QR Code AI 数据处理协议

数据处理协议（DPA）

最后更新日期：2026 年 3 月 2 日

本数据处理协议（“DPA”）构成本站服务条款（“协议”）的一部分，由注册于法国 Juvisy-sur-Orge 91260 Wurtz 街 27 号、增值税号 FR67948452891 的 Supernovae 公司（“处理方”、“我们”、“我方”）与同意本 DPA 的实体（“控制方”、“您”）共同签署，合称“双方”。

当我们在 QR Code AI 服务（包括通过 API）中代表您处理个人数据时，本 DPA 即适用。

1. 定义

• “个人数据” 指与已识别或可识别的自然人相关的任何信息，定义见 GDPR 第 4(1) 条。
• “处理” 指对个人数据执行的任何操作或操作集合，定义见 GDPR 第 4(2) 条。
• “数据主体” 指个人数据所涉及的已识别或可识别的自然人。
• “子处理方” 指处理方为控制方处理个人数据而委托的任何第三方。
• “GDPR” 指欧洲议会和理事会第 (EU) 2016/679 号条例。
• “英国 GDPR” 指根据《2018 年数据保护法》纳入英国法律的 GDPR。
• “标准合同条款（SCCs）” 指欧盟委员会批准的用于向第三国传输个人数据的标准合同条款。
• “数据泄露” 指导致个人数据意外或非法损毁、丢失、篡改、未经授权披露或访问的安全事件。

2. 范围与角色

2.1 控制方与处理方

就本 DPA 而言：

• 您（控制方）：当您使用我们的服务（尤其是通过 API 为您的客户生成二维码或将我们的服务集成到您的产品中）时，您决定个人数据处理的目的和方式。
• 我们（处理方）：我们将根据您的指示处理个人数据，具体如本 DPA 和协议所述。

2.2 本 DPA 的适用情形

本 DPA 在以下情形适用：

• 您使用 QR Code AI API 生成包含终端用户数据的二维码（例如包含个人信息的 URL、vCard 数据、编码在二维码中的联系信息）。
• 您使用 QR Code AI 的追踪和分析功能收集终端用户的扫描数据。
• 其他我们作为数据处理方代表您处理个人数据的情形。

当您以个人身份出于自身目的使用 QR Code AI 时，我们作为独立的数据控制方，数据处理受我们的隐私政策约束。

3. 数据处理详情

3.1 处理事项与期限

我们在协议有效期内处理个人数据，以提供 QR Code AI 服务，包括二维码生成、追踪、分析及相关功能。

3.2 处理的性质与目的

• 根据控制方提供的输入数据生成二维码
• 追踪二维码扫描并收集分析数据
• 存储二维码配置及相关元数据
• 处理 AI 生成的艺术二维码请求
• 提供报告和分析仪表盘

3.3 个人数据类型

处理的个人数据类型可能包括：

• 编码在二维码中的联系信息（姓名、电子邮件地址、电话号码）
• URL 和网页地址
• 二维码扫描产生的位置数据
• 二维码扫描产生的设备信息和 IP 地址
• 用于 AI 二维码生成的文本提示和图像
• 控制方选择编码在二维码中的任何其他数据

3.4 数据主体类别

• 扫描控制方创建的二维码的终端用户
• 联系信息被编码在二维码中的个人
• 使用控制方产品或服务并与二维码互动的用户

4. 处理方义务

4.1 处理指令

我们仅根据您的书面指示处理个人数据，除非欧盟或成员国法律要求我们这样做。在此情况下，除非法律基于重大公共利益理由禁止，否则我们将在处理前通知您该法律要求。

4.2 保密性

我们确保获准处理个人数据的人员已承诺保密，或受适当的法定保密义务约束。

4.3 安全措施

我们实施适当的技术和组织措施，确保与风险相适应的安全水平，包括：

• 传输中（TLS/HTTPS）和静态存储的个人数据加密
• 内部系统的访问控制和基于角色的身份验证
• 定期安全评估和漏洞扫描
• 基础设施托管于 ISO 27001 认证提供商
• DDoS 防护和 Web 应用防火墙（Cloudflare）
• 加密存储的定期备份
• 对个人数据访问的日志记录和监控

4.4 子处理方

我们使用的子处理方列于我们的子处理方页面。我们将通过更新该页面通知您任何拟议的子处理方变更。您可在更新后 30 天内通过 [email protected] 联系我们提出异议。如果您提出异议且我们无法合理满足，任一方均可终止受影响的服务部分。

