---
title: "数据处理协议(DPA)"
description: "最近更新:2026 年 5 月 30 日"
canonical_url: "https://getminds.ai/legal/zh/dpa"
last_updated: "2026-06-24T15:48:18.394Z"
---

# 数据处理协议(DPA)

**最近更新:2026 年 5 月 30 日**

本根据 GDPR 第 28 条签订的数据处理协议("DPA")构成 Art of X UG (haftungsbeschränkt)("处理者"、"我们")与客户("控制者"、"您")之间就使用我方服务而订立之协议("主协议")的一部分。

## 1. 定义

- **个人数据:** 与已识别或可识别的自然人有关的任何信息(GDPR 第 4 条第 1 款)。
- **处理:** 针对个人数据进行的任何操作,包括收集、存储、使用与删除(GDPR 第 4 条第 2 款)。
- **次级处理者(Sub-processor):** 处理者聘请以处理个人数据的任何第三方。
- **GDPR:** 第 (EU) 2016/679 号条例(《通用数据保护条例》)。
- **数据泄露(Data Breach):** 导致个人数据意外或非法销毁、丢失、变更、未经授权披露或访问的安全事件(GDPR 第 4 条第 12 款)。

## 2. 处理范围与期限

2.1 本 DPA 适用于处理者代表控制者就服务进行的一切个人数据处理。

2.2 处理者应仅为提供主协议所述服务之目的,并依据控制者的书面指示处理个人数据。

2.3 处理期限与主协议期限相一致,除非本 DPA 的规定产生更长的义务。

## 3. 数据处理细节

<table>
<thead>
  <tr>
    <th>
      类别
    </th>
    
    <th>
      说明
    </th>
  </tr>
</thead>

<tbody>
  <tr>
    <td>
      <strong>
        处理事项
      </strong>
    </td>
    
    <td>
      提供 AI 驱动的 "Minds" 平台，包括 AI 助手、合成面板、group-grounded 模拟、API/MCP 访问、浏览器扩展/widget 工作流、集成、语音/消息功能及相关服务
    </td>
  </tr>
  
  <tr>
    <td>
      <strong>
        期限
      </strong>
    </td>
    
    <td>
      主协议期限内
    </td>
  </tr>
  
  <tr>
    <td>
      <strong>
        性质和目的
      </strong>
    </td>
    
    <td>
      托管、身份验证、存储、检索、分析、模拟和基于控制者提供的数据生成输出；运营 Google Calendar、公共 API/MCP、来源提取、消息/语音和计费等可选集成。除非控制者明确 opt-in，控制者数据不会用于训练通用模型或第三方可访问模型。
    </td>
  </tr>
  
  <tr>
    <td>
      <strong>
        个人数据类型
      </strong>
    </td>
    
    <td>
      联系方式、凭证、使用数据、内容(文本、图像、音频、文件、URL)、提示和输出、embeddings、API 密钥、OAuth tokens、日历事件/参与者元数据、电话/消息/呼叫元数据及启用时的音频、技术数据、支付(Stripe)、审计和安全日志
    </td>
  </tr>
  
  <tr>
    <td>
      <strong>
        数据主体类别
      </strong>
    </td>
    
    <td>
      控制者员工和代理、受邀终端用户、控制者输入其数据的个人，以及在内容、日历事件、消息或公开来源中被提及的个人
    </td>
  </tr>
</tbody>
</table>

## 4. 指示权

4.1 处理者应仅基于控制者的书面指示处理个人数据,包括本 DPA 与主协议所规定的指示,除非处理者所受之欧盟或成员国法律另有要求。在此情况下,除非该法律禁止告知,处理者应在处理前将该法律要求告知控制者。

4.2 指示可以书面形式或文本形式给出(包括电子邮件)。口头指示应不延迟地以文本形式确认。

4.3 若处理者认为某项指示违反数据保护法律,应立即告知控制者(GDPR 第 28 条第 3 款第 3 句)。处理者有权在控制者确认或修改该指示前暂停执行相关指示。

## 5. 处理者义务

处理者应:

