- Legal
- 이용약관
- 개인 정보 처리 방침
- 데이터 개인 정보 보호 및 보안 계약
- Customer Security Assessment Policy and Guidelines
- Acceptable Use Policy
- Copyright Policy
- Notification Policy
- 서비스별 조건
- General Service Level Agreement
- Service Level Agreements
- Computing
- Container and Middleware
- Storage
- Database
- Networking
- CDN and Communication
- Media Services
- Security
- Big Data
- AI and Machine Learning
- Enterprise Applications
- Office Collaboration
- Industry Applications
- Developer Services
- DSA Single Point of Contact
- Information Requests Europe
- Information Requests North-America
- Information Requests South-Korea
- Information Requests Rest of World
- 개인정보 보호에 대해 자주 묻는 질문 (FAQs)
- 쿠키 정책
- Event Registration Instructions
- Legal
- 이용약관
- 개인 정보 처리 방침
- 데이터 개인 정보 보호 및 보안 계약
- Customer Security Assessment Policy and Guidelines
- Acceptable Use Policy
- Copyright Policy
- Notification Policy
- 서비스별 조건
- General Service Level Agreement
- Service Level Agreements
- Computing
- Container and Middleware
- Storage
- Database
- Networking
- CDN and Communication
- Media Services
- Security
- Big Data
- AI and Machine Learning
- Enterprise Applications
- Office Collaboration
- Industry Applications
- Developer Services
- DSA Single Point of Contact
- Information Requests Europe
- Information Requests North-America
- Information Requests South-Korea
- Information Requests Rest of World
- 개인정보 보호에 대해 자주 묻는 질문 (FAQs)
- 쿠키 정책
- Event Registration Instructions
이 데이터 개인 정보 보호 및 보안 부록("DPSA")과 서비스 약관(그리고 DPSA를 제외하고 서비스 약관에 참조로 포함된 모든 문서 또는 정책)("계약") 사이에 충돌이 있는 경우, 상충되는 범위 내에서 본 DPSA가 우선합니다.
정의
달리 명시되지 않는 한, 다음 용어는 아래에 의미를 갖습니다. 본 DPSA에 사용되지만 아래에 정의되지 않은 대문자로 표시된 용어는 계약에 명시된 의미를 갖습니다.
"관리 정보" 조직의 계정과 Tencent Cloud에서 제공하는 서비스를 설정하고 관리하기 위해 조직이 Tencent Cloud에 제공하는 개인 정보와 Tencent Cloud에서 제공하는 서비스의 사용과 관련하여 생성된 모든 개인 정보를 의미합니다.
"콘텐츠" Tencent Cloud에서 제공하는 서비스를 사용하여 조직이 제출, 업로드, 전송 또는 표시하는 개인 정보를 포함한 모든 데이터를 의미합니다.
"컨트롤러" 개인 데이터의 수집, 보유, 처리 또는 사용을 단독으로 또는 사람과 공동으로 제어하는 사람을 의미하며, 해당되는 경우 ”비즈니스”(해당 용어는 CCPA에서 정의)를 포함합니다.
"컨트롤러 프로세서 전송 조항" 아래 (2) 컨트롤러 프로세서 전송 조항 에 명시된 2010년 2월 5일 위원회 결정(C(2010) 593)에 명시된 표준 계약 조항(컨트롤러에서 프로세서로)을 의미합니다.
"데이터 유출" 계약과 관련하여 Tencent가 처리하는 개인 데이터의 오용, 간섭, 분실, 무단 액세스, 수정 또는 공개를 의미합니다.
"데이터 보호법" 미국 개인정보보호법, e-개인 정보 보호지침, GDPR 등 문제의 상황에서 개인 또는 활동에 수시로 적용되는 개인 데이터의 수집, 저장, 처리, 전송, 공개 및 사용에 관한 데이터 보호법을 의미합니다.
"데이터 주체" (1) GDPR에 정의되어 있는 "데이터 주체" 또는 (2) CCPA에 정의되어 있는 "소비자" 또는 (3) 개인 데이터의 대상이 되는 기타 개인을 의미합니다.
"지침" 개인 데이터 처리 및 그러한 데이터의 자유로운 이동과 관련된 개인의 보호에 관한 1995년 10월 24일 유럽 의회 및 유럽 이사회 지침 95/46/EC를 의미합니다.
"e-개인 정보 보호 지침" 개인 정보 처리 및 전자 통신 부문의 개인 정보 보호 관련 2002년 7월 12일 유럽 의회 및 이사회의 지침 2002/58/EC를 의미합니다.
“EEA" 유럽 경제 지역을 의미합니다.
“EU 개인 데이터" EEA에 있는 데이터 주체의 개인 데이터를 의미합니다.
“GDPR" 개인 정보 처리 및 개인 정보의 자유로운 이동에 대해 자연인을 보호하기 위한 2016년 4월 27일 유럽 의회 및 이사회 규정 2016/679를 의미합니다.
“관할권별 요구 사항" 아래 (1) 관할권별 요구 사항 에 명시된 바와 같이, 특정 관할권에 적용되는 개인 데이터 처리에 대한 요건을 의미합니다.
“조직" 서비스 약관에 동의한 기관을 의미합니다. 본 DPSA(첨부 포함)의 목적 상, 조직을 대리하여 행동하지 않는 개인과의 계약에 있어 "조직"은 해당 개인을 의미하는 것으로 간주됩니다.
“개인 데이터" 데이터 보호법에 정의된, Tencent가 본 계약에 따라 서비스를 제공하기 위해 처리하는 ‘개인 데이터’와 ‘개인 정보’를 포함하여, 식별되거나 식별 가능한 자연인과 관련된 모든 정보를 의미합니다.
“처리" 수집, 사용, 저장 또는 공개를 포함하여, 개인 데이터에 대한 운영을 수행하거나 관련 데이터 보호법에 정의된 작업을 수행하는 것을 의미합니다.
“프로세서" 하나 이상의 컨트롤러를 대신하여 개인 데이터를 처리하는 사람을 의미하며, 해당되는 경우 “서비스 제공자” 또는 “계약자”(해당 용어는 CCPA에서 정의)를 포함합니다.
“하위 프로세서" 7.4항에 따라 Tencent를 대신하여 개인 데이터를 처리하는 Tencent가 수시로 임명한 Tencent 계열사 또는 제3자를 의미합니다.
