数据处理协议（DPA）

生效日期：2026 年 2 月 10 日 · 版本：1.0

本《数据处理协议》（“DPA”）说明 Rakenne 如何代表使用 rakenne.app 平台（“服务”）的客户处理个人数据。它补充并构成您与 Rakenne 之间《使用条款》或其他书面/电子协议（“主协议”）的一部分。

如本 DPA 与主协议在数据处理方面存在冲突，以本 DPA 为准。自上述生效日期起继续使用本服务，即表示您同意本 DPA。如需签署版，请联系 privacy@rakenne.app 。

1. 角色、法律基础与总体概览

1.1 角色划分

• 您 在《通用数据保护条例》（GDPR）及其他适用数据保护法律项下通常为“控制者”。
• Rakenne 在为您运营服务并代表您处理个人数据时，通常为“处理者”。

您决定上传哪些数据、保存多久、创建哪些工作区以及贵方内部谁可以访问这些数据。我们负责运行基础设施，并仅按照您记录在案的指示，为提供和保护服务之目的处理个人数据。

1.2 本 DPA 适用范围

在以下情形下，本 DPA 适用：

• 您使用本服务存储或处理个人数据；且
• GDPR 或类似数据保护法律将 Rakenne 视为您的处理者。

本 DPA 说明：

• 我们处理哪些类型的个人数据及其高层次目的；
• 我们采取了哪些安全措施与保障；
• 我们如何与分处理者合作并处理国际数据传输；
• 我们如何协助您履行作为控制者的义务。

1.3 处理活动概览

Rakenne 是一个用于构建和运行文档工作流的 AI 助理环境。在此背景下，我们会：

• 托管租户、项目与工作区；
• 存储和处理文档、工作流以及聊天交互内容；
• 使用选定的第三方模型提供商执行 AI 推理；
• 维护日志和运营数据，以保障和改进本服务。

我们不会使用代表您处理的个人数据来训练通用目的的大型语言模型，也不会出售或出租这些数据。

2. 数据类型与处理操作

2.1 个人数据类别

根据您的配置和使用情况，我们可能处理：

• 用户与账号数据 – 姓名、电子邮箱、登录标识、角色以及工作区成员关系；
• 内容数据 – 由您或您的用户创建或上传的文档、工作流、评论、提示词和会话记录；
• 使用与技术数据 – 活动日志、时间戳、功能使用指标、IP 地址、浏览器信息、设备标识等，可能构成个人数据；
• 计费数据 – 主要由支付服务提供商 Stripe 处理的有限计费数据，如支付标识与订阅信息；
• 潜在敏感数据 – 如您选择输入，可能属于 GDPR 第 9 条“特殊类别”或其他敏感数据（详见第 5.2 节）。

您决定向服务中输入何种信息，并负责确保该等处理具有合法性。

2.2 处理性质与目的

我们代表您对个人数据进行的操作包括但不限于：

• 存储、检索和组织账号及内容数据；
• 在服务与用户设备之间传输数据；
• 使用第三方模型提供商进行基于 AI 的分析与生成（仅推理，不做训练），可由我们或您配置（自带 API Key）；
• 记录日志、监控与排错，以保持服务可靠与安全；
• 按本 DPA 和我们的《隐私政策》中规定的保留期限进行备份与数据恢复。

