• 应用

    MyScript Math

    MyScript Notes

    MyScript Calculator

    帮助

    套餐

  • 解决方案

    MyScript SDK

    Text-to-handwriting API

    API 文稿
    AI

    研究

    UX

    用户体验

  • 行业

      OEM

      企业

      教育

      汽车

  • 公司

      关于我们

      事业机会

      媒体资料包

      博客

      联系

2026年5月DPA

本数据处理协议(以下简称“DPA”)由位于法国 3 rue de la Rainière, 44339 Nantes Cedex 3 的法国公司 MyScript SAS(以下简称“MyScript”或“处理方”)与您(以下简称“您”、“您的”或“控制方”)共同签订,二者合称为“双方”。

本 DPA 构成 MyScript 的法律声明和使用条款不可分割的一部分,并对任何创建 MyScript 账户的人具有法律约束力。 如果您未创建 MyScript 账户,则本 DPA 不适用。

本 DPA 符合现行法律框架中与数据处理有关的要求,亦符合欧洲议会和理事会于 2016 年 4 月 27 日通过的欧盟 2016/679 号条例(通用数据保护法规),该条例涉及个人数据处理方面的自然人保护和此类数据的自由流动,并废除了 95/46/EC 号指令。

1. 定义

1.1. 除非本文另有定义,否则本 DPA 中使用的首字母大写术语和表达具有以下含义:

“数据保护法”是指欧盟、欧洲经济区及其成员国、瑞士和英国适用于个人数据处理的法律和法规,包括 GDPR。

“数据传输”是指:

  • 用户个人数据从您传输至处理方,或
  • 用户个人数据从处理方继续传输至子处理方,或在处理方的两个机构之间传输,在每种情况下,此类传输将被数据保护法(或为解决数据保护法数据传输限制而制定的数据传输协议条款)所禁止。

“DPA”是指本数据处理协议,包括所有附件。

“EEA”是指欧洲经济区。

“最终用户”是指经您授权通过开发者门户使用 MyScript Cloud 识别服务的自然人(s)。

“GDPR”是指欧盟《通用数据保护条例》2016/679。

“服务”是指 MyScript 提供的服务:(i) 通过 MyScript 应用的云功能提供;或 (ii) 管理并回复 Nebo for Windows、MyScript Notes 或 MyScript Math 的支持请求;或 (iii) 通过 MyScript 开发者门户提供文本识别服务。 这些服务仅在您创建 MyScript 账户后方可访问。

“子处理方”是指由处理方或代表处理方指定的任何自然人或法人,其在提供服务或本 DPA 相关事项中代表您处理用户个人数据。

“用户个人数据”是指通过服务上传或发送给处理方的任何文件、笔记或文档中包含的任何个人数据,例如您通过 MyScript 应用云功能上传的任何内容。 (这可能包括您自己的个人数据,也可能包括您通过服务与处理方共享的任何其他自然人的个人数据。)

1.2 “控制方”、“数据主体”、“成员国”、“个人数据”、“个人数据泄露”、“处理”和“处理方”等术语应具有与 GDPR 中相同的含义,其相关术语亦应据此解释。

2. 用户个人数据的处理

2.1. 就本 DPA 而言,并根据 GDPR 的定义,MyScript 为处理方,您为控制方。

2.2. 处理方应:

  • 在处理用户个人数据时遵守所有适用的数据保护法,并且
  • 除非根据您的书面指示,否则不得处理用户个人数据。

2.2. 您特此指示处理方为提供服务而处理用户个人数据。

3. 处理方人员

处理方应采取合理措施,确保己方可能有权访问用户个人数据的任何员工、代理人或承包商的可靠性;确保在每种情况下,该访问权限严格限于需要访问相关用户个人数据来提供服务、或在处理方组织内履行职责的人员、并在其对处理方的职责范围内遵守适用法律的人员;确保所有此类人员均受到保密承诺的约束,或受到职业或法定保密义务的约束。

4. 安全

4.1. 处理方的安全责任

4.1.1. 在考虑到现有技术水平、实施成本以及处理的性质、范围、背景和目的,以及对自然人权利和自由造成不同可能性和严重性风险的情况下,处理方应针对用户个人数据实施适当的技术和组织措施,以确保与该风险相适应的安全级别,包括在适当情况下实施 GDPR 第 32(1) 条所述措施。

4.1.2. 在评估适当安全级别时,处理方应特别考虑处理所带来的风险,尤其是来自个人数据泄露的风险。

4.1.3. 处理方的安全措施在本 DPA 的附件 2 中有进一步说明。

4.2. 您的安全责任

您同意,在不影响处理方根据第 4.1 节(安全措施)和第 7 节(个人数据泄露)所承担义务的前提下:

