Dropbox Business 协议

发布时间：2016 年 9 月 14 日

本 Dropbox Business 协议（“协议”）由 Dropbox International Unlimited Company 公司（如果您的组织不在美国、加拿大和墨西哥（“北美”））或者由美国特拉华州的 Dropbox, Inc. 公司（如果您的组织在北美）（二者简称为“Dropbox”）与同意这些条款的组织（“客户”）订立。访问和使用 Dropbox Business 客户端软件和服务（统称为“Dropbox Business”）以及我们向您提供的测试版服务（与 Dropbox Business 一起统称为“服务”）时皆需遵守本协议。单击“我同意”，签署服务使用合同或使用服务，均表示您以客户的身份同意本协议。

如果 Dropbox, Inc. 代表客户处理受制于施行欧盟数据保护指令 (95/46/EC)（“欧盟数据保护法”）的国家法律的客户数据，则单击“我同意”即表示您也同意与 Dropbox, Inc. 签订附件 1 中针对将个人数据传输给处理者而设置的《欧盟标准合同条款》。

如果是为了组织使用服务而同意本协议及附件 1（如适用），即表示您代表该组织同意。您必须有权使该组织受相关条款的约束，否则您不得注册使用服务。

1. 服务。
   1. 服务的提供。客户和客户服务帐户的用户（“最终用户”）可根据本协议的规定访问和使用服务。
   2. 设施和数据处理。Dropbox 至少会使用技术和组织方面的行业标准安全措施来传输、存储和处理客户数据。这些措施的目的是保护客户数据的完整性，阻止未经授权或非法访问、使用和处理客户数据。客户同意，Dropbox 可在美国和非客户所在国家/地区的地方传输、存储和处理客户数据。如果客户数据受欧盟数据保护法约束且是由 Dropbox 以数据处理者的身份代表客户（数据控制者）处理，Dropbox 将按客户指示使用和处理此类客户数据，以提供服务并履行协议规定 Dropbox 应承担的义务。“客户数据”指存储的数据和帐户数据。“存储的数据”指客户或最终用户向服务提交的文件和结构化数据。“帐户数据”指客户或最终用户向服务提交的帐户和联系信息。
   3. 服务的修改。Dropbox 可能不时更新服务。如果 Dropbox 对服务所做的变更严重削减了其功能，Dropbox 将通过与帐户关联的电子邮件地址通知客户。
   4. 软件。部分服务允许客户下载 Dropbox 软件，该软件可能会自动更新。客户仅可出于访问服务的目的而使用软件。如果软件的任何组件是根据开源许可提供的，Dropbox 将向客户提供该许可，且该许可的规定可明确覆盖本协议中的部分条款。
   5. 测试版服务。Dropbox 可能会提供仍在测试和评估的功能或产品。这些产品和功能标识为 Alpha 版、Beta 版、预览版、预先体验版或评估版，或采用意思相似的其他字词或短语标识（统称为“测试版服务”）。无论本协议或附件 1 中是否有任何相反的规定，以下条款都适用于所有测试版服务：(a) 您可以使用或拒绝使用任何测试版服务；(b) 测试版服务可能不提供支持，且随时可能调整而不另行通知；(c) 测试版服务的可靠性或可用性可能不如 Dropbox Business；(d) 测试版服务尚未与 Dropbox Business 采用相同的安全措施和接受相同的审核；并且 (e) Dropbox 不承担因测试版服务所引起或与其相关的任何责任，使用测试版服务时您必须自行承担风险。
2. 客户义务。
   1. 合规。客户应对其最终用户使用服务的行为负责。客户及其最终用户必须根据可接受使用政策使用服务。客户应取得最终用户的同意，以允许管理员执行本协议中说明的活动，并允许 Dropbox 提供服务。在使用服务时，客户应遵守适用的法律和法规（如果有的话）。
   2. 服务的客户管理。客户可通过管理员控制台将最终用户指定为“管理员”。管理员可能有权限在（或从）服务帐户中访问、披露、限制或删除客户数据。管理员可能还可监督、限制或终止服务帐户的访问权限。Dropbox 的责任不扩展至服务的内部管理。客户应负责：(i) 维护密码及管理员帐户的机密性；(ii) 管理管理员帐户的访问权限；(iii) 确保管理员对服务的使用符合本协议的规定。客户同意，如果客户通过分销商购买服务并委托分销商的任何人作为客户的服务帐户管理员，则该分销商能控制帐户信息（包括客户数据）并访问客户的服务帐户（详情如上所述）。
   3. 未经授权的使用和访问。客户应阻止其最终用户在未经授权的情况下使用服务，并终止任何未经授权使用或访问服务的行为。13 岁以下的最终用户不得使用服务。客户应确保不允许任何 13 岁以下人士使用服务。如果有任何人在未经授权的情况下使用或访问服务，客户应立即通知 Dropbox。
   4. 受限使用。客户不得 (i) 出售、转售或出租服务；(ii) 在使用服务或服务故障可能会导致物理损坏、死亡或人身伤害的活动中使用服务；或者 (iii) 对服务进行反工程，也不得尝试或协助任何人这样做，除非此限制受法律禁止。
   5. 第三方请求。
      1. “第三方请求”指第三方为获得与最终用户使用服务相关的记录而发出的请求，这些记录包括最终用户或客户的服务帐户内的信息。第三方请求可包括有效的搜索令、法庭指令或传票，或者获得了最终用户对披露行为出具的书面同意的任何其他请求。
      2. 客户应负责通过自己对信息的访问来回应第三方请求。客户应设法获得信息以回应第三方请求，且仅在经过努力仍无法获得该信息时再与 Dropbox 联系。
      3. Dropbox 将采取商业上合理的方式、在法律允许的范围内，并根据第三方请求的条款：(A) 立即将 Dropbox 收到第三方请求的情况通知客户；(B) 遵守客户为拒绝第三方请求而做出的商业上合理的请求；(C) 向客户提供其回应第三方请求所需的信息和工具（如果客户无法获得这些信息）。如果客户未能立即回应任何第三方请求，那么 Dropbox 可以做出回应，但 Dropbox 并无义务这么做。
