数据处理附录(DPA)
最后更新:2026 年 6 月 12 日。本数据处理附录(下称「本 DPA」)构成 cs.cheap 运营者(下称「处理者」「我们」)与作为协议相对方的客户实体(下称「控制者」或「客户」)之间服务条款或其他协议(下称「主协议」)的组成部分。
本 DPA 仅适用于处理者就本服务代表控制者处理个人数据的情形。如您仅以个人账号使用本服务,则适用我们的隐私政策,本 DPA 不适用。
1. 定义
- 「适用数据保护法」指所有适用的隐私与数据保护法律,包括(在适用时)欧盟《通用数据保护条例》(Regulation (EU) 2016/679,「GDPR」)、英国 GDPR,以及经修订的《加州消费者隐私法》(「CCPA/CPRA」)。
- 「个人数据」指处理者代表控制者处理的、与已识别或可识别自然人相关的任何信息。
- 「处理」具有适用数据保护法所赋予的含义。
- 「子处理者」指处理者委托代表控制者处理个人数据的任何第三方。
2. 双方角色
双方确认并同意:
- 就本 DPA 所覆盖的客户人员及获授权用户的个人数据,控制者是数据控制者(或 CCPA/CPRA 定义下的 business)。
- 处理者是该等个人数据的数据处理者(或 service provider)。
- 处理者仅代表控制者处理该等个人数据;除为提供本服务所必需外,不决定其处理的目的与方式。
就账号管理、计费与支付记录、安全、防范欺诈与滥用、法律合规及客户支持而言,我们也可能作为独立控制者(或 business)为自身目的处理某些个人数据,详见我们的隐私政策。该等处理不属于本 DPA 的范围。
3. 处理的范围与性质
3.1 标的
提供 cs.cheap 网站与 API(Counter-Strike 物品价格数据)及相关的账号、订阅与计费功能。
3.2 期限
主协议有效期内,直至依第 10 条删除或返还个人数据。
3.3 性质与目的
为以下目的所必需的处理:
- 验证控制者获授权用户的身份并保护其账号安全
- 管理账号层面的访问元数据、API key 记录、订阅状态,以及由本服务接收或与之关联的用量元数据
- 管理订阅、credits 与支付记录
- 生成认证与安全日志
- 防范欺诈与滥用
- 维护服务完整性
3.4 数据主体类别
- 客户的人员及获授权的用户
3.5 个人数据类别
可能包括:
- 标识符(如邮箱、SteamID、GitHub 身份、用户 ID)
- 认证凭据(如哈希后的密码、会话令牌)与 API key
- 计费与用量元数据
- 登录元数据(如 IP 地址、设备信息)与安全日志
本服务不需要敏感个人数据。
4. 处理者义务
处理者应:
- 仅依控制者的书面指示处理个人数据。
- 确保获授权处理个人数据的人员受保密义务约束。
- 实施附件 II 所述的适当技术与组织措施保护个人数据。
- 在知悉个人数据泄露后无不当迟延地通知控制者。
- 在考虑处理性质的前提下,协助控制者响应数据主体请求。
- 在适用时,协助控制者履行与安全、泄露通知、影响评估及监管咨询相关的义务。
5. 子处理者
处理者可以委托子处理者提供本服务。当前的子处理者包括云托管与 serverless 计算服务商、Neon(数据库)、Resend(邮件投递)与 Cloudflare(人机校验)。
与本服务集成的独立服务——包括 Steam 与 GitHub(登录)以及 NOWPayments(支付处理)——作为其所处理数据的独立控制者,不属于本 DPA 项下的子处理者;详见我们的隐私政策。
处理者应:
- 维护最新的子处理者清单,可应请求提供。
- 对子处理者施加与本 DPA 一致的数据保护义务。
- 对子处理者的履约行为负责。
控制者可以在收到通知后 10 日内,基于合理的数据保护理由对新的子处理者提出异议。
6. 跨境传输
当个人数据被传输至欧洲经济区、英国或瑞士以外时,处理者应确保已落实适当的保障措施,包括附件 A 所载的标准合同条款。
7. 安全措施
