人、政府机构、其他组织、合伙或个体工商户等。

1.10.

“钉钉企业组织认证服务”是指符合一定条件的钉钉企业组织用户通过登录钉钉OA工作台（oa.dingtalk.com）在线提交相关资料、信息以申请钉钉企业组织认证。钉钉根据申请人申请的企业组织类型及提交的资料和信息，自行或者委托第三方审核机构进行审核，并根据审核情况确定企业组织的认证结果和认证信息的服务。

1.11.

“钉钉认证企业组织用户”是指通过钉钉自行或委托第三方审核机构对企业组织用户及其管理员或法定代表人提交的资料和信息进行甄别及核实，通过钉钉认证审核流程的钉钉企业组织用户。完成钉钉认证的企业组织，钉钉将根据用户提交的资质材料确定用户的认证账号名称，明确法人和非法人主体身份（“亮照”），生成认证标识及认证信息，开通认证企业专享权益。为免疑义，钉钉依法自主决定对已认证的企业组织要求进行年审认证或者主动要求重新认证。认证企业组织用户认证信息变更的，有义务自行向钉钉申请变更认证。

1.12.

“钉钉企业组织管理员”指经钉钉企业组织用户授权或指定，拥有钉钉企业组织用户管理平台系统操作权限，代表企业组织开通、管理和使用钉钉服务的企业组织用户授权管理员，诸如管理企业组织通讯录及组织成员，进行钉钉OA工作台的相关操作和配置、设定子管理员、管理组织内的最终用户，代表企业组织开通和管理三方应用、确认和签署相应钉钉在线协议，注销企业组织等。企业用户管理员可以为一人或多人，简称“管理员”。

1.13.

“企业组织最终用户”指受企业组织管理员邀请、自主申请或被企业组织成员邀请且仅管理员操作同意，加入钉钉认证企业组织的组织成员钉钉个人用户，简称“最终用户”。当企业用户邀请你作为最终用户接入其工作平台，你会收到邀请并可以选择是否加入该企业用户。

1.14.

“转委托处理者”是指代表钉钉处理个人信息以协助钉钉履行本协议的任何组织或个人。

1.15.

“去标识化”是指个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程。

1.16.

“匿名化”是指个人信息经过处理无法识别特定自然人且不能复原的过程。

 

2.

双方的地位及数据处理角色

2.1.

双方同意，就本协议所述的所有企业组织控制数据委托处理，就认证用户及管理员开通和使用相关钉钉服务，钉钉会根据管理员上载、配置、开通、设置、发布、传输、存储、共享、删除、撤回、注销以及其他代表企业组织的操作行为和指令，收集、存储、使用、加工、传输、提供、公开、删除最终用户使用钉钉相关功能/应用过程中提交或产生的企业组织控制数据，包括任何格式在钉钉上上载、发布、传输、存储、共享、撤回或删除所有数据（含最终用户的个人数据）、软件、设备、文本、图像、视频、音频、照片、第三方应用程序、信息、材料。为免疑义，就实现钉钉服务的目的而言，您方是个人信息处理者，钉钉为的受托方且仅根据您方企业组织管理员的自主配置和根据钉钉服务功能实现自动化的委托处理您方的企业组织控制数据及相关个人信息、。

2.2.

您方理解并同意，您方委托钉钉基于钉钉服务实现自动化处理您方的企业组织控制数据过程中相关的您方企业组织最终的个人信息，包括最终用户使用钉钉服务进行在线移动办公、沟通与协同中上载、发布、传输、存储、共享、撤回的信息、数据和资料以及其他使用钉钉服务时产生的最终用户个人信息，您方基于与最终用户订立、履行最终用户作为一方当事人的合同所必需，或者通过依法制定的劳动规章制度和依法与最终用户签订的集体合同实施人力资源管理所必需，有权作为个人处理者处理最终用户的个人信息，并委托钉钉限于管理员开通、管理和使用钉钉服务实现在线移动办公、沟通与协同的目的和范围内，基于合理必要性，处理最终用户的个人信息。

 

3.

数据处理的范围

3.1.

钉钉仅在为实现企业组织数字化办公目的、在钉钉企业组织存续期间、基于钉钉服务实现的方式收集、存储、处理、传输、共享您方的企业组织控制数据以及最终用户相关个人信息；未经您方书面同意或者基于管理员在钉钉服务相关的产品交互中授权同意，钉钉将不会转委托他人处理企业组织控制数据及最终用户相关个人信息。

3.2.

为免疑义，本协议附录描述了钉钉对于企业组织控制数据及最终用户相关个人信息的所有处理活动。钉钉将依法对企业组织用户授权的管理员，以及最终用户个人信息的处理行为（包括处理方式、目的、期限、涉及的个人信息种类、采取的保护措施等）以电子形式详细记录（如网络安全法对相关网络日志存储的要求不低于6个月），并在您方正当合理的要求时，向您方提供合理必要的记录。

 

4.

