最后修订日期：27/9/2021

本数据处理附录（本“附录”）由 GoDaddy.com, LLC, a Delaware limited liability company 及其附属公司（“GoDaddy”）和您（”客户“）执行，并作为我们的通用服务条款的附件和补充、 隐私政策，以及任何和所有管辖涵盖服务的协议（统称为“服务条款”）。 除非本附录另有定义，否则本附录未定义的所有术语将具有服务条款中赋予它们的含义。

1.定义

“关联公司”是指受 GoDaddy 控制、控制或与其共同控制的任何实体。

“CCPA”是指《加州消费者隐私法案》、《加州民法典》第 1798.100 条等，包括在本数据处理附录生效日期当日或之后生效的任何修正案及任何实施条例。

“涵盖服务”指的是可能涉及我们处理个人数据的托管服务，受到以下协议条款和条件的约束：(1) 电子邮件营销服务、(2) 托管、(3) 在线商店/快速购物车、(4) 网站服务、(5) 工作区服务。

“客户数据”是指 GoDaddy 代表客户根据或与服务条款，并在 GoDaddy 网络内的任何相关数据当事人个人数据。

“数据控制者”是指客户，并作为确定处理个人数据的目的和做法的实体。

“数据处理者”是指 GoDaddy，乃代表数据管理者或服务提供商（参见 CCPA 的术语定义）处理个人数据的实体。

“数据保护法律”是指适用于根据协议进行个人数据处理的所有数据保护或隐私法律和法规，包括 (i) 澳大利亚隐私原则和澳大利亚隐私法案 (1988)，(ii) 巴西通用数据保护法 (LGPD)，(iii) 加州消费者隐私法案 (CCPA)，(iv) 加拿大联邦个人信息保护和电子文档 (PIPEDA)，(v) 欧盟一般数据保护条例 (GDPR)，(vi) 根据或依据 GDPR 制定的任何国家数据保护法律 (vii) 欧洲电子隐私指令（指令 2002/58/EC），(viii) 2012 年新加坡个人数据保护法案 (PDPA)，(ix) 1992 年 6 月 19 日颁布的瑞士联邦数据保护法案及其条例，(x) 英国 GDPR 或 2018 年数据保护法案；在每种情况下都可能被修改、废除或替换。

“数据当事人”指的是与个人数据相关的个人。

“EEA”是指欧洲经济区。

“GDPR”是指 2016 年 4 月 27 日欧洲议会和欧洲理事会颁布的第 (EU) 2016/679 号条例，旨在个人数据处理及个人数据自由流动过程中保护自然人权益，同时宣布废除第 95/46/EC 号指令（通用数据保护法规）。

“GoDaddy 网络”是指 GoDaddy 的数据中心设施、服务器、网络设备和主机软件系统（例如虚拟防火墙）；这些系统在 GoDaddy 的控制范围内并用于提供涵盖服务。

“个人数据”是指任何与已识别或可识别的人士或家庭相关的信息，参见数据保护法定义。

“处理”是指对个人数据进行的任何操作或一系列操作，无论是否采用自动方式，例如收集、记录、组织、结构化、存储、改编或更改、检索、咨询、使用和传播披露、传播或以其他方式提供、对齐或组合、限制、删除或销毁。“流程”和“处理”将作相应的解释。处理细节详列在附录 1 中。

“安全事故”是指：(a) 违反 GoDaddy 安全标准导致意外或非法破坏、丢失、更改、擅自泄露或访问任何客户数据；或 (b) 任何未经授权的 GoDaddy 设备或设施访问。在该两种情况下，此类访问都会导致客户数据遭到破坏、丢失、未经授权的披露或更改。

“安全标准”是指本附录的附录 2 所附的安全标准。

“敏感数据”是指社会保险号、护照号、驾照号或类似标识符（或其任何部分）；(b) 信用卡或借记卡号（信用卡或借记卡的截断（最后四位数字）部分除外）、财务信息、银行账号或密码；(c) 就业、财务、遗传、生物识别或健康信息；(d) 种族、民族、政治或宗教信仰、工会会员身份或性生活或性取向相关信息；(e) 账户密码、母亲的婚前姓氏或出生日期；(f) 犯罪前科；或 (g) 属于 GDPR 或与隐私和数据保护相关的任何其他适用法律或法规中“特殊数据类别”定义范围内的任何其他信息或信息组合。

“标准合同条款”或“SCC”是指 GDPR 第 46 条所述并经欧盟委员会 2021 年 6 月 4 日第 2021/914 号决议批准的用于将个人数据从控制者转移至在第三方国家/地区设立的处理者的标准数据保护条款，该第三方国家/地区未能确保拥有足够的数据保护水平。模块二（控制者到处理者）标准合同条款见附录 4。

“副处理者”是指处理者代表数据控制者处理数据的任何数据处理者。

“英国标准合同条款”是指英国 GDPR 第 46 条所述并经欧盟委员会第 2010/87/EU 号决议批准的用于将个人数据转移至在第三方国家/地区设立的处理者的标准数据保护条款，该第三方国家/地区未能确保拥有足够的数据保护水平。英国标准合同条款见附录 4。                            

2.数据加工

2.1 范围和角色。本附录适用于 GoDaddy 处理的客户数据，其中，GoDaddy 代表客户作为数据处理者，作为客户数据的数据控制者。

2.2 处理的详情。GoDaddy 处理客户数据的主题范围，是根据服务条款履行的涵盖服务。GoDaddy 仅应代表并按照客户的文件化说明处理客户数据，并限制用于以下目的：(i) 按照服务条款进行处理；(ii) 最终用户在使用涵盖服务时引起的处理；(iii) 遵守客户提供的其他记录在案的合理指示（例如通过电子邮件提供）进行处理，而此类指示必须与服务条款保持一致。GoDaddy 应保证：(a) 除非认定为依据服务条款或法律要求提供涵盖服务的必备条件，否则不得处理、保留、使用、出售或披露客户数据；(b) 不得将相关客户数据出售给任何第三方；(c) 不得保留、使用或披露超出 GoDaddy 与客户直接业务关系范围的客户数据。

