数据处理协议(DPA)
适用于 Amazon Selling Partner API (SP-API) 开发者与中国卖家
最后更新:2025年11月
协议双方
甲方(卖家 / 数据出口方):使用本软件的 Amazon 卖家(自然人或法人)
乙方(数据处理者):深圳维多路科技有限公司(Vendoroad Technology Co., Ltd.)
签订日期:卖家首次授权之日(通过 Amazon SP-API 授权即视为电子签订)
法律依据
根据《中华人民共和国个人信息保护法》(PIPL)、《个人信息出境标准合同规定》、GDPR(若适用)、Amazon Selling Partner API License Agreement 以及 Amazon Developer Privacy and Security Policy,双方就乙方处理甲方及甲方买家个人信息事宜达成如下协议:
第1条 定义
1.1 "个人信息"
指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息(包括买家姓名、地址、电话等)。
1.2 "处理"
包括收集、存储、使用、加工、传输、提供、披露、删除等。
1.3 "跨境传输"
指将中国大陆境内个人信息传输至中国大陆境外(包括在中国境内访问境外数据)。
第2条 处理目的(最小必要原则)
乙方仅为以下目的处理甲方数据:
- •履行甲方通过软件下达的订单处理、打印电子面单、物流跟踪等核心功能;
- •向甲方发送订单状态及物流通知;
- •检测和预防欺诈、滥用行为;
- •响应有权机关或 Amazon 的合法调阅请求;
- •遵守法律法规及 Amazon 政策。
第3条 处理的数据类别及保留期限
| 数据类别 | 是否含个人信息 | 保留期限 | 删除方式 |
|---|---|---|---|
| 订单号、SKU、金额 | 否 | 最后交易后7年(税务要求) | 可应请求提前删除 |
| 收件人姓名、地址、电话 | 是 | 买家确认收货后最多30天 | 自动彻底删除不可恢复 |
| 加密后的地址数据 | 是 | 最长90天(用于纠纷举证) | 后自动销毁覆盖式删除 |
| Seller ID、店铺名称 | 否 | 直到甲方取消授权 + 30天 | 全部删除 |
第4条 技术与组织安全措施(附件1已列明)
乙方承诺并已通过 Amazon 安全审查,采取附件1所列全部措施保护数据安全。
第5条 跨境传输(标准合同条款)
5.1
乙方服务器位于中国大陆境内,日常处理在中国境内完成。
5.2
仅在以下情况发生跨境传输:
- •极少数经甲方明确同意的使用海外云节点备份(加密后)
- •乙方运维人员在中国境内通过 VPN 远程访问(视为境内处理)
5.3
双方同意适用《个人信息出境标准合同》(2023版),本协议构成该标准合同的完整内容,已向网信部门备案。
第6条 分包处理者
乙方当前及未来可能使用的分包处理者名单如下(最新名单以 https://www.vendoroad.com/subprocessors 公示为准):
乙方当前及未来可能使用的分包处理者名单如下(最新名单以 https://www.vendoroad.com/subprocessors 公示为准):
| 分包处理者名称 | 所在国家/地区 | 处理活动 | 安全措施 |
|---|---|---|---|
| 阿里云(深圳) | 中国大陆 | 加密备份存储 | AES-256 + SOC2 |
| 亚马逊云(美国弗吉尼亚州) | 美国弗吉尼亚州 | 加密备份存储 | AES-256 + SOC2 |
| 阿里云国际(新加坡) | 新加坡 | 加密备份存储 | AES-256 + SOC2 |
| 阿里云(美西) | 美国西部 | 加密备份存储 | AES-256 + SOC2 |
| 腾讯云国际(法兰克福) | 德国 | 灾备存储 | 同上 |
| USPS(美国邮政) | 美国 | 物流配送服务 | 仅传输必要字段,HTTPS |
| DHL | 全球 | 物流配送服务 | 仅传输必要字段,HTTPS |
| Amazon FBA | 全球 | 物流配送服务 | 仅传输必要字段,HTTPS |
| 菜鸟网络/4PX/燕文 | 中国大陆 | 电子面单打印 | 仅传输必要字段,HTTPS |
乙方将在新增或更换分包处理者前至少30天通过软件内公告或邮件告知甲方,甲方有权合理反对。
第7条 甲方(数据主体)权利协助
甲方买家或其他数据主体直接向乙方主张权利时,乙方将在7个工作日内通知甲方并提供必要协助。
第8条 数据泄露通知
发生个人信息泄露事件后,乙方将在发现后最迟48小时内通知甲方及 Amazon,并于72小时内提交初步报告。
第9条 审计权
9.1
甲方或甲方委托的独立第三方审计机构每年有权审计一次乙方的数据处理活动(费用由甲方承担,但若发现重大违规则由乙方承担)。
9.2
乙方每年向甲方提供最新的 SOC 2 Type II 或 ISO 27001 报告。
第10条 协议终止及数据返还/删除
10.1
甲方在 Amazon Seller Central 取消授权即视为终止本协议。
10.2
终止后30日内,乙方将:
- •删除或匿名化所有个人信息(法律强制保留的除外)
- •向甲方提供已删除证明
第11条 违约责任
乙方违反本协议导致甲方或买家权益受损的,乙方承担全部赔偿责任,包括但不限于监管罚款、买家索赔、Amazon 对甲方的处罚等。
第12条 适用法律与争议解决
本协议适用中华人民共和国法律。因本协议产生的争议,双方协商解决;协商不成的,提交乙方所在地有管辖权的人民法院诉讼解决。
附件1:技术与组织措施(摘要)
- •加密:静态数据 AES-256,传输 TLS 1.3
- •访问控制:MFA + RBAC + 最小权限原则
- •行级/列级数据隔离
- •完整审计日志保留12个月
- •定期渗透测试(每年至少2次第三方)
- •员工背景调查 + 保密协议
- •灾备与业务连续性计划(RTO<4小时,RPO<5分钟)