数据隐私协议

附件

本数据隐私协议（含下述所有附件，下称“DPA”）由协议载明的 Seagate 公司（以下简称为“Seagate”）与协议载明的供应商公司（“本公司”）订立（单称“一方”，合称“双方”）。

本公司已与 Seagate 订立一份或多份采购订单、合同及/或协议（包括工作说明书，合称“协议”），根据该等协议，本公司同意向 Seagate 提供协议中具体载明的若干服务（“服务”）。

双方订立本 DPA，旨在确保本公司为 Seagate 及/或代表 Seagate 处理向本公司提供或由本公司收集的个人信息时，符合数据保护法及其对数据主体个人信息的收集、使用和留存要求。

本 DPA 已纳入协议并构成协议的一部分。本 DPA 中未定义的所有术语将具有协议中规定的含义。

双方特此确认并约定如下：

1. 定义
   1. “关联公司”指控制该方、受该方控制或与该方受共同控制的任何实体。
   2. “控制权”指拥有相关实体已发行总权益（按完全稀释基础计算）百分之五十 (50%) 及以上的所有权、表决权或类似权益。“受控制”一词应据此解释。
      
   3. “数据隐私违规”指意外或非法损毁、丢失、篡改、未经授权披露、访问或获取 Seagate 个人信息，或其他任何未经授权的 Seagate 个人信息处理行为。
   4. “数据保护法”指全球范围内适用于相关个人信息的所有数据保护、数据安全及隐私法律、规则与条例，包括（如适用）：(i) 欧洲数据保护法；(ii) 美国所有法律、规则及条例，包括经不时修订、替代或更新的美国各州隐私法；(iii) 数据安全方案；以及 (iv) 与个人信息性质相适配的适用行业标准。
   5. “数据安全方案”或“DSP”指美国司法部于 2025 年 1 月 8 日发布的、题为《防范受关注国家/地区或受管控人员获取美国敏感个人数据及政府相关数据》的规则（《联邦法规汇编》第 28 编第 202 部分），该规则为落实 2024 年 2 月 28 日第 14117 号行政令（《防范受关注国家/地区获取美国民众海量敏感个人数据及美国政府相关数据》）而制定，可经修订与更新。
   6. “欧洲数据保护法”指适用于欧盟（“EU”）或欧洲经济区（“EEA”）的所有数据保护法律和法规，包括：
      
      1. 《通用数据保护条例 2016/679》（“EU GDPR”）；
      2. 经英国《2018 年欧盟（脱欧）法》第3条及《2018 年英国数据保护法》纳入英国国内法的欧盟通用数据保护条例（下称“英国通用数据保护条例”）；
      3. 1992 年 6 月 19 日颁布的《瑞士联邦数据保护法》及其配套条例（下称“瑞士数据保护法”）；
         
      4. 关于电子通信领域个人数据处理和隐私保护的 2002/58/EC 指令；以及
         
      5. (A) 项与 (D) 项对应的各国/地区适用实施法规。
   7. “欧盟标准合同条款”指欧盟委员会 2021 年 6 月 4 日第 2021/914 号实施决定所附的合同条款，该决定依据欧洲议会及欧盟理事会第 (EU)2016/679 号条例，规定了向第三国传输个人数据的标准合同条款。
   8. “个人信息”指可识别自然人或与已识别、可识别自然人相关的任何信息，包括与设备或在线标识符相关的信息，以及适用数据保护法中定义为“个人数据”、“个人可识别信息”或类似术语的任何信息。
   9. “处理”或“进行处理”指（包括但不限于）针对 Seagate 个人信息开展的各项操作，无论是否采用自动化方式，例如收集、记录、整理、结构化、修改、使用、访问、披露、传播、复制、传输、存储或以其他方式留存、删除、比对、合并、限制、调整、检索、查阅、销毁或处置个人信息。
   10. “受限传输”是指：
       1. 在适用欧盟通用数据保护条例的情形下，指将个人信息从欧洲经济区传输至未获得欧盟委员会充分性认定的欧洲经济区以外国家/地区；
       2. 在适用英国通用数据保护条例的情形下，指将个人信息从英国传输至未依据英国《2018 年数据保护法》第 17A 条适用或基于充分性法规的其他国家/地区；以及
       3. 在适用瑞士数据保护法的情形下，指将个人信息从瑞士传输至未依据瑞士数据保护法认可的充分性决定的其他国家/地区。
   11. “Seagate 个人信息”指由 Seagate 创建、所有或提供，或为希捷创建、所有或提供的任何个人信息，且本公司就双方和/或其关联公司之间的任何协议，代表 Seagate 访问、获取、使用、留存或处理该等信息。
   12. “敏感信息”指根据适用的数据保护法被归类为敏感信息的任何 Seagate 个人信息，包括：(i) 政府签发的身份证件号码（如社保号、护照号、纳税人识别号及驾驶证号码）；(ii) 金融账户或支付卡详情，无论是否附带可访问账户或信用记录的密码或验证码；(iii) 健康、基因或生物识别信息；(iv) 可揭示种族、民族、宗教、性取向或性生活、政治或哲学信仰、工会会员身份的信息；(v) 背景调查或司法记录，包括犯罪记录及其他司法或行政程序相关信息；以及 (vi) 适用数据保护法（包括欧盟通用数据保护条例、英国通用数据保护条例及瑞士数据保护法）中另行界定为“敏感个人信息”、“敏感个人数据”、“敏感数据”或“特殊类别数据”的任何信息。
   13. “标准条款”指（视适用情况而定）本数据保护协议第 4.1 条（欧洲经济区、英国及瑞士标准条款）中列明的欧盟标准合同条款、英国附录及瑞士修订条款。
   14. “分包处理者”是指由本公司或任何其他分包处理者聘用的将有权访问、接收或以其他方式处理任何 Seagate 个人信息的第三方。
       
