数据处理协议 (DPA)

最后更新：2026年6月7日

1. 本协议的目的

本数据处理协议(以下简称"本DPA")依据EU《通用数据保护条例》(GDPR)第28条,就Crane Valley合同会社(以下简称"处理者"或"我们")提供的Framedash服务(以下简称"本服务"),规定控制者(以下简称"控制者"或"您")与处理者之间关于个人数据处理的义务。

本DPA构成服务条款(以下简称"主协议")的一部分。如主协议与本DPA存在冲突,就个人数据处理事项以本DPA为准。

2. 定义

• "个人数据""处理""控制者""处理者""数据主体""监管机构"的含义与GDPR中的定义一致。
• "子处理方"是指处理者将个人数据处理的全部或部分再委托的第三方。
• "SCCs"是指依据欧盟委员会实施决定(EU)2021/914的EU标准合同条款。

3. 处理详情

3.1 处理的对象与目的

• 处理目的: 提供本服务(遥测数据的收集、存储、分析和可视化)
• 处理期限: 主协议有效期间及至本DPA第11条规定的删除完成为止
• 处理性质: 自动化处理(收集、记录、存储、结构化、分析、删除)

3.2 个人数据类型

• 遥测数据: 设备信息、会话元数据、玩家坐标、性能指标及控制者通过 SDK 配置发送的其他数据
• 玩家首次观测记录: 以假名化的玩家标识符为键的持久性玩家单位汇总记录,保留该玩家首次被观测到的时间戳。由遥测数据派生,并为留存队列分析之目的予以保留(详见第11条)。
• 网络元数据：处理者于遥测采集边缘观察到的最终用户 IP 地址。仅用于速率限制及滥用检测之目的进行处理（于 Upstash Redis 中以滑动窗口计数器形式短期保留），不会持久化至遥测数据库。
• 遥测告警通知数据：控制者为发送遥测告警而配置的告警规则名称、项目名称、地图名称、告警指标、告警状态、失败及总单元格数量、失败百分比、百分比阈值、仪表盘链接及通知收件人电子邮件地址

注: 账户信息(姓名、电子邮件地址、组织名称)及仪表盘使用数据由处理者依据其隐私政策作为独立控制者进行处理,不属于本DPA的适用范围。

3.3 数据主体类别

• 控制者所开发游戏或应用程序的终端用户,其个人数据可能包含在发送至服务的遥测数据中
• 控制者配置为接收遥测告警通知的人员或其他收件人

4. 处理者的义务

处理者承担以下义务:

• 仅根据控制者的书面指示处理个人数据。但如EU法律或成员国法律要求进行处理则不受此限,在此情况下,除法律禁止外,处理者将事先通知控制者。
• 对参与个人数据处理的人员施加保密义务。
• 依据GDPR第32条,采取与处理安全相关的适当技术和组织措施(详见第7条)。
• 在使用子处理方方面遵守第6条的条件。
• 协助控制者应对数据主体行使权利的请求。
• 在数据保护影响评估和向监管机构的事先咨询方面协助控制者。
• 在主协议终止后,按照第11条删除个人数据。
• 依据GDPR第28条第3款(h),向控制者提供证明遵守本DPA所需的信息,并配合审计。

5. 控制者的义务

控制者承担以下义务:

• 确保向处理者发出的指示符合适用法律法规。
• 向数据主体提供适当的隐私通知。
• 确保个人数据处理所需的同意或其他法律依据。
• 如在遥测数据中包含个人标识符,应将此情况通知处理者。

6. 子处理方

6.1 已批准的子处理方

控制者批准以下子处理方根据本DPA处理个人数据:

