FixVibe

// legal / dpa

数据处理 附录

最后更新 · 2026-05-07

// scope

本附录构成 EGO HERO LLC(“FixVibe”,“处理者”)与客户(“控制者”)之间服务条款的一部分,适用于 FixVibe 在提供服务过程中代表客户处理个人数据的情形。通过使用服务,客户接受本附录。

1. 定义

此处未定义的大写术语具有 GDPR(Regulation (EU) 2016/679)以及(在适用的情况下)英国 GDPR / 2018 年数据保护法、经 CPRA 修订的加州消费者隐私法(“CCPA”)及其他司法管辖区同等法律中赋予的含义。

“个人数据”是指由客户提交或由服务生成的、可识别或与可识别的自然人相关的数据。“次级处理者”是指受 FixVibe 委托代表 FixVibe 处理个人数据的第三方——列示于/legal/privacy

2. 角色与指令

各方独立负责遵守适用于其自身的数据保护法律。客户是控制者,FixVibe 是根据本附录处理个人数据的处理者。FixVibe 仅依据客户的书面指令处理个人数据(服务的配置即构成此类指令),除非法律另有要求。

3. 保密与访问

FixVibe 确保获授权处理个人数据的人员受保密义务约束。对生产数据的访问仅限于运营团队的最小权限子集,通过audit_logs记录并定期审查。FixVibe 员工不访问客户数据,除非为调查支持工单、响应安全事件或遵守法律程序。

4. 安全措施

FixVibe 实施符合 GDPR Art. 32 的适当技术和组织措施,包括:

  • 传输中(TLS 1.2+)和静态(数据库磁盘级 + 针对认证扫描标头和 OAuth 令牌的列级 AES-256-GCM)的个人数据加密;
  • 对每个数据库表强制实施行级安全——即使发生误操作,应用代码也无法跨越组织边界读写数据;
  • 当客户选择社交登录时,通过上游 OAuth 提供商(Google 或 GitHub)为每位用户提供多因素身份验证;
  • 对 FixVibe 代码库本身进行持续静态分析和依赖漏洞扫描;
  • 通过数据库提供商进行备份,支持时间点恢复;每年测试一次;
  • 由自动化每日定时任务(而非书面承诺)强制执行的定义保留期(见隐私政策)。

5. 次级处理者

客户授权 FixVibe 为隐私政策中所述目的聘用其中列示的次级处理者。FixVibe 与每位次级处理者签订书面合同,规定的数据保护义务不低于本附录的要求,并对次级处理者在处理个人数据方面的作为和不作为向客户承担责任。

FixVibe 将至少提前 30 天通知客户(通过应用内通知或电子邮件)任何拟增加或替换次级处理者的计划,给予客户提出异议的机会。如果客户以合理的数据保护理由提出异议,客户可就受影响的处理终止服务。

6. 国际传输

FixVibe 主要在美国处理个人数据。当个人数据从 EEA、UK 或瑞士传输至未获得充分性决定的第三国时,FixVibe 依赖:

  • 欧盟委员会标准合同条款(Decision (EU) 2021/914),模块 2(控制者对处理者),通过引用并入本附录;
  • 英国国际数据传输附录至欧盟 SCCs(或 IDTA 独立版本),由 ICO 发布;
  • 第 4 条所述补充性技术和组织措施。

客户授权 FixVibe 代表客户与每位下游次级处理者签订 SCCs / IDTA。

7. 数据主体权利

FixVibe 将协助客户(考虑处理的性质和可获得的信息)响应根据 Articles 15–22 GDPR 提出的数据主体请求。大多数权利可从账户 → 隐私自助行使;对于剩余请求,客户可发邮件至support@fixvibe.app,主题为“Privacy request”。我们将在 30 天内回复。

8. 个人数据泄露

FixVibe 将在知悉影响客户个人数据的泄露事件后无不当延迟(无论如何不超过 72 小时)通知客户,并提供客户合理要求的信息以履行其 Article 33 / 34 义务,包括泄露性质、涉及的数据主体和记录的类别及大概数量、可能的后果,以及为解决问题已采取或拟采取的措施。

9. 审计

FixVibe 向客户提供证明本附录合规所需的信息,包括本文件、隐私政策、可接受使用政策、条款以及我们持有的任何第三方安全报告(应要求在 NDA 下共享)。FixVibe 将允许并配合客户或其委托的其他审计师进行审计(包括检查),须提前合理告知并在工作时间内进行,每日历年度不超过一次(除非监管机构另有要求或发生个人数据泄露)。

10. 删除或返还

服务终止后,根据客户的选择,FixVibe 将在 30 天内删除或返还代表客户处理的所有个人数据,但适用法律要求保留的情况除外(如税务/账单记录)。账户 → 隐私中的自助账户删除流程可立即触发此操作。

11. CCPA 附录(加利福尼亚州)

就 CCPA 而言,FixVibe 是“服务提供商”,客户是“企业”,涉及本附录下处理的任何个人信息。FixVibe 不会:

  • 出售或共享(如 CCPA 定义的)个人信息;
  • 为提供服务的特定商业目的以外的任何目的保留、使用或披露个人信息,包括在 FixVibe 与客户直接商业关系之外;
  • 将从客户处收到的个人信息与从任何其他来源收到的个人信息合并,但 CCPA 明确允许的情况除外。

FixVibe 证明其理解并将遵守这些限制。

12. 优先顺序

本附录与服务条款发生冲突时,本附录在冲突范围内优先适用。SCCs / IDTA 在适用的情况下对两者均优先适用。

13. 联系方式

有关所有数据保护事项,包括行使数据主体权利及有关次级处理者的查询,请联系EGO HERO LLC:

  • 电子邮件:support@fixvibe.app(请在主题中注明“DPA”以便路由)
  • 邮寄地址:可通过上述电子邮件请求获取
数据处理协议 · FixVibe