3. 第三方服务。如果客户搭配服务使用任何第三方服务（例如使用了 Dropbox API 的服务），(a) Dropbox 不对第三方的任何作为和不作为负责，包括第三方对客户数据的访问或使用；(b) Dropbox 不担保或支持任何由第三方提供的服务。
4. 中止
   1. Dropbox 中止最终用户帐户。如果最终用户 (i) 违反本协议或 (ii) 对服务的使用使 Dropbox 有理由相信将导致其承担责任，那么 Dropbox 可要求客户中止或终止适用的最终用户帐户。如果客户未能立即中止或终止最终用户帐户，Dropbox 可代为执行。
   2. 紧急安全情况。如果出现紧急安全情况，那么无论本协议中有任何条款，Dropbox 均可自动中止服务的使用。Dropbox 将采取商业上合理的措施，根据阻止或控制紧急安全情况的需要尽可能缩小中止范围。“紧急安全情况”是指：(i) 服务的使用会对或可能对服务、其他用户对服务的使用，或者用于提供服务的基础设施造成干扰，以及 (ii) 第三方未经授权访问服务。
5. 知识产权。
   1. 权利保留。除非文中明确说明，否则本协议 (i) 不会授予 Dropbox 对客户数据的任何知识产权；(ii) 不会向客户授予服务或 Dropbox 商标和品牌特征中的任何知识产权。“知识产权”是指在现在和未来世界范围内的专利权、版权、商业秘密、商标、道德权利和其他类似权利。
   2. 有限权限。客户仅向 Dropbox 授予后者提供服务（例如托管存储的数据）所需的合理的有限权利。此权限还可扩展至我们的附属公司以及 Dropbox 为提供服务而与之合作的受信任第三方（例如负责处理费用支付的付款提供商）。
   3. 建议。Dropbox 可自行决定并出于任何目的使用、修改客户或最终用户发送给 Dropbox 或者发布在 Dropbox 论坛上的任何反馈、评论或建议，并将这些反馈、评论或建议纳入产品和服务、许可证和子许可证，而无需对客户承担任何义务。
   4. 客户列表。Dropbox 可在 Dropbox 网站上的 Dropbox 客户清单或宣传资料中添加客户姓名。
6. 费用与付款。
   1. 费用。客户应支付所有的相关费用，并授权 Dropbox 或客户的分销商使用客户选择的付款方式收取这些费用。除法律要求的情况外，费用概不退款。客户有责任向 Dropbox 或客户的分销商提供完整、准确的结算和联系信息。如果费用逾期未付，Dropbox 可暂停或终止服务。
   2. 自动续订与试用。如果客户帐户设为自动续订或处于试用期，Dropbox（或客户的分销商）可自动在试用期结束后或需要续订时收取费用，除非客户通知 Dropbox（适用情况下可以通知客户的分销商）希望取消或停用自动续订功能。Dropbox 可在距下次收费至少 30 天前通过向客户发出通知的方式修改服务费率。
   3. 税金。所有税金由客户负责。Dropbox 或客户的分销商将于必要时收取税金。如果法律要求客户扣除任何税金，客户必须向 Dropbox 或客户的分销商提供一份正式的纳税收据或其他适当的文件。
   4. 订购单。如果客户要求使用订购单或订购单号，客户 (i) 必须在订购时提供订购单号，(ii) 同意客户订购单上的任何条款和条件均不适用于本协议，为无效条款。如果客户通过分销商购买，来自客户的分销商或客户与其分销商之间的购买订单中的任何条款和条件如与 Dropbox Business 协议冲突，即失去效力。
7. 期限与终止。
   1. 期限。本协议有效期至用户的服务订阅到期或终止，或者至本协议终止。
   2. 违约终止。有发生以下情况的，Dropbox 或客户可终止本协议：(i) 另一方严重违反本协议且未能在收到书面通知后 30 天内做出补救，或者 (ii) 另一方停止业务运营或者成为破产程序主体且该程序未在 90 天内撤销。
   3. 终止的影响。如果本协议终止：(i) Dropbox 授予客户的权利将立即终止（本节规定的除外）；(ii) Dropbox 可以当时的费率提供客户访问其帐户的权限，使客户可以导出其存储的数据；以及 (iii) Dropbox 可在商业上合理的期限后删除与客户帐户相关的任何已存储数据。以下各节在本协议过期或终止后仍将有效：2(e)（第三方请求）、5（知识产权）、6（费用与付款）、7(c)（终止的影响）、8（赔偿）、9（免责声明）、10（责任限制）、11（争议）和 12（其他）。
8. 赔偿。
   1. 客户赔偿。对于第三方就以下各项针对 Dropbox 及其联属公司提出索赔而产生的所有责任、赔偿和费用（包括和解费用及合理的律师费），客户将对 Dropbox 做出赔偿，为其提供抗辩并使其不受损害：(i) 客户数据；(ii) 客户对服务的使用违反本协议；或者 (iii) 最终用户对服务的使用违反本协议。
   2. Dropbox 赔偿。如果第三方指控 Dropbox 用于向客户提供服务的技术侵犯或盗用任何第三方的版权、商业秘密、美国专利或商标权，并据此向客户提出索赔，对于客户因此产生的一切责任、赔偿和费用（包括和解费用和合理的律师费），Dropbox 将向客户做出赔偿，为客户提供抗辩并使其不受损害。因以下原因而产生的任何本节项下的义务或责任，Dropbox 概不承担：(i) 以经过修改的形式或与非 Dropbox 提供的材料组合使用任何服务，以及 (ii) 客户、最终用户或其他第三方提供的任何内容、信息或数据。
   3. 可能的侵权。如果 Dropbox 认为服务侵犯或可能被指控侵犯第三方的知识产权，Dropbox 必须：(i) 自费为客户获得继续使用服务的权利；(ii) 提供不侵权的同等功能作为替代；或者 (iii) 修改服务使之不再侵权。如果 Dropbox 认为本节所述的选项从商业方面而言不合理，那么 Dropbox 可中止或终止客户使用受影响的服务（按比例返还为服务预付的费用）。
