数据处理协议

Last updated: 2026年5月3日 Effective: 2026年5月3日

本数据处理协议("DPA")补充了您("客户")与XCITY ARGENTINA INC("Xcity")之间的Xcity服务条款。它规范Xcity代表客户处理客户个人数据(与Xcity AI即服务平台相关)的方式。

谁需要本DPA:其Xcity使用涉及受GDPR、英国GDPR、加州隐私权法(CPRA)、阿根廷个人数据保护法或类似法律约束的个人数据的企业客户。通过将Xcity付费服务用于商业目的,客户同意本DPA。如需特定签署DPA请求,请联系privacy@xcity.one

1. 定义

2. 角色

对于客户个人数据,客户是控制方,Xcity是处理方。Xcity仅按照客户的书面指示(包括客户正常使用服务中隐含的指示)处理客户个人数据。对于其自身的账户/账单数据,Xcity是控制方(见第3.5条)。

3. 处理详情

3.1 主题事项

向客户提供AI推理、智能体编排、存储及相关服务。

3.2 期限

基础协议的期限,加上合理的收尾期(见第9条)。

3.3 性质与目的

计算、存储、传输、模型推理、日志记录、滥用检测和客户支持。

3.4 数据主体类别

客户产品和服务的最终用户;与服务交互的客户员工、承包商和代理人;客户提交给AI模型的内容中所代表的数据主体。

3.5 个人数据类别

标识符(电子邮件、账户ID);API请求和响应内容(可能包含客户提交的任意个人数据);使用遥测;日志。

账户级数据(客户自身的用户记录、账单详情)由Xcity作为控制方处理——请参阅隐私政策

4. 安全

Xcity实施适当的技术和组织措施,包括:

详细安全控制信息在签署NDA后提供。请发送邮件至security@xcity.one

5. 次级处理方

客户授权Xcity聘用次级处理方处理客户个人数据,但须遵守至少与本DPA同等保护标准的书面条款。当前次级处理方:

对于任何新增或替换的次级处理方,Xcity将提前至少30天通知账户联系人(通过电子邮件)。客户可基于合理的数据保护理由提出异议;如果我们无法接受该异议,客户可终止受影响的服务。

6. 个人数据泄露通知

Xcity将在获悉影响客户个人数据的个人数据泄露后,不无故拖延,且在任何情况下在72小时内通知客户。通知将包括:泄露的性质、受影响的数据类别和大致记录及数据主体数量、可能的后果,以及已采取或拟采取的措施。

7. 数据主体权利

Xcity通过仪表板和API提供自助工具,使客户能够访问、更正、导出和删除客户个人数据。对于客户无法通过服务处理的数据主体请求,Xcity将在考虑处理性质和Xcity掌握的信息的情况下提供合理协助。

8. 国际数据传输

当源自欧洲经济区、英国或瑞士的客户个人数据被传输至无充分性决定的国家时,双方将SCC(模块二:控制方至处理方)纳入本DPA。阿根廷已获欧盟充分性决定;在阿根廷处理的数据无需SCC。

9. 数据返还与删除

基础协议终止后,Xcity将在90天内根据客户选择返还或删除所有客户个人数据,但适用法律要求保留的数据除外(如税务记录、审计日志)。

10. 审计

Xcity将根据合理的书面请求(每年不超过一次)提供证明符合本DPA的摘要信息(如可用时的SOC 2报告、已完成的安全问卷)。客户进行现场审计的权利仅限于独立报告不足以证明合规,且客户有合理理由怀疑不合规的情况,并须提前合理通知和遵守保密条款。

11. CCPA/CPRA补充条款

对于根据本DPA处理的加州消费者个人信息:Xcity是CCPA/CPRA定义的"服务提供商"。Xcity不出售或共享(如CPRA第1798.140条定义)客户个人数据。Xcity被禁止保留、使用或披露客户个人数据用于本DPA规定的特定目的以外的任何目的,CCPA第1798.140(j)(1)条允许的情况除外。

12. 冲突

在本DPA与服务条款发生冲突的情况下,对于客户个人数据处理相关事项,本DPA优先适用。

如有问题:privacy@xcity.one