最后更新日期:2026-05-06
适用对象: 与招聘丞相订立服务合同,并委托招聘丞相处理个人信息的企业客户。
文件性质: 本个人信息委托处理协议(Data Processing Agreement,以下简称“DPA”)为招聘丞相 SaaS 服务合同的一部分,用于规范招聘丞相代表企业客户处理个人信息时的角色、目的、安全措施、子处理者、跨境传输、个人信息泄露通知、审计及服务终止后的数据处理事项。
一、定义
1.1 数据控制者
“Data Controller”或“数据控制者”,是指决定个人信息处理目的及处理方式的一方。就企业客户上传、收集或通过招聘丞相指示处理的受测者数据,企业客户通常为数据控制者。
1.2 数据处理者
“Data Processor”或“数据处理者”,是指代表数据控制者并按照其指示处理个人信息的一方。就企业客户数据而言,招聘丞相通常为数据处理者。
1.3 个人信息
“个人信息”是指以电子或其他方式记录的、与已识别或可识别的自然人有关的各种信息,包括但不限于姓名、电子邮箱、简历、面试回答、声音、影像、视频、系统识别码、IP 地址、设备信息、测评结果及 AI 分析报告等。
1.4 特殊类别或敏感个人信息
“特殊类别或敏感个人信息”是指根据适用法律法规被认定为需要加强保护的信息,可能包括生物特征信息、健康信息、政治或宗教相关信息、工会身份、种族或其他受保护特征相关信息。
1.5 子处理者
“子处理者”是指招聘丞相为提供服务而委托处理个人信息的第三方供应商,例如云基础设施、数据库、邮件、监控、安全、模型服务、客户支持系统或其他服务供应商。
1.6 适用数据保护法律
“适用数据保护法律”是指适用于个人信息处理活动的法律法规及监管规范,包括但不限于 GDPR、《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》及其他企业客户或受测者所在地适用的数据保护法律法规。
二、角色与处理指示
2.1
双方同意,就企业客户通过招聘丞相平台收集、上传、存储、分析或管理的个人信息,企业客户为数据控制者,招聘丞相为数据处理者,除非双方另以书面形式明确约定,或招聘丞相依法另行作为数据控制者或个人信息处理者。
2.2
招聘丞相仅根据企业客户的书面指示、服务合同、本 DPA、平台设置,以及企业客户在管理后台或 API 中的操作处理个人信息。
2.3
如招聘丞相认为企业客户的指示明显违反适用数据保护法律法规,招聘丞相有权通知企业客户,并暂停执行相关指示,直至企业客户修正指示或确认其合法依据。
三、处理目的、数据类型与个人信息主体类别
3.1
招聘丞相处理个人信息的目的包括:创建与管理账号、提供 AI 面试分析、声音与视频分析、表情与情绪推估、人格与领导潜力分析、生成报告、提供 API、维护系统安全、客户支持、审计记录、故障排除、法律法规合规及履行服务合同。
3.2
可能处理的数据类型包括身份信息、联系方式、简历与职业经历信息、面试文字与语音、录音录像、面部影像、互动记录、测评答案、AI 输出、管理员操作记录、IP 地址、用户代理字符串及技术日志。
3.3
个人信息主体类别包括求职者、员工、承包人员、派遣人员、企业管理员、经销商用户及其他由企业客户邀请或授权使用平台的自然人。
四、数据保存期限与删除机制
4.1
招聘丞相将根据企业客户设置、服务方案、主服务合同或法律法规要求保存个人信息。企业客户应自行设置符合其告知内容、法律义务及业务目的的保存期限。
4.2
企业客户可通过管理后台或 API 要求删除特定数据;招聘丞相将在商业上合理可行的范围内执行删除,并根据备份周期完成备份数据的覆盖、隔离或清除。
4.3
如因法律法规、审计、争议处理、信息安全调查或防止欺诈等需要保留部分数据,招聘丞相可在必要范围内保留相关记录,但应限制其用途及访问权限。
4.4
服务合同终止后,招聘丞相将按照本 DPA 第十三条处理客户数据。
五、安全措施
5.1
招聘丞相将采取与数据性质及风险相匹配的技术和组织安全措施,包括但不限于:
- 传输过程加密,例如 TLS;
- 静态数据加密或等效安全控制;
- 权限控制、最小权限、角色管理及管理员访问限制;
- 操作记录、登录记录、异常检测及安全监控;
- 环境隔离、多租户数据隔离及访问逻辑控制;
- 备份、灾难恢复、漏洞修复及信息安全事件处理流程;
- 员工保密义务、安全培训及受限的内部数据访问流程。
5.2
企业客户仍应负责其自身端的安全措施,包括账号管理、密码策略、多因素认证(MFA)、设备安全、权限审查、API 密钥保护及下载后数据管理。
六、子处理者
6.1
企业客户授权招聘丞相使用子处理者提供服务。招聘丞相应确保子处理者承担实质上不低于本 DPA 要求的数据保护义务。
6.2
