数据处理协议 (DPA)

最后更新:2026 年 7 月 9 日

1. 目的和范围

本数据处理协议(「DPA」)补充您与 Fluxon LLC(「处理方」)之间的服务条款,并适用于根据适用数据保护法律(包括 GDPR、CCPA 等)处理个人数据的情况。

本 DPA 适用于 Fluxon LLC 代表您(「控制方」)处理的所有个人数据。

2. 定义

「个人数据」、「处理」、「控制方」、「处理方」和「数据主体」的含义与适用数据保护法律中的定义相同。

「适用数据保护法律」指适用于处理个人数据的所有法律,包括但不限于欧盟通用数据保护条例(GDPR)、加州消费者隐私法(CCPA)等。

「子处理方」指由处理方聘请代表控制方处理个人数据的任何第三方。

3. 控制方和处理方的角色

对于通过 GateLLM 处理的个人数据:

您(客户)是控制方,决定处理的目的和方式。

Fluxon LLC 是处理方,根据您的指示处理个人数据。

您负责确保您有权处理相关个人数据,并已获得所有必要的同意和授权。

4. 处理的范围和目的

处理方将代表控制方处理个人数据,用于以下目的:

提供和维护 GateLLM 服务

管理账户和订阅

处理付款

提供技术支持

遵守法律义务

处理的性质:自动化处理、存储、传输和检索。

5. 处理的个人数据类型

处理方可能处理的个人数据类型包括:

联系信息:姓名、电子邮件地址、公司名称

账户信息:登录凭证、偏好设置

付款信息:由 Stripe 处理的账单信息

技术数据:IP 地址、浏览器信息、访问日志

使用数据:服务使用情况和性能指标

6. 数据主体的类别

本 DPA 涵盖的数据主体类别包括:

控制方的员工和代表

控制方的客户和最终用户

与控制方互动的其他个人

7. 处理方的义务

处理方将:

仅根据控制方的书面指示处理个人数据,除非法律要求另有处理

确保处理个人数据的人员承诺保密或承担适当的保密义务

实施适当的技术和组织措施保护个人数据

遵守有关子处理方的要求

协助控制方履行其响应数据主体权利请求的义务

在控制方要求时删除或返还个人数据

提供必要的信息以证明遵守本 DPA 的义务

8. 子处理方

控制方授权处理方聘请以下子处理方:

Supabase Inc.:数据库存储和身份认证服务

Stripe Inc.:支付处理服务

Resend Inc.:电子邮件发送服务

云托管提供商:基础设施和托管服务

分析提供商(如启用):Google LLC(Google Analytics)或 Plausible Insights Ltd.

处理方将确保所有子处理方受书面协议约束,提供与本 DPA 相同水平的数据保护。

处理方将提前通知控制方任何子处理方的增加或更换,并给予控制方合理的反对机会。

9. 安全措施

处理方将实施和维护适当的技术和组织措施,以确保与风险相适应的安全水平,包括但不限于:

个人数据的伪匿名化和加密

确保处理系统和设备的持续保密性、完整性、可用性和弹性

在发生物理或技术事故时及时恢复个人数据的可用性和访问权限

定期测试、评估和评价技术措施的有效性

10. 数据泄露

如果处理方发现涉及控制方个人数据的安全漏洞,将在发现后 72 小时内通知控制方。

通知将包括:

漏洞的性质描述,包括受影响的数据主体的数量和类别

数据保护官或联系点的名称和联系方式

漏洞可能造成的后果

已采取或建议采取的措施,以减轻其不利影响

11. 国际数据传输

如果处理方将个人数据传输到欧洲经济区(EEA)以外的国家,将确保:

欧盟委员会已对该国家做出充分性认定,或

已实施适当的保障措施,如欧盟委员会批准的标准合同条款(SCCs)。

处理方将确保子处理方遵守相同的数据传输要求。

12. 数据主体的权利

处理方将在合理可行的范围内协助控制方履行其响应数据主体行使其权利的请求的义务,包括:

访问权

更正权

删除权(被遗忘权)

限制处理权

数据可携带权

反对权

处理方将在收到任何数据主体请求后 5 个工作日内通知控制方。

13. 审计和检查

控制方有权在合理的事先通知后,对处理方进行审计或检查,以验证处理方是否遵守本 DPA。

审计应:

在正常工作时间进行

合理限制频率和范围

不干扰处理方的正常业务运营

控制方可以聘请独立的第三方进行审计。

14. 删除和返还数据

在服务终止或控制方请求时,处理方将:

删除所有个人数据,除非法律要求存储

以结构化、常用格式返还个人数据的副本

删除所有现有副本,除非法律要求保留

处理方将在删除或返还后 30 天内提供书面确认。

15. 责任

各方应根据适用数据保护法律承担其责任。

如果一方违反其在本 DPA 下的义务,应对由此造成的损害承担责任。

责任限制应遵循服务条款中的规定,但不适用于故意不当行为或重大过失。

16. 期限和终止

本 DPA 与服务条款同时生效,并在服务条款终止后继续有效,直至处理方删除或返还所有个人数据。

任何一方违反本 DPA 的重大条款,另一方有权终止本 DPA。

17. 管辖法律

本 DPA 受特拉华州法律管辖。

因本 DPA 引起的任何争议将在特拉华州法院解决。

18. 签署

使用 GateLLM 服务即表示您接受本 DPA 的条款。

如需正式签署的 DPA 副本,请联系 support@gatellm.io。

GateLLM is a product of Fluxon LLC, a Delaware limited liability company.