資料處理附錄(DPA)

本 DPA 中未作定義的詞彙採用 GDPR 的定義;若 GDPR 不適用,則採用適用法律中對應詞彙的含義。

• “個人資料” — 由 Anvil 代表控制者處理的、與已識別或可識別自然人相關的任何資料。
• “控制者資料” — 控制者及其使用者上傳至或在 Anvil 租戶中產生的個人資料。
• “子處理方” — Anvil 委託處理控制者資料的第三方。
• “監管機關” — 在適用資料保護法下具有管轄權的機關。
• “標準合約條款” / “SCCs” — 歐盟委員會 2021/914 號決定中的條款(模組二:控制者至處理者)及英國國際資料傳輸附錄。

• 控制者決定其資料處理的目的與方式,並對處理的合法性基礎負責。在香港 PDPO 下,控制者為“資料使用者”(Data User)。
• Anvil 在運行服務時作為處理者,僅依控制者的書面指示處理控制者資料。
• 對於帳戶管理資料(計費、登入、來自控制者管理員的支援工單),Anvil 作為獨立控制者處理,詳見《私隱政策》。
• 本 DPA 於基礎訂閱期及任何過渡期內持續有效。

控制者向 Anvil 發出的指示包括:(a)主協議;(b)本 DPA;(c)對服務介面及 API 的使用;(d)發送至 support@anvilhk.com 的書面指示。

若 Anvil 認為某項指示違反適用資料保護法,將及時告知控制者,並可在爭議解決前暫停相關處理。

Anvil 不會:(a)出售控制者資料;(b)為跨情境行為廣告而共用;(c)在直接業務關係以外保留或使用;(d)與其他來源的資料合併(提供服務所必需者除外)。

完整清單詳見 附件一。概要如下:

• 資料當事人:控制者的使用者、其終端客戶,以及控制者載入平台的商業潛客。
• 資料類別:商業聯絡資料(姓名、工作電郵、職位、公司)、CRM 活動資料、通訊內容(電郵、聊天、通話錄音)、平台日誌,以及 AI 功能的輸入 / 輸出。
• 特殊類別(GDPR 第 9 條):除非控制者違反本 DPA 上傳,否則不予處理;如有此類上傳,控制者應向 Anvil 作出賠償。

控制者授予 Anvil 一般授權,委託子處理方提供服務。當前清單發布於 /legal/subprocessors,並構成本 DPA 的一部分。

Anvil 承諾:

• 對每個子處理方施加不低於本 DPA 的資料保護義務。
• 對子處理方的履約向控制者承擔完全責任。
• 在新增或更換處理個人資料的子處理方前至少 30 天透過子處理方頁面通知(可按請求以電郵推送)。
• 於該通知期內,控制者可基於合理的資料保護理由以電郵向 738888@proton.me 提出異議。若我們無法合理滿足異議,控制者可終止受影響的服務部分,並按比例退還預付費用。

控制者資料預設託管於中國香港特別行政區,並透過 Cloudflare 全球網絡進行邊緣緩存。部分子處理方(如 OpenAI、Stripe)在美國或歐盟處理資料。

• 對於自歐洲經濟區 / 英國 / 瑞士出境的傳輸,Anvil 依賴標準合約條款(模組二),必要時配合英國 IDTA 及瑞士附錄。SCCs 透過引用方式併入本 DPA。
• 對於自中國大陸出境的傳輸(PIPL),Anvil 與控制者將配合使用國家網信辦備案的標準合約、安全評估或認證路徑,視資料量而定。
• 對於自香港出境的傳輸,我們遵守 PDPO 第 33 條(尚未全面實施,但我們已自願合規)所倡導的實務,必要時配合 個人資料私隱專員公署(PCPD) 建議的範本合約。
• Anvil 對每個子處理方進行傳輸影響評估,並依 Schrems II 要求採取補充措施(傳輸及靜態加密、密鑰隔離、存取控制)。
• 控制者可電郵索取已簽署的 SCCs 副本。

Anvil 實施 附件二 列明的技術與組織措施,符合 GDPR 第 32 條。措施每年覆核,可在不實質性降低整體保安水平的前提下更新。

Anvil 在管理控制台提供自助工具,協助控制者回應查閱、更正、刪除、匯出或限制個人資料的請求。若產品內無法完成的請求,Anvil 將於收到發送至 738888@proton.me 的書面請求後 5 個工作天內提供協助。

Anvil 直接收到的任何資料當事人請求,將於不代為答覆的前提下(僅告知已收悉並指引當事人聯絡控制者)轉交相關控制者處理。

• Anvil 在確認影響控制者資料的個人資料外洩後,將不延誤、且在 48 小時內通知控制者。
• 通知將於已知範圍內包括:外洩性質、受影響資料當事人與記錄的類別及約數、可能後果、已採取或擬採取的措施,以及聯絡人資料。
• 通知將發送至控制者在管理控制台登記的保安聯絡人(若無則發至計費電郵)。控制者有責任保持該地址為最新。
• Anvil 自身(控制者角色)系統的外洩依《私隱政策》及受影響資料當事人所在地適用法律披露。
• PCPD 於 2023 年發布《資料外洩事故處理指引》。Anvil 於適用情況下會參考該指引與 PCPD 協調通報。

