---

最後更新日期：2025年7月16日

此翻譯僅為方便而提供。本文件的英文版本為具有法律約束力的協議。

本資料處理協議（「DPA」）自生效日期起，由以下雙方簽署：
(1) Bloo Inc，營運於 https://www.blue.cc 的商業實體（「處理者」、「Blue」）；以及
(2) 使用 Blue 服務的客戶（「控制者」）。
各為一「當事方」，合稱為「雙方」。

1. 定義與詮釋

1.1 定義：
「協議」指本資料處理協議及所有附表；
「公司個人資料」指由委託處理者代表控制者處理的任何個人資料；
「委託處理者」指子處理者；
「資料保護法律」指 GDPR 以及在適用範圍內的其他相關資料保護法律；
「GDPR」指歐盟一般資料保護規則 2016/679；
「服務」指 Blue 向控制者提供的軟體、分析和儲存服務。

2. 角色與責任

2.1. 控制者與處理者：客戶為資料控制者，Blue 為資料處理者。
2.2. 無聯合控制者安排：雙方同意不存在聯合控制者關係。
2.3. 處理者義務：Blue 應僅按控制者的書面指示處理個人資料，並確保處理個人資料的員工受保密義務約束。

3. 處理詳情

3.1. 個人資料類別：處理涉及標準個人資料，包括但不限於使用者識別碼、聯絡詳情及元資料。不處理 GDPR 第9條規定的特殊類別資料。

3.2. 處理活動：Blue 代表控制者進行資料處理，目的為儲存、分析及提供軟體服務。

4. 子處理

4.1. 授權子處理者

Blue 使用以下子處理者：

Amazon（基礎設施）
Apple（iOS 及 App Store 資料）
AppSignal（系統監控）
Backblaze（基礎設施）
Cloudflare（DNS、網站分析）
Customer.io（電子郵件服務）
Facebook（廣告歸因追蹤）
Gitlab（基礎設施）
Google（Fabric 錯誤回報、位置服務、Google Play Store、分析）
Microsoft（網站分析）
OpenAI（AI 服務）
Render（基礎設施）
Stripe（支付及訂閱資料）
Paddle（訂閱分析）
Telegram（向 Blue 團隊發送通知）

4.2. 子處理者授權機制：子處理者的更新將發布於 Blue 的線上服務條款。

4.3. 子處理者限制：Blue 應確保子處理者遵守與本 DPA 規定等同的義務。

5. 安全措施

5.1. 安全控制：Blue 應實施適當的技術和組織措施，以確保與風險相稱的安全級別，包括：
個人資料加密；
確保資料機密性、完整性和可用性的措施；
定期測試和評估安全有效性的程序。
5.2. 資料主體權利協助：Blue 應協助控制者回應資料主體請求，包括存取、更正、刪除和反對請求。
5.3. 資料外洩通知：Blue 應在察覺任何資料外洩後14天內通知控制者，提供足夠資訊以供控制者履行監管義務。
5.4. 跨境資料傳輸：
雙方確認資料可能傳輸至歐洲經濟區（EEA）以外的美國和新加坡。
此類傳輸應受歐盟委員會批准的標準合約條款（SCCs）或 GDPR 允許的任何其他傳輸機制管轄。
若 SCCs 變得不足，Blue 應實施額外保護措施。

6. 資料刪除或歸還

6.1. 資料保留：個人資料僅在處理目的所需的時間內保留。
6.2. 協議終止：服務終止後，Blue 應刪除或歸還所有個人資料，除非法律要求必須儲存。

7. 特殊條款

7.1. 國家特定要求：標準情況下無額外的國家特定要求適用。
7.2. 責任上限：責任限於控制者根據服務條款向 Blue 支付的總金額。

8. 執行與一般條款

8.1. 獨立協議：本 DPA 為獨立協議，非任何現有合約的附件。
8.2. 管轄法律：本 DPA 受 GDPR 及適用的資料保護法律管轄，一般法律詮釋適用德拉瓦州法律。
8.3. 生效日期：本 DPA 於控制者使用 Blue 服務時生效。