数据隐私立场声明 - 金属
本文件的目的
本文档提供有关 Equinix 作为一家全球性组织如何在 Equinix Metal 的背景下管理其数据隐私法律义务合规性的信息。
本文件仅供参考,不构成法律建议。
对于本定位声明未涵盖的产品和服务,请访问信任与透明度页面。
Equinix 作为个人数据处理者
在提供 Equinix Metal 服务的过程中,Equinix 作为客户个人数据处理者的角色有限(根据《通用数据保护条例》(GDPR) 第 4 条第 8 款对“处理者”一词的定义)。Equinix 无法直接访问客户上传至 Equinix Metal 的任何数据(包括任何潜在的个人数据)。但是,Equinix 会在 Equinix Metal 的生命周期管理过程中执行一些特定的自动化操作;当设备被取消配置时,Equinix Metal 会使用行业标准的硬盘擦除程序,作为一项符合处理者定义的有限数据操作。
Equinix 作为个人数据控制者
除了作为 Equinix Metal 的数据处理者进行有限的个人数据处理外,Equinix 还作为数据控制者处理某些个人数据。具体而言,Equinix 处理:
- 为管理客户关系(例如电子邮件通信、账单等),需要收集客户代表的姓名和业务联系信息(BCI);
- 姓名和 BCI 以及个人生物识别数据,目的是允许客户代表安全访问其数据中心。
Equinix 遵守适用数据隐私法律规定的相关处理活动义务,这些活动受 Equinix 隐私声明和隐私政策的约束。
Equinix 的数据处理协议 (DPA)
就其作为 Equinix Metal 数据处理者的角色而言,Equinix 使用数据处理协议 (DPA)。Equinix Metal DPA 可作为客户与 Equinix 之间就提供 Equinix Metal 服务而签订的数字服务协议的一部分。DPA 的副本可在信任与透明度页面上查看。
Equinix 对子处理器的使用
与大多数供应商一样,Equinix 使用某些值得信赖的第三方来协助其提供 Equinix Metal 服务。这些第三方也可能作为“子处理者”对客户个人数据进行有限的处理。
客户协助处理数据隐私义务
作为数据控制者,客户可能需要遵守与通过 Equinix Metal 处理的个人数据相关的某些数据隐私义务。例如,提供对个人数据的访问、修改或删除(无论是应数据主体的请求还是出于其他原因)。
考虑到 Equinix Metal 所执行的处理方式的性质,特别是其无法直接访问客户个人数据,Equinix 所能提供的帮助必然有限。在几乎所有情况下,客户最好自行使用 Equinix Metal 内置的功能和工具来执行任何必要的操作,例如删除 Equinix Metal 服务器上的所有客户数据。
客户与 Equinix 之间受限的国际转账
在 Equinix 可能作为数据处理者参与 Equinix Metal 服务器停用这一有限情况下,不得以任何形式将删除的客户个人数据进行国际传输。
如果客户与 Equinix 之间存在受限的国际个人数据传输,则数据处理协议 (DPA) 纳入了 2021 年欧盟委员会标准合同条款以及英国标准合同条款附录,这些条款根据 GDPR 第 46 条规定了适当的保障措施。
Equinix与第三方之间受限的国际转账
Equinix可能会使用子处理器来协助其提供Equinix Metal服务。在使用此类子处理器的情况下,这些子处理器也可能在欧洲经济区、英国或瑞士以外的地区处理数据。
在此情况下,Equinix 将根据适用的隐私法律要求,与分包处理者签订适当的保障措施,例如标准合同条款。对于 Equinix 作为数据控制者在 Equinix 各实体之间进行的个人数据传输,Equinix 已采纳荷兰和英国监管机构批准的约束性公司规则 (BCR);如果数据传输未包含在 BCR 的范围内,则 Equinix 将签订标准合同条款。