• ClickHouse Cloud（所在地：美国。母公司ClickHouse B.V.位于荷兰） — 遥测数据存储和查询处理
• Cloudflare（Workers、Queues、R2。所在地：美国） — 遥测数据采集及队列缓冲管道，以及用户上传文件（地图图片、项目徽标）的存储
• Neon（所在地：美国） — PostgreSQL数据库托管(与遥测相关的项目元数据)
• Sentry（Functional Software, Inc.、所在地：美国） — 在本 DPA 适用范围内，对 Web 仪表盘服务器端（查询与汇总遥测数据的路径）、遥测采集 Worker 及消费 Worker 的错误监控与性能追踪。发生异常时的堆栈跟踪、请求／队列消息元数据（IP 地址、租户 ID、项目 ID 等处理上下文），以及在生产环境下该等路径处理的请求约 10%（Web 服务器）及约 5%（Worker）的性能事务（路由、处理时间、span 元数据等）将传输至位于美国的 Sentry 基础设施。针对不处理遥测数据的路径（公开 Web 页面、认证、引导流程等）发生的服务器端异常及性能追踪，以及针对本服务 Web 应用整体（包含公开页面、认证、引导流程、仪表盘等）用户的浏览器端 Sentry 基本错误监控·性能追踪及基于同意的 Sentry Session Replay，系包含仪表板使用数据的独立控制者处理，由处理者依据隐私政策作为独立控制者处理，不属于本DPA的适用范围（详见隐私政策第2.3条(a)·(b)·(c)）。
• Upstash, Inc.（美国） — 用于遥测采集管道速率限制及滥用检测的 Redis。最终用户的 IP 地址及 API 密钥哈希前缀作为标识符存储于滑动窗口计数器中（短期保留）。
• Vercel（所在地：美国） — 在本DPA的适用范围内，仅指Web应用托管及无服务器运行时（提供遥测数据的仪表板）。Vercel Web Analytics收集本服务Web应用整体（公开页面、认证、引导流程、仪表板等）的使用情况数据，并不处理本DPA适用范围内的遥测数据，因此不属于本DPA的适用范围，依据处理者的隐私政策第2.3条进行处理。
• Resend（所在地：美国） — 在本DPA适用范围内，向控制者配置的通知收件人发送遥测告警电子邮件。告警电子邮件内容可能包括告警规则名称、项目名称、地图名称、告警指标、告警状态、失败及总单元格数量、失败百分比、百分比阈值及仪表盘链接。收件人电子邮件地址作为电子邮件投递收件人处理。

隐私政策中还列出了在非遥测场景下接收个人数据的其他第三方服务。Stripe（支付处理）及OAuth提供商（登录认证）就该等个人数据以独立控制者身份处理，不属于处理者的子处理方。除上述遥测告警电子邮件处理外，Resend（事务性邮件发送）还作为子处理方处理非遥测场景下的账户相关个人数据。Checkly（外部合成监控、公开状态页及状态页订阅者通知）仅处理运营相关个人数据及状态页相关个人数据。Checkly不处理本DPA所涵盖的遥测数据。

当控制者配置电子邮件以外的告警通知渠道（Slack incoming webhook 或通用 webhook 端点）时，处理者会将告警数据（告警规则名称、项目名称、地图名称、告警指标、告警状态、失败及总单元格数量、失败百分比、百分比阈值及仪表盘链接）发送至控制者配置的接收端。对于 Slack 渠道，该接收端为 Slack 运营的 Slack incoming webhook。该等接收端为控制者选定并控制的收件人，而非处理者的子处理方，因此未列入第6.1条的清单。

6.2 变更通知

处理者在添加或变更子处理方时,将至少提前30天通过电子邮件通知控制者。如控制者在收到通知后14天内基于合理理由以书面形式提出异议,双方将善意协商解决方案。如在合理期限内未能达成解决方案,控制者可以终止主协议。

6.3 对子处理方的义务

处理者将与每个子处理方签订合同,要求其承担与本DPA实质相同的数据保护义务。如子处理方未履行其义务,处理者应就该子处理方的行为向控制者承担责任。

7. 安全措施

处理者将根据处理风险实施适当的技术和组织安全措施,包括但不限于:

• 传输中数据的TLS加密
• 静态数据的行业标准加密
• 访问控制和基于角色的权限管理
• 基础设施监控和日志记录
• 定期安全审查和漏洞防护

8. 数据泄露通知

处理者在发现个人数据泄露后,将不当延迟，且不迟于发现后48小时内通知控制者。通知将包含以下内容:

