---

最后更新：2025年7月16日

本数据处理协议（"DPA"）自生效日期起，由以下双方签订：
(1) Bloo Inc，一家在 https://www.blue.cc 运营的商业实体（"处理者"，"Blue"）；以及
(2) 使用Blue服务的客户（"控制者"）。
每一方为"一方"，合称为"双方"。

1. 定义和解释

1.1 定义：
"协议"指本数据处理协议和所有附表；
"公司个人数据"指代表控制者由签约处理者处理的任何个人数据；
"签约处理者"指子处理者；
"数据保护法"指GDPR以及在适用范围内的其他相关数据保护法律；
"GDPR"指欧盟通用数据保护条例2016/679；
"服务"指Blue向控制者提供的软件、分析和存储服务。

2. 角色与责任

2.1. 控制者和处理者：客户是数据控制者，Blue是数据处理者。
2.2. 无联合控制者安排：双方同意不存在联合控制者关系。
2.3. 处理者义务：Blue应仅根据控制者的书面指示处理个人数据，并确保处理个人数据的员工受保密义务约束。

3. 处理详情

3.1. 个人数据类别：处理涉及标准个人数据，包括但不限于用户标识符、联系详情和元数据。不处理GDPR第9条规定的特殊类别数据。

3.2. 处理活动：Blue代表控制者处理数据，用于存储、分析和提供软件服务。

4. 子处理

4.1. 授权子处理者

Blue聘用以下子处理者：

Amazon（基础设施）
Apple（iOS和App Store数据）
AppSignal（系统监控）
Backblaze（基础设施）
Cloudflare（DNS、网站分析）
Customer.io（邮件服务）
Facebook（广告归因跟踪）
Gitlab（基础设施）
Google（Fabric崩溃报告、位置服务、Google Play Store、分析）
Microsoft（网站分析）
OpenAI（AI服务）
Render（基础设施）
Stripe（支付和订阅数据）
Paddle（订阅分析）
Telegram（向Blue团队发送通知）

4.2. 子处理者授权机制：子处理者的更新将发布在Blue的在线服务条款中。

4.3. 子处理者限制：Blue应确保子处理者遵守与本DPA中规定的义务相等的义务。

5. 安全措施

5.1. 安全控制：Blue应实施适当的技术和组织措施，以确保与风险相适应的安全级别，包括：
个人数据的加密；
确保数据保密性、完整性和可用性的措施；
定期测试和评估安全有效性的程序。
5.2. 数据主体权利协助：Blue应协助控制者响应数据主体请求，包括访问、更正、删除和反对请求。
5.3. 违规通知：Blue应在发现数据违规后14天内通知控制者，提供足够信息以供控制者履行监管义务。
5.4. 跨境数据传输：
双方确认数据可能会从欧洲经济区（EEA）传输到美国和新加坡。
此类传输应受欧盟委员会批准的标准合同条款（SCC）或GDPR允许的任何其他传输机制管辖。
如果SCC变得不充分，Blue应实施额外的保护措施。

6. 数据删除或返还

6.1. 数据保留：个人数据仅在处理目的所需的时间内保留。
6.2. 协议终止：服务终止后，除非法律要求必须存储，否则Blue应删除或返还所有个人数据。

7. 特殊条款

7.1. 特定国家要求：标准情况下不适用额外的特定国家要求。
7.2. 责任上限：责任限于控制者根据服务条款向Blue支付的总金额。

8. 执行和一般条款

8.1. 独立协议：本DPA是独立协议，不是任何现有合同的附录。
8.2. 管辖法律：本DPA受GDPR和适用的数据保护法管辖，一般法律解释适用特拉华州法律。
8.3. 生效日期：本DPA在控制者使用Blue服务时生效。