   4. 一般规定。要求赔偿的一方应立即向另一方通知索赔事项，并与另一方合作为索赔辩护。赔偿方对辩护有完全的控制和权限，以下情况除外：(i) 双方同意和解，要求索赔方承认责任，这将需要提供事先的书面同意（不得无理拒绝或延迟提供），以及 (ii) 另一方可自费请自己的律师加入辩护。根据本协议，上述赔偿是 Dropbox 和客户对另一方侵犯第三方知识产权的唯一补救办法。
9. 免责声明。服务是“按原样”提供的。在法律允许的最大范围内，除非本协议明确说明，否则客户与 Dropbox 及其附属公司、供应商和分销商均不做任何形式的明示担保、暗示担保、法定担保或其他担保，包括适销性担保、特定用途的适用性担保或者非侵权担保。客户应负责维护和备份存储的任何数据。
10. 责任限制。
    1. 间接责任限制。根据本协议的规定，在法律允许的最大范围内，除 Dropbox 或客户的赔偿义务之外，客户与 Dropbox 及其附属公司、供应商和分销商不对以下事项承担责任：(i) 间接、特殊、偶发、继发、警戒性或惩罚性的损害，或 (ii) 使用、数据、业务、收入或利润（不管是直接还是间接）方面的损失，即使该方知道或者应该知道此类损害可能发生，即使补救措施无法达到其基本目的。
    2. 赔偿限额。在法律允许的最大范围内，根据本协议，Dropbox 的赔偿总额将不超过 100,000 美元或引发责任的事件发生前 12 个月内客户支付给 Dropbox 的服务费用金额，二者取其小者。
11. 争议。
    1. 非正式解决。Dropbox 希望在无需正式起诉的情况下解决您的问题。在提起诉讼之前，双方同意尝试按照第 12(e) 条的通知程序与另一方联系解决争议。如果争议未能在通知之日起 30 天内解决，客户或 Dropbox 可提起正式诉讼。
    2. 仲裁约定。客户和 Dropbox 同意通过最终的约束性仲裁来解决与本协议相关的任何索赔，下文所规定者除外。美国仲裁协会 (AAA) 根据其《商事仲裁规则》管理仲裁。仲裁地点为加利福尼亚州旧金山或双方以书面形式同意的任何其他地点。
    3. 仲裁约定例外。任一方均可独自在加利福尼亚州旧金山的联邦法庭或州法庭提起诉讼，要求禁令救济以停止未经授权地使用或滥用服务，或者停止侵犯知识产权的行为，而无需先进行上文所述的非正式争议通知程序。客户和 Dropbox 同意诉讼地点和属人管辖权在该地。
    4. 无集体诉讼。客户只能以个体形式与 Dropbox 解决争议，不得在集体诉讼、合并诉讼或代表人诉讼中提起索赔。集体仲裁、集体诉讼、私人检察官诉讼及与其他仲裁合并是不被允许的。
12. 其他。
    1. 条款修订。Dropbox 可能不时修订本协议，最新版本会及时在 Dropbox Business 网站上发布。Dropbox 有权自行决定是否修订，如果修订意义重大，Dropbox 将通知客户（例如通过发送电子邮件到与相应帐户关联的电子邮件地址）。其他修订可能发布在 Dropbox 的博客或条款页面上，客户有责任定期查看这些发布内容。在修订生效后继续访问或使用服务，即表示客户同意受修订后的协议约束。如果客户不同意修订后的协议条款，客户可在收到变更通知之日起 30 天内终止使用服务。
    2. 完整协议。本协议（包括客户与 Dropbox 之间的发票和相关订单）构成客户与 Dropbox 之间就本协议标的达成的完整协议，并取代和替换任何先前或同时期就本协议标的达成的书面或口头共识或协议。如果构成本协议的文档之间有冲突，文档的控制力优先顺序如下：Dropbox 发票、Dropbox 订单、本协议。
    3. 管辖法律。本协议受加利福尼亚法律管辖，但不适用其法律冲突原则。
    4. 可分割性。为反映双方意图，我们会修改无法执行的规定，但修改仅限于在使规定得以执行的所需范围内，且协议的其余规定仍具有完整效力。
    5. 通知。通知必须通过一类邮件、航空邮件或隔夜快递发送，一经接收即视为已送达。给客户的通知也可发送至适用帐户的电子邮件地址，一经发送即视为已送达。给 Dropbox 的通知必须寄至 Dropbox, Inc., P.O.Box 77767, San Francisco, CA 94107，同时应抄送给法务部门。
    6. 弃权。对任何违约的弃权不等于对任何后续违约的弃权。
    7. 转让。客户不得在未经 Dropbox 书面同意的情况下出让或转让本协议或本协议规定的任何权利或义务。Dropbox 不得在未通知客户的情况下转让本协议，但 Dropbox 可以将本协议或本协议规定的任何权利或义务转让给附属公司，或者因为兼并、收购、企业重组，或出售全部或几乎全部资产而转让，且无需提供通知。任何其他转让或出让意图均无效。
    8. 非代理人。Dropbox 与客户不是法定合伙人或代理人，而是独立的合同方。
    9. 不可抗力。除付款义务之外，对于因超出一方合理控制能力的情况所导致的履约不充分，Dropbox 和客户均不承担责任（例如自然灾害、战争或恐怖活动、暴乱、工作环境、政府行为以及互联网干扰）。
    10. 无第三方受益人。本协议无第三方受益人。在不限制本节规定的情况下，客户的最终用户不是客户在本协议项下权利的第三方受益人。
    11. 出口限制。通过服务进行的客户数据出口和再出口需遵守《美国出口管理条例》或其他适用的出口限制或禁运规定。不得在古巴、伊朗、朝鲜、苏丹、叙利亚或美国对其禁运的任何国家/地区使用本服务，客户在使用服务时不得违反美国或任何其他适用司法管辖区的任何出口限制或禁运规定。此外，客户必须确保不向美国《拒绝订购表》、《实体名单》或《特别指定国民名单》中所列之人提供服务。

