QR Code AI资料处理协议

资料处理协议（DPA）

最后更新日期：2026年3月2日

本资料处理协议（“DPA”）构成服务条款（“协议”）的一部分，协议双方为：注册于法国Juvisy-sur-Orge 91260 Wurtz街27号、增值税号FR67948452891的SuperNovae公司（“处理方”、“我们”、“我方”），以及同意本DPA的实体（“控制方”、“您”），合称“双方”。

当我们在QR Code AI服务（包括通过API）中代表您处理个人数据时，本DPA即适用。

1. 定义

• “个人数据” 指与已识别或可识别的自然人相关的任何信息，定义见GDPR第4(1)条。
• “处理” 指对个人数据执行的任何操作或操作集合，定义见GDPR第4(2)条。
• “数据主体” 指个人数据所涉及的已识别或可识别的自然人。
• “子处理方” 指由处理方委托代表控制方处理个人数据的任何第三方。
• “GDPR” 指欧洲议会和理事会第(EU) 2016/679号条例。
• “英国GDPR” 指根据2018年《数据保护法》纳入英国法律的GDPR。
• “标准合同条款（SCCs）” 指欧盟委员会批准用于向第三国传输个人数据的标准合同条款。
• “数据泄露” 指导致个人数据意外或非法销毁、丢失、篡改、未经授权披露或访问的安全事件。

2. 范围与角色

2.1 控制方与处理方

就本DPA而言：

• 您（控制方）：当您使用我们的服务（特别是使用我们的API为您的客户生成QR Code或将我们的服务集成到您的产品中）时，您决定个人数据处理的目的和方式。
• 我们（处理方）：我们将根据您的指示处理个人数据，具体如本DPA及协议所述。

2.2 本DPA的适用情形

本DPA适用于以下情况：

• 您使用QR Code AI API生成包含最终用户数据的QR Code（例如包含个人信息的URL、vCard数据、编码在QR Code中的联系信息）。
• 您使用QR Code AI的追踪与分析功能收集最终用户的扫描数据。
• 其他我们作为数据处理方代表您处理个人数据的情形。

当您以个人身份出于自身目的使用QR Code AI时，我们作为独立的数据控制方，数据处理受我们的隐私政策约束。

3. 数据处理详情

3.1 处理事项与期限

我们在协议有效期内处理个人数据，以提供QR Code AI服务，包括QR Code生成、追踪、分析及相关功能。

3.2 处理性质与目的

• 根据控制方提供的输入数据生成QR Code
• 追踪QR Code扫描并收集分析数据
• 存储QR Code配置及相关元数据
• 处理AI生成的艺术QR Code请求
• 提供报告与分析仪表板

3.3 个人数据类型

处理的个人数据类型可能包括：

• 编码在QR Code中的联系信息（姓名、电子邮件地址、电话号码）
• URL与网页地址
• QR Code扫描产生的位置数据
• QR Code扫描产生的设备信息与IP地址
• 用于AI QR Code生成的文本提示与图像
• 控制方选择编码在QR Code中的任何其他数据

3.4 数据主体类别

• 扫描控制方创建的QR Code的最终用户
• 联系信息被编码在QR Code中的个人
• 使用控制方产品或服务并与QR Code互动的用户

4. 处理方义务

4.1 处理指令

我们仅根据您的书面指示处理个人数据，除非欧盟或成员国法律要求我们这样做。在此情况下，除非法律基于重大公共利益理由禁止披露，否则我们将在处理前通知您该法律要求。

4.2 保密性

我们确保获准处理个人数据的人员已承诺保密，或受适当的法定保密义务约束。

4.3 安全措施

我们实施适当的技术与组织措施，确保与风险相适应的安全水平，包括：

• 传输中（TLS/HTTPS）与静态存储时的个人数据加密
• 内部系统的访问控制与基于角色的身份验证
• 定期安全评估与漏洞扫描
• 基础设施托管于ISO 27001认证提供商
• DDoS防护与Web应用防火墙（Cloudflare）
• 加密存储的定期备份
• 对个人数据访问的日志记录与监控