4.2.1. 您对服务的使用承担全部责任,包括 (i) 确保已从通过服务处理其个人数据的所有自然人处获得必要许可,以及 (ii) 安全保管所有登录凭据和密码并定期更换。

4.2.2. 对于您选择在处理方(或子处理方)系统之外存储或传输的用户个人数据,处理方不承担保护义务。

4.2.3. 您应自行审查安全措施,并评估服务、安全措施、附加安全信息以及处理方在本第 4 节(数据安全)项下的承诺是否满足您的需求,包括您所在司法辖区适用数据保护法规定的任何安全义务。

5. 子处理

5.1. 除非经您要求或授权,否则处理方不得将用户个人数据传输给任何第三方,也不得指定(或向其披露任何用户个人数据)任何子处理方。

5.2. 您特此授权本 DPA 附件 1 中列明的子处理方在提供服务所必需的范围内接收并处理用户个人数据。 在任何新的子处理方开始处理用户个人数据之前,处理方应就附件 1 的任何变更通知您,且您可以停止使用服务。

5.3. 处理方应对其子处理方的作为和不作为承担责任,其责任程度与处理方在本 DPA 及法律声明和使用条款项下直接履行各子处理方服务时相同。

6. 数据主体权利

6.1. 在考虑处理性质的前提下,处理方应在可能范围内通过实施适当的技术和组织措施,协助您履行其合理理解的义务,以响应根据数据保护法行使数据主体权利的请求,即访问权、更正权、限制处理权、删除权、数据可携带权、反对处理权以及不受自动化个体决策约束的权利(以下简称“数据主体请求”)。

6.2. 处理方应:

  • 如其收到数据主体根据任何数据保护法就用户个人数据提出的请求,应立即通知您,并且
  • 确保除非按照您的书面指示或处理方须遵守的适用法律要求,否则不得响应该请求,在后一种情况下,处理方应在适用法律允许的范围内,于处理方响应该请求之前,将该法律要求告知您。

6.3. 在考虑处理性质的前提下,处理方将在可能范围内通过适当的技术和组织措施协助您履行根据欧洲数据保护法响应数据主体请求的义务。 此外,在您使用服务时无法自行处理数据主体请求的情况下,处理方应在您书面请求下,在法律允许的范围内提供合理的配合与协助,以帮助您响应该等数据主体请求,前提是该响应系欧洲数据保护法所要求。 在法律允许的范围内,您应承担处理方提供此类协助所产生的任何费用。

7. 个人数据泄露

7.1. 一旦处理方知悉发生影响用户个人数据的个人数据泄露,应在不无故延迟的情况下通知您及主管监管机构,并向您提供足够信息,以便您履行根据数据保护法向数据主体报告或通知该等泄露的义务。

7.2. 处理方应与您合作,并按照您的指示采取合理的商业措施,以协助调查、缓解和补救每一起此类个人数据泄露。

7.3. 任何个人数据泄露的通知(s)将通过直接通信方式发送给您。 您应全权负责确保提供给处理方的任何联系信息, 包括通知电子邮件地址, 是最新且有效的。

7.4. 处理方不会评估用户个人数据的内容以识别受特定法律要求约束的信息。 您应全权负责遵守适用的事件通知法律,并履行与任何个人数据泄露相关的第三方通知义务。

7.5. 处理方根据本第 7.1 节(个人数据泄露)就任何个人数据泄露所作的通知或响应,不应被视为其承认对此类泄露承担任何过错或责任。

8. 数据保护影响评估和事先协商

处理方应向您提供合理协助,以进行您合理认为依据 GDPR 第 35 条或第 36 条或任何其他数据保护法同等条款所要求的数据保护影响评估,以及与监管机构或其他主管数据隐私机构的事先协商;在每种情况下,该等协助仅限于处理方对用户个人数据的处理,并考虑处理性质及处理方可获得的信息。

9. 用户个人数据的删除或返还

9.1. 在您明确提出请求或您自行删除账户后,处理方应删除其已处理或正在处理的用户个人数据。 删除为最终且不可恢复,处理方不得保留该等用户个人数据的任何副本。

9.2. 在服务终止后,处理方应立即且无论如何在涉及用户个人数据处理的任何服务终止之日起 12 个月内,删除并确保删除在提供服务期间已传输给处理方(或任何子处理方)的所有该等用户个人数据的副本(如有)。

10. 审计

10.1. 处理方应定期进行审计,并确保所有子处理方同样如此,以确保其遵守本 DPA 及适用数据保护法项下的义务。

10.2. 在符合本第 10 节规定的前提下,且在已签署充分保密协议的情况下,处理方应根据您的请求,提供所有必要信息,以证明其及/或子处理方在处理用户个人数据方面遵守本 DPA。

