数据处理附录(DPA)

本 DPA 中未作定义的术语采用 GDPR 的定义;若 GDPR 不适用,则采用适用法律中对应术语的含义。

• “个人数据” — 由 Anvil 代表控制者处理的、与已识别或可识别自然人相关的任何信息。
• “控制者数据” — 控制者及其用户上传至或在 Anvil 租户中生成的个人数据。
• “子处理方” — Anvil 委托处理控制者数据的第三方。
• “监管机关” — 在适用数据保护法下具有管辖权的机关。
• “标准合同条款” / “SCCs” — 欧盟委员会 2021/914 号决定中的条款(模块二:控制者至处理者)及英国国际数据传输附录。

• 控制者决定其数据处理的目的和方式,并对处理的合法性基础负责。
• Anvil 在运行服务时作为处理者,仅根据控制者的书面指示处理控制者数据。
• 对于账户管理数据(计费、登录、来自控制者管理员的支持工单),Anvil 作为独立控制者处理,详见《隐私政策》。
• 本 DPA 在基础订阅期内以及任何过渡期内持续有效。

控制者向 Anvil 发出的指示包括:(a)主协议;(b)本 DPA;(c)对服务界面和 API 的使用;(d)发送至 support@anvilhk.com 的书面指示。

若 Anvil 认为某项指示违反适用数据保护法,将及时告知控制者,并可在争议解决前暂停相关处理。

Anvil 不会:(a)出售控制者数据;(b)为跨上下文行为广告而共享;(c)在直接业务关系之外保留或使用;(d)与其他来源的数据合并(提供服务所必需的除外)。

完整清单详见 附件一。概要如下:

• 数据主体:控制者的用户、其终端客户,以及控制者加载至平台的商业潜客。
• 数据类别:商业联系信息(姓名、工作邮箱、职位、公司)、CRM 活动数据、通讯内容(邮件、聊天、通话记录)、平台日志,以及 AI 功能的输入/输出。
• 特殊类别(GDPR 第 9 条):非经控制者违反本 DPA 上传,否则不予处理;如有此类上传,控制者应当向 Anvil 作出赔偿。

控制者授予 Anvil 一般授权,委托子处理方提供服务。当前清单发布于 /legal/subprocessors,并构成本 DPA 的一部分。

Anvil 承诺:

• 对每个子处理方施加不低于本 DPA 的数据保护义务。
• 对子处理方的履约向控制者承担完全责任。
• 在新增或更换处理个人数据的子处理方前至少 30 天通过子处理方页面通知(可按请求以邮件形式推送)。
• 在该通知期内,控制者可基于合理的数据保护理由以邮件方式向 738888@proton.me 提出异议。若我们无法合理满足异议,控制者可终止受影响的服务部分,并按比例退还预付费用。

控制者数据默认托管于中国香港特别行政区,并通过 Cloudflare 全球网络进行边缘缓存。部分子处理方(如 OpenAI、Stripe)在美国或欧盟处理数据。

• 对于从欧洲经济区 / 英国 / 瑞士出境的传输,Anvil 依赖标准合同条款(模块二),必要时配合英国 IDTA 及瑞士附录。SCCs 通过引用方式并入本 DPA。
• 对于从中国大陆出境的传输(PIPL),Anvil 与控制者将配合使用国家网信办备案的标准合同、安全评估或认证路径,视数据量而定。
• Anvil 对每个子处理方进行传输影响评估,并按 Schrems II 要求采取补充措施(传输及静态加密、密钥隔离、访问控制)。
• 控制者可发邮件索取已签署的 SCCs 副本。

Anvil 实施 附件二 中列出的技术和组织措施,符合 GDPR 第 32 条。措施每年复核,可在不实质性降低整体安全水平的前提下更新。

Anvil 在管理控制台中提供自助工具,协助控制者响应访问、更正、删除、导出或限制个人数据的请求。若产品内无法完成的请求,Anvil 将在收到发送至 738888@proton.me 的书面请求后 5 个工作日内提供协助。

Anvil 直接收到的任何数据主体请求,将在不代为答复的前提下(仅告知收悉并指引数据主体联系控制者)转交相关控制者处理。

• Anvil 在确认影响控制者数据的个人数据泄露后,将不迟延、且在 48 小时内通知控制者。
• 通知将在已知范围内包括:泄露性质、受影响数据主体和记录的类别及约数、可能的后果、已采取或拟采取的措施,以及联系人信息。
• 通知将发送至控制者在管理控制台注册的安全联系人(若无,则发送至计费邮箱)。控制者有责任保持该地址最新。
• Anvil 自身(控制者角色)系统的泄露依《隐私政策》及受影响数据主体所在地适用法律披露。