为免生疑问，客户个人数据处理说明应遵守所有适用数据隐私法。客户全权负责保障个人数据及客户获取个人数据的途径的准确性、质量和合法性。如果上述说明违反数据保护法，不得要求 GoDaddy 遵循客户说明。本附录所述的处理持续时间、处理的性质和目的、个人数据的类型以及处理的数据当事人类别在本附录的附件 1（“处理的详情”）中有进一步的说明。

3.客户数据的机密性

GoDaddy 不会向任何政府或任何其他第三方披露客户数据，除非有必要遵守法律或执法机构的有效和具有约束力的命令（例如传票或法院命令）。如果 GoDaddy 收到有效民事传票，在允许的范围内，GoDaddy 将竭力通过电子邮件或邮寄向客户发出合理的通知函，允许客户寻求保护令或其他适当的补救措施。

4.安全

4.1 GoDaddy 已经实施并将维护本节所述的 GoDaddy 网络技术和组织措施；相关条款详列于本附录安全标准部分的附录 2 中。GoDaddy 已特别实施并将继续采取以下技术和组织措施来解决 (i) GoDaddy 网络的安全问题；(ii) 设施的实体安全；(iii) 控制员工和承包商对 (i) 和/或 (ii) 的访问；(iv) 测试、评估和评定 GoDaddy 实施的技术和组织措施有效性的过程。如果我们无法履行此处规定的任何义务，我们将在实际可行的情况下尽快提供书面通知（通过我们的网站和电子邮件）。

4.2 GoDaddy 将提供许多客户可以选择使用并与涵盖服务有关的安全性能和功能。客户有责任（a）正确配置涵盖服务，（b）使用与涵盖服务有关的可用控制（包括安全控制），并确保处理系统和服务的持续保密性、完整性、可用性和灵活性，（c）使用与涵盖服务（包括安全控制）有关的可用控制措施，允许客户在发生实体或技术事故时及时恢复客户数据的可用性和访问权限（例如客户数据的备份和日常归档），（d）采取客户认为足以保持适当安全、保护和删除客户数据的步骤，包括使用加密技术保护客户数据免受未经授权的访问以及控制客户数据访问权限的措施。

5.数据当事人权利

考虑到涵盖服务的性质，GoDaddy 向客户提供本附录“安全”部分所述的某些控制措施，客户可选择使用该措施来检索、更正、删除或限制涵盖服务中所述的客户数据的使用和共享。客户可以将这些控制措施用作技术和组织措施，以协助其履行其在适用隐私法律下的义务，包括对响应数据当事人请求相关的义务。在商业上合理且在合法要求或允许的范围内，GoDaddy 应立即通知客户 GoDaddy 是否直接收到数据当事人的请求以根据任何适用的数据隐私法律行使此类权利（“数据当事人请求”）。此外，如果客户使用涵盖服务限制了其处理数据当事人请求的能力，则 GoDaddy 可在法律允许和适当的情况下并根据客户的具体要求提供商业上合理的帮助来满足该请求，以客户的成本解决请求；相关成本（如有）则由客户负责。

6.副处理

6.1 授权的副处理者。客户同意 GoDaddy 可以使用副处理者履行其服务条款和本附录中的合同义务，或代表其提供某些服务，例如提供支持服务。客户特此同意 GoDaddy 如本节所述使用副处理者。除本节规定或经您明确授权之外，GoDaddy 不会准许任何其他副处理活动。

6.2 副处理者的义务。当 GoDaddy 如第 6.1 节所述使用任何授权的副处理者时，下列条款将适用：

(i) GoDaddy 将限制副处理者对客户数据的访问用于维护涵盖服务或根据涵盖服务向客户和任何最终用户提供涵盖服务。GoDaddy 将禁止副处理者基于任何其他目的访问客户数据；

(ii) GoDaddy 将与副处理者达成书面协议，并且在副处理者正在执行 GoDaddy 于本附录所提供的相同数据处理服务的范围内，GoDaddy 将向分包商处理 GoDaddy 于本附录相同的合同义务；以及

(iii) GoDaddy 将继续负责遵守本附录的义务以及副处理者的任何作为或不作为导致 GoDaddy 违反本附录规定的任何 GoDaddy 的义务。

6.3 新的副处理者。 我们可能会不时根据本附录的条款聘用新的副处理者。 在这种情况下，我们将在任何新的副处理者获得任何客户数据之前提前 30 天通过我们的网站和电子邮件通知。如果客户不批准新的副处理者，客户可在 10 天内或在收到我们的通知后提供书面终止通知，其中包括不批准的原因说明。如果涵盖服务是捆绑或捆绑购买的一部分，则所有终止都将适用于整体服务。

7.安全事故

7.1 安全事故。如果 GoDaddy 发现任何安全事故，GoDaddy 将不会无故拖延：(a) 通知客户安全事故；(b) 采取合理步骤减轻影响并尽量减少安全事故造成的任何损害。

7.2 GoDaddy 帮助。 为了协助客户处理其根据任何适用隐私法律作出的任何个人数据泄露通知，GoDaddy 将在 GoDaddy 能够合理向客户披露的范围下，在通知中纳入关于安全事故的信息。考虑事项包括涵盖服务的性质、向 GoDaddy 提供的信息以及披露信息的任何限制，例如机密性。  

7.3 失败的安全事故。客户同意：

(i) 失败的安全事故将不受本附录条款的约束。失败的安全事故是指任何客户数据或 GoDaddy 的网络、设备或存储客户数据的设施遭到未经授权访问，并且可能包括但不限于对防火墙或边缘服务器的 ping 和其他广播攻击、端口扫描、不成功的登录尝试、拒绝服务攻击、数据包嗅探（或其他不超出标题以外、未经授权的流量数据访问）或类似事件；以及

(ii) 根据本节，GoDaddy 根据本安全事故报告或回复安全事故的义务不会被视为 GoDaddy 对安全事故的任何过失或 GoDaddy 的责任承认。

7.4 通知。安全事件通知（如有）将通过 GoDaddy 选择的任何方式（包括通过电子邮件）发送给一位或多位客户的管理员。客户全权负责确保客户的管理员在 GoDaddy 管理控制台上始终保持准确的联系信息并随时保证传输安全。

8.客户权利

8.1 独立决定。客户负责审查 GoDaddy 提供的数据安全及其安全标准相关的信息，并独立确定涵盖服务是否符合客户的要求和法律义务以及客户在本附录中的义务。所提供的信息旨在帮助客户在数据保护影响评估和事先协商方面遵守客户在适用隐私法律（包括 GDPR）下的义务。