10.3. 您可以请求进行任何审计, 包括任何检查, 根据适用的数据保护法, 您有权代表您自身以及在您作为处理方时代表您的控制方, 通过指示处理方执行第 10.1 节所述的审计来提出或授权该等请求。

10.4. 如您希望变更有关审计的该等指示,您有权通过向 legal@myscript.com 发送书面通知来提出变更请求。 如处理方拒绝遵循您就审计, 包括检查, 提出的任何请求和/或指示, 您有权立即终止服务。

11. 数据传输

11.1. 未经您事先书面同意,处理方不得将用户个人数据传输至欧盟和/或欧洲经济区以外的国家,也不得授权此类传输。 如根据本 DPA 处理的个人数据从欧洲经济区内国家转移至欧洲经济区外国家,双方应确保用户个人数据得到充分保护。 为此,除非另有约定,双方应依赖欧盟对非欧盟国家的充分性认定和/或欧盟批准的个人数据传输标准合同条款。

11.2. 接收用户个人数据的子处理方名单及其所在国家载于本 DPA 附件 1。 就上述第 11.1 节而言,您同意将用户个人数据传输至附件 1 所列子处理方。

12. General Terms

12.1. 持续时间

本 DPA 自您接受《法律声明和使用条款》之日起生效,并在处理方向您提供服务期间持续有效。

12.2. 通知

根据本 DPA 发出的所有通知和通信均必须以书面形式进行:如由 MyScript 联系您,则应通过电子邮件发送至用于创建 MyScript 账户的地址;如您通知 MyScript,则必须发送至 legal@myscript.com。

12.3. 法律和管辖

本 DPA 受法国法律管辖,不包括其法律冲突规则。 因本 DPA 引起或与之相关的任何争议,如双方无法友好解决,应提交法国有管辖权的法院或机构专属管辖。

12.4. 可分割性

如本 DPA 的任何条款无效或不可执行,其余条款仍然有效并继续生效。 该等无效或不可执行的条款应为(i) 在必要范围内进行修改以确保其有效性和可执行性, 同时尽可能保留双方的意图, 或者在无法实现的情况下, (ii) 以一种方式进行解释, 仿佛该无效或不可执行部分从未包含于其中。

12.5. 主管监管机构

如需提出索赔、投诉或请求,应联系的主管监管机构为法国国家信息与自由委员会(CNIL),可通过此页面(法语)联系。

13. 附件

13.1. 附件 1 – 子处理方列表

MyScript 应用的云功能

子处理方:AWS,位于欧盟的云基础设施提供商。

子处理方: Freshdesk (Freshworks), 位于欧盟, 负责接收和管理支持请求, 其中可能包括文件 (Content) 的传输。

子处理方:Brevo,位于欧盟的邮件服务提供商。

通过开发者门户提供的 MyScript Cloud 识别功能

子处理方:AWS,位于美国俄勒冈州的云基础设施提供商(已采用 SCC)。

子处理方:Brevo,位于欧盟的邮件服务提供商。

13.2. 附件 2 – 安全措施

处理方将在代表您处理用户个人数据时,实施和维护以下技术及组织安全措施:

物理访问控制

处理方应采取合理措施阻止物理访问,例如受保护的建筑和服务器机房,以防止未经授权的人员访问用户个人数据,或确保代表其运营数据中心的子处理方遵守此类控制措施。

系统访问控制

处理方应采取合理措施防止用户个人数据被未经授权使用。 这些控制措施将根据处理的性质而有所不同,可能包括但不限于:通过密码进行身份验证,并在适用情况下结合多因素认证、记录在案的授权流程、防火墙、记录在案的变更管理流程,以及/或多层级访问日志记录和自动安全更新。

数据访问控制

处理方应采取合理措施,确保用户个人数据只能由经过适当授权的人员访问和管理,直接数据库查询访问受到限制,且应用程序访问权限已得到建立和强制执行,以确保有权使用数据处理系统的人员只能访问其有权限访问的用户个人数据,而且在处理过程中,未经授权无法读取、复制、修改或删除用户个人数据。

传输控制

处理方应采取合理措施,确保能够检查并确定通过数据传输设施将用户个人数据传输至哪些实体,从而在电子传输或运输过程中防止用户个人数据被未经授权读取、复制、修改或删除。 这些措施包括使用经认证的安全服务器连接,并在所有 API 上限制跨源资源共享。