   15. “监管机构”指对数据保护法合规情况拥有管辖权或监管权的任何监管、监督、政府、州级机构、总检察长或其他主管部门。
   16. “本公司人员”指经本公司授权处理 Seagate 个人信息的本公司员工、承包商、服务提供商、供应商、分包处理者或代理人。
   17. “英国附录”指英国信息专员办公室依据《2018 年英国数据保护法》第 119A 条发布的《国际数据传输附录》（B1.0 版），该附录可不时更新或修订。
   18. “美国各州隐私法”指 Seagate 个人信息所适用的全部数据隐私、数据保护及网络安全相关法律、规则与条例。
   19. “控制者”、“数据主体”、“处理者”、“经营者”、“收集”、“消费者”、“共享”、“出售”、“售卖”、“监管机构”及“服务提供商”术语，其含义以数据保护法下的定义为准。
   20. “美国批量敏感个人数据”、“关注国家”、“受管控数据交易”、“受管控主体”、“数据经纪业务”、“雇佣协议”、“境外主体”、“政府相关数据”、“投资协议”、“安全要求”、“交易”及“供应商协议”术语，其含义以《数据安全保护法》(DSP) 项下的定义为准。
   21. “包括”一词应解释为包括但不限于，相关同源术语亦应作相应解释。
2. 数据安全和保护
   1. 双方身份。针对 Seagate 个人信息，双方特此确认并同意，本公司作为处理者代表 Seagate 处理该等个人信息。本公司仅可在为提供协议及本数据保护协议约定服务的必要范围内处理个人信息。
   2. 《加州消费者隐私法》项下角色。就经《加州隐私权利法》（“CPRA”）修订的 2018 年《加州消费者隐私法》（“CCPA”）（《加州民法典》第 1798.100 条及后续条款，适用时）而言，本公司作为服务提供商，按照作为经营者的 Seagate 的指示处理个人信息。
   3. Seagate 个人信息保密义务。未经 Seagate 事先书面授权，本公司不得为任何目的、以任何方式向任何第三方披露 Seagate 个人信息，但依据下文第 2.5 条（处理要求）向分包处理者进行披露的除外。在不限制前述规定的前提下，本公司绝对不得为自身或任何第三方的商业利益，出售或以其他方式向第三方披露 Seagate 个人信息。任何经授权处理 Seagate 个人信息的人员，必须通过合同约定承诺对该等信息予以保密，或受相应法定保密义务约束。
   4. 处理限制。本公司仅可依据协议为 Seagate 提供服务，并按照 Seagate 书面载明的合法指示（“许可用途”）处理 Seagate 个人信息。为此，Seagate 指示本公司按照附件 I（数据处理说明）第 V 部分 B 节（传输说明）所述目的处理 Seagate 个人信息。本公司不得处理或允许他人处理 Seagate 个人信息，除非为依据双方及/或其关联公司之间的任何协议或 Seagate 其他书面指示向 Seagate 提供服务所必需。
   5. 处理要求。公司应始终：(a) 仅为许可用途处理 Seagate 个人信息；且 (b) 不得为自身或任何第三方目的处理 Seagate 个人信息。本公司不得：(i) 出售或共享 Seagate 个人信息；(ii) 为许可用途以外的任何目的留存、使用或披露 Seagate 个人信息，包括为履行协议项下服务以外的商业目的留存、使用或披露 Seagate 个人信息；或 (iii) 在 Seagate 与本公司直接业务关系范围外留存、使用或披露 Seagate 个人信息。若本公司无法继续履行 CCPA/CPRA 下的义务，应通知 Seagate。本公司确认知悉并将遵守该第 2 条所载要求与限制，并进一步遵守适用于 CCPA/CPRA 下服务提供方的相关要求。此外，双方确认并同意，彼此间的个人信息交换不构成出售行为，亦不属于双方就本协议或本 DPA 所交换的任何金钱对价或其他有价对价的一部分。在任何情况下，本公司不得将从 Seagate 处接收的 Seagate 个人信息，与本公司自其他方、代表其他方接收，或通过与消费者互动收集的个人信息进行合并。Seagate 与本公司均声明已阅读并理解 CCPA/CPRA 规定的相关要求。
   6. 信息安全方案。本公司将实施、维护、监控并在必要时更新一套全面的书面信息安全方案，该方案包含适当的管理、技术及物理保护措施，以保护 Seagate 个人信息免受其安全性、保密性或完整性面临的可预见威胁或危害（例如未经授权的访问、收集、使用、复制、修改、处置或披露，未经授权、非法或意外的丢失、损毁、获取或损坏，或其他任何未经授权的处理行为）（“信息安全方案”）。该信息安全方案将包含附件 II（安全标准）所列的要求及措施。
   7. 对分包处理者的限制。在为 Seagate 提供服务的过程中，本公司可在必要时向分包处理者披露 Seagate 个人信息，但须遵守本条第 2.7 条规定的条件。本公司应留存其向之披露 Seagate 个人信息的分包处理者清单，并应 Seagate 要求向其提供该清单。若适用，自相关协议生效之日起，本公司当前分包处理者清单载于相关协议或本公司向 Seagate 提供并经双方签署的其他文件中，列明分包处理者信息。本公司若新增分包处理者，应至少提前 30 个工作日通过 [email protected] 邮箱通知 Seagate。若 Seagate 在收到通知后 30 个工作日内未对拟新增分包处理者提出异议，则视为该分包处理者已获批准。若 Seagate 反对任一分包处理者访问 Seagate 个人信息，本公司不得向该分包处理者披露 Seagate 个人信息。若任一方发现任一分包处理者无法就所处理的 Seagate 个人信息相关风险提供充分的恰当安全保障，Seagate 可自行决定将该分包处理者从清单中移除。若分包处理者被 Seagate 提出异议或移除，本公司将获得合理期限以更换该分包处理者。若本公司不向该分包处理者披露 Seagate 个人信息即无法提供服务，则 Seagate 可终止双方及/或其关联公司之间适用的相关协议，且无需向本公司承担任何费用或赔偿责任。
   8. 分包处理者合规与违约。本公司使用分包处理者的行为并不免除本公司遵守本 DPA 或适用数据保护法的义务。对于分包处理者的服务履约情况、数据隐私违规事件以及违反本 DPA 及适用数据保护法的行为，本公司需向 Seagate 承担责任，责任程度等同于本公司自身实施该等违约行为。
   9. 公司人员和分包处理者的义务。本公司应确保有权访问 Seagate 个人信息的任何个人或分包处理者均签订书面协议，其中的条款至少与本 DPA 中的条款同等严格。本公司应确保在为 Seagate 处理完个人信息后，所有隐私和数据保护义务仍然延续。该义务永久有效，或至少持续至本公司确认所有 Seagate 个人信息均已删除、销毁且无法恢复为止。
   10. 权限限制。本公司应将 Seagate 个人信息的访问权限限定于本公司人员或分包处理者，且该等人员或处理者需为履行双方及/或其关联公司之间相关协议项下义务或遵守 Seagate 书面指示而确有访问必要，并满足：(a) 已接受数据保护及安全要求相关培训；且(b) 同意在为 Seagate 提供处理服务期间及服务结束后，遵守约束力度至少不低于 Seagate 要求的数据保密规定。
   11. 请求或投诉通知。除非法律禁止，本公司在收到任何与 Seagate 个人信息处理相关的请求或投诉后，应于两个工作日内通过 [email protected] 邮箱通知 Seagate，包括：
       1. 数据主体提出的数据可携带性请求、访问、更改、删除、限制处理请求及其他同类请求；或
       2. 关于处理行为侵犯数据主体权利的投诉或指控。
   12. 本公司的回应义务。未经 Seagate 明确授权，本公司不得对第 2.11 条（请求或投诉通知）项下的任何请求或投诉作出回应。针对与该等请求或投诉（包括但不限于删除请求）相关的任何处置行为，本公司应配合 Seagate 开展工作。除非法律禁止，本公司应实施适当流程（包括技术与组织措施），协助 Seagate 处理相关请求或投诉。
   13. 披露请求。除非法律禁止，若本公司收到任何要求或意图强制披露 Seagate 个人信息的文件（如口头问询、质询书、法律程序中的信息或文件调取请求、传票、民事调查令或其他类似请求或法律文书，统称“披露请求”），应立即通知 Seagate。若披露请求不具有约束力，本公司不予回应。若披露请求具有约束力，除非适用法律禁止，本公司应至少提前 48 小时通知 Seagate，以便 Seagate 可行使其享有的阻止或限制披露的相关权利。本公司应尽合理努力防止、限制任何披露行为，并维护 Seagate 个人信息的保密性。针对应对披露请求所采取的任何措施，本公司应配合 Seagate，包括协助获取适当的保护令或其他保障文件，以维护 Seagate 个人信息的保密性。
       