处理数据权责

4.1.

受托处理数据的权责

4.1.1.

受托数据处理。钉钉作为数据处理的受托人，承诺将按照本协议及适用数据保护法律以及强制性行业技术标准等相关要求处理您方的企业组织控制数据及最终用户相关个人信息。为免疑义，除非数据保护法律要求，钉钉仅根据企业组织管理员上载、配置、开通、设置、发布、传输、存储、共享、删除、撤回、注销以及其他代表企业组织的操作行为和指令，收集、存储、使用、加工、传输、提供、公开、删除最终用户使用钉钉相关功能/应用过程中提交或产生的企业组织控制数据，使用钉钉服务的委托数据处理不得基于任何其他目的。如有特殊情况导致钉钉无法按您方的书面约定处理个人信息（例如法律强制要求），钉钉将书面通知您方合法、必要、专业的处理方式。

4.1.2.

安全。钉钉按照适用数据保护法律要求，委任数据保护官（DPO），建立相对应的数据安全能力，落实必要的管理和技术措施，为委托数据提供充分的安全保障，防止委托数据遭受未经授权的使用、泄漏、损毁、丢失。数据安全保障措施应当考虑到现有技术水平，实施成本，处理的性质、范围、背景和目的，以及给个人信息主体的权利和自由造成损害的风险的可能性。包括：

1)

系统权限控制。采取措施以防止对存放企业组织控制数据及其最终用户个人信息等数据的钉钉系统未经授权的物理访问，例如权限控制系统，身份识别读卡器、合理必要访问的记录等。

2)

访问限制。贯彻访问权限的人数最小化以及访问信息的数量最小化原则，仅供确有需要，且经授权的员工访问。未经授权的人员不得访问数据处理方获取的委托数据及其处理系统，无论是物理接触还是逻辑访问。

3)

可用性控制。采取措施确保委托数据得到保护而不受意外破坏或丢失，至少应包括以下内容：确保已安装的系统在发生中断后能够恢复，确保系统正常运行并报告故障，确保储存的个人信息等数据不会因系统故障而被损坏，业务连续性程序，远程存储和防病毒/防火墙系统。

4)

密码、加密和匿名化。采用合理的商业物理安全技术和电子安全技术来创建和保护密码，以及采取匿名化处理。如存储个人敏感信息、与关键信息基础设施有关的信息、重要数据，数据处理方应使用行业标准加密工具实施加密措施。

5)

员工培训和保密义务。培训相关员工了解其应履行的安全义务，使其至少了解信息分类，物理安全控制，安全操作和安全事件报告。并应在授权员工处理信息前与员工签署相应的保密协议，要求员工对信息处理活动全过程以及信息本身进行保密。

6)

明确责任部门与人员。明确人员责任和配置，对受托处理您方企业组织控制数据及最终用户个人信息全面负责，包括为个人信息安全工作提供人力、财力、物力保障等；任命个人信息保护负责人和个人信息保护工作机构，参与有关数据委托处理的工作保障与决策。

4.1.3.

个人信息安全影响评估。全力协助和配合您方根据适用数据保护法律进行个人信息安全影响评估，并积极进行相应的整改。

4.1.4.

保密。钉钉维护信息安全制度，确保仅限必要人员访问合理必要的信息，并确保此类授权人员负有对相关数据和信息的保密义务。

4.1.5.

资质。钉钉确保具备您方使用钉钉服务和实现本协议约定的处理目的所需的法定资质，并确保在本协议有效期内，维持该等资质的有效性。

4.1.6.

监督和审计。您方有权按照法律规定、监管要求及相关国家或行业标准，通过钉钉工作台、钉钉数据资产平台等既有的企业数据资产相关的API数据接口，数据报表等以及专属安全、专属日志审计、专属文档审计等产品功能，访问、控制、导出、审计、相关企业组织控制数据， 用于监督和审计钉钉及相关最终用户的数据处理行为。

4.1.7.

转委托处理。钉钉如将委托数据处理转委托他人处理的，需事先取得数据处理者同意，包括：a) 针对该转委托处理者进行个人信息保护影响评估，以确保转委托处理者满足本协议和数据保护法律项下的个人信息保护和安全要求，b) 向该转委托处理者施加与本协议和数据保护法律一致的数据保护义务（包括但不限于与转委托处理者签署与本协议内容实质相同的数据处理协议），c) 准确记录和存储与聘用转委托处理者有关的信息，包括所有个人信息保护影响评估文件，并应要求将其提供给甲方相关必要的信息。为免疑义，基于钉钉服务实现钉钉并以通过《钉钉共享个人信息清单》展示的合理必要个人信息共享无需另行获得您方同意。除此之外，如需增加转委托范围，双方应以补充协议的方式或者通过钉钉服务的产品交互中获得您方管理员的授权同意进行约定。除非双方已书面约定的情形或为数据处理活动所必需，且符合适用数据保护法律的要求，否则受托人不得将全部或者任何部分的受托处理数据提供给任何第三方或者进行公开披露；以及在任何情况下都不得以将导致数据提供方违反其在适用数据保护法律下的任何义务的方式处理委托数据。

4.1.8.

