數據處理協議

生效日期：2026 年 4 月 9 日｜版本：v2026.04.09

1. 引言

本數據處理協議（下稱「DPA」）為服務條款的附錄，以引用方式併入服務條款。如服務條款與本 DPA 之間存在衝突，就終端顧客個人資料處理而言以本 DPA 為準；其他事項以服務條款為準。

本 DPA 訂立於商戶（下稱「資料控制者」）與諾辰科技有限公司（下稱「處理者」、「本公司」）之間，規範本公司代資料控制者處理終端顧客個人資料的條款。

個人資料：指《個人資料（私隱）條例》（第 486 章）下定義的個人資料，於本 DPA 下指商戶終端顧客（即透過 WhatsApp 與商戶聯絡的人士）的個人資料
資料控制者：指決定處理目的及方式的商戶
處理者：指代資料控制者依其指示處理個人資料的本公司
子處理者：指本公司聘用以協助處理個人資料的第三方
處理：指對個人資料進行的任何操作

處理性質及目的：為提供 NovixOne 平台服務，包括 AI 自動回覆、訂單處理、預約管理、客戶關係管理、AI 分析及商戶業務管理。

處理期間：自商戶開始使用平台起，至本 DPA 終止或商戶帳戶終止為止，並包括任何依法律或本協議所要求的保留期。

資料類別：WhatsApp 電話號碼、顯示名稱、對話內容（文字、圖片、語音）、訂單記錄、預約記錄、AI 提取的客戶記憶及訊號、商戶就顧客填寫的標籤及備註。

資料當事人類別：商戶的終端顧客。

本公司同意：

本公司就個人資料處理採取適當的技術及組織措施，包括但不限於：傳輸層加密、儲存加密、存取控制、日誌監察、定期備份、漏洞管理及員工培訓。

本公司不就任何特定的安全認證、標準或框架（如 ISO 27001、SOC 2）作出承諾。本公司可隨時依其單方判斷更新或修改安全措施。

商戶在此一般性授權本公司聘用子處理者協助處理個人資料。本公司就子處理者類別的最新清單載於子處理者清單頁面，並基於商業敏感性以類別形式（而非具名）列出。

本公司可隨時新增、變更或移除子處理者，並會於子處理者清單頁面更新。商戶持續使用平台即代表同意更新後的清單。

商戶如反對任何子處理者，唯一補救方法為終止本協議及停止使用平台。本公司不就因該等終止引致的任何損失承擔責任。

本公司就所聘用子處理者依本 DPA 履行義務的情況負責，惟該責任受服務條款的責任限制條款約束。

本公司在合理可行範圍內，就以下事項向資料控制者提供合理協助：(a) 回應終端顧客的資料權利請求；(b) 符合資料外洩通報義務；(c) 進行資料保護影響評估（如適用）；(d) 與監管機關溝通。

任何超出本公司一般支援範圍的協助，本公司有權依其當時的標準收費收取合理費用。 終端顧客的資料權利請求應由資料控制者直接處理；如本公司直接收到該等請求，本公司有權將其轉介予資料控制者，且無直接回應義務。

本公司於知悉影響資料控制者之個人資料的安全事件後，將在合理可行範圍內 72 小時內通知資料控制者。通知將包括本公司當時所掌握的合理資訊，包括事件性質、受影響資料類別及估計受影響資料當事人數目。

本公司就外洩通知的內容、時機及詳細程度保留全權酌情決定。本公司對外洩事件的責任受服務條款的責任限制條款約束。

資料控制者須獨自負責評估外洩事件對其終端顧客的影響，並依法律要求向終端顧客及監管機關發出通知。

本協議終止後，資料控制者有 30 日書面要求本公司返還或刪除個人資料。逾期未提出要求，本公司可依其內部保留政策刪除或匿名化個人資料，但不對其後無法返還的資料負責。

即使本協議終止，本公司可繼續保留個人資料以履行法律、合規、爭議解決或欺詐預防的需要。本公司亦可無限期保留匿名化或聚合資料用於商業及產品改善目的。

資料控制者明確同意本公司及其子處理者可將個人資料傳輸至香港以外的任何司法管轄區進行儲存或處理。本公司不就跨境傳輸採取任何特定的傳輸保障機制（如歐盟標準合約條款 SCC 或約束性企業規則 BCR），除非適用法律明確要求。

為證明本 DPA 義務的遵守情況，本公司可向資料控制者提供以下方式進行的審計：

本公司不接受任何形式的現場審計、滲透測試或漏洞掃描，除非事先取得本公司書面同意。

本公司依本 DPA 的責任完全受服務條款的責任限制及彌償條款約束。本 DPA 不獨立設立額外的責任上限或彌償義務。

本 DPA 受香港特別行政區法律管轄，並依其法律解釋。任何爭議須提交香港法院專屬管轄。

本 DPA 連同服務條款、私隱政策、可接受使用政策及子處理者清單構成完整協議。本公司可隨時依其單方判斷修改本 DPA，修改後即於本頁面公佈即時生效。