根据第 95/46/EC 号指令第 26(2) 条规定，针对将个人数据传输给第三国不能确保足够数据保护层级的处理者

数据导出组织的名称：与 Dropbox International Unlimited Company 签订 Dropbox Business 协议的客户
（“数据导出者”）

以及

数据导入组织的名称：Dropbox, Inc.
地址：333 Brannan Street, San Francisco, CA 94107 USA
（“数据导入者”）

分别称“方”；统称“双方”

已商定下列合同条款（“条款”），以便在数据导出者将附录 1 中规定的个人数据传输给数据导入者过程中，为个人隐私和基本权利及自由提供足够的保障。

在各条款中：

1. “个人数据”、“特殊类别数据”、“处理”、“控制者”、“处理者”、“数据当事人”和“监管机构”的含义与其在 1995 年 10 月 24 日欧洲议会和理事会就处理个人数据时保护个人权利和此类数据自由流动问题颁布的第 95/46/EC 号指令内的含义相同¹；
2. “数据导出者”指传输个人数据的控制者；
3. “数据导入者”指同意接收来自数据导出者的个人数据，以便在传输后根据其指示以及条款内容的规定代其处理之处理者，且该处理者不受第三国为确保在第 95/46/EC 号指令第 25(1) 条要求之下提供足够保护而设立的系统所约束；
4. “分处理者”指受数据导入者或数据导入者之任何其他分处理者的委托，而同意接收来自数据导入者或来自数据导入者之任何其他分处理者的个人数据的任何处理者，他们在传输后根据数据导出者的指示并依照条款内容以及书面分包合同条款的规定，将所收到的个人数据专用于以数据导出者的名义开展的处理活动；
5. “适用的数据保护法律”指数据导出者所在成员国内适用于数据控制者的、用于在个人数据处理中保护个人基本权利和自由（特别是其隐私权）的法律；
6. “技术与组织安全措施指目的如下的各项措施：保护个人数据，使其免受意外或不法损毁、意外丢失、篡改、未经授权的披露或查阅（尤其是处理操作涉及到通过网络传输数据时），以及所有其他方式的不法处理。

