平凯数据库云服务数据处理协议

最后更新日期：2026 年 4 月 23 日

本数据处理协议（以下简称“本协议”）是《平凯数据库云服务协议》（以下简称“主协议”）的组成部分，规定了平凯星辰（北京）科技有限公司（以下简称“数据处理者”或“平凯星辰”）在提供平凯数据库云服务过程中处理个人信息的相关要求。

第一条 - 定义和解释

“个人信息”是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

“协议相关个人信息”是指平凯星辰在提供平凯数据库云服务或者履行其在主协议中约定的其他义务时处理的任何个人信息。

“敏感个人信息”是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

“协议相关敏感个人信息”是指平凯星辰在提供平凯数据库云服务或者履行其在主协议中约定的其他义务时处理的任何敏感个人信息。

“数据控制者”是指在个人信息处理活动中自主决定处理目的、处理方式的组织或个人，即本协议项下的客户。

“数据处理者”是指受数据控制者委托处理个人信息的组织或个人，即本协议项下的平凯星辰。

“处理”包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等操作。

“适用法律”是指个人信息处理活动涉及国家或地区的适用的关于网络安全与数据保护的法律、法规、规章及其他具有强制约束力的规范或指令及其不断修订、更新的版本；为本协议之目的，适用法律包括但不限于《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等。

除非在本协议中有明确定义，各术语的含义与适用法律中的规定以及主协议中赋予此类术语的含义相同。

第二条 - 数据处理详情

2.1 角色定位

客户作为数据控制者，决定协议相关个人信息处理的目的和方式。平凯星辰作为数据处理者，仅为履行主协议为客户提供平凯数据库云服务的目的按照客户的指示处理协议相关个人信息。平凯星辰不会将协议相关个人信息用于任何与其自身业务目的相关的处理（如产品优化、市场营销或用户画像），除非获得客户的另行书面授权。

2.2 处理目的

平凯星辰处理协议相关个人信息的唯一目的是根据主协议向客户提供云服务，包括数据库托管、备份、恢复、监控等服务。

2.3 处理的个人信息类型

• (1) 身份信息、个人背景信息及联络信息（包括姓名、出生日期、学历、住址、电话号码、电子邮箱账户及其他联络详情）；
• (2) 财务信息（包括支付信息、交易信息、账户详情）；
• (3) 任职信息（包括所属雇主、雇员身份、职务、办公信息、工作职责）；
• (4) 技术信息（包括 IP 地址、运营数据、地理位置、Cookie 数据、设备及浏览器信息）；
• (5) 特殊类别的个人信息（如适用）：在遵守主协议中任何适用的限制和/或条件的前提下，客户可以在协议相关个人信息中包含“特殊类别的个人信息”或类似的敏感个人信息（如适用法律中所述或定义），其范围由客户自行决定和控制。

2.4 处理的其他信息

(1) 平凯星辰诊断服务。当客户使用平凯星辰诊断服务时，平凯星辰诊断服务可能会生成如下所示的诊所数据，并将这些诊所数据存储在客户的设备中。

• 产品集群相关操作系统和硬件信息
• 产品集群拓扑信息（包括节点 IP 和类型）
• 产品集群软件版本信息（包括 UUID 和版本）
• 产品集群配置信息（包括配置项和值）
• 产品集群日志（包括日志、错误日志和慢查询日志）
• 产品集群监控指标和告警信息
• 产品集群数据库系统变量

一旦客户同意将诊所数据上传到平凯星辰，即表示客户承认并同意平凯星辰及其员工和供应商可以传输、存储、复制和处理客户上传的诊所数据，以用于诊断和改善平凯数据库云服务。

(2) 平凯数据库云服务的运行数据。当客户使用平凯数据库云服务时，平凯星辰可能会自动收集并存储有关客户平凯数据库操作的非匿名信息和数据，包括日志、指标以及提交给平凯数据库的服务工单。虽然运行数据通常不涉及个人信息，但它可能与客户的帐户关联，并包含以下信息、数据和元数据：

• 从 API、托管平凯数据库的软件或系统以及客户的计算机或设备获取的技术信息，以及客户在操作平凯数据库期间生成的日志文件；
• 关于客户的数据和元数据，例如客户的帐户、电子邮件、IP 地址、计算机或其他设备、浏览器和软件；以及
• 平凯数据库中关于客户的活动和行为的数据和元数据。

(3) 推断。平凯星辰会根据收集的数据推断关于客户和客户公司的新信息，包括使用自动化手段生成有关客户可能的偏好、服务和产品需求或其他特征的信息。例如，平凯星辰会根据客户的 IP 地址推断客户所在的城市、州/省和国家/地区。

