数据处理补充条款

修订日期：2026年3月25日

本数据处理补充协议（以下简称“DPA”）由以下各方订立：

(1) 客户：指在提供虚拟数据室（VDR）服务的相关交付订单（或据此签发并经客户接受的其他订单表格或文件）（“交付订单”）中明确指定的、作为个人信息处理方的相关客户实体（“客户”或“个人信息处理方”）；以及

(2)火漆信息技术（上海）有限公司，一家在中国注册成立的公司，其注册地址为：上海市自贸试验区浦东大道1220号2楼A区，作为受托方（“Ideals”或“受托方”）。

成立与优先级

本数据处理协议（“DPA”）是对位于 https://www.idealsvdr.com/terms-and-conditions/ 的 Ideals 服务条款（“T&Cs”）的补充，并构成其不可分割的一部分。本 DPA 适用于且仅在 Ideals 作为受托方代表客户处理与服务相关的个人信息时生效。 通过签署引用《服务条款》的交付订单，或通过访问或使用服务，客户即代表其自身及其用户同意受本《数据处理协议》的约束。

“Ideals VDR协议”指《服务条款》及任何适用的交付订单。本协议中，Ideals VDR协议与本DPA统称为“协议”。

若《协议》的任何条款之间存在冲突或不一致，仅在涉及数据保护及处理义务的冲突范围内，以下文件（按优先顺序）的规定应优先适用：(a) 本《数据处理协议》；及 (b) 《Ideals VDR协议》。除本《数据处理协议》中明确修订的内容外，《Ideals VDR协议》保持不变并继续完全有效。

1. 定义

就本DPA而言：

“适用的中国数据保护法律”指《中华人民共和国个人信息保护法》（“《个人信息保护法》”）、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》，以及中国主管当局颁布的任何适用的实施条例、措施、标准、具有约束力的指导意见或决定，包括其不时修订的版本。

“客户个人信息”指由客户或代表客户上传至虚拟数据室（以下简称“VDR”），或根据协议以其他方式提供给Ideals的个人信息、敏感个人信息或其他数据，且该等数据受适用中国数据保护法律的规制。

“个人信息控制者”指独立决定个人信息处理目的和方式的一方，就本DPA而言，指客户。 

“受托方”指受个人信息控制者委托代表其处理个人信息的方，就本DPA而言，指Ideals。 

“敏感个人信息”应具有适用中国数据保护法律所赋予的含义。

“重要数据”具有适用中国数据保护法律所赋予的含义。

“处理”、“处理”或类似术语指对客户个人信息进行的任何操作，包括收集、存储、使用、处理、传输、提供、披露、检索、查阅、删除或销毁。

“次级处理者”指 Ideals 为提供服务之目的而聘请的、代表客户处理客户个人信息的任何关联方或第三方。

“个人信息泄露”指任何未经授权的访问、获取、披露、泄露、篡改、更改、丢失、销毁或其他影响客户个人信息的损害行为。

“境外访问”指从中国大陆境外对客户个人信息的任何访问，包括位于中国大陆境外的支持、工程、安全、维护、故障排除或事件响应人员进行的远程访问。

2. 各方的角色

2.1 客户是个人信息处理者，并决定处理客户个人信息的目的和方式。

2.2 Ideals 仅作为受托方行事，并应仅根据客户的书面指示、协议及本 DPA 处理客户个人信息。

2.3 本《数据处理协议》中的任何内容均不授予 Ideals 任何独立决定客户个人信息处理目的或方式的权利。

2.4 双方确认，本DPA旨在满足中国适用数据保护法律规定的委托要求。

3. 处理的标的、目的、性质及期限

3.1 处理的标的系根据《协议》提供 Ideals 虚拟数据室及相关服务。

3.2 处理的目的仅限于为提供服务所必需的范围内处理客户个人信息。

3.3 处理期限应为《协议》的期限；在《协议》终止或到期后，处理期限应延续至《协议》中规定的任何保留期限，以及适用法律要求或双方以书面形式明确约定的任何有限保留期限。