作为条款内容不可缺少的部分，详细传输信息（若适用，尤其是特殊类别的个人数据）在附录 1 中说明。

1. 数据当事人可作为第三方受益人要求数据导出者履行本条款、第 4(b) 至 (i) 条、第 5(a) 至 (e) 条以及 (g) 至 (j) 条、第 6(1) 和 (2) 条、第 7 条、第 8(2) 条以及第 9 至 12 条。
2. 当数据导出者实际已消失或在法律中已不存在时，数据当事人可要求数据导入者履行本条款、第 5(a) 至 (e) 和 (g) 条、第 6 条、第 7 条、第 8(2) 条以及第 9 至 12 条；但如果有后续实体已依照合同或法律规定继受数据导出者的全部法律义务，因而需承担数据导出者的权利和义务，则数据当事人可要求此类实体履行相关条款。
3. 当数据导出者和数据导入者实际都已消失、在法律中已不存在或无力偿债时，数据当事人可要求分处理者履行本条款、第 5(a) 至 (e) 和 (g) 条、第 6 条、第 7 条、第 8(2) 条以及第 9 至 12 条；但如果有后续实体已依照合同或法律规定继受数据导出者的全部法律义务，因而需承担数据导出者的权利和义务，则数据当事人可要求此类实体履行相关条款。分处理者所承担的此类第三方责任应限于其根据条款内容进行的处理操作范围内。
4. 在数据当事人明确希望且国内法律允许的情况下，数据当事人可由某一团体或其他机构代表，双方对此无任何异议。

数据导出者同意并保证：

1. 已根据适用数据保护法的相关规定处理并将继续如此处理（包括传输）个人数据（且在适用情况下已通知数据导出者所在成员国的相关机构），并且不违反该成员国的相关条款；
2. 已指示并将在个人数据处理活动中全程指示数据导入者仅以数据导出者的名义并根据适用的数据保护法及条款内容处理传输的个人数据。
3. 数据导入者将针对本合同附录 2 中规定的技术和组织安全措施提供足够的保证；
4. 在评估适用数据保护法的规定后，安全措施可以适当保护个人数据，使其免受意外或非法损毁、意外丢失、篡改、未经授权的披露或查阅（尤其是处理操作涉及到通过网络传输数据时），以及所有其他方式的不法处理；并且，考虑到最新技术水平和落实措施的成本，有关措施必须确保针对处理操作所产生之风险及受保护数据之性质提供适当水平的安全保障；
5. 将确保遵守安全措施；
6. 如果传输操作涉及特殊类别的数据，则已通知数据当事人数据可能传输到不能提供第 95/46/EC 号指令所规定的足够安全保障的第三国家（或将在此类传输之前或之后尽速通知）；
7. 如果数据导出者决定继续传输或取消暂停，则根据第 5(b) 条和第 8(3) 条规定将从数据导入者或任何分处理者处收到的任何通知转发给数据保护监管机构；
8. 应要求向数据当事人提供条款副本（附录 2 除外）、安全措施的摘要说明，以及分处理服务合同（必须符合条款规定）副本，但如果条款或合同包含商业信息，则可删除此类商业信息；
9. 如需进行分处理，将由分处理者根据第 11 条规定开展处理活动，分处理者必须根据合同条款规定为个人数据和数据当事人权利提供至少与数据导入者所提供的同等的保障；以及
10. 将确保遵守第 4(a) 至 (i) 条。

