数据处理协议

最后更新:2026 年 5 月 23 日

本数据处理协议("DPA")由 Monoid("处理者")和使用 Monoid 分析服务的网站所有者("控制者")签订。它构成使用条款的一部分,规范 Monoid 代表控制者执行的个人数据处理。

1. 定义

"个人数据"、"控制者"、"处理者"、"数据主体"、"处理"和"监管机构"具有欧盟通用数据保护条例(GDPR)2016/679 中赋予的含义。"子处理者"指处理者在本 DPA 下委托处理个人数据的任何第三方。

2. 处理的标的和性质

处理者提供隐私优先的网站分析。处理包括:接收来自控制者网站访客的匿名化页面浏览信号、计算每日轮换的 SHA-256 访客哈希(IP + User-Agent + 服务端盐 + 日期)、存储聚合分析数据(页面路径、来源主机名、国家代码、设备类型、浏览器家族、每日访客计数),并在控制者的仪表盘中提供聚合统计。原始 IP 地址和 User-Agent 字符串仅在内存中用于计算哈希,永远不会被存储。

3. 期限

只要控制者保持 Monoid 账户,本 DPA 即有效。账户删除时自动终止。

4. 处理者义务(GDPR 第 28(3) 条)

处理者应:

  • 仅根据控制者的书面指示处理个人数据,除非适用法律另有要求。
  • 确保被授权处理个人数据的人员承诺保密或受适当的法定保密义务约束。
  • 实施适当的技术和组织措施(GDPR 第 32 条)— 包括仅 HTTPS 传输、PBKDF2-SHA256 密码哈希、httpOnly 会话 Cookie、Zod 请求验证以及所有敏感端点的速率限制。
  • 未经控制者事先书面授权不得委托子处理者(授权通过接受这些条款和 DPA 给出;第 6 节中列出的子处理者特此预先授权)。
  • 通过提供 /privacy 上记录的账户级工具协助控制者履行数据主体请求(访问、删除、可移植性、反对),并在技术上不可能时在 30 天内回复邮件请求。
  • 协助控制者履行其 GDPR 第 32–36 条下的义务,包括提供证明合规所需的信息、支持数据保护影响评估,以及与监管机构合作。
  • 在服务结束时向控制者删除或返回所有个人数据,并删除现有副本,除非适用法律要求存储。账户删除会立即触发所有分析数据的级联移除。
  • 提供证明遵守本 DPA 所需的所有信息,并允许和促成由控制者或控制者委托的审计员进行的审计和检查。

5. 控制者义务

控制者应:(a) 确保其具有指示处理者处理个人数据的合法依据;(b) 确保跟踪器脚本仅部署在控制者拥有或控制的网站上;(c) 在自己的隐私政策中包含分析服务的适当披露;(d) 及时通知处理者处理指示的任何变更。

6. 子处理者

控制者授权以下子处理者:

  • Cloudflare, Inc.(美国)— 边缘计算和 D1 数据库基础设施。传输机制:欧盟标准合同条款(SCC)、欧盟-美国数据隐私框架、瑞士-美国 DPF、英国 IDTA。DPA:cloudflare.com/trust-hub/gdpr/
  • Resend, Inc.(美国)— 事务性邮件交付。传输机制:欧盟 SCC。DPA:resend.com/legal/dpa
  • Stripe, Inc.(美国)— 支付处理(仅控制者的计费;不与 Stripe 共享访客分析数据)。传输机制:欧盟 SCC、欧盟-美国 DPF、英国 IDTA。DPA:stripe.com/legal/dpa

处理者将至少提前 30 天(通过注册账户邮箱)书面通知子处理者的任何预期变更,给控制者反对的机会。

7. 国际传输

个人数据可能通过第 6 节中列出的子处理者传输到美国。每次传输都受适当的保障措施(欧盟 SCC、欧盟-美国数据隐私框架、瑞士-美国 DPF 或英国 IDTA)涵盖,如上所述。不发生其他第三国传输。

8. 安全和违规通知

处理者应在意识到影响本 DPA 下处理的数据的个人数据违规后,无不当延迟地通知控制者,并且无论如何在 24 小时内。通知将发送至控制者的注册账户邮箱,并将包括:违规的性质、受影响的数据主体和记录的类别和大致数量、可能的后果以及已采取或建议的措施。

9. 审计权

控制者每个日历年可请求一次处理者安全措施的书面摘要。在监管要求强制现场审计的情况下,双方将事先商定时间、范围和保密义务。

10. 适用法律

本 DPA 受巴西法律管辖,强制性的欧盟、英国或瑞士数据保护法授予控制者不可放弃的额外权利的情形除外。

11. 联系

关于本 DPA 的问题:monoid@monoid.website