3.4 本数据处理协议所涵盖的数据主体类别及客户个人信息类别详见附件二。

4. 客户义务

客户同意：

4.1 确保其依据适用的中国数据保护法律，拥有向 Ideals 收集、使用、上传及以其他方式提供客户个人信息的有效法律依据；

4.2 作为个人信息处理者，全权负责履行其义务，包括通知、透明度、必要时的同意、必要时的单独同意、保留、处理的合法性以及处理个人权利；

4.3 向 Ideals 提供合法、明确且有据可查的指示；

4.4 仅上传客户确定为实现其预期目的所必需的客户个人信息；

4.5 全权负责确定上传内容是否包含：

(a) 个人信息；

(b) 敏感个人信息；

(c) 重要数据；或

(d) 任何根据适用中国数据保护法律受加强限制的数据类别；

4.6 应全权负责确定任何实际或潜在的境外访问是否构成适用中国数据保护法律所规制的个人信息或其他数据的跨境提供；

4.7 应全权负责确定任何此类跨境活动是否：

(a) 豁免情形；

(b) 依据有效认证获准；

(c) 依据中国标准合同条款获准；

(d) 须接受中国国家互联网信息办公室（CAC）的安全评估；或

(e) 根据适用的中国数据保护法律属于其他合法情形；以及

4.8 针对任何受指示或授权的境外访问，完成、获取或维护适用中国数据保护法律所要求的任何通知、单独同意书、个人信息保护影响评估、备案、认证、合同、政府申报、批准或其他合规步骤。

5. 客户关于 Ideals“默认不访问”模式的确认

5.1 客户确认，Ideals不会检查、审查或监控客户上传文件的实质内容，以确定：

(a) 包含个人信息的个人数量；

(b) 该等文件是否包含敏感个人信息；

(c) 该等文件是否包含重要数据；或

(d) 是否已达到或超过中国适用数据保护法律规定的任何阈值。

5.2 因此，Ideals无法核实客户上传的内容是否超过任何中国境外的数据转移阈值，或是否触发了任何特定的中国跨境数据保护机制。

5.3 Ideals 有权依据本数据处理协议所述目的，依赖客户的书面指示、陈述、保证及合规确认。

6. IDEALS 的义务

6.1 Ideals 仅在以下情况下处理客户个人信息：

(a) 依据客户的书面指示；

(b) 在约定的目的、方式、范围及保存期限内；以及

(c) 仅在为提供、保障、维护及支持服务所必需的范围内。

6.2 Ideals 不得为自身目的出售、共享、披露、挖掘、建立用户画像、合并、分析、变现或以其他方式使用客户个人信息。

6.3 若 Ideals 认为任何客户指示违反适用中国数据保护法律，应立即通知客户。在等待客户回复期间，Ideals 可暂停相关处理。若客户坚持该指示，Ideals 可终止相关指示的适用范围。因依据违反适用中国数据保护法律的客户指示所进行的处理而导致的任何损失，客户应向 Ideals 进行赔偿。