8.2 客户审核权利。客户有权在合理的时间间隔内向服务条款中规定的地址发出具体的书面请求，以确认 GoDaddy 遵守适用于涵盖服务的本附录。如果 GoDaddy 拒绝遵循客户要求的关于适当要求和范围的审核或检查的任何指示，则客户有权终止本附录和服务条款。

9.客户数据的转移

9.1 美国基本处理。除非在服务条款中特别注明，客户数据将在英国或欧洲经济区以外转移并在美国进行处理。

9.2 标准合同条款的适用性。标准合同条款将适用于在欧洲经济区以外转移的客户数据，可以直接或通过转发向任何未被欧盟委员会认可的国家提供足够的客户数据保护。标准合同条款不适用于未在欧洲经济区以外直接或通过转发传输的客户数据。尽管有上述规定，但如果数据根据公认的合规标准传输，以便在欧洲经济区以外（如依据服务条款履行涵盖服务的必要条件或征得您的同意）合法转让个人数据，则标准合同条款将不适用。

9.3 Application of UK Standard Contractual Clauses. The UK Standard Contractual Clauses will apply to Customer Data transferred via Covered Services from the United Kingdom, either directly or via onward transfer, to any country not recognized by the competent United Kingdom regulatory authority or governmental body as providing an adequate level of protection for Customer Data. The UK Standard Contractual Clauses will not apply to Customer Data that is not transferred, either directly or via onward transfer, outside the United Kingdom. Notwithstanding the foregoing, the UK Standard Contractual Clauses will not apply where the data is transferred in accordance with a recognized compliance standard for the lawful transfer of Customer Data outside the United Kingdom, such as when necessary for the performance of Covered Services pursuant to the Terms of Service or with your consent.

10.附录的终止

本附录将继续有效，直至服务条款列明的处理终止日（“终止日期”）。  

11.退还或删除客户数据。

如涵盖服务中所述，客户可能会收取可用于检索或删除客户数据的控件。客户数据的删除将在终止日期后三十 (30) 天进行，具体取决于特定涵盖服务的条款。

12.责任限制

本附录中各方的责任将受服务条款中规定的排除和责任限制约束。客户同意，GoDaddy 因客户未能遵守本附录及任何适用隐私法规下的义务而产生的客户数据相关的任何监管处罚将计入并转移 GoDaddy 在服务条款下的责任予客户承担。

13.完整服务条款；争议

本附录取代并替代客户与 GoDaddy 之间的所有关于本附录主题，先前或同期的任何书面及口头的陈述、理解、协议或通信，包括 GoDaddy 与客户之间就处理个人数据和这些数据的自由移动而签订的任何数据处理附录。 除经本附录修订外，服务条款仍将完全有效。 如果服务条款和本附录之间存在冲突，则以本附录的条款为准。

---

附录 1

 处理的详情

 1.处理的性质和目的。根据服务条款以及客户在使用涵盖服务期间的进一步指示，GoDaddy 将根据需要处理客户数据以执行涵盖服务。

 2.处理持续时间。根据本附录第 10 节和第 11 节的规定，GoDaddy 将在服务条款生效日期内处理客户数据。尽管有上述规定，如果适用法律或法规（包括适用的数据保护法律）要求，GoDaddy 可保留客户数据或其任何部分，前提是此类客户数据根据本附录的条款和适用的数据保护法律始终得到保护。

3.数据当事人类别。客户可以在使用涵盖服务的过程中上传个人数据，其范围由客户自行决定和控制，并且可能包括但不限于与以下数据当事人类别有关的个人数据：

• 潜在客户、客户、业务合作伙伴和供应商（自然人）
• 客户的潜在雇员或联系人、客户、业务合作伙伴和供应商
• 客户、代理人、顾问、客户聘用的自由职业者（自然人）
• 客户授权使用涵盖服务的客户用户

4.个人数据转移。客户可以在使用涵盖服务的过程中上传个人数据，其类型和程度由客户自行决定和控制，其中可能包括但不限于以下几类数据当事人的个人数据： 

• 名称
• 地址
• 电话号码
• 出生日期
• 电子邮件地址
• 所收集并可以直接或间接识别数据当事人身份的其他数据。

5.敏感数据或数据的特殊类别。客户可以在使用涵盖服务的过程中上传敏感数据，其类型和范围由客户自行决定和控制。在通过涵盖服务传输或处理任何敏感数据之前，客户有责任在充分考虑数据性质和所涉及的风险的情况下应用限制或保障措施。

---

附件 2

安全标准

I. 技术和组织措施  

我们致力于保护客户的信息。  考虑到最佳做法，实施成本以及处理的性质、范围、情况和目的，以及不同的自然人的权利和自由风险的发生和严重程度，我们将采取以下技术和组织措施。  在选择度量时，将考虑系统的机密性、完整性、可用性和弹性。发生实体或技术事故后，保证能够快速恢复。

II. 数据隐私计划。  

我们的数据隐私计划旨在维护全球数据治理结构并在其整个生命周期内保护信息安全。该计划由数据保护官办事处负责，该办事处负责监督隐私实践和安全措施的实施。 我们定期测试、评估和评估其数据隐私计划和安全标准的有效性。

1.保密。“保密”是指个人数据不受未经授权的披露。  

我们采用各种实体和逻辑措施来保护客户个人数据的机密性。这些措施包括：   

  实体安全  

• 实体访问控制系统（证件访问控制、安全事故监控等） 
• 监控系统，包括警报和闭路电视监控（适用情况下）
• 清理桌面政策和控制措施（锁定无人看管的电脑、锁柜等）  
• 访问者访问管理
• 销毁有形媒体和文件的数据（粉碎、消磁等）

  访问控制和防止未经授权的访问 

• 适用用户访问限制和基于职责分离原则提供/审查基于角色的访问权限
• 强大的身份验证和授权方法（多因素身份验证、基于证书的授权、自动停用/注销等） 
• 集中密码管理和强大/复杂的密码策略（最小长度、字符复杂度、密码到期等）   
• 受控的电子邮件和互联网访问
• 防毒管理
• 入侵防御系统管理