“감독 당국" 데이터 보호법과 관련하여 관할권을 가진 규제 기관을 의미합니다.
“Tencent Cloud" 서비스 약관에 명시된 대로 조직에 서비스를 제공하는 기관을 의미합니다.
“Tencent Cloud Portal" Tencent Cloud에 대한 가입 프로세스가 완료되면 조직이 액세스할 수 있는 고객 포털을 의미합니다.
“Tencent Cloud 개인정보 처리방침" 개인 정보 처리방침에 있는 정책을 의미합니다. 이는 Tencent가 업데이트하며 수시로 조직에 통보합니다.
“Tencent 보안 정책" 무단 또는 우발적 액세스, 처리, 삭제, 손실 또는 사용으로부터 개인 데이터를 보호하기 위해 Tencent가 수시로 결정한 합리적이고 적절한 기술적, 조직적 조치를 의미합니다. 이러한 조치에는 컨트롤러-프로세서 전송 조항에 명시된 조치가 포함됩니다(해당하는 경우).
“서비스 약관" 서비스 약관에 있는 약관을 의미합니다.
“제3국" 유럽 경제 지역("EEA")의 데이터 보호법의 범위를 벗어난 모든 국가를 지칭합니다. 단, 안도라, 아르헨티나, 캐나다, 페로 제도, 건지, 맨 섬, 이스라엘, 저지, 뉴질랜드, 스위스, 우루과이 등 본 계약 일자 기준 개인 데이터에 대한 적절한 보호를 제공하여 유럽 위원회의 승인을 받은 국가는 제외합니다.
“미국 개인정보보호법”은 캘리포니아 개인정보보호법(“CCPA”)에 준거하여 개정된 캘리포니아 소비자 개인정보보호법, 콜로라도 개인정보보호법, 코네티컷 데이터 개인정보보호법, 유타 소비자 개인정보보호법 및 버지니아 소비자 데이터 보호법에 의해 개정된 캘리포니아 소비자 개인 정보 보호법을 의미합니다.
계약 범위
Tencent Cloud의 서비스 공급을 위한 서비스 약관에 가입한 경우, 이 부록이 적용됩니다. 부록은 콘텐츠인 개인 데이터 처리에 적용됩니다. 관리 정보인 개인 정보는 Tencent Cloud 개인정보 처리방침에 따라 처리되며, 본 부록은 관리 정보 처리에는 적용되지 않습니다.
개인 데이터 처리 권한 부여
1.당사자들은 계약에 따른 의무 이행에 있어, Tencent가 Tencent Cloud 제공의 일환으로 콘텐츠의 저장, 액세스 및 처리와 관련하여 개인 데이터를 처리할 수 있음을 인정합니다. 본 DPSA의 목적은 이러한 처리와 관련하여 당사자들 각각의 의무를 명시하는 것입니다.
2.각 당사자는 개인 데이터와 관련하여 적용되는 모든 데이터 보호법을 준수할 것을 상대 당사자에게 보증합니다.
컨트롤러 및 프로세서
Tencent와 조직은 개인 데이터와 관련하여 조직이 컨트롤러이며 Tencent는 프로세서임을 인정합니다.
서비스 지역
1.조직이 계약에 따라 서비스 지역을 선택하는 5.2 항에 따라, Tencent는 해당 서비스 지역의 개인 데이터만 처리합니다.
2.조직은 Tencent가 운영, 규제 또는 기타 이유로 조직이 선호하는 서비스 지역 이외의 장소에서 개인 데이터를 처리하는 것이 계약에 따라 "중대한 변경"으로 간주될 경우, 처리 위치를 수시로 변경해야 한다는 것을 인정하고 동의합니다.
3.조직은 서비스 약관에 나열된 Tencent 계약 기관이 개인 데이터를 포함한 고객 데이터를 보관하거나 제어하는 기관이 아닐 수 있으며, 이러한 데이터는 선택한 서비스 지역에서 저장 및 처리될 수 있음을 인정하고 이에 동의합니다. 조직에서 계정 관련 정보와 같이 서비스 지역을 선택할 필요가 없는 정보를 제공하는 경우, Tencent는 그러한 정보를 모든 위치에 처리하고 저장할 수 있습니다.
Tencent의 의무
1.Tencent는 조직을 대신하여 개인 데이터를 처리하기 위한 범위 내에서 다음을 이행합니다.
a. 조직의 서면 지침(본 DPSA의 약관, 조직의 관리 콘솔을 통해 제공된 모든 지침을 포함해야 함) 및 Tencent 보안 정책에 따라 서비스를 이행하기 위한 제한적인 특정 목적을 위해서만 개인 정보를 처리하고, 본 DPSA의 조항을 준수할 수 없는 경우 조직에 즉시 통보합니다.
b. 관련 법률에 의해 금지되지 않는 한 소유물(모든 백업 사본 포함)에서 모든 개인 데이터를 (조직의 서면 요청에 따라) 반환하거나 안전하게 파기합니다.
c. 다음 사항을 인지하는 즉시 조직에 통보합니다.
관련 법률에 의해 통지가 금지되지 않는 한, 감독 당국, 규제 당국, 공무원, 기타 정부 부처, 당국, 기관이 개인 데이터를 획득하거나 개인 데이터에 액세스하도록 명령 또는 요구하는 법원 명령이나 기타 법적 절차 또는 요청이 있을 때.
데이터 침해.
데이터 보호법에 따른 Tencent의 의무와 관련된 모든 중대한 불만, 통신, 요청이 있을 때, 및
개인 데이터와 관련하여 조직에서 받은 명령이 Tencent의 판단에 따라 해당 관할권의 데이터 보호법을 포함하여 관련 법률을 위반할 수 있을 때.
d. Tencent와 계약한 정당하게 승인된 사람만 개인 데이터에 액세스할 수 있도록 보장하고, 제8항에 따라, 계약에 따라 Tencent의 의무를 수행하기 위해 정식으로 승인되고 개인 데이터에 액세스해야 하는 하위 프로세서 및 하위 프로세서의 직원만 액세스하도록 보장합니다.
e. 개인 데이터를 처리하기 위해 정당하게 승인된 직원이 기밀 유지에 노력하고 기밀 유지에 대한 적절한 법적 의무를 준수하도록 하고, 처리의 특성을 고려하여 해당 개인이 본 DPSA 및 조직의 지침에 따라 데이터 보호에 대한 동일한 의무를 준수하도록 합니다.
f. 관할권별 요구 사항을 준수합니다.
g. 해당 관할권의 법률이 요구하는 경우 다음을 수행합니다.