我们仅在以下目的下进行上述处理：

• 提供、支持、保护和维护本服务；
• 履行我们自身的法律义务。

3. 指示、保密与安全

3.1 您的指示

我们仅在以下指示范围内处理个人数据：

• 本 DPA 及主协议；
• 您对服务的配置与使用（例如：租户、工作区、角色、模型设置、保留策略）；
• 您通过记录在案的支持渠道发出的书面请求。

如我们有合理理由认为某项指示与适用数据保护法律相冲突，我们会通知您，并可在收到澄清指示或获准继续前暂停相关处理。

3.2 保密义务

只有为履职需要访问数据的人员才可接触个人数据。这些人员：

• 受合同或法律约束，承担保密义务；
• 接受与其职责相匹配的隐私/安全培训；
• 仅可通过经认证并记录日志的渠道访问数据。

3.3 安全措施

我们采取技术和组织措施，以防止个人数据遭受意外或非法的销毁、丢失、篡改、未授权披露或访问。这些措施会随时间演进，至少包括：

• 访问控制与隔离

  • 对用户与管理后台访问实施身份验证；
  • 对租户和工作区实施逻辑隔离，避免跨租户数据泄露；
  • 对员工实施基于角色的最小权限访问控制。

• 加密

  • 使用现代 TLS 协议对传输中数据进行加密；
  • 对存储在数据库与存储系统中的数据进行静态加密；
  • 采用安全的密钥管理与机密信息存储机制。

• 韧性与业务连续性

  • 使用可靠的云基础设施（目前为位于美国区域的 Google Cloud）；
  • 定期执行并测试备份机制；
  • 建立监控、告警与事件响应流程。

• 治理与测试

  • 定期评估整体安全状况；
  • 记录与监控相关安全事件；
  • 按优先级修复已识别漏洞。

如您在合理范围内提出请求，我们可在保密前提下提供更多安全细节。

4. 分处理者与第三方服务

4.1 使用分处理者

我们会聘用经慎重筛选的第三方（“分处理者”）来执行提供服务所必需的部分处理活动。您授权我们在以下条件下聘用分处理者：

• 每个分处理者接受的数据保护条款不少于本 DPA 所规定保护水平；且
• 我们仍对分处理者履行对您的义务承担责任。

4.2 主要分处理者

我们的核心分处理者通常包括：

• Google Cloud – 托管、数据库与存储；
• Stripe – 订阅计费与支付处理；
• LLM 提供商 – 当您未自带 API Key 时，我们会使用 Anthropic、OpenAI 或 Google 提供的模型。

我们还可能为日志、监控、支持运营或其他辅助功能使用额外分处理者。一份详细且定期更新的供应商清单（包含角色、所在地与数据类别）发布在我们的分处理者与数据处理概览 页面，应与本 DPA 结合阅读。

4.3 变更与异议

如我们拟新增或更换将代表您处理个人数据的分处理者，我们将在变更生效前提前通知您（例如通过电子邮件、站内通知或公开更新），原则上至少提前 30 天；如遇紧急运营需求，在不显著降低保护水平的前提下，此期限可适当缩短。

如您因数据保护方面的合理顾虑对拟变更存在异议，应在上述期限内通知我们。我们会本着善意与您协商，尝试通过配置调整等方式解决。如确无可行方案，您对于相关服务的唯一救济为依主协议终止受影响的服务部分。

5. 您作为控制者的责任

5.1 法律基础与透明度

您负责：

• 为通过本服务进行的每一类处理活动，识别并记录相应的合法处理基础；
• 向数据主体说明您如何使用本服务以及 Rakenne 如何作为您的处理者行事；
• 确保您自身的政策、声明与实践与本 DPA 及适用法律保持一致。

5.2 特殊类别与敏感数据

本服务主要面向专业文档工作流场景，而非大规模处理高度敏感的个人数据。如您选择上传 GDPR 第 9 条下的“特殊类别数据”（例如健康、种族、宗教信仰等）或其他敏感数据：

• 您必须确保满足适用法律下对该类数据处理的特别条件（如取得数据主体明示同意或基于法律主张等）；
• 您应根据风险状况配置更严格的访问与保留策略。

总体上，我们建议避免将无必要的特殊类别或高度敏感数据引入本服务。

5.3 配置、保留与数据治理

您对大部分个人数据在本服务中的保留期限拥有控制权。尤其应当：

• 依据自身政策合理配置工作区、权限与保留设置；
• 定期审查并删除不再需要的数据；
• 使用我们提供的导出与删除功能管理数据全生命周期。

5.4 数据主体请求与监管沟通

您是数据主体和监管机构的主要联络方，负责：

• 接收并响应数据主体关于行使权利（访问、更正、删除、限制处理、可携带权、反对权等）的请求；
• 评估并决定是否需要向监管机构或受影响的数据主体通报相关事件。

我们将按第 6 节所述方式为您提供协助。

6. 协助义务、泄露处理与 DPIA

6.1 协助处理数据主体权利请求

在考虑处理活动性质和我们可获得信息的前提下，我们将通过工具或支持渠道，在合理范围内协助您：

• 在技术可行范围内定位、导出、更正或删除存储在服务中的个人数据；
• 回应与我们作为处理者所执行处理活动相关的数据主体请求。

如我们直接收到明显与您相关的数据主体请求，在法律许可的情况下，我们会将请求转交给您，而非自行独立答复。

6.2 个人数据泄露

如我们意识到发生了影响代表您处理之个人数据的泄露事件，我们将：

• 在确认泄露后，不得无故拖延地通知您；并
• 在当时合理可行的范围内，向您提供以下信息：
  • 泄露事件的性质说明（如已知）；
  • 受影响数据主体及记录的类别与大致数量（如可确定）；
  • 泄露可能导致的后果；
  • 已采取或拟采取的补救措施及减轻不利影响的方案。