加密   

• 通过强稳加密协定处理，对外部和内部通信进行加密
• 静态加密 PII/SPII数据（数据库、共享目录等）   
• 公司电脑和笔记本电脑的全盘加密
• 储存媒介的加密
• 通过VPN对与公司网络的远程连接进行加密
• 确保加密密钥的生命周期

 数据最小化    

• 应用程序、调试和安全日志中的 PII/SPI 最小化
• 用于防止直接识别个人身份的个人数据假名化
• 按功能存储的数据分离（测试、预发布、正式发布）
• 按角色访问权限的数据逻辑隔离
• 定义个人数据的数据保留期

安全测试     

• 针对关键公司网络和平台托管个人数据的渗透测试
• 定期进行网络和漏洞扫描

2.诚信。“完整性”是指确保数据的正确性（整体性）和系统的正确功能。当术语“完整性”与“数据”一词结合使用时，表示数据完整且不变。  

除了访问控制之外，还有适当的变更和日志管理控制，以保持个人数据的完整性，例如：    

变更和发布管理    

• 更改和发布管理流程，包括（影响分析、审批、测试、安全评审、分期、监控等）  
• 基于角色和功能（职责分离）的访问配置生产环境

记录和监控

• 记录访问和数据更改
• 集中审计和安全日志
• 监测数据传输的完整性和正确性（端到端检查）

3.可用性。“如果用户按预期随时使用服务和 IT 系统、IT 应用程序和 IT 网络功能或信息，其可用性将获得保证。”    

我们实施适当的连续性和安全措施来维护其服务和驻留在这些服务中的数据的可用性：    

• 为关键服务应用常规故障转移测试
• 针对关键系统的广泛性能/可用性的监控和报告。
• 安全事故响应计划
• 重复或备份关键数据（云备份/硬盘/数据库复制等） 
• 计划中的软件、基础架构和安全维护（软件更新安全补丁等）   
• 位于异地和/或地理位置分散位置的冗余和弹性系统（服务器群集、镜像数据库、高可用性设置等）
• 使用不间断电源，失败备用硬件和网络系统
• 警示和安全系统到位
• 关键场所的实体保护措施（电涌保护、活动地板、冷却系统、火灾和/或烟雾探测器、灭火系统等） 
• 维持可用性的 DDOS 保护
• 负载和压力测试

4. 数据处理指令。“数据处理指令是指确保只按照数据控制者和相关公司措施的指示处理个人数据”  

我们制定了内部隐私政策和协议，并对员工进行定期隐私培训，以确保根据客户的偏好和指示处理个人数据。   

• 员工合同中的隐私和保密条款
• 定期为员工提供数据隐私和安全培训
• 与分包商签订协议的适当合同条款，以维持指示控制权。
• 定期对外部服务提供商进行隐私检查
• 为客户提供对其数据处理偏好的全面控制
• 定期安全审核

---

附录 3 - GoDaddy 副处理者

公司名称	公司注册地所在国家/地区	服务描述	数据类别
Acronis International GmbH	瑞士	客户备份	备份快照
Automattic Inc	美国	电子商务 WordPress 中的 WooCommerce 插件和加载项。	客户和任何员工/承包商的 WordPress 用户个人资料（包括姓名和电子邮件地址）。
Cisco International Limited、Cisco Solutions GmbH、Cisco Systems Inc	英国、德国、美国	提供和管理网络解决方案作为我们网络的一部分，包括元数据分析。	处理 IP 地址、时间戳和网络流量的元数据
cPanel Inc	美国	用于主机和服务器产品的 cPanel 管理软件。	保留在 cPanel 中的任何客户数据。
DENIC eG	德国	.de 域名的注册	提供域名所需的所有账户信息。WHOIS 信息。
Equinix Netherlands BV	荷兰	荷兰的数据中心代管设施。	不会有意处理任何个人数据。
EURid vzw	比利时	.de 域名的注册	提供域名所需的所有账户信息。WHOIS 信息。
Juniper Networks Inc	美国	提供和管理网络解决方案作为我们网络的一部分，包括元数据分析。	IP 地址、时间戳、网络流量
LivePerson Inc	美国	我们网站上的聊天工具“LiveEngage”。	聊天记录、IP 地址、操作系统和设备类型等自动化信息。
LvivIT	乌克兰	提供操作平台支持。	所有客户账户信息。
OVH Grouppe SAS	法国	德国的数据中心代管设施，服务器产品的转售。	客户托管的数据包括但不限于网站、应用程序和来自客户的客户数据。其中也可能包括网络流量。
Plesk International GmbH	德国	适用于 VPS 和专属服务器及建站神器增值版的 Plesk 控制面板。	保留在 Plesk 控制面板内的任何客户数据以及保留在托管网站上的任何客户数据。
Datadock SARL	法国	法国的数据中心代管设施。	硬件和网络服务。不会有意处理任何个人数据。
GoDaddy Media Temple Inc d/b/a Sucuri	美国	SAAS 产品：保护客户网站免受恶意软件的侵害	提供网站需要的所有账户信息，以及存储在托管网站上的客户数据。
GoDaddy Media Temple Inc d/b/a Sucuri	美国	内部：我们品牌网站和客户控制面板上的 Web 应用程序防火墙，用于保护品牌 IT 和客户数据。	网站流量检测。IP 地址、时间戳和网络流量的元数据。
Starfield Technologies LLC	美国	SSL 证书。	SSL 证书需要的所有客户账户信息。
DomainsByProxy LLC	美国	域名隐私保护服务。	域名注册和联系详细信息。
GoDaddy Sellbrite, Inc.	美国	在线零售工具	来自网上商店的交易和产品数据。
GoDaddy Payments LLC	美国	付款处理工具。

附录 4

有关这些标准合同条款的适用性，请参阅附录的第 9.2 节

标准合同条款（控制者到处理者）

第 I 部分

条款 1

目的和范围

1. 这些标准合同条款的目的旨在确保遵守欧洲议会和理事会 2016 年 4 月 27 日颁布的关于在处理个人数据时保护自然人和此类数据自由流动的 (EU) 第 2016/679 号条例（通用数据保护条例）的要求，将数据转移到第三方国家/地区。
2. 各方：
   1. 转移附件 I.A 中列出的个人数据的自然人或法人、公共机构、代理或其他机构（以下简称“实体”）（以下简称各“数据输出者”），以及
   2. 直接或间接通过附件 I.A 中列出的也是本条款缔约方的另一实体（以下简称各“数据输入者”），从数据输出者处接收个人数据的位于第三方国家/地区的实体已对这些标准合同条款表示同意（简称：“条款”）。
3. 本“条款”适用于附件 I.B 中规定的个人数据转移。
4. 包含其中所提及附件的本条款的附录构成了本条款的组成部分。