   14. 配合义务。本公司应协助 Seagate 履行数据保护法下的下列义务：(a) 登记与通知；(b) 问责；(c) 保障 Seagate 个人信息安全；以及 (d) 完成隐私及数据保护影响评估（包括数据保护法规定的审计与风险评估）及相关监管机构磋商工作。
   15. 参与监管调查。若监管机构开展的任何调查涉及本公司或本公司分包处理者所处理的 Seagate 个人信息，本公司应协助并支持 Seagate 应对该调查。
   16. 潜在违规或无法履约的通知。如发生以下情况，本公司应立即通知 Seagate：
       1. 本公司有合理理由认为 Seagate 就 Seagate 个人信息处理作出的任何指示违反适用法律；
       2. 本公司有合理理由认为其无法履行本 DPA 或数据保护法下的任何义务，且无法在合理期限内补救该履约障碍；或
       3. 本公司知悉任何可能阻碍其履行本 DPA 下义务的情形或适用法律变更。
   17. 合规暂停或调整。Seagate 可暂停本公司或分包处理者对 Seagate 个人信息的处理行为，以防范出现违反适用法律、本 DPA 或双方及/或其关联公司之间任何与隐私或数据保护相关的有效协议的潜在情形。本公司应配合 Seagate 调整处理方式，纠正任何潜在违规或不合规行为。若无法进行调整，Seagate 可终止双方及/或其关联公司之间任何适用协议，且无需向本公司承担任何费用或赔偿责任。
3. 数据安全方案
   1. 遵守 DSP。本公司确认，部分 Seagate 个人信息可能属于受 DSP 约束的美国大量敏感个人数据或政府相关数据。本公司声明并保证，在其处理 Seagate 个人信息的适用范围内遵守 DSP，包括该类数据在访问、传输及使用方面的所有适用限制，且仅依据本 DPA 处理 Seagate 个人信息。本 DPA 中的任何内容均不允许本公司开展 DSP 所禁止的任何处理或传输行为。
   2. 禁止交易。若数据经纪行为被 DSP 所禁止，本公司不得开展涉及美国大量敏感个人数据或政府相关数据的数据经纪活动，包括会导致受关注国家或受约束人员获取相关数据的交易。该限制不受匿名化、假名化、加密或其他技术保障措施影响。
   3. 受限交易。若本公司提供服务过程中可能涉及供应商协议、雇佣协议或投资协议，且该等协议可能导致受约束人员或受关注国家获取美国大量敏感个人数据或政府相关数据，则本公司应：(a) 提前通知 Seagate；(b) 取得 Seagate 事先书面批准；以及 (c) 除本 DPA 中的安全标准或双方另行约定的其他安全要求外，执行 DSP 项下所有适用安全要求。
   4. 治理及持续义务。本公司若知悉任何可能影响 DSP 合规性的情况变更，包括所有权、控制权、分包或地域访问权限变更，应立即通知 Seagate。为解决 DSP 合规问题，Seagate 可暂停或限制对受影响数据的访问。违反该第 3 条规定即构成本 DPA 重大违约，亦可能构成违反数据安全方案的行为。
4. 数据传输
   1. 欧洲经济区、英国和瑞士标准条款。
      1. 双方同意，若 Seagate 向本公司传输 Seagate 个人信息属于受限传输，则该传输应遵守相应标准条款，该等标准条款通过引用自动纳入本 DPA，且如下文所列，构成本协议不可分割的一部分：
         1. 对于受欧盟通用数据保护条例保护的 Seagate 个人信息，欧盟标准合同条款适用如下：
            1. Seagate 为数据导出方，本公司为数据导入方；
               
            2. 适用“模块二 (C2P)”；
            3. 第 7 条适用可选对接条款；
               
            4. “模块二 (C2P)”第 9 条适用“方案 2”，且分包处理者变更的事先通知期限以本 DPA 第 2.7 条（分包处理者限制）规定为准；
            5. 第 11 条不适用可选条款；
            6. 第 17 条；
               1. “模块二 (C2P)”适用“方案 1”，且
               2. 欧盟标准合同条款受爱尔兰法律管辖；
                  