6.4 Ideals 应确保获授权处理客户个人信息的人员承担保密义务并接受适当培训。Ideals 人员默认情况下不得访问客户个人信息，仅在提供服务所必需且经客户授权的情况下方可访问此类信息。

6.5 若委托关系到期、终止、失效或以其他方式终止，Ideals应根据下文第15条的规定返还或删除相关客户个人信息，且除法律要求外不得予以保留。 

7. 安全

7.1 Ideals 应实施并维持适当的技术和组织措施，以保护客户个人信息免遭未经授权的访问、披露、泄露、篡改、更改、破坏或丢失。

7.2 此类措施应酌情包括：

(a) 基于角色的访问控制及最小权限原则；

(b) 身份验证与身份管理；

(c) 传输中及静止状态下的加密；

(d) 访问日志记录与监控；

(e) 漏洞管理和补丁管理；

(f) 备份、恢复及弹性措施；

(g) 事件响应程序；

(h) 人员保密控制；以及

(i) 对安全控制措施的定期测试与审查。

7.3 双方同意，附件一所述的技术和组织措施构成本数据处理协议的一部分。   

7.4 Ideals 将在 VDR 平台内提供适用于敏感个人信息的增强型保护功能，包括但不限于：

(a) 仅限经特别授权人员使用的更严格基于角色的访问控制；

(b) 对所有涉及指定内容的访问事件进行增强型审计日志记录；

(c) 加密存储，且密钥与标准层级数据分离；以及

(d) 可在文件夹或文档级别进行配置的访问限制和权限管理。

若客户个人信息包含敏感个人信息，客户有责任启用并维护这些增强功能。客户选择不启用可用的增强功能，即视为客户独自承担由此产生的、适用于其数据的保护标准责任。

客户仍全权负责确定是否需要根据适用的中国数据保护法律针对敏感个人信息制定任何补充限制、通知、同意或影响评估，并确保在独立于 Ideals 技术措施的情况下满足此类要求。

8. 海外访问与跨境数据处理场景

8.1 客户的个人信息应在客户从Ideals提供的托管选项中选定的地点进行托管和处理。客户确认，根据适用的中国数据保护法律，选择中国大陆以外的托管地点可能构成个人信息的跨境提供，并可能受其他法律要求的约束。客户有责任确保其选择的托管地点符合适用的中国数据保护法律。

8.2 除下列情形外，Ideals不得提供、披露、传输、提供或允许对客户个人信息进行境外访问：

(a) 经客户以书面形式或在虚拟数据室（VDR）中明确指示或预先授权；以及

(b) 客户已书面确认该行为根据适用的中国数据保护法律属于豁免情形或合法情形。

8.3 客户确认并同意，任何请求或授权的境外访问（包括由位于中国大陆以外的支持或工程人员进行的访问），均应被双方视为潜在的跨境个人信息提供，以用于本DPA项下的风险分配和合规目的。

8.4 在发生任何境外访问之前，客户应向 Ideals 提供书面确认，说明：

(a) 相关活动不受任何适用的中国跨境要求约束；或

(b) 已完成必要的法律机制和合规步骤，包括（如适用）：

(i) 个人信息保护影响评估；

(ii) 所需通知及单独同意；

(iii) 中国标准合同；

(iv) 个人信息保护认证；

(v) 中国国家互联网信息办公室（CAC）的安全评估；及/或

(vi) 任何其他必要的备案、提交或批准。

8.5 若客户未提供上述书面确认，或若Ideals有合理理由认为所请求的跨境数据传输可能违反适用中国数据保护法律，Ideals有权拒绝、暂停或限制该跨境数据传输，并在可行的情况下要求相关支持服务仅在中国大陆境内提供。

8.6 本数据处理协议中的任何条款均不强制要求 Ideals 进行其合理认为会使其面临违反适用中国数据保护法律风险的任何境外访问。

8.7 双方确认，适用的中国跨境路径取决于所涉数据的性质和数量，并可能根据具体情况包括豁免、认证、中国标准合同或中国国家互联网信息办公室（CAC）的安全评估。 

9. 紧急访问

9.1 客户可就紧急故障排除、事件响应、服务恢复、安全整改或其他重大运营必要性，另行授权紧急跨境访问。

9.2 任何此类紧急授权均须以书面形式记录，无论是在本协议、订单表、支持授权、工单流程，还是双方同意的其他书面记录中。

9.3 经授权的紧急海外访问权限应仅限于：

(a) 经特别指定的人员；

(b) 必要的最小范围；

(c) 知情需要原则；

(d) 最小权限访问；

(e) 记录与可审计性；以及

(f) 应客户要求，在事件发生后及时向其报告。

9.4 客户应独自承担确保任何此类紧急海外访问符合适用中国数据保护法律的豁免条款或具有其他合法性的责任。

10. 次级处理者

10.1 客户授予 Ideals 一项一般性授权，允许其仅在提供服务所必需的范围内聘用次级处理者，但前提是 Ideals 须在法律和合同要求的范围内对其行为及疏漏承担责任。

