数据处理附录

最后更新日期：2026年4月9日

本数据处理附录（“DPA”）是对以下文件的补充： APIANT 服务条款本协议（“协议”）是 Apiant, Inc.（“APIANT”、“我们”或“我们的”）与客户（“客户”、“您”或“您的”）之间的协议，旨在规范 APIANT 代表客户处理与服务相关的个人数据，包括通过客户的 MCP（模型上下文协议）服务器基础设施处理的数据。

本数据处理协议适用于 APIANT 作为数据处理者（或根据美国州隐私法适用的服务提供商）代表客户处理个人数据的情况。如果本数据处理协议与本协议发生冲突，则就个人数据处理而言，以本数据处理协议为准。

1. 定义

“个人数据” 指 APIANT 代表客户通过服务处理的任何与已识别或可识别的自然人有关的信息。

“加工” 指对个人数据执行的任何操作，包括收集、记录、组织、存储、改编、检索、查阅、使用、披露、组合、限制、删除或销毁。

“子处理器” 指 APIANT 委托代表客户处理个人数据的任何第三方。

“数据保护法” 指所有与数据隐私和数据保护相关的适用法律法规，包括欧盟通用数据保护条例（GDPR）、英国GDPR、经加州隐私权法案（CPRA）修订的加州消费者隐私法案（CCPA）、弗吉尼亚州消费者数据保护法案（VCDPA）以及任何其他适用的美国州隐私法。

“MCP 服务器基础架构” 指客户在其专用 APIANT 基础架构（包括客户自己的域名）上部署的 MCP 兼容服务器，客户的最终用户可以通过这些服务器，经由第三方 AI 平台与平台进行交互。

2. 范围和角色

2.1 对于通过服务处理的个人数据，客户是数据控制者（或适用的企业），APIANT 是数据处理者（或适用的服务提供商）。

2.2 APIANT 仅代表客户并按照客户书面指示处理个人数据。客户对服务的使用，包括自动化配置以及通过客户的 MCP 服务器基础架构处理的数据，均构成本数据处理协议 (DPA) 所指的书面指示。

2.3 除提供服务外，APIANT 不会将个人数据用于任何其他目的，除非适用法律另有规定。在此情况下，APIANT 应在处理个人数据前告知客户该法律要求，除非法律禁止此类告知。

3. 处理的数据类别

3.1 平台服务

当客户直接使用平台时，APIANT 可能会根据客户的配置处理以下几类个人数据：

联系信息（姓名、电子邮件地址、电话号码）
账户凭证和身份验证令牌
第三方应用程序之间传输的业务数据
客户选择通过平台处理的任何其他数据

3.2 MCP 服务器基础架构

当数据通过客户的 MCP 服务器基础架构进行处理时，APIANT（作为底层平台提供商）可能会处理：

身份验证凭据 （例如 OAuth 2.0 令牌）用于验证身份并授权访问客户的 MCP 服务器
工具调用参数：人工智能平台传输到客户MCP服务器以执行所请求操作的结构化输入
工具调用响应客户MCP服务器返回给AI平台的结果

APIANT 确实不是接收或处理最终用户与人工智能平台之间的完整对话文本。仅在客户的 APIANT 服务器上处理执行请求操作所需的结构化工具调用数据。

4. 数据保留和删除

4.1 APIANT 将在协议有效期内保留通过服务处理的个人数据，除非客户要求提前删除。

4.2 具体而言，针对通过 MCP 服务器基础架构处理的数据：

身份验证令牌 会话期间数据会保存在内存中，断开连接后数据不会保留。
工具调用日志 （参数和响应）最多可保留 90 天，用于调试和运行目的，之后将自动清除。
没有用户配置文件 由 MCP 交互数据构建而成。

4.3 协议到期或终止后三十 (30) 天内，APIANT 应删除或归还其拥有或控制的所有个人数据，但适用法律要求保留的情况除外。

4.4 客户可随时通过联系我们要求删除个人数据。 privacy@apiant.comAPIANT 应在三十 (30) 天内满足此类请求，但须遵守任何法律规定的保留义务。

5. 缺乏客户数据方面的培训

APIANT 确实不是使用个人数据、用户数据、工具调用参数、工具调用响应或任何其他客户数据来训练人工智能模型、机器学习模型或任何形式的自动化决策系统。这适用于通过平台、MCP 服务器基础架构以及服务的任何其他组件处理的所有数据。