招聘丞相可通过官方网站、客户后台或合同附件提供子处理者清单,并在新增或重大变更子处理者时,以合理方式通知企业客户。
6.3
如企业客户基于合理的数据保护理由反对新增子处理者,应在通知期间内提出。双方应本着善意协商替代方案;如无可行替代方案,企业客户可依据服务合同终止受影响的服务。
6.4
招聘丞相就其子处理者履行本 DPA 义务的行为,仍向企业客户承担合同责任。
七、跨境数据传输
7.1
招聘丞相及其子处理者可能在企业客户所在地以外的国家或地区处理个人信息。企业客户应在其告知文件中披露可能存在的跨境传输情形,并确认具备合法传输依据。
7.2
如 GDPR 或其他跨境传输规范适用,双方应采取适当保障措施,例如标准合同条款、数据传输影响评估、加密、访问限制或其他法律法规允许的机制。
7.3
招聘丞相可因服务可靠性、安全、备援或法律法规合规需要,在符合本 DPA 条件的前提下调整数据处理地点。
八、个人信息泄露与安全事件
8.1
招聘丞相在确认发生涉及企业客户个人信息的个人信息泄露或重大安全事件后,将在无不合理迟延的情况下通知企业客户。
8.2
通知内容将在可获得范围内包括事件性质、受影响数据类型、可能影响、已采取或建议采取的措施及联系窗口。初步通知不代表招聘丞相承认责任。
8.3
企业客户负责判断是否需要通知主管机关、受影响个人或其他第三方。招聘丞相将在合理范围内提供必要协助,但对于超出标准服务范围的协助,可收取合理费用。
九、个人信息主体权利协助
9.1
如受测者向招聘丞相提出与企业客户数据相关的查询、查阅、更正、删除、限制处理、数据可携、反对处理或撤回同意请求,招聘丞相可将该请求转交企业客户处理。
9.2
招聘丞相将根据企业客户合理且合法的指示,协助处理个人信息主体权利请求。企业客户负责决定请求是否成立、回复内容及处理期限。
十、审计与合规
10.1
招聘丞相将保存合理的合规记录,以证明其已按照本 DPA 履行数据处理者义务。
10.2
企业客户可在合理通知、遵守保密义务及不干扰招聘丞相正常运营的前提下,要求获取合规文件、第三方审计摘要或安全问卷回复。现场审计应限于必要、合理范围内,并不得披露其他客户数据或招聘丞相商业秘密。
10.3
双方应根据适用数据保护法律法规,配合数据保护影响评估、主管机关咨询或合规调查。
十一、GDPR 与中国大陆个人信息保护相关法律概念
11.1
如 GDPR 适用,招聘丞相将按照 Article 28 项下数据处理者义务执行,包括按指示处理、保密、采取安全措施、管理子处理者、协助个人信息主体权利、协助安全事件通知、服务终止后删除或返还数据,以及提供必要合规信息。
11.2
如《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规适用,企业客户应负责处理目的、告知事项、合法收集与处理、个人信息主体权利、安全保障及委托处理监督义务;招聘丞相将根据委托关系,在必要范围内处理个人信息并采取合理安全措施。
11.3
企业客户应自行评估其行业特别法、跨境传输限制、劳动用工法律法规及主管部门指引。
十二、保密
12.1
招聘丞相仅允许确有知悉必要的员工、承包商或子处理者访问个人信息,并使其受到保密义务约束。
12.2
招聘丞相不会出售企业客户个人信息,也不会将企业客户数据用于与提供服务无关的目的,除非取得企业客户授权或法律法规另有要求。
十三、服务终止后的数据处理
13.1
服务合同终止或服务到期后,企业客户应在约定期限内导出或删除数据。期限届满后,招聘丞相可依据数据保存政策删除或匿名化处理客户数据。
13.2
备份数据将根据招聘丞相备份周期安全删除或覆盖;在删除前,招聘丞相将限制对备份数据的主动访问,除非为灾难恢复、信息安全、法律合规或审计目的所必需。
13.3
招聘丞相可保留必要的账务、交易、合同、审计及安全记录,以履行法律义务或处理争议。
十四、责任限制
14.1
双方就本 DPA 的责任,按照主服务合同中的责任限制条款执行。除法律法规强制禁止限制的情形外,招聘丞相对间接损失、附带损失、特殊损失、衍生性损失或惩罚性赔偿不承担责任。
14.2
企业客户应对其缺乏合法依据、未履行告知同意义务、违反劳动法律法规、错误指示或超出平台合理用途的数据处理行为承担责任。
十五、不可抗力
15.1
任一方因非其合理控制的事件无法履行本 DPA,包括自然灾害、战争、政府命令、法律法规变化、疫情、云服务中断、电力或网络故障、重大信息安全攻击或供应链事件的,在受影响范围内不承担违约责任。
十六、可分割性
16.1
本 DPA 任一条款被认定为无效或不可执行的,不影响其他条款的效力。双方应以合法且最接近原目的的条款予以替代。
十七、联系我们
如您需要咨询数据保护、DPA、子处理者或安全事件相关事项,请联系我们