10.2 Ideals 应与每家次级处理者签订书面协议，规定的数据保护和安全义务不得低于本 DPA 中规定的保护标准。

10.3 未经客户书面授权，Ideals不得允许任何次级处理者进行涉及对客户个人信息进行境外访问的处理。

10.4 客户确认，根据中国适用的数据保护法律，受托处理的转委托/分包需经个人信息处理者的同意。本 DPA 旨在提供该合同框架，但须受本节规定的限制。 

10.5 Ideals应应客户要求，或通过参考不时更新的适用公开次级处理者名单，向客户提供当时有效的授权次级处理者名单。 

11. 个人信息泄露

11.1 若 Ideals 获悉发生影响客户个人信息的个人信息泄露事件，Ideals 应当在知悉严重个人信息泄露事件后 24 小时内通知客户，其他泄露事件则应在 72 小时内通知客户；若中国适用数据保护法律有更严格的要求，则应更早通知。

11.2 该通知应在可获取的范围内包含：

(a) 事件的性质；

(b) 涉及的数据类别；

(c) 可能产生的后果；

(d) 已采取或拟采取的措施；以及

(e) 后续跟进的联络方式。

11.3 Ideals 应采取合理措施控制、调查、减轻及补救个人信息泄露事件，并应与客户进行合理配合。

11.4 除非适用法律在相关情形下明确将该义务直接施加于 Ideals，否则客户仍负责确定是否需要根据适用的中国数据保护法律向个人或监管机构进行通知。

11.5. 若适用中国数据保护法律独立于客户作为个人信息处理者的义务，直接向Ideals（作为受托方）施加直接通知义务，则Ideals应：

(a) 按照适用中国数据保护法律规定的要求和时限履行此类直接通知义务；

(b) 在情况允许的情况下，于向监管机构进行任何此类直接通知前通知客户；若因法律或运营限制导致无法提前通知，则应在通知后立即通知客户；以及

(c) 在适用法律允许的范围内，向客户提供任何此类监管通知的副本。

客户应配合 Ideals 履行上述义务，包括在规定时限内提供 Ideals 或主管机关就该事件合理要求的信息。

12. 合规协助

12.1 考虑到处理的性质以及 Ideals 掌握的信息，Ideals 应就以下事项向客户提供合理协助：

(a) 个人权利请求；

(b) 事件响应；

(c) 个人信息保护影响评估；

(d) 监管机构查询；以及

(e) 作为个人信息处理者，客户应履行的其他合规义务。

12.2 若 Ideals 直接收到个人提出的与客户个人信息相关的请求，除非中国适用的数据保护法律另有要求，否则 Ideals 可将该请求转交客户。

13. 合规审计与证明

13.1 经合理书面请求，Ideals 应向客户提供合理必要的资料以证明其遵守本 DPA，包括相关第三方保证材料（如安全认证或审计摘要），但以可获取的范围为限。

13.2 若上述材料不足以合理证明合规性，客户可在任何十二个月内不超过一次，或在经核实的个人信息泄露事件发生后，进行定向审计，但须满足以下条件：

(a) 提前发出合理书面通知；

(b) 遵守保密义务；

(c) 正常工作时间内进行；

(d) 不得访问其他客户的数据；以及

(e) 不得对 Ideals 的运营造成不合理的干扰。

13.3 客户应自行承担审计费用，并向 Ideals 报销因配合客户要求的现场审计而必然产生的合理直接外部费用，但若发现 Ideals 存在重大违规行为则除外。 

14. 政府及监管机构的请求

14.1 若 Ideals 收到主管当局发出的、要求获取客户个人信息的具有法律约束力的请求，Ideals 应在法律允许的范围内：

(a) 及时通知客户；

(b) 仅披露法律要求的最低限度数据；

(c) 记录该请求及回应；以及

(d) 在合法且合理的情况下，就范围过广的请求寻求澄清。

14.2 若法律禁止 Ideals 通知客户，Ideals 应尽合理努力争取许可，以披露尽可能多的信息。

15. 数据返还与删除

15.1 本协议终止或到期且协议中规定的保留期届满时，或在客户书面要求下更早时，Ideals 应安全删除客户个人信息，除非适用法律要求保留。

15.2 若法律要求保留数据，Ideals应：

(a) 仅保留最低限度的必要数据；

(b) 将后续处理限制在最低限度且符合法律要求的范围内；以及

(c) 在法定保留义务届满时，立即删除所保留的数据。

16. 适用法律与争议解决

16.1 本数据处理协议应受中华人民共和国法律管辖，不适用冲突法规则。

16.2 因本数据处理协议引起或与之相关的任何争议，应首先通过友好协商解决。

16.3 如争议未能在三十（30）日内解决，应将争议提交上海国际仲裁中心（SHIAC）依据其当时有效的《仲裁规则》进行仲裁。仲裁应以英语进行，仲裁地为中华人民共和国上海市。 