• 泄露的性质(包括受影响的数据主体类别和大致数量)
• 处理者数据保护负责人的联系方式
• 泄露可能造成的后果
• 已采取或建议采取的应对措施

9. 数据主体权利

处理者将在技术和组织上为控制者提供合理协助,以应对数据主体行使权利的请求(访问、更正、删除、限制处理、数据可携带性、异议)。如处理者直接收到数据主体的请求,将及时转交控制者。就作为终端用户(玩家)的数据主体的删除,处理者在开发者平台API中提供玩家单位的删除端点,可删除相关项目中已存储的该玩家的原始事件及首次观测记录。该端点删除执行时已存在的记录;如果同一玩家的事件仍在摄取队列中,或控制者的SDK在请求后继续发送该玩家标识符,后续可能创建新的记录,因此控制者应在摄取停止后重新执行消除请求。

10. 国际数据传输

10.1 基于充分性认定的传输

对于欧盟委员会对日本的充分性认定(2019年1月23日决定)或英国对日本的充分性认定所涵盖的个人数据传输,以该充分性认定作为传输的法律依据,无需额外的保护措施。

10.2 充分性认定不适用的传输

当向充分性认定不适用的第三国传输个人数据时,双方将适用EU标准合同条款(SCCs)(欧盟委员会实施决定(EU)2021/914)模块2(控制者到处理者)。SCCs作为本DPA的附件纳入,并按以下方式补充:

• 第9条(a)(子处理方): 适用选项2(一般书面授权)。
• 第11条: 不适用可选的投诉处理条款。
• 第17条(准据法): 适用爱尔兰法律。
• 第18条(管辖法院): 以爱尔兰法院为管辖法院。
• 附件I(当事方详情、传输描述): 参照本DPA第3条的记载。
• 附件II(技术和组织措施): 参照本DPA第7条的记载。

对于从英国的传输,若充分性认定不适用,则适用英国国际数据传输附录(UK Addendum)。

SCCs第17条和第18条的准据法和管辖法院条款仅适用于SCCs所建立的数据传输机制。本DPA或主协议项下的所有其他争议适用主协议规定的准据法和管辖法院。

11. 数据的返还与删除

主协议终止后,根据控制者的选择,处理者将向控制者返还依本DPA处理的个人数据或予以删除。数据返还应以结构化的、通用的、机器可读的格式进行。生产系统中的删除将在主协议规定的宽限期届满后30天内完成。备份中的完全清除将在生产系统删除完成后90天内完成。但处理者可在适用法律要求保留或为合规、防欺诈或安全事件调查所必需的情况下,保留审计追踪记录(如包含用户标识符、IP地址及操作内容的操作日志)。处理者特此通过本DPA向控制者通知:此类审计追踪记录(包含用户标识符、IP地址及操作内容的活动日志等)保留最长7年,届满后将予以删除;法律依据为日本《法人税法施行规则》及《公司法》第432条第2款规定的账簿凭证保存义务,以及GDPR第6条第1款(c)项(法律义务)和第6条第1款(f)项(防欺诈与安全的正当利益)。

玩家首次观测记录（详见第3.2条）在主协议存续期间予以保留:为使留存队列分析在基础原始事件因到期而被删除后仍保持准确,该等记录不在按方案配置的定期遥测清除范围内;而在账户删除时,将与所有其他租户遥测数据一同,按上述相同期限予以删除。此外,经控制者请求,处理者还将根据第9条的运营注意事项,在该时点之前消除个别玩家的首次观测记录及原始事件。

12. 审计

处理者将配合控制者或其委托的第三方审计师进行审计,并提供证明遵守本DPA所合理需要的信息。审计须遵守以下条件:

• 控制者应提前30天以书面形式通知审计安排。
• 审计应在营业时间内进行,不得不当干扰处理者的业务。
• 审计师应签订适当的保密协议。
• 审计每年不超过一次。但监管机构要求的审计或与数据泄露相关的审计不受此限。
• 处理者提供第三方安全评估报告、渗透测试报告或同等安全管控体系证据时,控制者可以该报告代替行使当年度的审计权。

13. 责任

各方在本DPA项下的责任受主协议中责任限制条款的约束。

14. 联系方式

如有关于本DPA的咨询或对子处理方变更的异议,请联系 privacy@framedash.dev。