处理者维护的信息安全体系包含附件 A 之附件 II 所述的技术与组织措施。
8. 审计权
经合理的书面通知,控制者可以要求处理者提供证明其遵守本 DPA 的文档。现场审计每年不超过一次,并受合理的保密与安全限制约束。
9. CCPA/CPRA 条款
处理者应:
- 不按照 CCPA/CPRA 对「出售」(sell)与「共享」(share)的定义出售或共享个人数据。
- 不在直接业务关系之外、或为提供本服务以外的任何目的保留、使用或披露个人数据。
- 遵守 CCPA/CPRA 下 service provider 的相关义务。
10. 返还与删除
主协议终止后,处理者应删除或返还个人数据,法律要求保留的除外。
11. 责任
本 DPA 项下的责任受主协议所载责任限制条款的约束。
附件 A —— 标准合同条款(SCCs)
就个人数据自欧洲经济区(EEA)、瑞士或英国向未被认定提供充分数据保护水平的国家或地区的传输,双方约定如下:
- 经欧盟委员会 2021 年 6 月 4 日第 (EU) 2021/914 号实施决定批准的标准合同条款(「欧盟 SCCs」)以引用方式纳入本附录。
- 当控制者作为 controller、处理者作为 processor 时,适用模块二(Controller to Processor)。
- 在相关情形下适用模块三(Processor to Processor)。
- 第 7 条中,可选的对接条款(docking clause)适用。
- 第 9 条中,适用选项 2,子处理者变更的事先通知期限以本 DPA 第 5 条为准。
- 第 11 条中,可选措辞不适用。
- 第 17 条中,管辖法律为爱尔兰法律(或双方约定的其他欧盟成员国法律)。
- 第 18(b) 条中,争议由爱尔兰法院解决。
- 就自英国的传输,欧盟 SCCs 的英国国际数据传输附录(UK International Data Transfer Addendum)以引用方式纳入。
- 欧盟 SCCs 的附件 I、II、III 按下文填写。
附件 I.A —— 当事方清单
- 数据输出方:作为主协议相对方的客户实体,以控制者身份行事。联系方式:以其账号中提供的信息为准。
- 数据输入方:cs.cheap 运营者,以处理者身份行事。联系方式:[email protected]。
附件 I.B —— 传输描述
- 数据主体类别:如本 DPA 第 3.4 条所述。
- 个人数据类别:如本 DPA 第 3.5 条所述;不传输敏感数据。
- 传输频率:持续性传输,贯穿主协议有效期。
- 处理的性质与目的:如本 DPA 第 3.1 条与第 3.3 条所述。
- 保留期限:主协议有效期内,直至依第 10 条删除或返还;计费记录在税务与会计法律要求时可保留更长期限。
- 向子处理者的传输:如第 5 条与附件 III 所述。
附件 I.C —— 主管监管机构
数据输出方设立地所在欧盟成员国的监管机构。如数据输出方未在欧盟设立,则依欧盟 SCCs 第 13 条确定主管监管机构;无法确定时,为爱尔兰数据保护委员会(Irish Data Protection Commission)。
附件 II —— 技术与组织措施
- 数据传输加密(TLS)
- 密码以哈希形式存储;API key 以哈希或其他安全方式存储,绝不暴露给客户端代码或以明文记录日志
- 基于最小权限原则的逻辑访问控制,并定期复核访问权限
- 管理访问的多因素认证
- 安全监控与审计日志
- 备份与恢复机制
- 安全的软件开发实践,包括依赖项审查
- 事件响应机制,包括第 4 条所述的泄露通知
附件 III —— 子处理者
即本 DPA 第 5 条所列的子处理者。
欧盟 SCCs 全文见:https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj
本 DPA 以英文、简体中文和俄文发布。如翻译版本与英文版本存在不一致,在法律允许的范围内以英文版本为准。
使用本服务即表示双方同意本 DPA。