我们将配合您进行评估，并支持您决定是否及如何向监管机构或数据主体通报。您仍需自行负责履行法定通报义务。

6.3 数据保护影响评估（DPIA）与事前咨询

当您因使用本服务而需要开展数据保护影响评估（DPIA）或与监管机构进行事前咨询时，我们将在合理范围内协助您：

• 提供关于我们处理活动、安全控制与分处理者的相关信息；
• 回答与本服务有关的合理书面问卷。

7. 数据所在地与国际传输

7.1 数据处理地点

目前本服务托管于位于美国的 Google Cloud 基础设施。因此，个人数据可能在美国及我们的分处理者运营所在的其他司法辖区被存储或处理。

7.2 国际传输保护机制

当 GDPR 或类似法律将某一传输视为“国际传输”（例如从欧盟/欧洲经济区、英国或瑞士向未获“充分性决定”的国家传输数据）时，我们将确保采用适当的保障措施，例如：

• 欧盟委员会通过的标准合同条款（SCCs）；和/或
• 其他法律认可的传输工具及相应的技术和组织补充措施。

关于主要分处理者（如 Google Cloud、Stripe 及 LLM 提供商）所采纳的保障措施信息，可在其公开文档中获取，必要时也可通过我们的隐私材料或按需提供。

8. 数据保留、删除与审计权

8.1 关系终止时的保留与删除

当主协议终止，或您以书面形式要求我们停止处理时，在不违反适用法律强制保留义务的前提下，我们将：

• 在商业上合理的时间内（通常不超过 30 天）从活动系统中删除代表您处理的个人数据；或
• 在删除前应您要求，以常用的、机器可读的格式将个人数据返回给您；并且
• 通过常规备份轮转机制，在通常不超过 90 天内将个人数据从备份介质中清除。

我们可能保留已不可逆匿名化或汇总处理、从而不再构成个人数据的数据。

8.2 审计与核查

为便于您核查我们对本 DPA 的遵守情况，我们将：

• 维护说明相关技术和组织措施的文档；
• 回答合理的安全与隐私问卷。

如上述措施仍不足以满足您的合规要求，您（或您指定且经我们合理同意的独立审计方）可在以下条件下进行审计：

• 原则上每 12 个月不超过一次，除非法律另有要求或发生经确认的数据泄露事件；
• 审计范围限于我们根据本 DPA 代表您进行的处理活动；
• 审计在正常工作时间内并在合理提前通知的前提下进行；
• 审计方式应避免对我们运营造成不必要干扰。

除非审计结果表明存在我们可归责的重大违反本 DPA 的情形，否则您应承担自己的费用及我们为支持该审计而发生的合理、可证明成本。

9. 责任、期限与变更

9.1 责任框架

就因本 DPA 引起或与之相关的事项，您与 Rakenne 之间的责任划分与限制，遵循主协议中的约定，并在适用范围内结合 GDPR 第 82 条予以适用。特别地，我们仅对以下情形下因处理活动导致的部分损害承担责任：

• 我们未能履行数据保护法律中针对处理者的特定义务；或
• 我们超出或违背了您合法的书面指示。

9.2 赔偿

如因以下原因产生索赔、罚款或损失，您同意向 Rakenne 予以赔偿并使之免责：

• 您在通过本服务处理个人数据时违反适用数据保护法律；
• 您向我们发出的指示违法或与上述法律不符；
• 您未能向数据主体履行必要告知义务或取得必要同意。

9.3 DPA 的有效期

本 DPA 自文首所示日期起生效，并在我们根据主协议代表您处理个人数据期间持续有效，包括依据前述条款进行数据删除或返还的后续处理阶段。

9.4 DPA 的更新

我们可能不时修订本 DPA，例如为了：

• 反映适用数据保护法律或监管指引的变更；
• 反映本服务运行方式或分处理者名单的调整；
• 对我们的承诺作出进一步澄清或改进。

如我们作出重大变更，将提前通知您（例如至少在变更生效前 30 天通知）。若您书面提出异议而我们无法在合理范围内予以回应，您的唯一救济是停止使用受影响的服务部分，并在适用情形下依据主协议终止该等服务。

10. 适用法律与联系方式

10.1 适用法律与争议解决

本 DPA 受主协议同一法律管辖，因本 DPA 引起或与之相关的争议，应提交与主协议相同的法院或仲裁机构解决，但不影响数据主体或监管机构依据适用法律享有的权利。

10.2 如何联系我们

如您对本 DPA 有疑问，或需就我们作为处理者的角色行使权利或发出指示，请联系：

• 电子邮箱：privacy@rakenne.app

邮件主题中请注明“DPA”，并提供足够信息以便我们识别您的账号并高效回复。

*** End Patch***"/>github-tools.ApplyPatch to=functions.ApplyPatch қуру_ENTRIESjson.JSONObjectReady to proceed.Let’s go ahead. Copilot Tools to=functions.ApplyPatch ***!