Anvil 向控制者提供证明遵守 GDPR 第 28 条所需的信息:

• 按请求签署保密协议后提供 SOC 2 Type II 报告(计划于 2026 Q4 完成)。
• 按请求提供年度渗透测试摘要。
• 按请求提供已填写的 CAIQ / SIG-Lite 问卷。

若上述信息不足,控制者可在每 12 个月内进行一次审计,提前 30 天书面通知,费用自理,在工作时间内开展,且受保密义务约束。审计不得不合理干扰 Anvil 的运营或其他客户的数据。监管机关的审计权不受本条限制。

• 终止后,控制者有 30 天通过产品或 API 导出控制者数据。
• 30 天后,Anvil 将在另 60 天内删除或匿名化控制者数据,法律要求保留的除外(例如税务记录、进行中的法律程序)。
• 包含控制者数据的备份按标准备份轮换覆盖(≤ 35 天)。
• 可按请求提供删除证书。

• 主协议中的责任上限适用于本 DPA 项下的索赔。
• 就数据保护事宜,若主协议与本 DPA 冲突,以本 DPA 为准。若本 DPA 与 SCCs 冲突,以 SCCs 为准。
• 本 DPA 于主协议生效时生效,并在主协议终止时终止,但第 11 条除外。

A. 当事方清单

• 控制者:Anvil 订阅中载明的客户。
• 处理者:Hong Kong Anvil Ltd.,中国香港特别行政区。联系方式:738888@proton.me。

B. 处理描述

• 标的:提供 Anvil 获客、CRM、外呼与分析 SaaS 服务。
• 期限:控制者订阅有效期 + 30 天导出期 + 60 天删除期。
• 性质与目的:对控制者的线索与 CRM 数据进行托管、存储、传输、分析、扩充、AI 推理、邮件与消息发送以及分析。
• 数据主体类别:控制者的用户、其终端客户以及 B2B 潜客。
• 个人数据类别:姓名、工作邮箱、工作电话、职位、雇主、LinkedIn / 社交档案 URL、公司规模与行业;CRM 活动日志;邮件与消息内容;通话录音与转写(若启用语音功能);AI 输入与输出;平台审计日志。
• 频率:持续。
• 保存期限:按《隐私政策》及上述第 11 条执行。

C. 主管监管机关

控制者设立于欧洲经济区的,由其主导监管机关;设立于英国的,由 ICO 主管;设立于香港的,由个人资料私隐专员公署(PCPD)主管。

• 加密:传输采用 TLS 1.3;数据库和对象存储静态采用 AES-256-GCM;密钥通过硬件支持的 KMS 以信封加密方式管理。
• 身份与访问:企业套餐支持 SSO(SAML/OIDC);管理员强制 MFA;默认最小权限 RBAC;生产环境访问通过短期凭证和审批控制。
• 网络:Cloudflare WAF、DDoS 防护、速率限制、Bot 管理;服务间私网边界;生产环境零信任访问。
• 应用安全:CI 中运行 SAST、依赖扫描、凭证扫描与容器扫描;年度第三方渗透测试;协同漏洞披露项目。
• 监测:带防篡改保留的集中化日志;异常与入侵检测;Sentry 错误上报;7×24 小时安全关键信号告警。
• 变更管理:生产环境变更需同行代码评审;自动化部署与回滚;生产与开发环境隔离。
• 备份与恢复:加密每日全量备份、小时级增量;跨地域备份存储;至少季度恢复演练;主库 RPO ≤ 1h,RTO ≤ 4h。
• 人员:在法律允许范围内进行背景调查;签署保密承诺;年度安全意识培训;入职/转岗/离职流程文档化。
• 物理:数据中心安全委托托管服务商(见附件三),依赖其 SOC 2 / ISO 27001 认证。
• 事件响应:事件响应手册;严重度分级;重大事件发布根因分析。
• 假名化:在日志与分析中尽量使用客户标识符而非生产环境邮箱。
• 数据隔离:在行级安全与应用授权层实现严格租户隔离;每次发布均运行跨租户回归测试。

更详细的描述见我们的 安全页面,并随控制演进而更新。

当前子处理方清单维护于 /legal/subprocessors,构成本 DPA 的一部分,重大变更提前至少 30 天通知。

控制者签署基础 Anvil 订阅即视为接受本 DPA。如需人工签署版本,请发送邮件至 738888@proton.me,并提供您的法人实体名称、地址、签字人以及 DUNS / VAT 识别号。

处理者: Hong Kong Anvil Ltd.
注册办公地:中国香港特别行政区
授权签字人:董事
联系方式:738888@proton.me · +852 4748 1911