条款 2

条款的效力和不变性

1. 根据 (EU) 第 2016/679 号条例第 46(1) 条和第 46(2)(c) 条，本条款规定了适当的保障措施，包括可强制执行的数据当事人权利和有效的法律补救措施，关于从控制者到处理者和/或处理者到处理者的数据转移，标准合同条款以法规 (EU) 第 2016/679 号条例第 28(7) 条为依照，前提是它们未经修改，除非选择适当的模块或在附录中添加或更新信息。这并不妨碍各方在更广泛的合同中包含本条款中规定的标准合同条款和/或添加其他条款或额外的保障措施，前提是它们不直接或间接地与本条款发生冲突或损害数据当事人的基本权利自由。
2. 本条款不影响数据输出者根据 (EU) 第 2016/679 号条例要承担的义务。

条款 3

第三方受益人

1. 数据当事人可以作为第三方受益人针对数据输出者和/或数据输入者援引本条款并执行，但以下情况除外：
   1. 条款 1、条款 2、条款 3、条款 6、条款 7；
   2. 条款 8.1(b)、8.9(a)、(c)、(d) 和 (e)；
   3. 条款 9(a)、(c)、(d) 和 (e)；
   4. 条款 12(a)、(d) 和 (f)；
   5. 条款 13；
   6. 条款 15.1(c)、(d) 和 (e)；
   7. 条款 16(e)； (viii) 条款 18(a) 和 (b)。
2. 第 (a) 款不影响 (EU) 第 2016/679 号条例规定的数据当事人的权利。

条款 4

解释

1. 如果本条款采用的是 (EU) 第 2016/679 号条例中定义的术语，这些术语的含义应与该法规中出现的相同。
2. 根据 (EU) 第 2016/679 号条例对本条款进行阅读和解释。
3. 对本条款的解释不得与 (EU) 第 2016/679 号条例中规定的权利和义务相冲突。

条款 5

层次体系

如果本条款与本条款达成时或之后订立时存在的双方相关协议的规定发生冲突，请以本条款为准。

条款 6

转移描述

转移的详细信息，尤其是转移的个人数据的类别和转移目的，请见附件 I.B。

条款 7 - 有意省略

第 II 部分 - 各缔约方的义务

条款 8

数据保护措施

数据输出者保证其已尽合理努力来确定数据输入者能够通过实施适当的技术和组织措施来履行其在本条款下的义务。

8.1 指示

1. 数据输入者应仅根据数据输出者的书面指示处理个人数据。数据输出者可以在整个合同期限内提供此类指示。
2. 如果数据输入者无法遵循这些指示，则应立即通知数据输出者。

8.2 目的范围

数据输入者应仅出于转移的特定目的处理个人数据，如附件 I.B 中所述，除非数据输出者有进一步指示。

8.3 透明度

根据要求，数据输出者应免费向数据当事人提供本条款的副本，包括各方填写的附录。在保护商业机密或其他保密信息（包括附件 II 中所述的措施和个人数据）的必要范围内，数据输出者可在共享副本之前对本条款附录的部分文本进行修订，但如果数据当事人无法理解其内容或行使其权利，则应提供有意义的摘要。根据要求，各方应尽可能在不披露修订信息的情况下向数据当事人提供修订原因。本条款不影响 (EU) 第 2016/679 号条例第 13 条和第 14 条规定的数据输出者的义务。

8.4 准确性

如果数据输入者意识到其收到的个人数据不准确或已过时，则应及时通知数据输出者。在这种情况下，数据输入者应与数据输出者合作删除或纠正数据。

8.5 处理和删除或返回数据的期限

数据输入者只能在附件 I.B 中规定的时间内进行处理。在处理服务结束后，数据输入者应根据数据输出者的选择，删除代表数据输出者处理的所有个人数据，并向数据输出者证明其已完成该步骤，或将代表其处理的所有个人数据归还给数据输出者并删除现有副本。除非数据已被删除或归还，否则数据输入者应继续确保遵守本条款。如果数据输入者适用的当地法律禁止归还或删除个人数据，数据输入者保证将继续遵循本条款，并仅在当地法律要求的范围内处理这些数据。这并不影响条款 14，尤其是条款 14(e) 规定的数据输入者在整个合同期间通知数据输出者的要求，前提是其有理由相信其正在受到或已经受到不符合条款 14(a) 要求的法律或惯例的约束。

8.6 处理数据的安全性

1. 数据输入者和数据输出者应在传输过程中实施适当的技术和组织措施，以确保数据的安全性，包括防止违反安全性导致意外或非法破坏、丢失、更改、未经授权披露或访问该数据（以下简称“个人数据泄露”）。在评估适当的安全性级别时，各方应适当考虑最新技术、实施成本、处理的性质、范围、背景和目的以及数据当事人处理过程中涉及的风险。各方应特别考虑追索加密或假名，包括在传输过程中，以这种方式实现处理目的。如果使用假名，在可能的情况下，用于将个人数据归属于特定数据当事人的附加信息应由数据输出者独家控制。当数据输出者依照本款履行相应义务时，应至少实施附件 II 中规定的技术和组织措施。数据输入者应进行定期检查，从而确保这些措施继续提供适当的安全性级别。
2. 数据输入者应仅在合同实施、管理和监控绝对必要的范围内，才会授权其人员访问个人数据。应确保被授权处理个人数据的人员已承诺保密或承担适当的法定保密义务。
3. 如果发生与数据输入者根据本条款处理的个人数据有关的个人数据泄露，数据输入者应采取适当措施解决泄露问题，包括采取措施减轻其不利影响。数据输入者还应在意识到发生泄露后立即通知数据输出者。此类通知应包含可获得更多信息的联系人的详细信息、泄露性质的说明（如有可能，包括相关数据当事人和个人数据记录的类别和大致数量），其可能后果以及为解决泄露而采取或拟议的措施，包括在适当情况下减轻其可能不利影响的措施。在无法同时提供所有信息的情况下，初始通知应包含当时可用的信息，并应在获得进一步信息后立即提供，不得无故拖延。
4. 数据输入者应与数据输出者合作并协助后者遵守 (EU )第 2016/679 号条例规定的义务，特别是通知主管监管机构和受影响的数据当事人，同时考虑处理的性质和数据输出者可获得的信息。