5.1 仅在控制者指示范围内处理个人数据,不得用于自身目的。

5.2 确保被授权处理个人数据的人员已承诺保密,或受适当法定保密义务约束(GDPR 第 28 条第 3 款 b 项)。

5.3 在本 DPA 期限内,依据 GDPR 第 32 条实施并维持适当的技术与组织措施(TOMs)。当前的 TOMs 在本 DPA **附件 1 – 技术与组织措施(TOM)**中描述,并公布于 [https://getminds.ai/legal/tom](/legal/tom)。

5.4 若处理者察觉任何违反 GDPR 或其他数据保护法规与处理相关的情形,应立即告知控制者。

5.5 在法律要求的情形下指定数据保护官。现任数据保护官为:

Prof. Dr. Norman Uhlmann,h3ko Innovations GmbH,Pappelallee 64,16359 Biesenthal,Germany。电子邮箱:[privacy@getminds.ai](mailto:privacy@getminds.ai)

## 6. 数据主体的权利

6.1 处理者应以适当的技术与组织措施,在可能的范围内协助控制者履行其回应数据主体依据 GDPR 第 III 章行使权利的请求的义务(访问、更正、删除、限制处理、数据可携、反对)。

6.2 若数据主体直接向处理者提出请求,处理者应不延迟地将该请求转交控制者。

## 7. 协助履行数据保护义务

7.1 处理者应考虑到处理的性质与处理者所掌握的信息,协助控制者确保遵守 GDPR 第 32 至 36 条所规定的义务,特别是:

- 确保处理的安全性(GDPR 第 32 条);
- 向监管机构通报个人数据泄露(GDPR 第 33 条)以及向数据主体通报(GDPR 第 34 条);
- 开展数据保护影响评估(GDPR 第 35 条);
- 对监管机构的事先咨询(GDPR 第 36 条)。

7.2 处理者应协助控制者应对数据保护监管机构就委托处理开展的请求与调查。

## 8. 次级处理者

8.1 控制者特此授予处理者根据 GDPR 第 28 条第 2 款聘用次级处理者的一般书面授权,但须遵守本节的要求。

8.2 本 DPA 订立时的当前次级处理者列表见 [https://getminds.ai/legal/subprocessors](/legal/subprocessors)。

8.3 处理者应在计划变更前至少**14 天**通知控制者任何次级处理者的拟议新增或替换,以便控制者有机会提出异议。

8.4 若控制者在通知期内提出异议,双方应努力达成和解。若无法达成,控制者有权立即终止主协议。

8.5 处理者应通过合同确保次级处理者承担不低于本 DPA 所规定之数据保护义务(GDPR 第 28 条第 4 款)。处理者对其次级处理者的作为与不作为承担与其自身相同的责任。

## 9. 国际传输

9.1 仅在满足 GDPR 第 44 条及以下条款的特定条件下,方可在第三国或由国际组织处理个人数据。

9.2 对于位于美国的次级处理者,传输依据以下基础进行:

- 欧美数据隐私框架(DPF),以次级处理者已获认证为前提
- 依据委员会实施决定 (EU) 2021/914 的标准合同条款(SCCs)

9.3 对于位于英国的次级处理者,适用欧盟委员会的充分性决定(Decision 2021/1772)。

9.4 处理者监控适用的充分性决定与传输机制的状态,并在变更需要调整传输依据时告知控制者。

9.5 若处理者或其任何次级处理者收到政府要求披露个人数据的命令(包括基于美国《云法案》、FISA 或可比立法的命令),处理者应在法律允许的范围内不延迟地告知控制者。处理者应审查该命令的合法性,并在披露任何个人数据前寻求合理的法律救济。

## 10. 个人数据泄露通知

10.1 处理者在察觉个人数据泄露后,应不延迟地,且在任何情况下于**48 小时**内通知控制者。

10.2 通知至少应包括:

- 泄露性质的说明,若可能则包括所涉数据主体与数据记录的类别与大致数量;
- 数据保护官或其他联络点的姓名与联系方式;
- 泄露可能后果的说明;
- 已采取或拟采取以应对泄露并减轻其影响的措施的说明。