我们与所有子处理方签订书面协议，施加不低于本 DPA 中数据保护义务的条款。

4.5 数据主体权利

我们将协助您响应数据主体根据适用数据保护法行使的权利请求（访问、更正、删除、限制、可携性、反对）。如果我们直接收到数据主体的请求，除非另有指示，否则我们会立即将其转交给您。

4.6 合规协助

我们将协助您履行 GDPR 第 32 至 36 条规定的义务，并考虑处理的性质和我们掌握的信息。

5. 数据泄露通知

5.1 通知时限

我们将在知悉数据泄露后毫不迟延地通知您，并在任何情况下于 72 小时内完成通知。通知将发送至您账户关联的电子邮件地址。

5.2 通知内容

通知将包括（在可获得的情况下）：

• 数据泄露性质的描述，包括受影响的数据主体类别和记录的大致数量。
• 我们数据保护联系人的姓名和联系方式。
• 数据泄露可能后果的描述。
• 为应对数据泄露而采取或拟采取的措施描述，包括减轻其可能不利影响的措施。

5.3 持续合作

我们将与您合作，并提供合理协助，以调查、缓解和补救任何数据泄露，并协助您向监管机构或数据主体进行必要的通知。

6. 跨境数据传输

6.1 数据位置

个人数据主要存储和处理于欧盟境内：

• 法国（欧盟），通过 Scaleway
• 荷兰（欧盟），通过 DigitalOcean

6.2 欧盟/欧洲经济区以外的传输

我们的部分子处理方位于欧盟/欧洲经济区以外，主要在美国。对于这些传输，我们依赖：

• 欧盟-美国数据隐私框架：在适用情况下，用于向该框架认证的美国提供商传输。
• 标准合同条款（SCCs）：对于不适用数据隐私框架的情况，我们在与欧盟/欧洲经济区以外的子处理方的协议中纳入欧盟委员会批准的 SCCs（委员会实施决定 (EU) 2021/914）。

6.3 传输影响评估

我们对向第三国的传输进行传输影响评估，并在必要时实施补充措施，以确保充分的数据保护水平。

7. 审计与检查

7.1 审计权利

您有权审计我们对本 DPA 的合规情况。我们将向您提供证明合规所需的所有信息，并允许您或您指定的审计员进行审计（包括检查）。

7.2 审计流程

审计须遵守以下条件：

• 您必须在任何审计前至少提前 30 天发出书面通知。
• 审计每年不得超过一次，除非监管机构要求或发生数据泄露。
• 审计必须在正常工作时间内进行，且不得无理干扰我们的运营。
• 您承担任何审计的费用，除非审计发现本 DPA 的重大违约。
• 审计期间不得暴露我们其他客户的机密信息。

8. 数据保留与删除

8.1 协议期间

我们在协议有效期内保留个人数据，以提供服务所需。

8.2 协议终止后

在协议终止或收到您的书面请求后：

• 我们将在 30 天内从活跃系统中删除个人数据。
• 备份存档中的个人数据将在 6 个月内清除。
• 如适用法律要求（例如税务、会计义务），我们可保留个人数据，在此情况下我们将隔离并保护此类数据，并将进一步处理限制在法律要求的范围内。

8.3 证明

应您的要求，我们将提供书面确认，证明个人数据已按本节规定删除。

9. 责任

双方在本 DPA 下的责任受协议中责任限制条款的约束。本 DPA 中的任何内容均不限制任一方向数据主体或监管机构根据适用数据保护法承担的责任。

10. 管辖法律

本 DPA 受法国法律管辖。对于欧盟的数据主体，适用 GDPR。对于英国的数据主体，适用英国 GDPR。因本 DPA 引起的任何争议将根据协议中的争议解决条款解决。

11. 如何执行本 DPA

本 DPA 已纳入并构成本站服务条款的一部分。通过使用 QR Code AI 服务，即表示您同意本 DPA。

如您需要单独签署的 DPA 副本存档，请通过 [email protected] 联系我们，我们将在 10 个工作日内提供。

12. 联系方式

如对本 DPA 或我们的数据处理实践有任何疑问：

Supernovae 27 Rue Wurtz Juvisy-sur-Orge, Ile-de-France 91260 法国 [email protected]