数据导入者同意并保证：

1. 仅代表数据导出者并根据其指示和合同条款处理个人数据；若出于任何理由不能遵守，则立即通知数据导出者其无法遵守，在此情况下数据导出者有权暂停数据传输及/或终止合同；
2. 没有理由认为适用法律会阻止其履行从数据导出者处收到的指示和合同规定的义务；倘若此法律变更，可能对合同条款规定的保固和义务产生显著的不利影响，则在知悉时便立即将变更通知数据导出者，在此情况下数据导出者有权暂停数据传输及/或终止合同；
3. 在处理所传输的个人数据前，施行附录 2 中规定的技术和组织安全措施；
4. 会立即将以下情况通知数据导出者：
   1. 执法机构发出的任何具有法律约束力的个人数据披露请求，除非另有禁止通知的规定，例如因保护执法调查的机密性而根据刑法做出的禁止；
   2. 任何意外或未经授权的访问；以及
   3. 直接从数据当事人处收到的任何请求（除非已另行取得响应该请求的授权，否则不得响应该请求）；
5. 即时正确处理数据导出者关于其对传输过程中个人数据的处理的所有咨询，并遵守监管机构关于处理所传输数据的建议；
6. 根据数据导出者的请求，提交审核条款内容所涵盖的处理活动时所用的数据处理设施，这些活动应由数据导出者或由独立成员组成且具备必要专业资质的检查机构开展，该检查机构受保密义务的约束，应由数据导出者选择并取得监管机构的同意（如果适用的话）；
7. 应要求向数据当事人提供条款或任何现有分处理合同的副本（但如果条款内容或合同包含商业信息，则可删除此类商业信息），附录 2 除外（在数据当事人无法从数据导出者处获得副本的情况下，应以安全措施摘要说明取代附录 2）。
8. 如果要进行分处理，将在处理之前通知数据导出者并获得事先书面同意；
9. 分处理者的处理服务将根据第 11 条开展；
10. 即时向数据导出者发送一份根据条款订立的分处理协议副本。

1. 双方同意，因任何一方或分处理者违反根据第 3 条或第 11 条所承担的义务而使数据当事人蒙受损害，数据当事人有权对所蒙受损害从数据导出者处获得补偿。
2. 如果因为数据导出者实际已消失、在法律中已不存在或无力偿债，致使数据当事人无法根据第 1 款就数据导入者或其分处理者违反第 3 条或第 11 条所述之任何义务而对数据导出者提出索赔，则数据导入者同意，数据当事人可对数据导入者提出索赔（就如同其是数据导出者一样）；但如果有后续实体已依照合同或法律规定继受数据导出者的全部法律义务，则数据当事人可向此类实体行使其权利。
   数据导入者不得依赖分处理者违反其义务来规避其自身的责任。
3. 如果因为数据导出者和数据导入者实际均已消失、在法律中已不存在或无力偿债，致使数据当事人无法根据第 1 款和第 2 款就分处理者违反第 3 条或第 11 条所述之任何义务而对数据导出者或数据导入者提出索赔，则分处理者同意，数据当事人可就数据分处理者按照条款规定进行的处理操作对数据分处理者提出索赔（就如同其是数据导出者或数据导入者一样）；但如果有后续实体已依照合同或法律规定继受数据导出者或数据导入者的全部法律义务，则数据当事人可向此类实体行使其权利。 分处理者所承担的责任应限于其根据条款内容进行的处理操作范围内。

1. 数据导入者同意，如果数据当事人行使第三方受益人权利和/或根据条款规定对蒙受的损害索赔，则数据导入者将接受数据当事人的决定：
   1. 将争议交由独立人士或监管机构（如适用）进行调解；
   2. 将争议提交给数据导出者所在成员国的法院。
2. 双方同意，数据当事人进行的选择不会损害其根据国家或国际法律的其他规定寻求补救的实质性权利或程序权利。

第 8 条

与监管机构合作

1. 如果监管机构要求或适用数据保护法有规定，数据导出者同意缴存一份合同副本给监管机构。
2. 双方同意，监管机构有权对数据导入者以及分处理者进行审核，其范围及需遵守的条件与根据适用数据保护法对数据导出者进行审核时相同。
3. 如存在适用于数据导入者或其任何分处理者的、会阻止根据第 2 款规定对数据导入者或分处理者进行审核的法律，数据导入者应立即通知数据导出者。在这种情况下，数据导出者有权采取第 5 (b) 条中确定的措施。

这些条款受数据导出者所在成员国的法律管辖。

双方承诺不变更或修改条款。这不排除双方根据业务相关问题增加条款，前提是它们与本条款不产生冲突。

1. 在未取得数据导出者事先书面许可的情况下，数据导入者不得转包其代表数据导出者根据条款规定执行的任何处理操作。当数据导入者在数据导出者同意下转包条款所述之义务时，只可与分处理者订立书面合同来进行，对分处理者施加的义务应与条款对数据导入者施加的义务相同³。在分处理者无法根据此类书面合同履行其数据保护义务时，数据导入者仍应就分处理者履行此类协议所述之义务向数据导出者承担全责。
2. 上述数据导入者和分处理者之间的书面合同还应规定第三方受益人条款（如第 3 条所载），适用于数据当事人无法对数据导出者或数据导入者就第 6 条第 1 款所载之补偿提出索赔的情况（因为他们实际已消失、在法律中已不存在或无力偿债，并且无任何后续实体依照合同或法律规定继受数据导出者或数据导入者的全部法律义务）。分处理者所承担的此类第三方责任应限于其根据条款内容进行的处理操作范围内。
3. 第 1 款所载合同中与分处理过程中的数据保护相关的规定应受数据导出者所在成员国的法律管辖。
4. 数据导出者应保留按照条款规定订立的分处理协议清单，并根据第 5(j) 条规定知会数据导入者（清单应每年至少更新一次）。此清单应提供给数据导出者的数据保护监管机构。