10.3 处理者应协助控制者履行 GDPR 第 33 和 34 条规定的通知义务。

## 11. 审计权

11.1 处理者应向控制者提供一切必要信息,以证明其遵守 GDPR 第 28 条所规定之义务。

11.2 控制者有权开展审计(包括现场检查),或委托经指定的审计员开展。此等审计应在合理通知(至少 14 天)后于正常营业时间进行,且不应对处理者的业务运营造成不合理的干扰。

11.3 处理者可出具当前的审计报告、认证或其摘录以证明合规。

11.4 经指定的第三方审计员须预先受保密义务约束。审计费用由控制者承担,除非确认处理者存在违约。

## 12. 个人数据的删除与返还

12.1 主协议终止后,处理者应在**30 天**内删除其代表控制者处理的所有个人数据,除非控制者请求以通用的机器可读格式返还数据。

12.2 删除应依据当前技术水平执行,并应应控制者的要求以书面形式予以确认。

12.3 若欧盟或成员国法律要求保留,处理者应将保留义务与所涉数据告知控制者。

## 13. 责任

13.1 双方的责任由 GDPR 第 82 条规范。

13.2 处理者应就不符合 GDPR 或控制者指示的处理向控制者承担损害赔偿责任。

13.3 处理者对其次级处理者的作为与不作为承担与其自身相同的责任。

13.4 除非主协议另有约定,处理者的累计责任应限于在引起索赔之事件前 12 个月内向处理者支付的费用。此限制不适用于因故意不当行为或重大过失产生的索赔,亦不适用于依据 GDPR 的强制性规定不得予以限制的索赔。

## 14. 本 DPA 的修订

14.1 处理者可在修订生效前至少提前 30 天通知后修订本 DPA,只要此等修订因法律变更、监管命令、技术发展或处理活动变化而必要。

14.2 修订将通过控制者账户关联的电子邮箱通知控制者。修订后的版本将公布于 [https://getminds.ai/legal/dpa](/legal/dpa)。

14.3 若控制者在收到通知后 30 天内未提出异议,修订视为被接受。处理者应在修订通知中提请注意此项法律后果。

14.4 若控制者提出异议,双方应努力达成和解。若无法达成,控制者有权立即终止主协议。

## 15. 最终条款

15.1 本 DPA 受德意志联邦共和国法律管辖。

15.2 因本 DPA 引起或与之相关的所有争议,在法律允许的范围内,以柏林为专属管辖地。

15.3 除第 14 条另有规定外,本 DPA 的修订与补充须以文本形式作出。

15.4 若本 DPA 的任何条款无效或变为无效,不影响其余条款的效力。

15.5 若本 DPA 与主协议发生冲突,就个人数据保护而言,本 DPA 优先适用。

---

**Art of X UG (haftungsbeschränkt)**
Köpenicker Straße 145, 10997 Berlin, Germany
执行董事:Friedrich von Borries 与 Alexander Doudkin

有关本 DPA 的问题,请联系:[privacy@getminds.ai](mailto:privacy@getminds.ai)

---

## 附件 1:技术与组织措施(TOM)

**最近更新:2026 年 5 月 30 日**

Art of X UG (haftungsbeschränkt)("Minds")依据 GDPR 第 32 条实施以下技术与组织措施,以确保与个人数据处理所涉风险相匹配的安全水平。

---

## 1. 访问控制

### 物理访问控制

Minds 基础设施仅托管于经认证的云服务商:

- **DigitalOcean** —— 德国法兰克福数据中心(欧盟)。认证:SOC 2 Type II、ISO 27001、ISO 27017、ISO 27018。
- **Supabase** —— 瑞典斯德哥尔摩数据中心(欧盟),托管于 AWS。认证:SOC 2 Type II。

物理安全(生物特征访问控制、7×24 小时监控、访问日志记录)完全由云服务商管理。

### 逻辑访问控制

- 对所有内部系统与管理界面实行基于角色的访问控制(RBAC)。
- 对所有员工访问生产系统强制使用多因素认证(MFA)。
- 个人用户账户 —— 不使用共享凭据。
- 遵循最小权限原则定期审查并撤销访问权限。
- API 密钥与凭据在加密的密钥管理器中进行管理。
- OAuth tokens、集成凭证和 API 密钥均限定范围、静态加密并可撤销。