            7. 第 18(b) 条项下，争议由爱尔兰法院管辖；
               
            8. 欧盟标准合同条款附件 I 视为已按照本 DPA 附件 I（数据处理说明）所载信息填写完毕；
            9. 欧盟标准合同条款附件 II 视为已按照本数据处理协议附件 II（安全标准）所载信息填写完毕。
         2. 对于受英国通用数据保护条例保护的数据，欧盟标准合同条款：(i) 应按上述第 4.1B.a 条的填写内容适用；且 (ii) 视为已根据英国附录进行修订，该英国附录视为双方已签署，纳入本 DPA 并构成本协议不可分割的一部分。若欧盟标准合同条款与英国附录条款存在冲突，应按照英国附录第 10 条及第 11 条解决。此外，英国附录第 1 部分表 1 至表 3 应分别按照本 DPA附件 I（数据处理说明）及附件 II（安全标准）所载信息填写，第 1 部分表 4，如双方均未进行选择，则应视为已填写完毕。
         3. 对于受瑞士数据保护法保护的 Seagate 个人信息，按上述第 4.1B.a 条执行的欧盟标准合同条款适用，但须满足以下条件：
            
            1. 欧盟标准合同条款中提及的《欧盟条例 2016/679》或欧盟通用数据保护条例，应解释为指《瑞士联邦数据保护法》（“FADP”）；
            2. 提及的“欧盟法律”、“联盟法律”及“成员国法律”，应视情况解释为瑞士及瑞士法律；
            3. “成员国”一词不得被解释为排除瑞士数据主体在其惯常居住地（瑞士）主张自身权利、提起诉讼的可能性；
            4. 在修订后的 FADP 生效前，欧盟标准合同条款应被解释为对法人实体数据提供保护；
            5. 提及的主管监管机构及管辖法院，应解释为瑞士联邦数据保护与信息专员以及瑞士管辖法院。
         4. 若本 DPA 或相关协议的任何条款直接或间接与标准条款相抵触，则以标准条款为准。
         5. 本公司应确保分包处理者（如适用）同样签署标准条款。
      2. 替代传输机制：若本公司就个人信息传输采用本 DPA 未载明的其他数据导出机制（包括依据适用的欧洲数据保护法采用的标准条款新版本或后续替代版本）（下称“替代传输机制”），则该替代传输机制应适用，并取代本 DPA 载明的任何适用传输机制，但需同时满足以下条件：(i) 符合欧洲数据保护法；(ii) 覆盖个人信息传输所涉地域；(iii) 遵守下述通知要求；且 (iv) 本公司签署其他必要文件、采取合理必要的进一步措施，使该替代传输机制具备法律效力。此外，若有管辖权的法院或具有约束力的监管机构（无论因何种原因）裁定或认定本协议所述措施无法用于合法传输 Seagate 个人信息，则 Seagate 确认并同意，在遵守下述通知要求的前提下，本公司可采取实现 Seagate 个人信息合法传输所需的其他合理补充措施或保障措施。通知要求为：本公司应在实施替代传输机制或任何补充措施前至少提前 30 个工作日，通过邮箱 [email protected] 通知 Seagate。若 Seagate 在收到通知后 30 个工作日内未对拟采用的替代传输机制或补充措施提出异议，即视为 Seagate 予以批准。若 Seagate 对该等替代传输机制或补充措施提出异议，本公司不得使用该等机制或措施。若 Seagate 对某项替代传输机制或补充措施提出异议，Seagate 可自行决定终止双方及/或其关联公司之间的任何适用协议，且无需向本公司承担任何费用或责任。
      3. 向存在数据导出要求的国家境外传输。若任何数据保护法要求针对任何适用的数据导出限制采取进一步措施，以允许将 Seagate 个人信息传输至本公司（含次分包处理者），本公司将遵守该等数据保护要求，包括获取必要同意、签署任何适用的数据传输协议（如标准合同条款）或采取其他替代方案，确保该类传输具备充分保障措施。
   2. 其他司法管辖区条款。如适用，本公司应遵守附件 III（特定司法管辖区数据隐私要求）所载特定司法管辖区的相关要求。
5. 合规和问责
   1. 合规。本公司应确保本公司及分包处理者对 Seagate 个人信息的处理行为，遵守适用于本公司及分包处理者的所有适用法律、自律规范及合同要求，包括所有适用的数据保护法。本公司应每年核查本公司及分包处理者的业务操作，确保其符合本 DPA 及所有适用的数据保护法规定。对于 Seagate 提出的、要求本公司证明遵守本 DPA 所载数据保护及安全条款的请求，本公司应自费予以配合。
   2. 处理活动记录。本公司应留存最新记录，载明本公司代表及数据保护官信息、开展的处理活动类别、跨境数据传输相关信息、已实施的已处理数据安全措施概述、每位处理 Seagate 个人信息的分包处理者的名称、联系方式及处理详情，以及如适用，各分包处理者的代表及数据保护官信息。应要求，本公司应向 Seagate 或监管机构提供该记录的历史副本及当前副本。
   3. 审计。本公司应在收到书面请求后，向 Seagate 提供用以证明其遵守本 DPA 及数据保护法所需的全部信息，并允许且配合由 Seagate 或其指定的独立第三方开展的、针对 Seagate 个人信息处理活动的审计，包括现场检查。该等独立第三方审计机构须与双方签署保密协议。本公司应在合理期限内纠正所有不合规情形。若无法完成整改，Seagate 可终止双方及/或其关联公司之间的任何适用协议，且无需向本公司承担任何费用或责任。
      
6. 数据隐私违规后本公司的责任
   1. 数据隐私违规通知。本公司在获知或怀疑发生数据隐私违规事件后，应立即以书面形式通知 Seagate，且无论如何应在首次获悉潜在数据隐私违规事件后的 24 小时 内完成通知，并应立即：
      1. 通过邮箱 [email protected] 将数据隐私违规事件告知 Seagate；
      2. 对数据隐私违规事件开展调查，或为相关调查提供必要协助；
         