输入控制

处理方应采取合理措施,以确保可以检查并确定元数据是否已被输入数据处理系统、被修改或被删除。 处理方应采用行业最佳实践,包括用于认证的加密协议和安全审计日志记录。

数据备份

服务中的数据库会定期进行备份,并受到保护且在静态时加密,以确保用户个人数据免受意外破坏或丢失。 每 12 小时进行一次快照(AWS)。 在我们的服务器上每三天进行一次加密备份。

13.3. 附件 3 – 处理活动描述

名称: MyScript SAS

地址: 3 rue de la Rainière, 44339 Nantes Cedex 3, France

联系人姓名、职位及联系方式: Emilie Fowell, DPO, legal@myscript.com

与数据传输相关的活动: 服务的履行

角色(控制方/处理方): 处理方

13.3.1. MyScript 应用的云功能

a. 被传输个人数据的数据主体类别

您可以向服务提交用户个人数据,提交范围完全由您确定和控制。

b. 被传输的个人数据类别

通过服务发送给处理方的 MyScript Notes 或 MyScript Math 内容中包含的非结构化用户个人数据,用于与 MyScript 共享或通过 MyScript 应用的云功能进行存储。

c. 特殊类别的数据

MyScript 不收集任何特殊类别的数据(例如种族或民族出身、政治观点、宗教或哲学信仰、工会成员身份、遗传或生物识别数据、健康状况和性生活)。 然而,上述非结构化用户个人数据的内容对 MyScript 而言是未知的。

d. 传输频率

非结构化用户个人数据将根据您的服务使用频率,持续传输给我们在附件 1 中列出的子处理方。

e. 处理性质

处理性质是履行服务。

f. 数据传输和进一步处理的目的(s)

MyScript 将根据需要处理用户个人数据,以履行您请求的服务。

g. 个人数据的保存期限,或在无法确定时用于确定该期限的标准

只要您决定通过 MyScript 应用的云功能存储或共享用户个人数据,非结构化用户个人数据就会被传输至处理方的服务器。 如果您删除 MyScript 账户,则所有用户个人数据将自动从所有存储位置删除。

h. 对于向(子)处理方的传输,还应说明处理的主题、性质和期限

子处理方将在提供服务所必需的范围内处理用户个人数据。 子处理方将在您拥有 MyScript 账户期间处理用户个人数据,除非另有书面约定或您已要求提前删除用户个人数据。 用于提供服务的子处理方及其所在国家列于本 DPA 附件 1。

13.3.2. 通过开发者门户提供的 MyScript Cloud 识别功能

a. 被传输个人数据的数据主体类别

您可以向服务提交用户个人数据,提交范围完全由您确定和控制。

b. 被传输的个人数据类别

  • 您为了将手写笔记转换成键入文本而通过服务发送给处理方的文档中包含的非结构化用户个人数据。
  • 最终用户 IP 地址。

c. 特殊类别的数据

MyScript 不收集任何特殊类别的数据(例如种族或民族出身、政治观点、宗教或哲学信仰、工会成员身份、遗传或生物识别数据、健康状况和性生活)。 然而,上述非结构化用户个人数据的内容对 MyScript 而言是未知的。

d. 传输频率(例如数据是一次性传输还是持续传输)

上述所有类别的数据都将根据服务的使用情况,持续传输给我们在附件 1 中列出的子处理方。

e. 处理性质

处理性质是履行服务。

f. 数据传输和进一步处理的目的(s)

MyScript 将根据需要处理个人数据来履行服务。

g. 个人数据的保存期限,或在无法确定时用于确定该期限的标准

非结构化用户个人数据会被传输至处理方服务器以完成处理,随后返回给最终用户,且处理方不会存储该数据。 IP 地址将在日志记录中保留 12 个月。 除非您以书面形式明确要求,否则处理方不会存储非结构化用户个人数据。

h. 对于向(子)处理方的传输,还应说明处理的主题、性质和期限

子处理方将在提供服务所必需的范围内处理用户个人数据。 子处理方将在您使用服务期间处理个人数据,除非另有书面约定。 用于提供服务的子处理方及其所在国家列于本 DPA 附件 1。

由AI根据英文原始版本翻译。原始版本具有唯一法律效力。

技术

  • 手写识别
  • 互动笔画
  • 演示
  • 开发人员
  • API 文稿

产品

  • SDK
  • Text-to-handwriting API
  • MyScript Notes
  • MyScript Math
  • MyScript Calculator
  • 应用程序支持
  • 已失效的应用

行业

  • OEM
  • 企业
  • 教育
  • 汽车

关于

  • 我们的故事
  • 事业机会
  • 媒体资料包
  • 博客
  • 联系
© MyScript. 版权所有。
法律声明•隐私权原则•信用•Cookie•DPA