6. 子处理器

6.1 客户授权 APIANT 聘用以下分包商协助提供服务：

子处理器	目的	地点
亚马逊网络服务（AWS）	云基础设施和托管	美国
雷库利	账单和支付处理	美国
谷歌（谷歌分析）	网站分析	美国
HubSpot	客户关系管理与沟通	美国
Smartlook	会话录制和用户体验分析（仅限网站，不包括平台数据）	欧盟（捷克共和国）
Splunk	平台性能监控和日志记录	美国

6.2 APIANT应通过更新本数据处理协议（DPA）通知客户任何拟变更的子处理方。客户可通过联系APIANT对新的子处理方提出异议。 legal@apiant.com 收到通知后三十（30）天内。

6.3 APIANT 应与每个子处理者签订书面协议，规定其数据保护义务不得低于本数据处理协议中规定的义务。

7. 安全措施

APIANT实施并维护适当的技术和组织措施来保护个人数据，包括：

传输中加密： 所有传输到 APIANT 服务器和从 APIANT 服务器传输的数据，包括 MCP 服务器通信，均使用 HTTPS/TLS 进行加密。
静态数据加密： 存储在 APIANT 基础设施上的个人数据采用行业标准加密技术进行静态加密。
访问控制： 只有获得授权且有必要知悉的人员才能访问个人数据。
验证： 该平台需要经过身份验证才能访问。MCP 服务器基础架构需要 OAuth 2.0 或同等身份验证。
监测： APIANT 会监控其系统，以发现安全事件和未经授权的访问。
事件响应： APIANT 制定了事件响应流程，一旦发现个人数据泄露，应立即通知客户（无论如何，最迟不得超过 72 小时）。
基础设施： 该平台托管在亚马逊网络服务 (AWS) 基础设施上，该基础设施拥有 SOC 2、ISO 27001 和其他行业认证。

8. 数据主体权利

8.1 APIANT 应协助客户根据适用的数据保护法律满足数据主体的请求，包括访问、更正、删除、限制、可移植性和反对处理的请求。

8.2 如果 APIANT 直接收到数据主体关于代表客户处理的个人数据的请求，除非法律禁止，否则 APIANT 应立即将数据主体转交给客户并通知客户该请求。

8.3 APIANT 应向客户提供合理的合作和协助，以回应数据主体的请求，并考虑到处理的性质。

9. 国际数据传输

9.1 APIANT的主要基础设施位于美国。使用本服务即表示客户授权将个人数据传输至美国。

9.2 如果从欧洲经济区 (EEA)、英国或瑞士向美国传输个人数据构成适用数据保护法律规定的受限传输，则此类传输应受欧盟委员会通过的标准合同条款 (SCC) 的约束（模块二：控制者到处理者），这些条款在此通过引用并入本文件。

9.3 客户可通过联系以下方式索取适用转账机制的副本： legal@apiant.com.

10. CCPA 和美国州隐私法合规性

10.1 如果 APIANT 处理受 CCPA 或其他美国州隐私法律约束的个人数据，则 APIANT 会作为“服务提供商”（根据 CCPA 的定义）或适用州法律下的同等角色行事。

10.2 APIANT 不得出售或共享（根据 CCPA 的定义）从客户处收到的个人数据。

10.3 APIANT 不得出于提供服务以外的任何目的保留、使用或披露个人数据，包括出于提供服务以外的任何商业目的。

10.4 APIANT 不得将从客户处收到的个人数据与从其他来源收到的个人信息合并，除非适用法律允许为提供服务而合并。

10.5 APIANT 保证其理解并遵守本第 10 条规定的限制。

11. 审计

11.1 APIANT 应在客户提出合理要求后，每十二 (12) 个月内向客户提供证明遵守本数据处理协议所必需的信息，但提供次数不得超过一次。

11.2 客户可在提前三十 (30) 天以书面形式通知 APIANT 后，自行对 APIANT 的数据处理活动进行审计，或委托合格的第三方审计机构进行审计。此类审计应在正常工作时间内进行，且不得对 APIANT 的运营造成不合理的干扰。客户应承担所有此类审计的费用。

12. 期限和终止

本数据处理协议在本协议有效期内持续有效。APIANT根据本数据处理协议对其持有或控制的个人数据所承担的义务，在本协议终止后仍然有效，直至所有个人数据均已根据第4条的规定删除或返还为止。

13. 联系方式

如有任何关于本数据处理协议的问题或请求，请联系：

Apiant公司
196 W Ashland St, Doylestown
宾夕法尼亚州多伊尔斯敦，邮编18901
美国

电子邮件： privacy@apiant.com
合法的： legal@apiant.com