      3. 向 Seagate 提供数据隐私违规事件的详细信息，包括但不限于受影响的数据主体类别、所在地及大致数量，以及 Seagate 个人信息记录的类别、所在地及大致数量，并在获取更多相关信息后及时向 Seagate 补充提供；
      4. 采取所有商业上合理的措施减轻数据隐私违规造成的影响，或协助 Seagate 采取该等措施；且
      5. 在经 Seagate 批准的前提下实施整改方案，并监控与 Seagate 个人信息相关的数据隐私违规事件及安全漏洞的处置情况，确保及时采取恰当的纠正措施。
   2. 遏制和补救。本公司应立即遏制并补救任何数据隐私违规事件，防止发生进一步的数据隐私违规；且本公司应采取所有必要行动，遵守适用的数据保护法及行业标准，对数据隐私违规事件进行遏制与补救。
   3. 通信。未经 Seagate 事先批准，本公司不得以任何可识别、或合理可能识别/披露 Seagate 身份的方式，发布任何与数据隐私违规事件相关的信息。
   4. 保存证据。本公司应维护事件响应计划。本公司在发现数据隐私违规事件后，应留存与该事件相关的证据，并依据本公司的事件响应计划维持清晰的指挥体系。
   5. 合作。对于 Seagate 为维护其与 Seagate 个人信息的使用、披露、保护及留存相关的权利而开展的任何诉讼、调查或其他行动，本公司均应予以配合。本公司进一步同意，应 Seagate 及/或其指定代表的要求，为纠正、整改、调查任何数据隐私违规事件及减轻潜在损害提供合理协助与配合，包括 Seagate 酌情向受影响数据主体、监管机构或第三方发出的各类通知，及/或 Seagate 认为适宜向受影响数据主体提供的信用报告服务。对于因本公司引发的数据隐私违规事件，本公司将承担 Seagate 产生的合理费用，包括但不限于调查、整改及通知相关费用。
7. 返还和安全删除 Seagate 个人信息
   1. 数据完整性。 本公司应遵守 Seagate 的所有指令以维护数据完整性，包括：(a) 处置本公司留存但提供服务时已不再需要的 Seagate 个人信息，数据保护法要求留存的除外；(b) 确保本公司代表 Seagate 创建的所有 Seagate 个人信息准确无误并及时更新；以及 (c) 应 Seagate 要求，允许 Seagate 查阅任何 Seagate 个人信息，所有操作均符合适用法律法规。
   2. Seagate 个人信息的返还与删除。出现以下任一较早情形时：(a) Seagate 提出要求；或 (b) 双方及/或其关联公司之间与 Seagate 个人信息处理相关的协议到期或提前终止，本公司应按照 Seagate 指示，并要求其分包处理者，导出 Seagate 个人信息，或向 Seagate 或其指定第三方提供导出全部 Seagate 个人信息的权限，格式由 Seagate 确定，需为机器可读且可互操作的格式，数据保护法要求留存的除外。本公司应在 Seagate 认定为合理必要的期限内留存 Seagate 个人信息，以便 Seagate 完整访问并导出该等信息，且不得向 Seagate 收取任何费用。各方应指定专人负责 Seagate 个人信息的迁移工作，并迅速、勤勉、诚信协作，确保信息及时移交。在以下任一情形发生后 90 日内：(a) Seagate 确认已正确接收并迁移 Seagate 个人信息；或 (b) Seagate 通知本公司选择不迁移该等信息，本公司及分包处理者应安全销毁全部 Seagate 个人信息，解除 Seagate 工作空间标识符的关联，并采用经认可的数据清除方式，以新数据覆盖或以其他方式销毁该等信息。
   3. Seagate 个人信息的销毁。除非数据保护法要求留存，否则本公司在处置任何包含 Seagate 个人信息的纸质、电子或其他记录时，应根据该等信息的敏感度，采取一切合理措施销毁 Seagate 个人信息，具体方式如下：(a) 粉碎；(b) 永久擦除并删除；(c) 消磁；或 (d) 以其他方式修改该等记录中的 Seagate 个人信息，使其无法读取、无法复原且无法破解。若本公司停用或报废存有 Seagate 个人信息副本的硬盘，应依据美国国家标准与技术研究院发布的《介质清除指南》（NIST 800‑88 修订版 1），对硬盘进行安全粉碎或销毁处理，确保 Seagate 个人信息无法读取。本公司应出具书面证明，证实硬盘已粉碎或销毁，且 Seagate 个人信息无法读取、检索或复原。
   4. 对任何信息留存的通知。若本公司负有法定义务，需在本 DPA 允许的期限之外留存 Seagate 个人信息，本公司应书面告知 Seagate 该法定义务，除为履行该法定义务而留存信息外，不得对 Seagate个人信息进行进一步处理，并应在法定留存期限届满后尽快返还或销毁该等信息。本 DPA 持续有效，直至本公司不再保管、管控或访问任何 Seagate 个人信息为止。
   5. 文档。本公司应根据本 DPA，书面记录 Seagate 个人信息的留存及处置。应 Seagate 要求，本公司须提供信息留存记录，并出具书面证明，证实 Seagate 个人信息已按照本 DPA 的规定完成安全销毁。
8. 其他
   1. 协议期限。本 DPA 持续有效，直至：(a) 双方之间无其他有效协议；且 (b) 本公司不再保管、管控或访问任何 Seagate 个人信息。本公司应在协议约定的合作关系终止前处理 Seagate 个人信息。只要本公司处理 Seagate 个人信息，本 DPA 下本公司的义务与 Seagate 的权利即持续有效。
   2. 优先级顺序若本 DPA 与双方及/或其关联公司之间的任何协议存在不一致，以本 DPA 条款为准，但涉及附件 II（安全标准）的不一致除外，若其他协议中的安全标准高于附件 II规定的最低要求，则该等情形下以其他协议为准。本 DPA 不得限制或约束标准条款，仅视为对其的补充。
   3. 更新。本公司应合理配合，根据需要更新本 DPA，以确保符合适用法律法规要求。
      
   4. 第三方受益人。Seagate 的关联公司为本 DPA 的约定第三方受益人，可如同本 DPA 签署方一般执行本协议条款。Seagate 亦可代表其关联公司行使本 DPA 下的权利，无需其关联公司单独对本公司提起诉讼。
   5. 向监管机构披露本 DPA。Seagate 可向任何监管机构提供本 DPA 的摘要或副本。
      
   6. 可分割性。若本 DPA 的任何条款无效或失效，不会影响其余条款的效力。双方应以符合法律规定且与原无效/失效条款目的一致的条款，替换该无效或失效条款。若本协议缺少必要条款，双方应本着诚信原则补充相应合适条款。
   7. 解释。本 DPA 中的标题仅为方便查阅，不影响本协议的解释。
      

附件 I

数据处理说明

此附件 I构成标准条款的一部分。

模块二：传输 – 控制者至处理者（适用于 Seagate 个人信息）(C2P)

A. 各方名单

 