个人数据处理服务终止后的义务

1. 双方同意，在终止提供数据处理服务时，数据导入者和分处理者应根据数据导出者的选择将所传输的所有个人数据及其副本传回给数据导出者，或销毁所有个人数据并向数据导出者提供销毁证明，除非法律禁止数据导入者传回或销毁所有或部分所传输的个人数据。在此情况下，数据导入者保证会确保所传输的个人数据的机密性，且不会再主动处理所传输的个人数据。
2. 数据导入者和分处理者保证，将根据数据导出者和/或监管机构的请求提交其数据处理设施，用于审核第 1 款中提及的措施。

第 A - C 节以及附录中使用的术语如未在条款中定义，应以数据导出者与 Dropbox International Unlimited Company 签订的 Dropbox Business 协议中定义的为准。

1. 安全审核。数据导入者应保持由独立第三方审核者颁发的 ISO/IEC 27001:2013 和 ISO/IEC 27018:2014 认证资质。数据导入者应持续定期接受必要的 ISO/IEC 27001:2013 和 ISO/IEC 27018 审核，以在期限内保持此类认证资质。数据导入者还应定期接受服务组织控制体系 2 (SOC 2) 类型 II 审核。根据数据导入者的保密义务，数据导入者应在收到书面请求时向数据导出者提供 SOC 2 类型 II 报告副本（每年不超过一次）。数据导入者应依据数据导入者保密要求，在新的 SOC 2 报告完成后提供该报告。数据导入者应定期审核第三方子服务组织，且该组织应接受鉴证业务准则公告第 16 号 (SSAE 16)/鉴证业务国际准则第 3402 号 (ISAE 3402) 服务组织控制体系 1 (SOC 1) 类型 II 或服务组织控制体系 2 (SOC 2) 类型 II 审核，评估其安全政策、程序和控制体系的设计和效力。

   数据导出者同意，第 A 节规定的数据导入者的义务完全符合合同条款第 5(f) 条和第 12 (2) 条规定的审核权利。

2. 分处理。数据导入者可委托其他公司代表数据导入者提供服务（包括支持服务）的有限部分，且数据导出者同意数据导入者将按合同条款规定将个人数据处理分包给此类子处理者。数据导入者应确保分处理者访问和使用个人数据的目的，仅限于按数据导入者与分处理者之间的书面协议提供服务。数据导出者承认，与分处理者之间的协议应完全符合合同条款中任何适用于数据导入者的要求，前提是数据导入者和分处理者之间的分处理协议至少提供 Dropbox Business 协议要求的数据保护层级。
3. 责任。条款应受 Dropbox Business 协议中“责任限制”部分的责任限制及例外之约束，使数据导入者和 Dropbox International Unlimited Company 的总责任合计不超过 Dropbox Business 协议规定的上限。为免生疑问，数据导出者无权就相同损失同时向数据导入者和 Dropbox International Unlimited Company 索赔。

此附录是合同条款的一部分，必须由双方完成并签署。

成员国可根据国内程序，在本附录中填写完整或指定任何额外的必要信息。

数据导出者

数据导出者是（请简要说明与传输相关的活动）：

与 Dropbox International Unlimited Company 签订 Dropbox Business 协议的客户。

数据导入者

数据导入者是（请简要说明与传输相关的活动）：

Dropbox, Inc. — 为个人和企业提供云服务的全球提供商。Dropbox, Inc. 及其附属公司提供网站、软件和移动应用来让用户存储文件、在多台设备之间同步文件以及与其他人进行协作。用户也可通过应用程序接口 (API) 访问 Dropbox, Inc. 的服务。

数据当事人

传输的个人数据涉及以下类别的数据当事人（请指明）：

数据导入者和数据导出者之附属公司的最终用户，包括员工、顾问和数据导出者的承包商，以及任何使用数据导入者提供的服务与这些最终用户协作或共享的个人。

数据类别

传输的个人数据涉及以下类别的数据（请指明）：

最终用户识别信息和组织数据（线上和线下皆有）以及文档、图片和最终用户通过数据导入者的服务以电子形式存储或传输的任何其他内容或数据。

处理操作

传输的个人数据需接受如下这些基本的处理活动（请指明）：

数据导入者或其分处理者将使用并处理个人数据，而数据导出者会指示数据导入者使用和处理个人数据，以提供 Dropbox Business 协议规定的服务。

此附录是合同条款的一部分，必须由双方完成并签署。

关于数据导入者根据第 4(d) 条和第 5(c) 条（或附加的文档/法律）实施的技术和组织安全措施的说明：

数据隐私联系人

数据导入者之数据隐私专员的联系方式为：privacy@dropbox.com

安全措施

数据导入者已实施并将持续进行适当的管理、技术和物理方面的安全防护，以根据《Dropbox Business 安全白皮书》（自生效之日起可在以下位置访问：https://www.dropbox.com/…/Security_Whitepaper.pdf）以及下列的额外规定进一步保护个人数据。数据导入者可不定期更新这些安全措施，并在上述网址（或数据导入者通知的其他网址）提供最新版本，但前提是如果数据导入者更新安全措施的方式会造成本条款或附录 2 描述的管理、技术或物理安全功能实质上减弱，则数据导入者应通知数据导出者。