관련 관할권에서 적절하고 적용되는 경우, 조직이 의무를 준수할 수 있도록 합리적인 지원을 제공하기 위해 다음을 포함하여 적절한 기술 및 조직적 보안 조치를 구현합니다:(i) 개인 정보의 가명화 또는 익명화;(ii) 처리 시스템 및 서비스의 지속적인 기밀성, 무결성, 가용성, 복원력 보장;(iii) 물리적 또는 기술적 사고가 발생할 경우, 적시에 개인 데이터에 대한 가용성 및 액세스 복원;(iv) 정기적으로 처리 보안을 보장하기 위한 기술 및 조직적 조치의 효과에 대한 테스트, 평가.
처리의 특성을 고려하여 데이터 보호법에 명시된 데이터 주체의 권리 행사 요청에 응답할 조직의 의무를 이행할 수 있도록 적절한 기술 및 조직적 조치를 통해 조직을 지원합니다.
다음 의무를 준수하여 조직을 지원합니다: (i) 적절한 기술 및 조직적 보안 조치 구현; (ii) 관련 데이터 보호법에 따라 통지 및 보고가 필요한 경우 감독 당국, 관련 데이터 주체, 기타 사람에게 데이터 침해 통보;(iii) 데이터 보호 영향 평가를 실시하고 필요한 경우 감독 당국과 사전 협의;
본 DPSA에 따라, 또는 본 DPSA와 관련하여 Tencent가 처리하는 개인 데이터의 무단 또는 불법적인 액세스, 사용, 공개를 알게 되면 조직에 서면으로 즉시 통보합니다. Tencent는 데이터 보호법에 따라 조직의 의무를 준수하는 데 합리적으로 필요한 모든 정보를 조직에 제공할 의무가 있습니다.
2.Tencent는 조직의 지시가 데이터 보호법을 침해하는 경우 조직에 통보하여야 합니다.
조직의 의무
1.조직은 계약 기간 동안 Tencent에게 다음을 진술, 보증, 약속합니다.
a. 개인 정보는 데이터 보호법에 따라 수집됩니다.
b. 조직이 Tencent에게 제공하는 모든 지침은 데이터 보호법을 준수합니다.
c. Tencent에 개인 데이터를 전송하는 일, 조직의 지시에 따라 Tencent의 개인 데이터 처리(Tencent가 이러한 개인 데이터와 관련하여 데이터 프로세서 역할을 하는 범위 내에서)하거나 Tencent의 개인 데이터를 수령 및 사용(Tencent가 이러한 개인 데이터와 관련하여 데이터 컨트롤러 역할을 하는 범위 내에서)하는 일, 본 DPSA에 따라 개인 데이터를 처리하고 사용하는 일은 관련 데이터 주체(법률에서 요구하는 경우)의 동의를 받았으며, 데이터 보호법에 의해 허용됩니다.
2.조직은 본 조항의 위반에 의해 Tencent에게 직간접적으로 발생되는 모든 청구, 부채, 비용, 비용, 손실, 손해(결과적 손실, 수익 손실, 평판 손실, 모든 이자, 벌금, 법적 비용, 기타 전문가 비용 및 지출 포함)로부터 Tencent를 면책하고 배상하는 데 동의합니다.
3.Tencent가 본 DPSA에 따라 처리된 개인 데이터와 관련된 데이터 보호법 위반으로 인해 발생하거나 관련된 실제 또는 잠재적 청구에 직면하는 경우, 조직은 이러한 청구를 방어하기 위해 Tencent가 합리적으로 요청한 모든 자료와 정보를 즉시 제공합니다.
4.조직은 계약과 관련된 실제 또는 의심되는 데이터 유출을 알게 되면 다음을 수행합니다.
a. 30일 이내에 데이터 침해를 데이터 보호법에 따라 통보할 수 있는지 여부를 판단하고, 평가 결과를 서면으로 Tencent에게 즉시 통보하기 위해 합리적인 조치를 취합니다.
b. 조직이 데이터 보호법에 따라 데이터 유출을 통보할 수 있다고 Tencent에게 통보하는 경우, 다음을 수행합니다.
조직은 데이터 보호법에 따라 요구되는 데이터 유출과 관련하여 통지 진술서 초안을 작성하고("통지 진술서"), 해당 데이터 보호 규제 기관, 데이터 주체 또는 다른 사람에게 공개하기 전에 승인을 위해 Tencent에 통지 진술서 초안을 제공합니다.
Tencent는 조직에 다음 사항을 서면으로 통지합니다.
통지 진술서 초안에 Tencent가 합리적으로 요청할 수 있는 변경 사항 또는 통지 진술서에 대한 승인 의사.
변경 사항이 있는 경우 조직은 그러한 변경 사항을 통지 진술서에 포함시켜야 합니다.
Tencent의 통지 진술서 초안의 승인을 받은 후, 조직은 해당 데이터 보호 규제 기관, 데이터 보호법에 따라 필요한 데이터 주체 및 기타 사람에게 승인된 통지 진술서 사본을 제공합니다.
Tencent의 사전 서면 동의 없이 의심되는 또는 실제 데이터 유출과 관련된 공개 성명이나 공개를 하지 않아야 하며, 계열사 및 직원들이 같은 사항을 준수하도록 합니다.
하위 프로세서의 임명
1.데이터 보호법에 따라 요구되는 경우(요구되는 범위 내에서), Tencent는 Tencent를 대신하여 개인 데이터를 처리하는 하위 프로세서를 임명할 수 있습니다. 단, Tencent는 본 DPSA와 실질적으로 동일한 조건의 계약을 하위 프로세서와 체결해야 합니다. 이에 따라 조직은 본 8항의 요건에 따라 Tencent Cloud 제3자에 나열된 하위 프로세서와 계약할 수 있는 권한을 Tencent에게 부여합니다.
2.개인 데이터 처리 시 변경 사항을 통보할 것을 요구하는 데이터 보호법에 따라야 하는 경우, Tencent는 하위 프로세서의 추가 또는 교체에 관한 변경 사항을 이메일(및 Tencent Cloud 포털)을 통해 조직에 통보해야 합니다. 이 경우 조직은 14일 이내에 변경 사항을 승인하거나 거부할 수 있습니다. 조직에서 응답하지 않는 경우 하위 프로세서를 수락한 것으로 간주합니다. 조직이 교체 하위 프로세서를 거부하는 경우, Tencent는 조직에 서면으로 통지하는 즉시 계약을 해지할 수 있습니다.