数据导出方
名称和地址	Seagate Technology LLC 代表关联公司和子公司签署 47488 Kato Road, Fremont, CA, 94538
联系人姓名和联系方式	Seagate Technology LLC 代表关联公司和子公司签署 47488 Kato Road, Fremont, CA, 94538 [email protected]
依据标准条款进行的数据传输相关活动	Seagate Technology LLC 代表关联公司及子公司签署，为各行业领域业务流程提供硬件产品、软件解决方案及服务。
签名和日期：	通过签订包含本 DPA 的协议，自协议生效之日起，数据导出方被视为已签署并入本 DPA 的这些标准条款（包括其附件）。
数据导出方角色（控制者/处理者）：	详见本 DPA 第 2.1 条（双方身份）。

数据导入方
名称和地址	公司名称和地址（如协议中指定）
联系人姓名、职位和联系方式：	公司名称和地址（如协议中指定）
依据标准条款进行的数据传输相关活动：	本公司为服务提供商，按协议约定向数据导出方提供服务及支持。
签名和日期：	通过签订包含本 DPA 的协议，自协议生效之日起，数据导入方即被视为已签署并入本文的这些标准条款（包括其附件）。
数据导入方角色	详见本 DPA第 2.1 条（双方身份）。

 

B. 传输说明

 

数据主体类别：	所传输的个人信息可涉及以下过往及现有数据主体类别： Seagate 员工、顾问、咨询人员、供应商、承包商、分包商和代理商； Seagate 的业务合作伙伴和潜在业务合作伙伴及其员工、合作伙伴、顾问、咨询人员、供应商、承包商、分包商和代理商； 潜在营销客户以及过往和现有消费者； Seagate 的过往和现有客户及其员工、合作伙伴、顾问、咨询人员、供应商、承包商、分包商和代理商。
所传输个人数据的类别	由 Seagate 提供或代表 Seagate 向本公司提供、或由本公司收集的个人信息，与上述数据主体类别相关，为本公司依据协议约定并按照 Seagate 书面合法指令向 Seagate 提供服务所必需，该等信息可包括联系方式，例如名字、姓氏、电子邮箱地址、办公地址、电话号码以及 Seagate 提供的其他任何个人信息。
传输的敏感信息（如适用）及充分考虑数据性质与相关风险的适用限制或保障措施：**	如协议中所述
传输频率	持续传输，除非协议或双方另行出具文件另有约定。
处理性质/处理活动	如协议中所述。
数据传输和处理目的	根据相关协议提供服务。
个人信息留存期限，或无法确定时用于确定该期限的标准：	将按以下期限保留个人数据： (a) 依据本 DPA第 7.2 条（Seagate 个人信息的返还与删除）；或 (b) 法律另有要求；或 (c) 按照协议或双方其他文件中载明的、适用于相关服务的期限留存； 以较长者为准。
若转移给分包处理者，还需指定处理的主题、性质和持续时间	若协议或双方另行约定文件未载明相关信息，本公司应将向分包处理者传输数据的处理主题、性质及持续时间发送至 [email protected]。

 

C. 主管监督机构

 

根据欧盟标准合同条款第 13 条，主管监督机构为以下任一机构：(i) 适用于数据导出方欧洲经济区注册地的监督机构；(ii) 若数据导出方未在欧洲经济区注册，则为根据《欧盟通用数据保护条例》第 27(1) 条指定的数据导出方欧盟代表所在欧洲经济区国家的监督机构；或 (iii) 若数据导出方无义务指定代表，则为本次传输相关数据主体所在地欧洲经济区国家的监督机构。对于适用英国《通用数据保护条例》的个人信息处理活动，主管监督机构为英国信息专员办公室。对于适用瑞士《数据保护法》的个人信息处理活动，主管监督机构为瑞士联邦数据保护与信息专员。

 

附件 II

安全标准

此附件 II构成标准条款的一部分。

此附件 II为本公司将采取的最低安全措施。若双方订立的任何协议要求本公司采取更高级别或范围更广的安全措施，本公司将遵守该等条款。本公司必须维护并执行各类旨在按照行业标准保护 Seagate 个人信息及其他数据的政策、标准和流程，例如美国国家标准与技术研究院发布的《NIST 网络安全框架 2.0》以及 ISO 27001 或 27002 标准，本公司人员可查阅上述文件。

1. 信息安全政策和标准。本公司必须对可访问 Seagate 个人信息的员工及所有分包商、合作方或代理实施安全要求，旨在：
   1. 防止未经授权的人员访问 Seagate 个人信息处理系统（物理访问控制）；
   2. 防止 Seagate 个人信息处理系统遭到未经授权的使用（逻辑访问控制）；
   3. 确保有权使用 Seagate 个人信息处理系统的人员，仅可依据其获批访问权限访问相应 Seagate 个人信息，且在处理、使用及存储后，未经授权不得读取、复制、修改或删除 Seagate 个人信息（数据访问控制）；
   4. 确保 Seagate 个人信息在电子传输、运送或存储过程中，未经授权不得被读取、复制、修改或删除，且可确定并核验通过数据传输设施接收 Seagate 个人信息的目标实体（数据传输控制）；
   5. 确保建立审计追踪，记录 Seagate 个人信息是否被录入、修改、传输或移出 Seagate 个人信息处理系统，以及相关操作人（录入控制）；
      
   6. 确保仅按照指令处理 Seagate 个人信息（指令控制）；
   7. 确保 Seagate 个人信息免受意外破坏或丢失（可用性控制）；以及
   8. 确保为不同目的收集的 Seagate 个人信息可以分开处理（分离控制）。

   本公司将定期开展风险评估与审查，并酌情至少每年一次，或在本公司业务实践发生可能合理影响 Seagate 个人信息安全性、保密性或完整性的重大变更时，修订信息安全措施，但本公司不得以削弱或损害 Seagate 个人信息保密性、可用性或完整性的方式调整信息安全措施。