权利请求响应。钉钉实施并维持技术和组织手段响应您方合法、正当、合理、必要的获取您方的企业组织控制数据及最终用户的相关个人信息的权利请求、行使数据保护法律或适用的甲方隐私政策（含相关甲方关联公司的隐私政策或相关个人信息保护文本的要求）中赋予他们的权利，包括但不限于知情权、限制拒绝权、查阅权、复制权、转移权、更正权、删除权、撤回同意权、死者近亲属对死者个人信息的相关权利。就最终用户或您方企业组织控制数据中的相关个人信息，包括但不限于如考勤信息、办公文档数据、办公电话会议数据、企业内部群组协同办公数据等，钉钉将完整记录（包括但不限于最终用户个人行使其权利要求的副本、个人的联系方式），从书面转通知您方前述记录和其他个人信息相关权利请求的必要信息，并根据您方的指示和钉钉服务实现执行相应的操作，以协助您方保障企业组织控制数据安全和对最终用户相关个人信息的请求做出响应。

4.1.9.

政府询问。如钉钉收到有权监管部门关于钉钉处理您方企业组织控制数据及最终用户相关人信息的任何类型的请求或询问，经您方要求和授权，钉钉应配合并立即向您方提供其与本协议有关的处理活动的记录，包括有关所处理的企业组织控制数据及个人信息类别和处理目的的信息、与处理有关的转委托处理者的使用、向第三方披露、提供或转让任何数据、以及用于保护此类数据安全的技术和组织措施，并协助您方回复相关政府部门的询问，或根据您方指示对上述政府询问予以书面答复。

4.1.10.

存储、删除。钉钉依据法律要求、钉钉与您方签署的商务协议以及其他双方确认的数据存储时限安排，储存您方的企业组织控制数据及最终用户的相关个人信息。为免疑义，数据存储期限应为实现您方使用钉钉服务的目的所需；如您方终止使用钉钉服务并注销钉钉企业组织架构后，钉钉将对您方的企业组织控制数据及相关个人信息（包括备份信息）进行删除或匿名化处理。

4.1.11.

个人信息的跨境传输。未经您方事先明确书面许可，钉钉不得向中华人民共和国境外提供个人信息，或在中华人民共和国境外处理个人信息。为免疑义，您方企业组织架构包括境外员工使用钉钉服务，或者因您方境内员工境外差旅和使用钉服务而导致的数据跨境，基于您方人力资源管理、协同办公等需要，在必要范围内向甲方相关关联公司(包括注册于境内及境外的关联公司)提供、访问、下载、共享、传输和存储合理必要的最终用户个人信息，不构成钉钉违规个人信息跨境，您方对此无异议。

4.1.12.

安全事件通知。钉钉自己或者您方发现钉钉无法提供足够的安全保护水平、或网络产品、服务存在安全缺陷、漏洞等风险时，或发生或者可能发生个人信息泄露、被篡改、毁损、丢失的情况时，或发生其他可能危害您方企业组织控制数据和/或最终用户个人信息的情形时（统称“安全事件”），钉钉应当或者经您方书面要求后启动应急预案、采取补救措施，并及时向您方报告与上述安全事件相关的详细情况，包括但不限于a) 发生或者可能发生企业组织控制数据和/或个人信息安全事件的信息种类、原因和可能造成的危害；b) 钉钉采取的补救措施和您方或最终用户个人可以采取的减轻危害的措施。

4.1.13.

配合。因本协议的签署，从而使得您方需遵循数据保护法律的要求向政府有关部门进行报告、备案或获得其批准，或需甲方开展数据安全、网络安全、个人信息保护影响评估、相关个人信息保护认证、开展合规审计时，钉钉应按您方的书面指示提供您方所需的所有合理、必要的信息，并为您方完成上述事项提供合理配合。

4.2.

委托数据处理方的权责

4.2.1.

委托数据处理。 您为作为委托数据处理和数据提供方，已按照适用数据保护法律开展最终用户相关个人信息的收集、使用、上载、传输、存储等数据处理行为。诸如您方管理员通过钉钉上传和管理组织成员名称、照片、手机号等个人信息以创建钉钉企业组织时，已事先获得最终用户的授权同意，或已与最终用户签署相应的协议向钉钉共享经为实现人力资源管理目的而所必要的合理的最终用户个人信息，且已充分告知组织成员相关数据收集的目的、范围及使用方式等。

4.2.2.