8.7 敏感数据

如果转移涉及揭示种族或民族本源、政治观点、宗教或哲学信仰或工会会员身份的个人数据、基因数据或用于唯一识别自然人的生物统计数据、健康或个人性生活或性取向相关数据，或与刑事定罪和犯罪相关的数据（以下简称“敏感数据”），数据输入者应当应用附件 I.B 中描述的具体限制和/或额外保障措施。

8.8 转发传输

数据输入者应仅根据数据输出者的书面指示处理向第三方披露个人数据。此外，在相应的模块下，如果第三方受或同意受本条款的约束，则数据只能披露给位于欧盟以外的第三方（与数据输入者在同一国家/地区或在另一个第三国家/地区，以下简称“转发传输”），或者如果：

1. 转发传输到受益于根据 (EU) 2016/679 条例第 45 条作出的涵盖转发传输的充分性决定的国家/地区；
2. 第三方根据 (EU) 第 2016/679 号条例第 46 条或第 47 条法规确保对相关处理采取适当的保障措施；
3. 为了在特定的行政、监管或司法程序背景下确立、行使或抗辩法律主张，必须进行转发传输；或者 (iv) 为了保护数据当事人或其他自然人的切身利益，必须进行转发传输。
4. 任何转发传输都要求数据输入者必须遵守本条款规定的所有其他保障措施，特别是目的范围。

8.9 文档与合规

1. 数据输入者应及时妥善处理数据输出者提出的与本条款规定的处理相关的问询。
2. 各方应能够证明其已遵循本条款规定。尤其是，数据输入者应保存代表数据输出者进行的处理活动的适当文档。
3. 数据输入者应向数据输出者提供所有必要信息，以证明其遵守本条款规定的义务，并应数据输出者的要求，允许并协助对本条款所涵盖的处理活动进行审核，是否在合理的时间间隔内或是否有不符合的迹象。在决定审查或审核时，数据输出者可能会考虑数据输入者持有的相关证书。
4. 数据输出者可能会选择自行进行审核或委托独立的审核员进行审核。审核可包括对数据输入者所在的场所或物理设施进行检查，并应酌情在合理通知的情况下进行。
5. 各方应根据要求向主管监管机构提供第 (b) 和 (c) 款中提及的信息（包括任何审核结果）。

条款 9

副处理者的使用

1. 数据输入者拥有数据输出者的的一般授权，可从商定列表中聘用副处理者。数据输入者应至少提前十五 (15) 天通过添加或更换副处理者，以书面形式明确通知数据输出者对该列表的任何预期更改，从而给数据输出者留出足够的时间在聘用副处理者之前对此类更改提出异议。数据输入者应向数据输出者提供必要的信息，以使数据输出者能够行使其反对权。
2. 如果数据输入者聘请副处理者开展特定的处理活动（代表数据输出者），则应采用书面合同的方式进行，该合同实质上规定了与本条款下对数据输出者具有约束力的数据保护义务相同的义务，包括数据当事人的第三方受益人权利。各方同意，通过遵守此条款，数据输入者可依据条款 8.8 履行其义务。数据输入者应确保副处理者遵守数据输入者根据本条款应承担的义务。
3. 应数据输出者的要求，数据输入者应提供此类副处理者协议的副本以及针对数据输出者的任何后续修订。在保护商业机密或其他保密信息（包括个人数据）的必要范围内，数据输入者可以在分享副本之前对协议文本进行修订。
4. 数据输入者应继续对数据输出者履行其与数据输入者签订的合同规定的副处理者的义务履行情况负全部责任。如果副处理者未能履行其在该合同下的义务，数据输入者应将相关事宜通知数据输出者。
5. 数据输入者应与副处理者商定第三方受益人条款，据此 – 在数据输入者事实上失踪的情况下、在法律上不复存在或已经破产的情况下，数据输出者应有权终止副处理者合同并指示副处理者删除或归还个人数据。

条款 10

数据当事人权利

1. 数据输入者应立即将其从数据当事人处收到的任何请求通知数据输出者。除非获得数据输出者的授权，否则不得自行回复该请求。
2. 数据输入者应协助数据输出者履行其义务，以回应数据当事人根据 (EU) 第 2016/679 号条例行使其权利的请求。在这点上，缔约方应在附件 II 中规定适当的技术和组织措施，同时考虑到应提供协助的处理性质以及所需协助的范围和程度。
3. 在履行第 (a) 款和第 (b) 款规定的义务时，数据输入者应遵守数据输出者的指示。

条款 11

补救

1. 数据输入者应以透明且易于访问的格式，通过个人通知或在其网站上，将授权处理投诉的联系点告知数据当事人。联系人应迅速处理从数据当事人处收到的任何投诉。
2. 如果数据当事人和其中一方就遵守本条款发生争议，该方应通过友好协商的方式，尽最大努力及时、妥善地解决该问题。各方应相互通报此类争议，并在适当的情况下，合作解决这些问题。
3. 如果数据当事人根据条款 3 援引第三方受益人权利，数据输入者应接受数据当事人的以下决定：
   1. 根据条款 13 向其常住地或工作地点所在成员国的监管机构或主管监管机构提出投诉；
   2. 将争议提交至条款 18 规定的主管法院处理。
4. 各方达成一致意见，根据 (EU) 第 2016/679 号条例第 80(1) 条规定的条件，数据当事人可由非营利机构、组织或协会代表。
5. 数据输入者应遵守适用的欧盟或成员国法律下具有约束力的决定。
6. 数据输入者认可数据当事人做出的选择不会损害其根据适用法律寻求补救的实体性和程序性权利。