3.Tencent가 조직을 대신하여 특정 처리를 수행하는 하위 프로세서와 계약하고 하위 프로세서가 데이터 보호 의무를 이행하지 못하는 경우, 해당 하위 프로세서의 의무 이행에 대해 Tencent가 데이터 보호법에 따라 조직에 대한 책임을 집니다.
모듈
특정 기능을 사용하는 경우, 다음 모듈을 참조를 통해 이 DPSA에 통합해야 합니다(각 관련 모듈에 정의된 바에 따름).
1.Tencent Push Notification Service.
2.Anti-Cheat Expert.
3.Web Application Firewall.
4.Game Multimedia Engine.
5.Anti-DDoS Pro.
6.Face Recognition.
7.StreamLive.
8.StreamPackage.
9.Cloud Object Storage.
10.Cloud Native Database TDSQL-C.
11.Tencent Cloud Elastic Microservice.
12.TencentDB for CTSDB.
13.Private DNS.
14.Database Audit.
15.TencentDB for Tendis.
16.Database Management Center.
17.Tencent Cloud Weiling.
18.Event Bridge.
19.TencentCloud Lighthouse.
20.Instant Messaging.
21.Edge Computing Machine.
22.Data Security Center.
23.Tencent Cloud TI Platform.
24.Cloud Data Warehouse.
25.Vulnerability Scan Service.
26.IoT Hub.
27.CODING Code Repositories.
28.CODING Project Management.
29.CODING Test Management.
30.CODING Continuous Integration.
31.CODING Artifact Repositories.
32.CODING Continuous Deployment.
33.Tencent Distributed Message Queue.
34.Risk Control Engine.
35.TencentCloud EdgeOne.
36.eKYC.
37.Tencent Managed Service for Prometheus.
38.Video on Demand.
39.Tencent Cloud Automation Tools.
40.HTTPDNS.
41.Tencent Effect SDK.
42.Text To Speech.
43.Automatic Speech Recognition.
44.Cloud Streaming Services.
45.Tencent Real-Time Communication.
46.Real User Monitoring.
47.Customer Identity and Access Management.
48.Cloud Application Rendering.
49.OCR.
50.Captcha.
51.Tencent Machine Translation
52.Video Moderation System.
53.Audio Moderation System.
54.Image Moderation System.
55.Text Moderation System.
56.Data Lake Compute.
57.Tencent Ecard.
58.Tencent Cloud Firewall.
59.User Generated Short Video SDK.
60.Key Management Service.
61.App Flow.
62.Low-code Interactive Classroom.
63.Tencent Container Security Service.
64.Cloud Automated Testing.
65.Cloud Log Service.
66.Tencent Interactive Whiteboard.
67.Bastion Host.
68.Cloud Workload Protection Platform.
69.Tencent Cloud Blockchain RPC.
관할권별 요구 사항
유럽
1.Tencent는 Tencent가 컨트롤러-프로세서 전송 조항에 명시된 데이터 수입자의 의무를 준수하는 경우를 제외하고, 제3국에서 EU 개인 데이터를 처리하지 않을 것임에 동의합니다.
2.컨트롤러-프로세서 전송 조항과 본 DPSA의 나머지 부분 사이에 충돌이 발생하는 경우, 상충되는 범위 내에서 EU 개인 데이터와 관련하여 컨트롤러-프로세서 전송 조항이 우선합니다.
3.컨트롤러-프로세서 전송 조항의 목적 상 다음과 같은 추가 조항이 적용됩니다.
a. 당사자들은 수정 없이 컨트롤러 프로세서 전송 조항을 준수하는 데 동의합니다.
b. 조직 및 Tencent의 이름과 주소는 컨트롤러-프로세서 전송 조항 및 컨트롤러 프로세서 전송 조항의 목적에 통합된 것으로 간주됩니다.
c. 조직은 데이터 수출자이며 Tencent의 해당 계열사는 컨트롤러-프로세서 전송 조항에 정의된 데이터 수입자입니다.
d. 본 DPSA에 대한 각 당사자의 서명은 컨트롤러-프로세서 전송 조항에 포함된 조항에 대한 서명으로 간주합니다.
4.관할권의 법률 또는 규정에 의해 요구되는 경우, 당사자는 필요한 방식으로 제안된 개인 데이터를 명시하는 별도의 문서로 컨트롤러-프로세서 전송 조항에 포함된 조항을 실행 및 재실행합니다.
대한민국
1.Tencent 보안 정책이 한국 개인 정보 보호법 및 규정에 따른 해당 요건을 충족하기에 충분하지 않은 경우, Tencent는(개인 정보의 해외 이전인으로서) 다음과 같은 요구 사항에 해당하는 추가 조치를 수시로 취할 것입니다.
a. 정보통신망 이용촉진 및 정보보호법 제28조, 제63조(이하 "정보통신망법”).
b. 정보통신망법 시행령 제15조, 제67조.
c. 개인 정보 보호를 위한 기술 및 행정조치 가이드라인(방송통신위원회 발행).
d. 개인 정보보호법 제29조("PIPA”).
e. 개인 정보보호법 시행령 제30조.
f. 개인 정보의 안전을 위한 보안 대책 지침(행안부 발행) 및 개정 사항.
2.Tencent는 다음을 수행합니다.
a. 위탁된 작업의 범위 내에서만 개인 데이터를 사용합니다.
b. Tencent의 개인 데이터 처리에 대해 조직의 교육 및 감독의 적용을 받는 것에 동의합니다.
c. 관련 규제 당국의 감독 및 감사의 대상이 되는 데 동의합니다.
3.Tencent는 본 DPSA 또는 관련 법률에 따라 Tencent의 의무를 위반하여 발생하는 모든 손해, 부채, 비용, 지출에 대해 조직 및 관련 데이터 주체에게 보상합니다.