---

## 2. 加密

### 传输加密

- 所有数据传输均通过 TLS 1.2 或以上版本加密。
- 所有公开端点均启用 HSTS(HTTP Strict Transport Security)。
- 内部服务间通信亦经加密。

### 静态加密

- 数据库(Supabase/PostgreSQL)对静态数据使用 AES-256 加密。
- 文件存储(DigitalOcean Spaces / Supabase Storage)使用服务端 AES-256 加密。
- 备份以加密形式存储。

---

## 3. 数据隔离(租户隔离)

- 通过租户隔离(PostgreSQL 中的 Row-Level Security)在数据库层面严格逻辑隔离客户数据。
- 每位客户只能访问自己的数据 —— 在数据库与 API 层均强制执行。
- 自动化测试确保不会发生跨租户数据泄漏。

---

## 4. 可用性与恢复能力

### 托管架构

- 应用运行在 DigitalOcean App Platform 上,具备自动伸缩与健康检查。
- 数据库运行在 Supabase 上,采用高可用配置。

### 备份与恢复

- 每日自动数据库备份,保留期限不少于 7 天。
- PostgreSQL 数据库支持 Point-in-Time Recovery(PITR)。
- 定期测试恢复流程。
- 恢复时间目标(RTO):按 SLA 中定义。
- 恢复点目标(RPO):最长 24 小时。

---

## 5. 事件响应

- 针对安全事件有文档化的事件响应流程。
- 依据数据处理协议(DPA),在察觉个人数据泄露后**48 小时**内通知控制者(客户)。
- 对所有安全相关事件进行日志记录与追踪。
- 定期审查与更新事件响应计划。

---

## 6. 保密性与员工义务

- 所有员工与承包商均受保密协议(NDA)约束。
- 对所有员工开展定期数据保护培训。
- 依据 GDPR 承担保守数据秘密的义务。
- 仅在必要知情(need-to-know)的基础上授予对个人数据的访问权限。

---

## 7. 次级处理者管理

- 依据数据保护与安全标准审慎遴选次级处理者。
- 以合同约束所有次级处理者进行符合 GDPR 的数据处理。
- 定期审查次级处理者。
- 当前的次级处理者列表见 [Subprocessors](/legal/subprocessors)。
- 依据 DPA 向客户预先通知任何变更。

---

## 8. 日志与监控

- 对系统事件与访问进行集中日志记录。
- **Langfuse** 用于监控与追踪 AI 模型交互(托管于欧盟)。
- **PostHog** 用于产品分析和可选会话回放 —— 持久化分析/会话回放仅在分析同意下使用；在合法情况下进行有限的无 cookie 诊断。
- 对关键系统指标进行监控并配备自动化告警。
- 定期审查日志中的异常。

---

## 9. 数据最小化与假名化

### 数据最小化

- 仅收集与处理为相应处理目的所必需的个人数据。
- 定期审查所处理数据类别的必要性。
- 依据既定的保留期限自动删除不再需要的数据。

### 假名化

- 在技术可行且适当时,以假名化形式处理个人数据。
- 内部处理主要使用 UUID 而非真实姓名。
- 分析评估以聚合或假名化为基础进行。

---

## 10. 定期审查与评估

- 对基础设施与应用开展定期安全评估。
- 定期检查依赖项的已知漏洞(依赖项扫描)。
- 至少每年一次或在处理活动发生重大变更时审查并更新本 TOMs。
- 基于当前威胁形势持续改进安全措施。

---

## 11. 其他措施

### 输入控制

- 对个人数据的变更进行日志记录(审计跟踪)。
- 对谁在何时输入、修改或删除了哪些数据具备可追溯性。

### 传输控制

- 数据传输仅采用加密方式进行。
- 未经充分保护水平(充分性决定或标准合同条款),不向第三国传输个人数据。

### 处理控制

- 个人数据的处理仅按照控制者的指示进行。
- 在 DPA 中对委托处理进行合同性规范。

---

*这些技术与组织措施将定期审查,并在必要时更新,以确保与当前技术水平相一致的保护水平。*