数据处理协议

最后更新:2026年1月

1. 引言

本数据处理协议(「DPA」)是Reangle服务条款的一部分,并根据欧盟《通用数据保护条例》(GDPR)、英国GDPR和其他适用的数据保护法律管理个人数据的处理。当您使用Reangle处理欧洲经济区、英国或其他具有数据保护要求的司法管辖区的数据主体的个人数据时,本DPA适用。

2. 定义

「个人数据」、「数据主体」、「处理」、「控制者」、「处理者」和「子处理者」具有GDPR中定义的含义。您(客户)是控制者,Reangle是处理者。处理包括存储书签、生成草稿、分析内容以及发布到连接的社交媒体账户。

3. 范围和期限

本DPA适用于Reangle通过服务代表您处理的所有个人数据。处理期限为您的订阅期限加上账户删除的30天。我们仅根据您通过服务界面和API提供的书面指示处理数据,除非法律要求。

4. 处理者义务

Reangle将:(a)仅根据您的书面指示处理个人数据;(b)确保授权人员受保密约束;(c)实施适当的技术和组织安全措施;(d)仅在您事先授权的情况下聘用子处理者;(e)协助您响应数据主体权利请求;(f)协助您进行数据安全、违规通知和影响评估;(g)在终止时删除或返还所有个人数据;(h)提供证明合规所需的所有信息。

5. 子处理者

5.1 授权

您为Reangle聘用附录B中列出的子处理者提供一般授权。我们将提前至少30天通知您子处理者的任何预期变更。

5.2 当前子处理者(附录B)

Reangle目前聘用以下子处理者:

子处理者	目的	数据位置	保障措施
Supabase, Inc.	数据库和身份验证基础设施	美国	SOC 2 Type II、ISO 27001、标准合同条款(SCC)
Google LLC	AI内容和图像生成(Gemini Flash)	美国	欧美数据隐私框架、Google Cloud DPA
Stripe, Inc.	支付处理	美国	PCI-DSS Level 1、Stripe DPA、SCC
Upstash, Inc.	Redis缓存(可选)	美国	SOC 2 Type II、静态和传输中加密
Resend, Inc.	交易电子邮件	美国	SOC 2 Type II、传输中加密
Inngest, Inc.	后台任务处理	美国	SOC 2 Type II、静态和传输中加密

最后更新:2026年1月

5.3 子处理者变更

我们将通过以下方式通知您子处理者的任何预期添加或替换:

通知将在新子处理者开始处理您的个人数据之前至少30天提供。

向您注册的电子邮件地址发送电子邮件通知
应用内通知横幅
更新此DPA页面并添加变更日志条目

您可以在通知后30天内基于合理的数据保护理由反对新的子处理者。如果您反对,我们将与您合作寻找商业上合理的解决方案或允许您无罚款终止服务。

5.4 子处理者义务流转

我们对子处理者施加的数据保护义务与本DPA对我们施加的义务基本相同,包括安全性、保密性和遵守数据保护法律的要求。我们对子处理者的履行向您承担全部责任。

6. 安全措施

我们实施符合行业标准的技术和组织措施,包括:静态AES-256-GCM加密;传输中TLS 1.3加密;敏感凭证的scrypt密钥派生;基于角色的访问控制(RBAC);定期安全审计;员工背景调查和保密协议;安全开发实践(代码审查、依赖扫描);事件响应程序;以及带加密的定期备份。

7. 数据泄露通知

在得知影响您数据的个人数据泄露后,我们将立即(在任何情况下在72小时内)通知您。通知将包括:泄露描述;受影响数据主体和记录的类别和大约数量;可能的后果;为解决泄露和减轻损害而采取或建议的措施;以及进一步查询的联系信息。我们将合理配合您调查和补救泄露。

8. 国际数据传输

您的个人数据可能会传输到我们的子处理者所在的美国并在那里处理。对于从欧洲经济区/英国到美国的传输,我们依靠:(a)欧盟委员会批准的标准合同条款(SCC);(b)欧美数据隐私框架认证(如适用);以及(c)包括加密、假名化和合同保护在内的额外保障措施。您可以通过info@reangle.ai请求我们的SCC和传输影响评估的副本。

9. 数据主体权利

我们将合理协助您履行数据主体权利请求(访问、更正、删除、限制、可移植性、反对)。您可以通过账户设置(导出数据、删除账户)便利大多数请求。对于需要我们协助的请求,请通过info@reangle.ai联系,并提供数据主体的请求详情。我们将在10个工作日内提供所需的信息或操作。

10. 联系和DPO

有关数据处理的问题、行使您的权利或联系我们的数据保护官,请发送电子邮件至info@reangle.ai或写信至:Reangle数据保护,[地址],东京,日本。