미국 개인정보보호법
1.해당 미국 개인정보보호법에서 요구하는 범위 내에서 그리고 합리적인 서면 요청 또는 통지 시, 다음을 적용합니다.
a. 조직은 Tencent가 필히 해당 미국 개인정보보호법에 따른 조직의 의무에 부합하는 방식으로 개인 데이터를 사용하도록 합리적이고 적절한 조치를 취할 수 있습니다.
b. 조직이 Tencent가 관련 미국 개인정보보호법을 위반하여 개인 데이터를 사용하고 있다고 합리적으로 판단하는 범위 내에서 조직은 그러한 무단 사용을 중단시키고 시정하기 위한 합리적이고 적절한 조치를 취할 수 있습니다.
c. Tencent는 Tencent의 미국 개인정보보호법에 따른 의무 준수를 입증하는 데 필요한 Tencent 소유 정보를 조직에 제공해야 합니다.
d. Tencent는 해당 미국 개인정보보호법에 따른 Tencent의 의무 준수에 대해 당사자들이 평가 범위에 대해 합의한 후에만 조직 또는 조직이 지명한 감사관이 합리적인 연례 평가를 수행하도록 허가하고 이에 협조해야 하며, 그 비용은 조직이 부담합니다. 아니면, Tencent는 해당 미국 개인정보보호법에 따른 의무를 지원하기 위해 자격을 갖춘 독립 감사관이 Tencent의 정책과 기술 및 조직의 조치에 대한 평가를 수행하도록 주선할 수 있으며, 감사관은 이러한 평가를 위해 적절하고 수용 가능한 관리 표준 또는 프레임워크와 평가 절차를 사용합니다. 합리적인 요청 시, Tencent는 조직에 해당 평가 보고서를 제공해야 합니다.
2.당사자들은 처리 상황을 고려하여 위험에 적합한 보안 수준을 제공하도록 고안된 적절한 기술 및 조직 차원의 조치를 이행하고 해당 조치를 이행하기 위해 당사자들 간의 책임을 분명하게 할당해야 합니다. Tencent는 해당 법률에서 요구하는 것과 동일한 수준의 개인정보 보호를 제공해야 합니다.
3.Tencent는 다음과 같은 행위를 하는 것이 금지됩니다.
a. 개인 데이터 판매 및 공유.
b. 서비스 이행을 위한 특정 목적 이외의 목적으로 개인 데이터 보유, 사용 또는 공개.
c. 조직과 Tencent 간의 직접적인 비즈니스 관계 외부에서 개인 데이터 유지, 사용 또는 공개, 그리고.
d. 조직으로부터 또는 조직을 대신하여 입수한 개인 데이터를 개인 데이터와 관련 있는 개인과 Tencent의 개별 상호 작용 과정에서 또는 다른 출처에서 수집할 수 있는 개인 데이터와 결합하는 행위, 단, 미국 개인정보보호법에서 허용하는 경우는 예외입니다. 미국 개인정보보호법의 목적상 “판매”, “공유” 및 기타 유사한 용어는 미국 개인정보보호법에 부여된 의미를 갖습니다.
마카오
1.조직은 Tencent를 프로세서로 임명하고 본 계약에 따라 허용되는 하위 프로세서로 임명하는 것(허용되는 범위 내에서)을 현지 데이터 보호 사무소(GPDP - Gabinete para a Protecção de Dados Pessoais)에 통보해야 합니다.
2.Tencent는 위의 섹션 1에 따른 통지를 포함하여, 관련 마카오 데이터 보호법에 따라 지침 준수에 대한 증명을 조직에 합리적으로 요청할 권리가 있습니다.
3.마카오 데이터 보호법 제7조(Law n. 8/2005)에 정의된 민감한 데이터 처리의 경우, 조직은 Tencent에게 서면으로 명시적으로 통보해야 하며, 이러한 데이터 처리를 위해 마카오 데이터 보호법에 따라 제공된 특정 요구 사항을 준수해야 합니다.
컨트롤러-프로세서 전송 조항
적절한 수준의 데이터 보호를 보장하지 않는 제3국에 설립된 프로세서에게 개인 데이터를 전송하기 위한 지침 95/46/EC의 제26조(2)의 목적 상, 다음 사항이 적용됩니다.
데이터 수출 조직의 이름: 계약을 체결한 조직, 또는 조직을 대리하여 행동하지 않는 개인과 계약을 체결하는 경우, 해당 개인.
("데이터 수출자")
데이터를 수입하는 조직의 이름: 서비스 약관의 섹션 1.2에 지정된 계약 기관.
("데이터 수입자”)
각 "당사자”, 총칭하여 "당사자들”,
당사자들은 개인 정보, 기본권, 개인의 자유 보호와 관련하여 수출자가 부록 1에 명시된 개인 정보의 데이터 수입자에게 전송할 수 있는 적절한 안전 장치를 마련하기 위해 다음 계약 조항에 동의했습니다("조항").
정의
조항의 목적 상, 다음 정의가 적용됩니다.
a. '개인 정보', '특수 범주 데이터', '프로세스/처리', '컨트롤러', '프로세서', '데이터 주체', '감독 당국'은 개인 데이터 처리와 관련한 개인의 보호 및 데이터의 자유로운 이동에 관한 1995년 10월 24일 유럽 의회 및 이사회 지침 95/46/EC에 규정된 것과 같은 의미를 갖습니다.
b. '데이터 수출자'는 개인 데이터를 전송하는 컨트롤러를 의미합니다.
c. '데이터 수입자'는 수출자의 지시와 조항에 따라 전송 후 처리 목적으로 데이터 수출자로부터 개인 데이터로부터 수신하기로 동의하고 95/46/EC의 제25(1)조의 적절한 보호를 보장하는 제3국의 시스템 적용을 받지 않는 프로세서를 의미합니다.
d. '하위 프로세서'는 데이터 수출자의 지침, 조항, 하위 계약의 조건에 따라 데이터 수출자 대신에 처리 활동을 수행하기 위해 데이터 수입자 또는 데이터 수입자의 다른 하위 프로세서로부터 개인 데이터를 수신하기로 동의하여 데이터 수입자 또는 데이터 수입자의 다른 하위 프로세서와 계약한 프로세서를 의미합니다.
e. '관련 데이터 보호법'은 개인의 기본권과 자유를 보호하는 법률, 특히 데이터 수출자가 위치한 회원국에서 데이터 컨트롤러에게 적용되는 개인 데이터 처리에 대한 개인 정보를 보호하는 법률을 의미합니다.
f. '기술적 및 조직적 보안 조치'는 우발적이거나 불법적인 파괴 또는 우발적 손실, 변경, 무단 공개 또는 액세스(특히 네트워크 외부로의 데이터 전송이 있는 경우) 및 기타 모든 불법적인 형태의 처리에 대해 개인 데이터를 보호하기 위한 조치를 의미합니다.