平凯星辰可能会与第三方共享汇总或匿名化数据（但须遵守适用法律）。

2.5 处理期限

本协议项下的数据处理活动有效期限与主协议的有效期限一致。无论主协议是否到期或终止，本协议中关于数据安全保护、数据删除与返还、保密义务以及法律责任的条款将继续有效，直至按照本协议约定删除或返还所有协议相关个人信息。

2.6 数据主体类别

数据主体的类别由客户决定和控制，可能包括但不限于：

• (1) 客户的业务伙伴、客户、潜在客户（均为自然人）；
• (2) 客户的员工、工人、供应商、独立承包商（均为自然人）；和/或
• (3) 客户的供应商、独立承包商、业务合作伙伴、客户和/或潜在客户的员工和/或联系人。

2.7 客户对本协议个人信息的义务

客户对本协议个人信息具有如下义务：

• (1) 客户应确保遵守适用法律，并对其违反适用法律造成的后果独立负责。
• (2) 客户应确保向平凯星辰提供的协议相关个人信息，为客户依法收集、获取或产生的个人信息。客户不会也不曾以任何方式违反适用法律或侵犯任何个人或实体合法权利的方式收集协议相关个人信息。客户应确保已经获得并持续拥有处理协议相关个人信息（包括委托平凯星辰处理协议相关个人信息）所有必要的同意、注册和授权，以使得平凯星辰能够处理本协议下的协议相关个人信息。

第三条 - 数据处理者的义务

3.1 合法性义务

• (1) 平凯星辰将严格遵守适用法律。
• (2) 平凯星辰仅按照客户的书面指示或本协议的约定处理协议相关个人信息，不会将协议相关个人信息用于本协议约定之外的任何目的；若平凯星辰需要根据适用法律要求处理协议相关个人信息，则平凯星辰应当在处理协议相关个人信息之前告知客户该法律法规的要求。
• (3) 如果平凯星辰有理由认为客户发出的指令违反了法律法规的要求，平凯星辰将拒绝执行该指令并会通知客户。

3.2 安全保护义务

平凯星辰就协议相关个人信息的处理，制定并执行安全附录。该安全附录满足以下要求：

• (1) 确保协议相关个人信息的处理行为符合适用法律的规定，保障数据主体的合法权利；
• (2) 确保其针对所处理的协议相关个人信息采取的安全保护水平，与该等处理行为带来的风险程度相适配；尤其避免协议相关个人信息在传输、存储及其他处理环节中，发生意外或非法毁损、丢失、篡改、未授权披露或未授权访问的情形，同时综合考量协议相关个人信息的属性、技术发展现状及相关安全措施的实施成本；
• (3) 包括但不限于在以下方面执行安全措施：
  • 数据加密：对传输中和存储中的协议相关个人信息采用加密技术；
  • 访问控制：实施严格的身份认证和权限管理；
  • 审计日志：记录所有数据访问和操作行为；
  • 安全监控：建立 24 小时安全监控机制；
  • 数据备份：定期备份协议相关个人信息，确保数据可恢复性；
  • 人员管理：对接触协议相关个人信息的人员进行安全培训和保密约束。

3.3 保密义务

• (1) 平凯星辰将对协议相关个人信息严格保密，不得向任何第三方披露，适用法律另有规定或客户明确授权的除外；
• (2) 平凯星辰将确保所有获得授权处理协议相关个人信息的平凯星辰人员均已通过签署保密协议或承担相应的法定保密义务的方式被约束保密，接受过恰当的培训以确保遵守相关法律法规。

3.4 通知义务

如果平凯星辰收到任何投诉、通知或通信（无论是来自监管机构、数据主体还是其他方面），且该投诉、通知或通信直接或间接与协议相关个人信息的处理或数据主体就协议相关个人信息行使任何权利有关，平凯星辰将在合理可行的范围内尽快通知客户。

第四条 - 数据主体权利保护

平凯星辰应协助客户响应数据主体（个人信息主体）行使以下权利：

• (1) 知情权和决定权；
• (2) 查阅权和复制权；
• (3) 更正权和补充权；
• (4) 删除权；
• (5) 可携带权；
• (6) 撤回同意权；
• (7) 其他法律规定的权利。