Anvil 向控制者提供證明遵守 GDPR 第 28 條所需的資料:

• 按請求簽署保密協議後提供 SOC 2 Type II 報告(計劃 2026 Q4 完成)。
• 按請求提供年度滲透測試摘要。
• 按請求提供已填寫的 CAIQ / SIG-Lite 問卷。

若上述資料不足,控制者可每 12 個月進行一次審計,提前 30 天書面通知,費用自理,在工作時間內進行,且受保密義務約束。審計不得不合理干擾 Anvil 的營運或其他客戶的資料。監管機關的審計權不受本條限制。

• 終止後,控制者有 30 天透過產品或 API 匯出控制者資料。
• 30 天後,Anvil 將於另 60 天內刪除或匿名化控制者資料,法律要求保留者除外(例如稅務記錄、進行中的法律程序)。
• 包含控制者資料的備份按標準備份輪換覆蓋(≤ 35 天)。
• 可按請求提供刪除證明。

• 主協議中的責任上限適用於本 DPA 項下的索賠。
• 就資料保護事宜,若主協議與本 DPA 衝突,以本 DPA 為準。若本 DPA 與 SCCs 衝突,以 SCCs 為準。
• 本 DPA 於主協議生效時生效,並於主協議終止時終止,但第 11 條除外。

A. 當事方清單

• 控制者:Anvil 訂閱中載明的客戶。
• 處理者:Hong Kong Anvil Ltd.(香港銀砧有限公司),中國香港特別行政區。聯絡方式:738888@proton.me。

B. 處理描述

• 標的:提供 Anvil 潛客開發、CRM、外呼與分析 SaaS 服務。
• 期限:控制者訂閱有效期 + 30 天匯出期 + 60 天刪除期。
• 性質與目的:對控制者的線索與 CRM 資料進行託管、儲存、傳輸、分析、擴充、AI 推論、電郵與訊息發送以及分析。
• 資料當事人類別:控制者的使用者、其終端客戶以及 B2B 潛客。
• 個人資料類別:姓名、工作電郵、工作電話、職位、僱主、LinkedIn / 社交檔案 URL、公司規模與行業;CRM 活動日誌;電郵與訊息內容;通話錄音與轉寫(若啟用語音功能);AI 輸入與輸出;平台審計日誌。
• 頻率:持續。
• 保留期限:按《私隱政策》及上述第 11 條執行。

C. 主管監管機關

控制者設立於歐洲經濟區的,由其主導監管機關;設立於英國的,由 ICO 主管;設立於香港的,由 個人資料私隱專員公署(PCPD) 主管。

• 加密:傳輸採 TLS 1.3;資料庫與對象儲存靜態採 AES-256-GCM;密鑰透過硬件支援的 KMS 以信封加密方式管理。
• 身份與存取:企業套餐支援 SSO(SAML/OIDC);管理員強制 MFA;預設最小權限 RBAC;生產環境存取透過短期憑證與審批控制。
• 網絡:Cloudflare WAF、DDoS 防護、速率限制、Bot 管理;服務間私網邊界;生產環境零信任存取。
• 應用保安:CI 中運行 SAST、相依性掃描、憑證掃描與容器掃描;年度第三方滲透測試;協同漏洞披露計劃。
• 監測:集中式、具防篡改保留的日誌;異常與入侵偵測;Sentry 錯誤上報;7×24 保安關鍵訊號告警。
• 變更管理:生產環境變更需同儕代碼評審;自動化部署與回滾;生產與開發環境隔離。
• 備份與恢復:加密每日全量備份、小時級增量;跨地域備份儲存;至少每季恢復演練;主庫 RPO ≤ 1h、RTO ≤ 4h。
• 人員:法律允許範圍內進行背景調查;簽署保密承諾;年度保安意識培訓;入職 / 轉崗 / 離職流程文檔化。
• 實體:資料中心保安委託託管服務商(見附件三),依賴其 SOC 2 / ISO 27001 認證。
• 事件應變:應變手冊;嚴重度分級;重大事件發布根因分析。
• 假名化:在日誌與分析中盡量使用客戶識別符而非生產環境電郵。
• 資料隔離:在行級保安與應用授權層實現嚴格租戶隔離;每次發布均運行跨租戶回歸測試。

更詳細的描述見我們的 保安頁面,並隨控制演進而更新。

當前子處理方清單維護於 /legal/subprocessors,構成本 DPA 的一部分,重大變更提前至少 30 天通知。

控制者簽署基礎 Anvil 訂閱即視為接受本 DPA。如需人手簽署版本,請電郵至 738888@proton.me,並提供您的法人實體名稱、地址、簽署人以及 DUNS / VAT 識別號。

處理者: Hong Kong Anvil Ltd.(香港銀砧有限公司)
註冊辦公地:中國香港特別行政區
授權簽署人:董事
聯絡方式:738888@proton.me · +852 4748 1911