전송에 대한 세부 정보
전송의 세부 사항 및 특별 범주 개인 데이터는 조항의 일부인 부록 1에 명시되어 있습니다.
제3자 수혜자 조항
1.데이터 주체는 제3자 수혜자로서 데이터 수출자에게 본 조항, 조항 4(b) ~ 4(i), 조항 5(a) ~ 5(e), 5(g) ~ 5(j), 조항 6.1 및 6.2, 조항 7, 조항 8.2 조항 9 ~ 12를 집행할 수 있습니다.
2.데이터 수출자가 사실상 사라졌거나 법률 상 존재하지 않게 되는 경우, 데이터 주체는 데이터 수입자에게 본 조항, 조항 5(a) ~ 5(e), 5(g), 조항 6, 조항 7, 조항 8.2, 조항 9 ~ 12를 집행할 수 있습니다. 단, 승계 기관이 계약 또는 법률에 의해 데이터 수출자의 모든 권리와 의무를 승계하여 데이터 주체가 해당 기관을 상대로 이를 집행할 수 있게 되는 경우는 제외합니다.
3.데이터 수출자와 데이터 수입자가 모두 사실상 사라졌거나 법률 상 존재하지 않게 되거나 청산된 경우, 데이터 주체는 하위 프로세서에게 본 조항, 조항 5(a) ~ 5(e), 5(g), 조항 6, 조항 7, 조항 8.2, 조항 9 ~ 12를 집행할 수 있습니다. 단, 승계 기관이 계약 또는 법률에 의해 데이터 수출자의 모든 권리와 의무를 승계하여 데이터 주체가 해당 기관을 상대로 이를 집행할 수 있게 되는 경우는 제외합니다. 하위 프로세서의 이러한 제3자 책임은 조항에 따른 자체 처리 작업으로 제한됩니다.
4.당사자들은 데이터 주체가 명시적으로 원하는 경우 및 국가 법률에 의해 허용되는 경우, 협회 또는 다른 기관이 대리하는 데이터 주체에 이의를 제기하지 않습니다.
데이터 수출자의 의무
데이터 수출자는 다음 사항에 동의하고 보증합니다.
a. 개인 정보의 양도를 포함한 처리가 관련 데이터 보호법의 관련 조항에 따라 계속 수행되고 있으며, 앞으로도 그럴 것이며, (그리고 해당되는 경우, 데이터 수출자가 위치한 회원국의 관계 당국에 통보를 받았으며) 해당 국가의 관련 조항을 위반하지 않습니다.
b. 개인 정보 처리 서비스 기간 동안 데이터 수입자에게 데이터 수출자를 대신하여 해당 데이터 보호법 및 조항에 따라 전송된 개인 데이터를 처리하도록 지시합니다.
c. 데이터 수입자가 부록 2에 명시된 기술 및 조직적 보안 조치에 대해 충분한 보증을 제공할 것입니다.
d. 해당 데이터 보호법의 요구 사항을 평가한 후, 우발적이거나 불법적인 파괴 또는 우발적 손실, 변경, 무단 공개 또는 액세스(특히 처리가 네트워크를 통한 데이터 전송과 관련된 경우), 모든 불법적인 형태 처리에 대해 적절한 보호 조치를 갖추고 있으며, 이러한 조치들은 처리 및 데이터의 특성에 의해 제시된 위험에 적절한 보안 수준을 보장하며, 기술 및 구현 비용 측면에서도 적절합니다.
e. 보안 조치를 준수를 보장합니다.
f. 전송이 특별 범주 데이터를 포함하는 경우, 지침 95/46/EC의 의미 내에서 적절한 보호를 제공하지 않는 제3국으로 데이터를 전송할 수 있다는 통보를 사전에 데이터 주체에게 제공하거나 사후에 가능한 한 빨리 통보합니다.
g. 데이터 수출자가 전송을 계속하거나 정지를 해제하기로 결정하는 경우, 데이터 수입자 또는 하위 프로세스에게 받은 통지를 조항 5(b) 및 조항 8.3에 따라 데이터 보호 감독 당국에 전달합니다.
h. 데이터 주체의 요청에 따라, 부록 2를 제외한 조항의 사본, 보안 조치에 대한 요약 설명, 조항에 따라 체결된 하위 처리 서비스 계약 사본을 데이터 주체가 사용할 수 있도록 합니다. 이 때, 조항 및 계약에 상업적 정보가 포함되어 있는 경우 상업적 정보를 삭제해야 할 수도 있습니다.
i. 하위 처리의 경우, 처리 활동은 조항 11에 따라 하위 프로세서가 수행하며, 하위 프로세서는 본 조항에 따라 데이터 수입자에게 적용되는 것과 동일한 수준의 개인 데이터 및 데이터 주체 권리 보호를 제공합니다.
j. 조항 4(a)~4(i)를 준수합니다.
데이터 수입자의 의무
데이터 수입자는 다음 사항에 동의하고 보증합니다.
a. 데이터 수출자를 대신하여 데이터 수출자의 지침 및 조항을 준수하여 개인 데이터를 처리합니다. 어떤 이유로든 이러한 규정을 준수할 수 없는 경우, 데이터 수출자에게 즉시 준수할 수 없음을 통지하는 데 동의하며, 이 경우 데이터 수출자는 데이터 전송을 일시 중단하거나 계약을 해지할 자격을 갖습니다.
b. 적용되는 법률이 데이터 수출자의 지침 및 계약에 따른 의무 이행을 방해한다고 판단할 만한 이유가 없습니다. 법률이 변경되어 본 조항에 규정된 보증과 의무에 중대한 악영향을 미칠 가능성이 있는 경우, 그러한 변경을 인지한 즉시 데이터 수출자에게 변경을 통지하며, 이 경우 데이터 수출자는 데이터 전송을 중지하거나 계약을 종료할 권리를 갖습니다.
c. 전송된 개인 데이터를 처리하기 전에 부록 2에 명시된 기술 및 조직적 보안 조치를 구현했습니다.
d. 데이터 수출자에게 다음 사항을 즉시 통보합니다.
a. 수사의 기밀성 유지를 위한 형법 상의 금지 등 달리 금지되지 않는 한, 법 집행 기관의 구속력 있는 개인 정보 공개 요청.