4.4 子处理方

我们使用的子处理方列于我们的子处理方页面。我们将通过更新该页面通知您任何拟议的子处理方变更。您可在更新后30天内通过[email protected]联系我们提出异议。如您提出异议且我们无法合理满足，任一方均可终止受影响的服务部分。

我们与所有子处理方签订书面协议，施加不低于本DPA所载的数据保护义务。

4.5 数据主体权利

我们将协助您响应数据主体根据适用数据保护法行使的权利请求（访问、更正、删除、限制、可携性、反对）。如我们直接收到数据主体的请求，除非另有指示，否则我们将立即将其转介给您。

4.6 合规协助

我们将协助您履行GDPR第32至36条规定的义务，并考虑处理的性质及我们可获得的信息。

5. 数据泄露通知

5.1 通知时限

我们将在知悉数据泄露后72小时内毫不迟延地通知您。通知将发送至您账户关联的电子邮件地址。

5.2 通知内容

通知将包含（在可获得范围内）：

• 数据泄露性质的描述，包括受影响的数据主体类别与记录的大致数量。
• 我们数据保护联络点的姓名与联系方式。
• 数据泄露可能后果的描述。
• 为应对数据泄露而采取或拟采取的措施描述，包括减轻可能不利影响的措施。

5.3 持续合作

我们将与您合作，并提供合理协助，以调查、缓解和补救任何数据泄露，并协助您向监管机构或数据主体进行必要的通知。

6. 跨境数据传输

6.1 数据存放位置

个人数据主要存储并处理于欧洲联盟：

• 法国（欧盟） 通过Scaleway
• 荷兰（欧盟） 通过DigitalOcean

6.2 欧盟/欧洲经济区以外的传输

部分子处理方位于欧盟/欧洲经济区以外，主要在美国。对于此类传输，我们依赖：

• 欧盟-美国数据隐私框架：在适用情况下，用于向经该框架认证的美国提供商传输。
• 标准合同条款（SCCs）：对于不适用数据隐私框架的情况，我们在与欧盟/欧洲经济区以外的子处理方的协议中纳入欧盟委员会批准的SCCs（委员会实施决定(EU) 2021/914）。

6.3 传输影响评估

我们对向第三国的传输进行传输影响评估，并在必要时实施补充措施，以确保充分的数据保护水平。

7. 审计与检查

7.1 审计权利

您有权审计我们对本DPA的合规情况。我们将向您提供证明合规所需的所有信息，并允许您或您委任的审计员进行审计（包括检查）。

7.2 审计流程

审计须符合以下条件：

• 您必须在任何审计前至少提前30天发出书面通知。
• 审计每年不得超过一次，除非监管机构要求或发生数据泄露。
• 审计必须在正常营业时间内进行，且不得不合理干扰我们的运营。
• 您承担任何审计的费用，除非审计发现本DPA的重大违约。
• 审计期间不得暴露我们其他客户的机密信息。

8. 数据保留与删除

8.1 协议期间

我们在协议有效期内保留个人数据，以提供服务所需。

8.2 协议终止后

协议终止或收到您的书面请求后：

• 我们将在30天内从活跃系统中删除个人数据。
• 备份存档中的个人数据将在6个月内清除。
• 如适用法律要求（例如税务、会计义务），我们可保留个人数据，在此情况下我们将隔离并保护此类数据，并将后续处理限制在法律要求范围内。

8.3 证明

应您的要求，我们将提供书面确认，证明个人数据已按本节规定删除。

9. 责任

双方在本DPA下的责任受协议中责任限制条款约束。本DPA中的任何内容均不限制任一方向数据主体或监管机构根据适用数据保护法承担的责任。

10. 管辖法律

本DPA受法国法律管辖。对于欧盟的数据主体，适用GDPR。对于英国的数据主体，适用英国GDPR。因本DPA引起的任何争议将根据协议中的争议解决条款解决。

11. 如何执行本DPA

本DPA已纳入并构成服务条款的一部分。通过使用QR Code AI服务，您同意本DPA。

如您需要单独签署的DPA副本存档，请通过[email protected]联系我们，我们将在10个工作日内提供。

12. 联络方式

如对本DPA或我们的数据处理实践有任何疑问：

SuperNovae Wurtz街27号 Juvisy-sur-Orge, 法兰西岛 91260 法国 [email protected]