17. 期限

本数据处理协议的有效期与《Ideals VDR协议》的有效期一致。

附件一

技术与组织措施（TOM）

Ideals 应根据适用的中国数据保护法律，结合处理的性质、范围、背景和目的，以及对个人权益的风险，实施并维持适当的技术和组织措施，以保护客户个人信息。

1. 保密

技术措施

组织措施

身份与访问管控。所有员工/管理员访问均采用单点登录（SSO）+自适应多因素认证（MFA）；密码强度要求≥12个字符或同等强度；连续登录失败后账户锁定；会话强化（空闲锁定、敏感操作需重新认证）。 基于角色的访问控制（RBAC）与最小权限原则。精细化角色设置；按岗位职能分配部分/范围限定权限；特权访问受时间限制并记录日志。 租户隔离与逻辑分隔。按租户划分的数据命名空间；应用层授权检查；服务端访问控制列表（ACL）以防止跨租户访问。 网络安全。网络分段（VPC/子网/安全组）、WAF、IDS/IPS、网络监控、速率限制及出站流量控制。 终端安全。全盘加密、EDR/反恶意软件、主机防火墙，以及通过MDM/终端管理强制执行的USB/端口控制策略。 加密。使用强加密算法和托管密钥对静止数据进行加密；所有外部和内部服务跳转均采用 TLS 1.3 传输加密；环境间密钥隔离；在可行的情况下进行假名化/令牌化处理。 密钥管理。密钥存储于与加密数据分离的专用密钥管理系统（KMS）/密钥库中；强制执行密钥轮换和访问日志记录。 数据防泄漏（DLP）。在终端和协作工具上实施DLP规则；针对敏感数据外泄尝试建立隔离/理由说明工作流。 数字签名。合同及发布流程采用经批准的电子签名机制；签名验证过程需记录在案。

访问治理。制定书面访问及用户角色政策；新入职、调岗及离职流程；定期访问审查；管理员权限授予的职责分离（SoD）原则。 保密义务。员工及承包商保密协议；根据岗位职责及当地法律进行背景调查。 第三方/供应商尽职调查。基于风险的承包商/次级处理者审查（认证、推荐信、数据处理协议）。 信息处理。数据分类与处理政策；安全介质处理及数据清除/销毁程序；适用情况下的自带设备（BYOD）管理规定。

2. 完整性

技术措施	组织措施
安全传输与接口。TLS 1.2+；HSTS；强加密套件；使用签名令牌/密钥的 API 身份验证。 可审计性。针对数据访问、管理操作、配置变更及数据录入的不可篡改/可审计日志；时钟同步（NTP）。 应用程序与数据控制。服务器端验证、参照完整性、校验和/哈希，以及在适当情况下进行版本控制。 会话控制。强制超时，并对敏感操作实施重新认证。 漏洞与补丁管理。持续漏洞扫描；基于服务水平协议（SLA）的补丁管理；配置基线（CIS）及偏离检测。 终端/端口控制。在操作系统/EDR层级实施USB/端口锁定及设备控制。	变更与发布管理。正式变更控制（必要时采用变更审批委员会（CAB））、审批流程、职责分离、回滚测试。 安全软件开发生命周期（SDLC）。威胁建模、代码审查、依赖项健康检查（SCA）、密钥管理以及生产前安全门。 政策与流程。信息安全政策、数据保护政策，以及任何物理数据传输的规则（仅限例外情况）。 知情处理原则。仅授权人员处理个人信息；职责与责任已记录在案。