2. 物理安全。本公司须在所有使用或存储 Seagate 个人信息的信息系统所在办公场所，持续维护具备商业合理性的安全系统。本公司应对该等 Seagate 个人信息进行合理、适当的访问权限管控。
3. 组织安全。
   1. 存储介质在处置或重复使用前，必须执行相关流程，防止其退出库存后，所存储的 Seagate 个人信息被后续检索。存储介质因维护作业需离开文件存放场所时，必须执行相关流程，防止其上存储的 Seagate 个人信息被不当检索。
   2. 本公司须实施安全政策与流程，对敏感信息资产进行分级，明确安全责任，并提升员工安全意识。
   3. 所有 Seagate 个人信息安全事件均须按照相应的事件响应流程处置。
   4. 本公司须采用行业标准加密工具，对传输中和静态存储的所有敏感信息进行加密。
4. 网络安全。本公司须采用商用设备及行业标准技术维护网络安全，包括防火墙、入侵检测与防御系统、访问控制列表及路由协议。
5. 访问控制。本公司须维持适当的访问控制，包括但不限于仅向确有必要的最少本公司人员开放 Seagate 个人信息访问权限。
   1. 仅授权人员可授予、修改或撤销使用或存储 Seagate 个人信息的信息系统访问权限。本公司须妥善留存访问记录，并应 Seagate 要求向其提供。
   2. 用户管理流程必须明确用户角色及其权限、访问权限的授予、变更与终止方式；规定合理的职责分离，并明确日志记录/监控要求及机制。
   3. 必须为本公司的所有员工分配唯一的用户 ID。
   4. 访问权限的配置须遵循“最小权限”原则。
   5. 本公司须采取具备商业合理性的物理及电子安全措施，设置并保护密码。
6. 病毒和恶意软件控制。本公司须在系统中安装并维护最新版防病毒及恶意软件防护软件，定期开展恶意软件监测与系统扫描，防范可预见的威胁与风险，防止 Seagate 个人信息遭未授权访问或使用。
7. 人员。本公司在向内部人员开放 Seagate 个人信息访问权限前，必须要求其遵守本公司信息安全计划。本公司须实施安全意识计划，对员工开展安全职责相关培训。该计划须涵盖数据分级义务、物理安全控制、安全操作规范及安全事件上报相关培训。本公司须明确界定员工的角色与职责。本公司须在录用前开展背景审查，并合理执行雇佣条款。本公司员工必须严格遵守既定安全政策与流程。如果员工出现数据隐私违规行为，则必须进行纪律处分。
8. 业务连续性。本公司须实施合理的备份、灾难恢复及业务恢复计划。本公司须定期审查业务连续性计划及风险评估报告。本公司须定期测试并更新业务连续性计划，以确保其时效性与有效性。
9. 首席安全经理。本公司须向 Seagate 报备其指定的首席安全经理。该安全经理负责管理及统筹履行本公司信息安全计划及本 DPA 中规定的各项义务。
10. 审计。Seagate 保留依据本 DPA   第 5.3 条（审计），对本公司在本附件 II 中承诺事项开展审计的权利。
11. 违规。若认定本公司违反本 DPA，本公司须立即整改相关违规行为，且无论如何须在 30 个自然日内完成。任何已知或疑似的数据隐私违规事件均受本 DPA 第 6 条（数据隐私违规后本公司的责任）的管理。

附件 III

特定司法管辖区的数据隐私要求

以下要求适用于指定的司法管辖区：

1. 澳大利亚
   1. 适用性。本第 1 条的条款适用于以下情况：(a) 本公司从位于澳大利亚的 Seagate 关联公司接收或访问 Seagate 个人信息；或 (b) Seagate 通知本公司该等 Seagate 个人信息需遵守这些要求。
   2. 专业或行业协会会员身份。“敏感信息”一词亦包括与个人专业或行业协会会员身份相关的个人信息。
   3. 澳大利亚隐私原则。本公司在处理 Seagate 个人信息或根据本 DPA 提供相关服务时，必须遵守《1988 年隐私法》（联邦）项下所有适用义务，包括“澳大利亚隐私原则”。
   4. 执法用途的使用或披露通知。若本公司为执法机构自身或其代表开展的一项或多项执法活动而使用或披露个人信息，除非法律禁止，本公司须留存该等使用及披露的书面记录，并及时向 Seagate 提供记录副本。
   5. 澳大利亚政府相关标识。若个人信息包含澳大利亚政府相关标识，本公司：(a) 未经 Seagate 明确指示，不得将个人的澳大利亚政府相关标识用作自身对该个人的识别标识；且 (b) 除非为核验个人身份确有合理必要，或经 Seagate 指示，否则不得使用或披露该澳大利亚政府相关标识。
   6. 个人信息的收集。若 Seagate 指示本公司代表其收集个人信息，本公司必须：(a) 就以下事项向 Seagate 征询指示：(i) 收集数据主体个人信息时需向数据主体提供的任何信息；及 (ii) 直接营销用途所需的任何选择性同意；且 (b) 未经数据主体同意，不得收集任何敏感信息。
   7. 本公司与澳大利亚政府的协议。若 Seagate 为联邦、州或地区层级的澳大利亚政府实体的签约服务提供商，且 Seagate 因与相关政府实体签订协议而需遵守额外的数据保护义务，则根据适用澳大利亚法律要求，Seagate 将对本公司施加同等义务。Seagate 与本公司同意，必要时订立补充协议，以落实该等义务。
2. 中国
   1. 适用性。本第 2 条规定适用于以下情形：本公司从位于中国的 Seagate 关联公司接收或访问 Seagate 个人信息，或 Seagate 通知本公司该等 Seagate 个人信息需遵守这些要求。
   2. 《个人信息保护法》项下主体角色。根据《中华人民共和国个人信息保护法》，Seagate 为“个人信息处理者”，负责决定信息处理的目的与方式。本公司为“受托方”，根据本 DPA 的要求及 Seagate 指示，代表 Seagate 处理个人信息。
   3. 分包处理者。尽管本 DPA第 2.4 条（处理限制）另有规定，未经 Seagate 明确同意，本公司不得委托任何分包处理者处理 Seagate 个人信息。该等同意的条款受本 DPA第 2.5 条（处理要求）约束。
   4. 有限处理时间。除非双方另行约定处理期限，否则本公司仅可在实现处理目的所需的期间内处理 Seagate 个人信息。
   5. 受限传输。若 Seagate 个人信息存储或留存于中国境内，未经 Seagate 明确同意，本公司不得将该等信息向中国境外传输。Seagate 特此同意，本公司在采取一切措施遵守数据保护法以保护该等 Seagate 个人信息的前提下，可在必要时传输该等信息。
3. 印度
   1. 适用性。本第 3 条规定适用于以下情形：经不时修订及替代的《2000 年信息技术法》及《2011 年信息技术（合理安全惯例与流程及敏感个人数据或信息）规则》（“隐私规则”）适用于本公司处理由印度境内 Seagate 关联公司提供的 Seagate 个人信息，无论该等处理行为是否发生在印度境内。
   2. 本 DPA 第 1.12 条应予以修订，以包含《隐私规则》第 3 条列明的个人信息类别。
4. 日本
   1. 适用性。本第 4 条规定适用于本公司从位于日本的 Seagate 关联公司接收或访问的 Seagate 个人信息。
   2. 公司人员。本公司负责监督其员工遵守本 DPA。
   3. 雇佣管理措施。本公司应按照日本厚生劳动省发布的《雇佣管理指南》，保护与雇佣管理相关的 Seagate 个人信息。
   4. 通过雇佣关系了解的个人信息。本公司应确保其员工不得泄露或盗用其在职期间获知的 Seagate 个人信息。
   5. 传输或披露前的同意。本公司向非本 DPA 缔约方的任何第三方（含分包处理者及关联公司）披露或传输社保及税号前，须事先取得 Seagate 书面同意。
   6. 达到目的后返还或销毁。本公司应在实现信息收集目的后，停止处理其持有的 Seagate 个人信息，并予以返还或销毁。
   7. 备份目的。除备份用途外，本公司不得复制或翻录Seagate个人信息。
5. 韩国
   1. 适用性。本第 5 条规定适用于本公司从位于韩国的 Seagate 关联公司接收或访问的 Seagate 个人信息。
   2. 限制访问。本公司应仅允许因处理目的确有合理需要的本公司人员访问个人信息。
   3. 必要的保护措施。本公司应建立和维护保护措施，包括：
      1. 用于安全处理个人信息的内部程序；
      2. 防火墙、防病毒及恶意软件防护软件等技术安全措施；
         