우발적 또는 무단 액세스.
데이터 주체로부터 직접 받은 요청(달리 허가 받지 않은 경우 요청에 대해 응답하지 않음).
e. 전송 대상 개인 데이터 처리와 관련된 데이터 수출자의 모든 문의에 신속하고 적절하게 대응하고 전송된 데이터 처리와 관련하여 감독 당국의 조언을 준수합니다.
f. 데이터 수출자의 요청에 따라, 조항에서 다루는 처리 활동에 대한 감사를 위해 처리 시설을 제출합니다(감사는 데이터 수출자 또는 데이터 수출자가 감독 당국과 합의하여 선택한 비밀 유지 의무를 지는 전문 자격을 보유한 독립 구성원으로 구성된 검사 기관에 의해 수행됨).
g. 데이터 주체의 요청에 따라, 부록 2를 제외한 조항의 사본, 모든 하위 처리 계약 사본을 데이터 주체가 사용할 수 있도록 합니다. 이때 조항 및 계약에 상업적 정보가 포함되어 있는 경우 상업적 정보를 삭제해야 할 수도 있으며, 데이터 주체가 데이터 수출자에게 사본을 받지 못하는 경우 보안 조치 요약 설명으로 대체합니다.
h. 하위 처리의 경우, 사전에 데이터 수출자에 통보하고 사전 서면 동의를 받았습니다.
i. 하위 프로세서에 의한 처리 서비스는 조항 11에 따라 수행됩니다.
j. 조항에 따라 체결되는 하위 프로세서 계약의 사본을 데이터 수출자에게 즉시 송부합니다.
책임
1.당사자들은 조항 3 또는 조항 11에 규정된 의무 위반의 결과로 피해를 입은 데이터 주체가 데이터 수출자로부터 피해에 대한 보상을 받을 자격이 있다는 데 동의합니다.
2.데이터 수출자가 실제로 사라지거나 법률에 존재하지 않거나 파산되어 데이터 주체가 조항 6.1에 따라 데이터 수출자에 대해 데이터 수입자 또는 하위 프로세서의 조항 3 또는 조항 11의 의무 위반으로 인해 발생하는 보상 청구를 제기할 수 없는 경우, 데이터 수입자는 데이터 주체가 데이터 수입자를 데이터 수출자인 것처럼 취급하여 청구를 제기할 수 있다는 데 동의합니다. 단, 승계 기관이 계약 또는 법률에 의해 데이터 수출자의 모든 권리와 의무를 승계하여 데이터 주체가 해당 기관을 상대로 이를 집행할 수 있게 되는 경우는 제외합니다. 데이터 수입자는 자신의 책임을 피하기 위한 근거로 하위 프로세서의 위반을 이용할 수 없습니다.
3.데이터 수출자 및 데이터 수입자 모두가 실제로 사라지거나 법률에 존재하지 않거나 파산되어 데이터 주체가 조항 6.1 및 조항 6.2에 따라 데이터 수출자 또는 데이터 수입자에 대해 하위 프로세서의 조항 3 또는 조항 11의 의무 위반으로 인해 발생하는 보상 청구를 제기할 수 없는 경우, 하위 프로세서는 데이터 주체가 하위 프로세서를 데이터 수입자 또는 데이터 수출자인 것처럼 취급하여 청구를 제기할 수 있다는 데 동의합니다. 단, 승계 기관이 계약 또는 법률에 의해 데이터 수출자 또는 데이터 수입자의 모든 권리와 의무를 승계하여 데이터 주체가 해당 기관을 상대로 이를 집행할 수 있게 되는 경우는 제외합니다. 하위 프로세서의 이러한 책임은 조항에 따른 자체 처리 작업으로 제한됩니다.
중재 및 관할권
1.데이터 주체가 제3자 수혜자 권리를 주장하거나 조항에 따른 손해 배상을 청구하는 경우, 데이터 수입자는 데이터 주체의 다음 결정을 수락한다는 데 동의합니다.
a. 분쟁을 독립 중재인, 감독 당국에 의한 중재에 회부하는 행위,
b. 데이터 수출자가 위치한 회원국의 법원에 분쟁을 회부하는 행위.
2.당사자들은 데이터 주체의 선택이 국내 또는 국제법의 다른 조항에 따라 구제를 추구할 실질적인 또는 절차적 권리를 침해하지 않는다는 데 동의합니다.
감독 당국과의 협력
1.데이터 수출자는 요청이 있거나 해당 데이터 보호법에 따라 필요한 경우 감독 당국에 이 계약의 사본을 기탁하는 데 동의합니다.
2.당사자는 감독 당국이 해당 데이터 보호법에 따라 데이터 수출자의 감사에 적용되는 것과 동일한 범위와 조건으로 하위 프로세서에 대한 감사를 수행할 권리를 가진다는 데 동의합니다.
3.데이터 수입자는 조항 8.2에 따라 데이터 수입자 또는 하위 프로세서에 대한 감사의 수행을 방해하는 법률의 존재에 대해 데이터 수출자에 즉시 알립니다. 이러한 경우 데이터 수출자는 조항 5(b)에 규정된 조치를 취할 수 있습니다.
준거법
조항은 데이터 수출자가 설립된 회원국 법의 적용을 받습니다.
계약의 변경
당사자들은 조항을 변경하거나 수정하지 않을 것을 약속합니다. 필요한 경우 당사자들이 조항과 모순되지 않는 사업 관련 문제에 대한 조항을 추가하는 것은 가능합니다.
하위 처리
1.데이터 수입자는 데이터 수출자의 사전 서면 동의 없이 조항에 따라 데이터 수출자를 대신할 처리 작업을 하청하지 않습니다. 데이터 수입자가 데이터 수출자의 동의 하에 조항에 따른 의무를 하청하는 경우, 조항에 따라 데이터 수입자에 부과되는 것과 동일한 의무를 하위 프로세서에게 부과하는 서면 계약을 체결합니다. 이러한 서면 계약에 따라 하위 프로세서가 데이터 보호 의무를 이행하지 못하는 경우, 데이터 수입자는 계약에 따라 하위 프로세서의 의무 이행에 대해 데이터 수출자에 전적으로 책임을 집니다.