3. 可用性与弹性

技术措施	组织措施
冗余与容错。关键服务采用多可用区部署、负载均衡及自动扩展。 备份与恢复。自动、定期备份；多层存储；在支持的情况下进行版本控制/不可变性；按既定周期进行恢复测试。 监控与告警。集中式日志记录/SIEM；健康检查；容量/利用率监控；可操作的告警。 防范中断。DDoS防护、速率限制、断路器机制及平滑降级模式。 可追溯的数据传输。实施控制措施，确保数据在传输过程中未经授权不得被读取、复制、修改或删除；包含目标地址验证和完整性检查。	业务连续性与灾难恢复（BCP/DRP）。包含RTO/RPO的书面业务连续性及灾难恢复计划；危机沟通手册。 备份治理。备份计划政策、保留期限、加密、存储位置审批、定期证据审查。 事件响应。明确的事件响应计划、操作手册、事后审查及纠正措施。 危机/应急管理。启动协议、角色及升级路径；定期演练和协议评估。

4. 定期测试、评估和审查的技术措施流程

技术措施	组织措施
安全测试。年度独立渗透测试、持续漏洞赏金计划/负责任披露、常规自动化扫描（SAST/DAST/云端）。 控制遥测。安全指标、控制状态仪表盘及自动化策略合规性检查。	管理体系与合规保障。ISO/IEC 27001 信息安全管理体系（ISMS）已生效；SOC 2 Type II 审计；控制措施确认及整改追踪。 治理与文档。政策/技术操作手册（TOMs）的中央存储库；记录在案的数据控制者与处理者职责划分；正式的责任分配。 培训与意识提升。定期开展数据保护与安全培训（基于角色）；钓鱼攻击模拟演练；安全工程培训。 自带设备（BYOD）/设备管理。书面化的BYOD及资产管理规则；通过移动设备管理（MDM）进行执行。 定期审查。至少每年一次的技术操作措施（TOMs）有效性审查；在发生重大变更、安全事件或风险评估后及时更新。

5. 隐私治理与数据生命周期控制

技术措施	组织措施
数据最小化与屏蔽。字段级数据最小化；对非生产环境数据进行屏蔽/假名化处理；采用选择性日志记录以避免敏感数据内容。 保留与删除自动化。基于策略的保留机制，配合自动删除任务；在符合策略的前提下，对备份进行经验证的清除。	DPIA/TRA。针对新增或变更的处理活动进行基于风险的DPIA；处理记录（RoPA）。 次级处理者管理。签订合同形式的数据处理协议（DPA）/标准合同条款（SCC），进行数据转移影响评估，并实施持续监控。 数据主体请求。针对权利请求制定明确的流程及服务水平协议（SLA）；身份验证步骤。

附件二

处理说明

A. 主题

根据协议提供 Ideals 虚拟数据室及相关服务。

B. 处理目的

仅在向客户提供服务所必需的范围内，对客户个人信息进行托管、存储、整理、传输、保护、提供、维护、支持及其他处理。

C. 处理性质

可能包括从客户处收集、记录、组织、结构化、存储、检索、查阅、访问、传输、备份、恢复、删除、销毁以及为提供服务所需的其他处理活动。

D. 数据主体类别

由客户全权决定并体现在客户数据中，具体范围视客户对服务的使用情况而定，可能包括：

(a) 客户人员；

(b) 客户交易对象；

(c) 最终用户；

(d) 投资者；

(e) 董事；

(f) 员工；

(g) 顾问；

(h) 交易方的代表；及/或

(i) 客户选择上传其信息的其他个人。

E. 客户个人信息的类别

由客户全权决定并体现在客户数据中，具体内容可能包括（视客户对服务的使用情况而定）：

(a) 身份识别数据；

(b) 联系方式；

(c) 就业或职业信息；

(d) 财务信息；

(e) 交易相关数据；

(f) 用户账户数据；

(g) 通信记录；

(h) 审计日志或访问信息；及/或

(i) 客户选择上传的任何其他个人信息。

F. 敏感个人信息

仅限于客户上传或以其他方式提供的范围。客户应独自负责确定客户数据是否包含敏感个人信息，并确保已满足适用于该信息的任何额外法律要求。

G. 处理地点

默认处理地点：Ideals 提供的、由客户选择的任何地点；客户仍需负责确保在中国大陆以外的任何选择均符合适用的中国数据保护法律。

H. 海外访问

仅在客户另行书面指示或预先授权的情况下，且仅当客户已确认此类访问根据适用的中国数据保护法律属于豁免情形或以其他方式合法时方可进行。