条款 12

责任

1. 每一方应对另一方/其他方因违反本条款而给另一方/其他方造成的任何损害承担责任。
2. 根据本条款，数据输入者或其副处理者因违反第三方受益人权利对数据当事人造成任何实质性或非实质性损害的，数据输入者应对数据当事人负责，数据当事人有权获得赔偿。
3. 尽管第 (b) 款作出了相关规定，数据输出者应对数据当事人负责，并且根据本条款的规定，数据输出者或数据输入者（或其副处理者）因违反第三方受益人权利对数据当事人造成的任何实质性或非实质性损害的，数据输出者应对数据当事人负责，数据当事人有权获得赔偿。这不会对数据输出者的责任产生影响，如果数据输出者是代表控制者行事的处理者，则不影响控制者根据 (EU) 第 2016/679 号条例或 (EU) 第 2018/1725 号条例（如适用）需要承担的责任。
4. 各方同意，如果数据输出者对数据输入者（或其副处理者）造成的损害（依照第 (c) 款规定）承担责任，则其有权向数据数据输入者追回与数据输入者所承担损害责任相对应的部分赔偿。
5. 如果因违反本条款而对数据当事人造成的任何损害应由一方以上负责，则所有责任方应承担连带责任，并且数据当事人有权针对其中任何一方向法院提起诉讼。
6. 各方同意，如果一方根据第 (e) 款承担责任，则有权向另一方/其他方追回与其所承担损害责任相对应的部分赔偿。
7. 数据输入者不得援引副处理者的行为来规避其责任。

条款 13

监管

1. 如附件 I.C 所示，负责确保数据输出者在数据转移方面遵守 (EU) 第 2016/679 号条例的监管机构应作为主管监管机构。
2. 数据输入者同意在任何旨在确保遵守本条款的程序中服从主管监督机构的管辖并与之合作。尤其是，数据输入者同意回应问询，接受审核，并遵守监管机构采取的措施，包括补救和补偿措施。应向监管机构提供书面确认，表明已采取必要行动。

第 III 部分 – 涉及公共机构访问的当地法律和义务

条款 14

影响遵守条款的当地法律和惯例

1. 各方均保证，他们没有理由相信数据输入者处理个人数据的第三目的地国家/地区的适用法律和惯例（包括披露个人数据的任何要求或授权公共机构访问的措施）会阻止数据输入者履行其在本条款下的义务。这是基于这样一种理解：尊重基本权利和自由本质，并且不超过民主社会在为保障 (EU) 第 2016/679 条例第 23(1) 条所列目标之一的具有必要性和相称性的法律和惯例，与本条款不冲突。
2. 各方均声明，在提供第 (a) 款中的保证时，已充分考虑了下列因素：
   1. 转移的具体情况，包括处理链的长度、涉及的参与者的人数和使用的传输通道；预期的转发传输；接收方的类型；处理目的；被转移的个人数据的类别和格式；发生转移的经济部门；转移数据的存储位置；
   2. 目的地国家/地区的法律和惯例，包括要求向公共机构披露数据或授权此类公共机构访问的法律和惯例 – 与转移的具体情况以及适用的限制和保障措施相关；
   3. 为补充本条款下的保障措施而实施的任何相关合同、技术或组织保障措施，包括在传输过程中以及在目的地国家/地区处理个人数据时采取的措施。
3. 数据输入者保证，在根据第 (b) 款进行评估时，其已尽最大努力向数据输入者提供相关信息，并同意将继续与数据输出者合作，以确保遵守本条款。
4. 各方均同意根据第 (b) 款记录评估结果，并根据要求将评估结果提供给主管监管机构。
5. 如果在同意本条款后并在合同有效期内，数据输入者有理由相信自己正在或已经受到不符合第 (a) 款要求的法律或惯例的约束（包括在第三方国家/地区的法律发生变化或有措施（如披露要求）表明此类法律在实践中的应用不符合第 (a) 款的要求之后），数据输入者同意立即通知数据输出者。
6. 在根据第 (e) 款发出通知后，或者如果数据输出者有理由相信数据输入者无法再履行其在本条款下的义务，数据输出者应立即确定数据输出者和/或数据输入者将采取的用以应对此种情况的适当措施（例如技术或组织措施，以确保安全性和机密性）。如果数据输出者认为无法确保此类转移得到适当保障，或者如果主管监管机构指示暂停数据转移，则数据输出者应按照指示暂停转移。在这种情况下，只要涉及到本条款下的个人数据处理规定，数据输出者就应有权终止本合同。如果合同涉及两个以上的缔约方，除非缔约方另有约定，否则数据输出者只能对相关一方行使终止权。如果根据本条款终止合同，则第 16(d) 和 (e) 应适用。

条款 15

数据输入者在公共机构访问时的义务

15.1 通知

1. 数据输入者同意在以下情况下立即通知数据输出者，并在可能时通知数据当事人（如有必要，求助于数据输出者）：
   1. 根据目的地国家/地区的法律规定，接受来自公共机构（包括司法机构）的具有法律约束力的请求，以披露依照本条款传输的个人数据；此类通知应包括有关所请求的个人数据、请求机构、请求的法律依据和提供的答复的信息；或
   2. 根据目的地国家/地区的法律，了解公共机构对依照本条款传输的个人数据的任何直接访问；此类通知应包括可供数据输入者使用的所有信息。
2. 如果目的地国家/地区的法律禁止数据输入者通知数据输出者和/或数据当事人，则数据输入者同意将尽最大努力获取对该禁令的豁免，以在最短时间内传达尽可能多的信息。数据输入者同意记录其最大努力结果，以便能够应数据输出者的请求进行展示。
3. 在目的地国家/地区法律允许的情况下，数据输入者同意在约定期限内定期向数据输出者提供尽可能多的有关所收到请求的相关信息（尤其是请求数量、所请求数据的类型、请求机构、请求是否受到质疑和此类质疑的结果等）。
4. 数据输入者同意在约定期限内根据第 (a) 至 (c) 款保存信息，并应要求将其提供给主管监管机构。
5. 第 (a) 至 (c) 款不影响条款 14(e) 和 16 规定的数据输入者义务，即在无法遵守本条款的情况下立即通知数据输出者。

15.2 审查合法性和数据最小化

1. 数据输入者同意审查披露请求的合法性，尤其在于它是否仍在向提出请求的公共机构授予的权力范围内，在经仔细评估后，如果根据目的地国家/地区的法律、国际法规定的适用义务和国际礼让原则，有正当理由认定该请求属于非法行为，则将对该请求提出质疑。在同样的情况下，数据输入者应寻求上诉的可能性。当对请求提出质疑时，数据输入者应寻求临时应对措施，以期在主管司法机构对其案情作出裁定之前暂停该请求的效力。在适用的程序规则要求披露之前，不得披露所请求的个人数据。这些要求不影响条款 14(e) 规定的数据输入者义务。
2. 数据输入者同意记录其法律评估和对披露请求的任何质疑，并在目的地国家/地区法律允许的范围内，向数据输出者提供相关文档。还应根据要求将其提供给主管监管机构。
3. 数据输入者同意按照请求的合理解释，在回应披露请求时提供允许的最少量信息。