2.데이터 수출자 또는 데이터 수입자가 실제로 사라지거나 법률에 존재하지 않거나 파산되거나 계약 또는 법률에 의해 데이터 수출자의 모든 권리와 의무를 승계하는 기관이 없어 데이터 주체가 조항 6.1에 따라 데이터 수출자 또는 데이터 수입자에게 보상 청구를 제기할 수 없는 경우, 데이터 수입자와 하위 프로세서 간의 위 서면 계약은 조항 3에 규정된 제3자 수혜자 조항을 제공합니다. 하위 프로세서의 이러한 제3자 책임은 조항에 따른 자체 처리 작업으로 제한됩니다.
3.조항 11.1에 언급된 계약의 하위 처리에 대한 데이터 보호 관련 조항은 데이터 수출자가 설립된 회원국 법의 적용을 받습니다.
4.데이터 수출자는 조항에 따라 체결된 하위 처리 계약 목록을 보관하고 최소 1년에 한 번 업데이트하여 조항 5(j)에 따라 데이터 수입자에 통보합니다. 이 목록은 데이터 수출자의 데이터 보호 감독 기관에서 사용할 수 있습니다.
개인 정보 처리 서비스 종료 후 의무
1.당사자들은 데이터 처리 서비스 제공이 종료되면, 데이터 수입자 및 하위 프로세서는 데이터 수출자의 선택에 따라, 전송된 모든 개인 데이터와 그 사본을 데이터 수출자에 반환하거나 모든 개인 데이터를 파괴하고 그 증명을 데이터 수출자에 제공합니다. 단, 데이터 수입자에게 부과된 법률이 전송된 개인 데이터의 전부 또는 일부를 반환하거나 파괴하는 것을 금지하는 경우는 제외합니다. 그러한 경우, 데이터 수입자는 전송된 개인 데이터의 기밀성을 보장하며 더 이상 전송된 개인 데이터를 적극적으로 처리하지 않을 것을 보증합니다.
2.데이터 수입자 및 하위 프로세서는 데이터 수출자 및 감독 당국의 요청에 따라 조항 12.1에 언급된 조치에 대한 감사를 위해 데이터 처리 시설을 제출할 것을 보증합니다.
부록 1
전송에 대한 설명(컨트롤러-프로세서)
이 부록은 조항의 일부를 구성하며 당사자들이 작성하고 서명해야 합니다.
회원국은 국가의 절차에 따라 이 부록에 포함되는 필요한 정보를 추가적으로 작성하거나 지정할 수 있습니다.
데이터 수출자
데이터 수출자는 본 계약에 정의된 조직, 또는 조직을 대리하여 행동하지 않는 개인과 계약을 체결하는 경우, 해당 개인입니다.
데이터 수출자는 계약에 설명된 대로 온라인 서비스를 제공하기 위해 데이터 수입자와 계약했습니다.
데이터 수입자
데이터 수입자는 계약에 정의된 대로, 인터넷 부가 가치 서비스의 선도적인 공급자인 Tencent입니다. 데이터 수입자는 계약에 설명된 대로 특정 온라인 서비스를 제공하기 위해 데이터 수출자와 계약했습니다.
데이터 범주
전송된 개인 데이터는 다음과 같은 범주의 데이터와 관련이 있습니다(지정하십시오).
데이터 수출자가 업로드한 콘텐츠 또는 데이터 수출자가 수시로 데이터 수입자에 통보한 콘텐츠.
특별 범주 데이터
전송된 개인 데이터는 다음과 같은 특별 범주의 데이터와 관련이 있습니다(지정하십시오).
데이터 수출자가 업로드한 콘텐츠 또는 데이터 수출자가 수시로 데이터 수입자에 통보한 콘텐츠.
처리 작업
전송된 개인 데이터는 다음과 같은 기본 처리 활동의 대상이 됩니다(지정하십시오).
데이터 수입자는 데이터 수출자가 수행하는 활동을 지원하기 위해 개인 데이터를 처리합니다. 특히 데이터 수입자의 처리 활동은 데이터 수출자의 지침에 따라 데이터 수출자를 대신하여 수행되며, 데이터 호스팅, 데이터 백업, 통신, 데이터 분석, 통계, 분석, IT 시스템 관리, 주문 이행, 지원 서비스, 직원 관리 서비스, 처리 주문 지불, 마케팅 커뮤니케이션 제공, 프로모션 및 설문 조사, 운영, 소프트웨어 유지 관리 및 호스팅, 데스크톱 및 네트워크 관리를 포함한 정보 기술 서비스, 시스템 모니터링, 애플리케이션 및 프로그램 개발, 보관, 재해 관리, 데이터 복원 등을 포함합니다.
부록 2
기술 및 조직적 보안 조치
당사는 사용자의 콘텐츠를 보호하기 위한 포괄적인 개인 정보 보호 및 보안 프로그램을 구현했습니다. 이 프로그램에는 다음이 포함됩니다.
1.데이터 보안. 당사는 고객의 데이터를 무단 액세스로부터 보호하기 위해 다음과 같은 조치를 설계하고 구현했습니다.
a. 데이터 범주화 및 분류 표준.
b. 물리적, 네트워크, 시스템, 애플리케이션 수준의 인증 및 액세스 제어 기능.
c. 빅 데이터 기반 비정상적 행동 감지 메커니즘.
2.네트워크 보안. 당사는 물리적 및 논리적 격리를 통해 내부 네트워크(사무실 네트워크, 개발 네트워크, 테스트 네트워크, 프로덕션 네트워크 포함)에 대한 액세스 제어 및 경계 보호를 달성하기 위해 내부 네트워크 격리에 대한 엄격한 규칙을 구현합니다.
3.물리적 및 환경적 보안. 관련 지역 보안 요구 사항을 기반으로 Tencent Cloud의 데이터 센터에 대해 엄격한 인프라 및 환경 액세스 제어가 구현되었습니다. 데이터 센터 직원의 액세스 및 운영에 대한 효과적인 관리 및 제어를 위해 데이터 센터 인력의 유형과 해당 액세스 권한에 따라 액세스 제어 매트릭스가 설치됩니다.
4.사고 관리. 신속한 대응 및 처리 메커니즘과 결합된 액티브 및 실시간 서비스 모니터링을 운영하여 신속한 보안 검색 사고 탐지 및 처리를 지원합니다.
5.표준 준수. 컴플라이언스 센터 페이지에 나열된 표준을 준수하며 수시로 업데이트됩니다.
예
아니오
문제 해결에 도움이 되었나요?