平凯星辰应在收到客户转发的数据主体权利请求后的合理时间（通常不超过 15 个工作日）内提供必要的技术支持和数据访问。

第五条 - 分包商管理

客户向平凯星辰提供一般授权，允许其指定分包商协助其提供服务，但前提是平凯星辰：

5.1

确保其委任此类分包商的条款符合适用法律，并与本协议中对平凯星辰施加的义务相一致。

5.2

平凯星辰将通过客户在平凯数据库云服务注册时提供给平凯星辰的电子邮件地址，向客户提供平凯星辰网站上更新的分包商列表，以便客户提前合理地了解任何关于新增或替换分包商的变更。如果客户在收到此类通知后十（10）天内，以书面形式通知平凯星辰对拟议的分包商任命有任何异议（基于与数据保护相关的合理理由），则 (1) 平凯星辰应尽合理努力，在平凯数据库云服务的提供方面做出商业上合理的变更，以避免使用该拟议的分包商；(2) 如果无法做出商业上合理的变更，则任何一方均可向另一方发出书面通知，立即终止与受影响的平凯数据库云服务相关的主协议。如果客户未就拟议的分包商任命发出任何书面通知，则视为客户已同意该任命。

第六条 - 数据跨境传输

6.1 数据本地化

在本协议项下，协议相关个人信息原则上存储在中国境内，不进行跨境传输。

6.2 特殊情况

如因特殊技术支持需要或客户明确要求需要跨境传输数据，应满足以下条件之一：

• (1) 通过国家网信部门组织的数据出境安全评估；
• (2) 经专业机构就个人信息保护进行认证；
• (3) 按照国家网信部门制定的标准合同与境外接收方订立合同。

第七条 - 数据安全事件

7.1 事件通知

如发生个人信息泄露、篡改、丢失等数据安全事件，平凯星辰将：

• (1) 立即启动应急响应机制，采取补救措施；
• (2) 在发现事件后立即通知客户；
• (3) 及时向客户提供事件详情、影响范围和补救措施；
• (4) 协助客户履行向监管部门报告的义务；
• (5) 对于无法在个人信息泄露的初始通知中提供第 (3) 条约定的所有信息，平凯星辰将在合理可行的情况下尽快分阶段提供这些信息；
• (6) 就高风险处理事先咨询监管机构；
• (7) 就处理此类个人信息开展数据保护影响评估；
• (8) 其他合理的协助、信息和合作以回应数据主体提出的任何请求。

7.2 责任承担

因平凯星辰原因导致的数据安全事件，平凯星辰应承担相应的法律责任和赔偿责任。

第八条 - 数据删除和返还

8.1 数据删除

主协议终止或客户要求删除数据时，平凯星辰将：

• (1) 向客户提供数据导出功能，确保客户能够完整导出数据；
• (2) 在客户确认数据已完整导出后 30 天内，彻底删除所有客户相关个人信息；
• (3) 应客户书面要求，向客户提供数据删除证明。

法律法规要求保留的数据除外，但平凯星辰应确保此类数据的安全存储，并在法定保留期限届满后及时删除。

8.2 数据返还

根据客户的要求，平凯星辰将在平凯数据库云服务终止后或根据主协议相关规定，为个人信息主体请求而必须删除或将协议相关个人信息返还给客户，但平凯星辰有权在适用法律要求的范围内保留协议相关个人信息的副本，前提是平凯星辰应立即：

• (1) 以书面形式告知客户将保留哪些协议相关个人信息；
• (2) 告知接收方根据适用法律必须保留该信息的理由。

第九条 - 审计和检查

9.1

客户有权要求平凯星辰提供有关数据处理活动的必要信息，以验证平凯星辰遵守本协议的情况，该权利每年可执行一次。

9.2

客户可以委托第三方专业机构对平凯星辰的数据处理活动进行审计，审计费用由客户承担，且该第三方专业机构应当与平凯星辰签订平凯星辰可接受的保密协议。审计频率不超过每年一次，除非发生数据安全事件或应监管机构要求，并且此类审计均应在正常工作时间内进行，且不得干扰 (1) 平凯星辰的运营和服务，以及 (2) 平凯星辰其他客户的数据的保密性或安全性。平凯星辰有权对客户委托的第三方审计机构提出合理异议，异议理由包括但不限于：该审计机构不具备相关资质或能力、或该审计机构的审计范围明显超出合理需要。

9.3

在遵循以上约定的前提下，平凯星辰应配合客户或其委托的第三方进行审计，提供必要的文档和访问权限。

第十条 - 法律责任

10.1

平凯星辰违反本协议约定或相关法律法规，导致客户或数据主体权益受损的，应承担相应的法律责任。

10.2

因客户指示不当导致的数据处理问题，由客户承担相应责任。

10.3

本协议的责任限制条款同时适用于主协议第 10 条的约定。

第十一条 - 附则

11.1

本协议是主协议的组成部分，与主协议具有同等法律效力。

11.2

本协议未尽事项，适用主协议的相关约定。

11.3

本协议的解释、适用和争议解决，适用主协议第 14 条的规定。

11.4

本协议的任何修订将由平凯星辰在其网站上发布。

11.5

如本协议的任何条款被认定为无效或不可执行，该条款的其余部分及本协议的其他条款仍应保持完全有效。