第 IV 部分 –最终条款

条款 16

不遵守条款和终止

1. 如果出于任何原因无法遵守本条款，数据输入者应立即通知数据输出者。
2. 如果数据输入者违反本条款或无法遵守本条款，数据输出者应暂停向数据输入者转移个人数据，直到能够再次确保遵守本条款或终止合同。这不会影响条款 14(f)。
3. 如发生以下情况，只要涉及依照本条款处理个人数据，数据输出者应有权终止本合同，其中：
   1. 数据输出者已根据第 (b) 款规定暂停向数据输入者转移个人数据，并且在合理时间内以及在任何情况下暂停后的一个月内，均未恢复遵守本条款的规定；
   2. 数据输入者严重或持续违反本条款规定；或
   3. 数据输入者未能遵守主管法院或监管机构就其在本条款下的义务作出的具有约束力的决议。如出现上述情况，应将此类不合规事件上报给主管监管机构。如果合同涉及两个以上的缔约方，除非缔约方另有约定，否则数据输出者只能对相关一方行使终止权。
4. 在根据第 (c) 款终止合同之前已转移的个人数据应由数据输出者选择立即归还给数据输出者或全部删除。此规定同样适用于数据的任何副本。数据输入者应向数据输出者证明已将数据删除。在删除或归还数据之前，数据输入者应继续确保遵守本条款要求。如果数据输入者适用的当地法律禁止归还或删除所转移的个人数据，数据输入者保证将继续确保遵循本条款，并只在当地法律规定的范围和期限内处理这些数据。
5. 在以下情况下，任何一方均可撤销其受本条款约束的协议：(i) 欧盟委员会根据 (EU) 第 2016/679 号条例第 45(3) 条通过一项决议，涵盖本条款所适用的个人数据转移；或 (ii) (EU) 第 2016/679 号条例成为转移个人数据至国家/地区的法律框架的一部分。这不影响适用于 (EU) 第 2016/679 号条例下相关处理的其他义务。

条款 17

治理法律

本条款应受其中一个欧盟成员国的法律管辖，前提是该法律允许第三方受益人权利。各方均承认，此处所指法律应为德意志联邦共和国的法律。

条款 18

法院和管辖权的选择

1. 由本条款引发的任何争议均应通过欧盟成员国的法院解决。
2. 各方均承认，所指法院应为德意志联邦共和国的法院。
3. 数据当事人还可以向其常住地所在成员国家/地区的法院对数据输出者和/或数据输入者提起法律诉讼。
4. 各方均同意接受此类法院的管辖。

---

标准合同条款的附件 I

A. 缔约方列表
数据输出者：数据输出者是在附录中标识为“客户”的实体
签名和日期：自数据输出者以电子方式接收数据输入者的服务条款之日起，便将数据输出者视为已签署本标准合同条款。
角色：控制者

数据输入者：GoDaddy.com, LLC
联系详细信息：数据保护官办公室 – privacy@godaddy.com
签名和日期：自数据输出者以电子方式接收数据输入者的服务条款之日起，便将数据输入者视为已签署本标准合同条款。
角色：处理者

B. 转移描述 其个人数据被转移的数据当事人类别见附录的附录 1 中所述。

转移的个人数据类别见附录的附录 1 中所述。

转移的敏感数据类别见附录的附录 1 中所述。

转移频率是服务条款有效期的连续基础。

处理的性质见附录的第 2.2 节和附录 1 中所述。

数据转移和进一步处理的目的见第 2.2 节和附录的附录 1 中所述。

附录的附录 1 中描述了个人数据的保留期限。

向（副）处理者的转移、主题内容以及处理的性质和期限如标准合同条款的附录 III 中所示。

C. 主管监管机构 北莱茵-威斯特法伦州数据保护和信息自由专员（“LDI NRW”）是主管监管机构。

标准合同条款的附件 II

数据输入者实施的技术和组织安全措施如附录的附件 2 中所示。

标准合同条款的附件 III

副处理者列表见附录的附录 3.

---

Annex I to the Standard Contractual Clauses

A. LIST OF PARTIES
Data Exporter(s): The data exporter is the entity identified as “Customer” in the Addendum
Signature and date: As of the date of Data Exporter’s electronic acceptance of Data Importer’s Terms of Service, Data Exporter is deemed to have signed these standard contractual clauses.
Role: Controller

Data importer(s): GoDaddy.com, LLC, a Delaware limited liability company
Contact details: Office of the Data Protection Officer – privacy@secureserver.net
Signature and date: As of the date of Data Exporter’s electronic acceptance of Data Importer’s Terms of Service, Data Importer is deemed to have signed these standard contractual clauses.
Role: Processor

B. DESCRIPTION OF TRANSFER Categories of data subjects whose personal data is transferred are described in Appendix 1 of the Addendum.

Categories of personal data transferred are described in Appendix 1 of the Addendum.

Sensitive data transferred are described in Appendix 1 of the Addendum.

The frequency of the transfer is a continuous basis for the duration of the Terms of Service.

Nature of the processing is described in Section 2.2 and Appendix 1 of the Addendum.

Purpose(s) of the data transfer and further processing are described in Section 2.2 and Appendix 1 of the Addendum.

The period for which the personal data will be retained described in Appendix 1 of the Addendum.

For transfers to (sub-) processors, the subject matter, nature and duration of the processing is set forth in Annex III to the Standard Contractual Clauses.

C. COMPETENT SUPERVISORY AUTHORITY The North Rhine-Westphalia State Commissioner for Data Protection and Freedom of Information ('LDI NRW') is the competent supervisory authority.

Annex II to the Standard Contractual Clauses

The technical and organizational security measures implemented by the Data Importer are as in Annex 2 of the Addendum.

Annex III to the Standard Contractual Clauses

List of sub-processors are in Appendix 3 of the Addendum.

---