1. 服务安全
   1. Dropbox 架构。数据导入者的服务设计有多层安全保障措施，提供数据传输、加密、网络配置和分布在安全的可扩展基础设施中的应用级控制功能。数据导入者服务的最终用户随时可以通过桌面、网络和移动客户端访问文件和文件夹。所有这些客户端都会连接到安全服务，以让用户访问文件，与他人共享文件，并在文件有变动（添加、更改或删除）时更新所关联的设备。用户可通过多种界面使用和访问此服务。每种界面都拥有安全设置和功能，既能处理和保护数据，又能确保便捷的访问通道。
   2. 可靠性。数据导入者的服务应具备多层冗余，以避免丢失数据并确保可用性。
   3. 加密。为保护在数据导出者与数据导入者之间传输的数据，数据导入者采用安全套接字层 (SSL)/传输层安全性 (TLS) 技术来保护数据传输，营造受 128 位或更高的高级加密标准 (AES) 加密技术保护的安全隧道。静态的文件数据采用 256 位 AES 加密。数据导入者的加密密钥管理基础设施在运营、技术和程序方面设计有安全控制体系，严格限制直接访问密钥的权限。加密密钥的生成、交换和存储在不同地方进行，分散处理。
   4. 用户管理功能。数据导入者服务的最终用户能还原丢失的文件和恢复旧版文件，确保可以跟踪并检索对文件所做的更改。数据导入者的服务提供两步身份验证程序，额外再增一层安全防线。
   5. 数据中心。数据导入者的企业系统和生产系统分布在美国各地的第三方子服务组织数据中心。为确保充足的安全管控，数据导入者会审核所有子服务组织数据中心的服务组织控制体系 (SOC) 1 和/或 SOC 2 报告，频率为至少每年一次。
2. 信息安全。
   1. 政策。数据导入者已经建立了全面的安全政策，涵盖信息安全、物理安全、事件响应、逻辑访问、物理生产访问、变更管理和支持。这些政策每年至少接受一次审核和批准。数据导入者员工知晓政策更新，并接受过安全培训。
   2. 人员政策与访问。数据导入者的内部政策规定，入职程序必须包括背景调查（在当地法律允许范围内）、安全政策确认、安全政策更新通知和保密协议。员工或承包商离开公司时，所有人员访问权限都会立即移除。数据导入者采用技术访问控制体系与内部政策来禁止员工或承包商随意访问文件数据，并限制其访问元数据及最终用户帐户的其他信息。为保护最终用户的隐私和安全，只有少数员工和承包商能进入存储最终用户文件的环境。管理部门会记录访问请求、理由说明和批准情况，而访问权限则由相关个人授予。
   3. 网络安全。数据导入者的网络安全和监控机制专为提供多重保护和防御而设计。数据导入者利用行业标准保护措施（包括防火墙、网络安全监控和入侵检测系统）来确保只有符合条件的流量才能进入数据导入者的基础设施。
   4. 变更管理。数据导入者确保，在生产环境中实施安全相关变更之前先经过授权。源代码更改由想要提升数据导入者的应用或服务的开发者发起。数据导入者基础设施的调整限由受权人员进行。应用层级的服务变更必须通过自动质量保证 (QA) 测试，以验证其是否满足安全要求。通过质量保证程序的变更才能获得实施。
   5. 合规。数据导入者及其数据中心提供商和托管服务提供商均定期接受独立第三方的安全审核。数据导入者将继续参加定期的 ISO/IEC 27001:2013 和 ISO/IEC 27018:2014 审核。数据导入者还会审核所有子服务组织的 SOC 1 和/或 SOC 2 报告。如果无法取得子服务组织的 SOC 1 和/或 SOC 2 报告，数据导入者会走访现场检查安全措施，确认适用的实体、环境和操作安全控制体系符合控制标准和合同要求。数据导入者会持续评估额外的认证和合规证明（由子服务提供商提供给数据导入者）。
3. 物理安全
   1. 基础设施。只有获得数据导入者授权的个人在因职务需要时才能物理访问子服务组织内生产系统所在的设施。任何个人如果需要额外的生产环境设施访问权限，必须经由相应的管理层明确批准。
   2. 办公室。数据导入者设有一个物理安全团队负责强制实施物理安全政策，并监督数据导入者企业办公室的安全。公司服务所在的区域仅限受权人员利用通过徽章访问系统授予的特权角色进入。