      3. 物理访问限制，如上锁；
      4. 防止访问日志或处理记录被篡改、伪造的措施；以及
      5. 根据适用情况，依据《个人信息保护法》（“PIPA”）、PIPA 实施令、《信息通信网络利用促进及信息保护法》（“PICNU”）、PICNU 实施令、《信用信息利用及保护法》或其他韩国法律要求，采取个人信息加密等个人信息安全存储与传输措施。
   4. 特殊识别数据的加密。本公司在以下情形下，应对居民身份证号、驾照号及护照号进行加密：
      1. 通过信息或通信网络传输；
      2. 存储在便携式存储介质或外围设备上；
      3. 存储在任何外部计算机网络、非军事区或任何个人计算机或移动设备上；或
      4. 若本公司系统未达到 Seagate 指定的风险标准，在内部网络存储上述信息时。
   5. 密码和生物特征数据的加密。本公司应对以任何形式存储的所有密码及生物特征数据进行加密。
   6. 披露前信息。在向第三方数据处理者披露或传送 Seagate 个人信息之前，本公司应合理提前通知 Seagate。根据 Seagate 的要求，公司将提供以下信息：(a) 待分包的处理活动；(b) 第三方数据处理者的身份；(c) 对 (a) 或 (b) 的任何变更。
   7. 培训。本公司将参加 Seagate 可能为本公司安排的相关培训，以防范在处理 Seagate 个人信息过程中发生信息被盗、泄露、篡改或损毁的情况。
6. 新加坡
   1. 适用性。本第 6 条规定适用于《2012 年新加坡个人数据保护法》（2012 年第 26 号法案）对本公司处理 Seagate 个人信息具有约束力的情形。
   2. 本 DPA 的第 1.3 条应替换为以下内容：

      1.3 “数据隐私违规”指任何安全漏洞，导致 Seagate个人信息被意外或非法销毁、丢失、篡改、未经授权披露、访问或获取，包括：(a) 未经授权访问、收集、使用、披露、复制、修改或处置 Seagate个人信息；或 (b) 存储有 Seagate 个人信息的存储介质或设备遗失，且该等个人信息存在被未经授权访问、收集、使用、披露、复制、修改或处置的风险。

   3. 本 DPA 的第 6.1 条（数据隐私违规通知）应替换为以下内容：
      

      6.1 数据隐私违规的通知。若本公司有合理理由认为发生了数据隐私违规，应立即将数据隐私违规事宜以书面形式通知 Seagate，并应采取以下措施：

      1. 对数据隐私违规事件开展调查，或为该事件调查提供合理协助；
      2. 向 Seagate 提供有关数据隐私违规的信息，并及时提供其他可用的相关信息；以及
         
      3. 采取商业上合理的措施控制数据隐私违规事件、减轻其影响，或自费协助 Seagate 采取前述措施。
7. 中国台湾
   1. 适用性。本第 7 条规定适用于本公司从位于中国台湾地区的 Seagate 关联机构接收或访问的 Seagate 个人信息。
   2. 分包处理者。尽管本 DPA第 2.4 条（处理限制）另有规定，未经 Seagate 书面明确同意，本公司不得向任何分包处理者披露、传输 Seagate 个人信息，或允许其访问该等信息。
   3. 有限处理时间。除非双方另行约定处理期限，否则本公司仅可在实现处理目的所需的期间内处理 Seagate 个人信息。
   4. 保留访问记录。本公司应在必要期限内留存访问记录，确保定期核查是否存在未经授权的访问行为。
8. 泰国
   
   1. 适用性。本第 8 条规定适用于经不时修订及取代的泰国《个人数据保护法》（佛历 2562 年，2019 年）（“ PDPA ”）管辖本公司从位于泰国的 Seagate 关联公司接收或访问的 Seagate 个人信息的情形。
   2. 本 DPA 的第 1.3 条应替换为以下内容：

      1.3 “数据隐私违规”指因故意、蓄意、过失、意外、未经授权或非法行为，或与计算机犯罪、网络威胁、失误、意外相关的行为，或泰国 PDPA 项下公告规定的其他行为，导致安全措施被破坏，进而造成个人数据被非法或未经授权丢失、访问、使用、修改或披露的情形。
      

   3. 本 DPA 的第 1.12 条应进行修改，以包括 PDPA 第 26 条中规定的个人数据类别。
   4. 安全标准。本公司应尽最大努力并采取所有合理措施，实施并维持安全标准，该等标准最低限度应符合附件 II（安全标准）要求，以及泰国 PDPA 及其项下发布的其他规则、条例、公告和/或命令的规定与要求，包括但不限于经不时修订、补充或替代的《个人数据保护委员会关于：数据控制者安全措施的公告》（佛历 2565 年，2022 年）。  

本数据隐私协议自 2025 年 6 月 1 日起生效。旧版本可通过以下方式查询：

发布日期：2025 年 7 月 31 日

发布日期：2024 年 6 月 20 日

发布日期：2022 年 12 月 8 日