合法性/正当性。您方提供数据给钉钉实施基于钉钉服务实现的自动化数据处理的行为不违反数据保护规定，不违反与其他方的合同约定，或侵害第三方权益等。

4.2.3.

最终用户个人信息保护。就您方在使用钉钉服务过程中所产生的，收集的、或提供的任何最终用户相关个人信息，您方作为履行人力资源管理所必需的个人信息处理者，应根据所有可适用法律法规使用钉钉服务，并依法保护最终用户个人信息，即时响应最终用户相关个人信息权利请求；仅限钉钉服务实现目的使用最终用户个人信息；建立信息安全保护制度，对最终用户进行信息安全教育，包括将管理权限交予适当的人选，合理设定相关人员的管理权限，提醒或要求最终用户注意信息安全和账号安全，防止账号被他人使用而导致的信息泄露。

 

5.

企业组织控制数据处理结果的知识产权归属

钉钉根据您方企业组织管理员上载、配置、开通、设置、发布、传输、存储、共享、删除、撤回、注销以及其他代表企业组织的操作行为和指令，收集、存储、使用、加工、传输、提供、公开、删除最终用户使用钉钉服务过程中提交或产生的办公数据、认定为企业组织控制数据，归属您方，但法律法规另有规定的除外。

 

6.

审计

6.1.

如您方要求，钉钉应向您方提供合理、必要的信息，协助您方对钉钉委托数据处理相关信息进行审计，以核实其是否遵守数据保护法律及本协议的规定。您方应将所有此类信息视为本协议下的保密信息。为免疑义，审计范围应由您方与钉钉在事前书面确认一致后实施，并不得妨碍钉钉正常办公与钉钉服务运营。无论如何，您方的审计需求不包括对钉钉服务实现的服务器物理环境、源代码及二进制等核心敏感商业秘密实施审计。

6.2.

除上述要求外，钉钉承诺不定期引入外部第三方权威鉴证机构对钉钉相关信息安全和隐私保护进行鉴证，并按照您方的要求向您方提供相关信息安全鉴证证书信息。

 

7.

钉钉发生收购、兼并、重组、破产等变更时的义务

当钉钉发生收购、兼并、重组、破产等变更时：

1)

钉钉应向您方书面告知有关情况；

2)

钉钉应促使变更后的法律主体承继钉钉相关权利义务并继续履行本协议下的责任和义务;和

3)

如钉钉破产且无承接方的，钉钉应按照本协议的规定将企业组织控制数据及最终用户相关个人信息返还您方或对予以删除或销毁。

 

8.

违约与终止

8.1.

若您方发现并有证据证明钉钉未按照本协议要求处理企业组织控制数据或最终用户相关的个人信息，或未能有效履行信息安全保护责任，或发生安全事件时钉钉未立即纠正其行为，或未采取您方要求的有效补救措施（如更改口令、回收权限、断开网络连接等） 控制或消除您方企业组织控制数据或最终用户个人信息面临的安全风险，您方有权视情节要求钉钉中止本协议下数据委托处理，或终止本协议。

8.2.

若您方发现并有证据证明钉钉方违反本协议中有关处理企业组织控制数据或最终用户相关的个人信息保护和网络安全条款的行为，应被视为对本协议的违约，您方有权终止本协议。

8.3.

因钉钉违反本协议委托数据处理行为或发生安全事件而对您方、个人信息主体、国家安全、社会公共利益造成损害，钉钉依法和依最终司法判决和损害赔偿金额认定，赔偿您方及最终用户因此而承担的责任及遭受的全部实际损失，以及因此支出的合理费用（包括调查取证费用、公证费用、律师费等）。为免疑义，本协议不构成您方有权就本协议项下的任何特殊、附带、或间接损害或后果性经济损害（包括利润或节省金额损失），要求钉钉承担赔偿责任。

 

9.

争议解决及其他

9.1.

本协议之解释与适用，以及与本协议有关的争议，均应依照中华人民共和国法律予以处理，并以杭州市余杭区人民法院为第一审管辖法院。

9.2.

如本协议的任何条款被视作无效或无法执行，则上述条款可被分离，其余部分则仍具有法律效力。

9.3.

本协议作为《钉钉服务协议》、《钉钉认证企业组织服务协议》、《钉钉隐私政策》的组织部分，如本协议没有约定的，适用《钉钉服务协议》、《钉钉认证企业组织服务协议》、《钉钉隐私政策》的相关约定，如本协议与《钉钉服务协议》有冲突的，以本协议相关约定为准。

（以下无内容）