数据处理协议（DPA）

最后更新： 2026 年 3 月 20 日
生效日期： 立即
适用于：

• https://www.sendarix.com
• https://app.sendarix.com（客户控制台）
• 所有 SMTP 与 API 服务

本 DPA 反映邮件基础设施常见的 GDPR 风格处理方条款。当我们代表您处理个人数据时，本 DPA 补充 服务条款。

---

1. 引言

本数据处理协议（“DPA”）构成 Sendarix（“处理方”）与 客户（“控制方”）之间协议的一部分，并在 Sendarix 就服务代表客户处理个人数据时适用。

当您使用服务传输或以其他方式处理与数据主体相关的个人数据时，即订立本 DPA。若条款与本 DPA 在数据保护方面冲突，就此处涵盖的处理而言，以本 DPA 为准。

---

2. 定义

• “个人数据”“处理”“控制方”“处理方”“数据主体”“个人数据泄露” — 与适用数据保护法（在适用范围内包括 GDPR）中的定义相同。
• “子处理方” — 受本 DPA 约束由 Sendarix 聘请处理个人数据的第三方。
• “客户指示” — 客户关于处理的书面指示，包括客户控制台、API、SMTP 提交、指导处理的支持工单，以及客户在条款与 AUP 内的合法服务使用。

---

3. 范围与角色

客户是其就服务提供的个人数据的控制方。Sendarix 为处理方，仅按客户指示处理该等个人数据，除非适用法律另有要求（在此情况下 Sendarix 将通知客户，除非被禁止）。

处理的性质、目的与类别见第 5 条与附件 A（下文摘要）。

---

4. 客户指示

客户指示 Sendarix 处理个人数据以根据条款、本 DPA、文档及服务中的客户设置提供、保障并改进邮件投递服务。此范围外的指示需事先书面约定。

若 Sendarix 认为某指示违反适用法律，可拒绝或暂停该指示，并在允许时通知客户。

---

5. 处理性质与目的（附件 A 摘要）

Sendarix 为以下目的处理个人数据：

• 通过 SMTP 与 API 传输与中继邮件
• 处理退信、投诉与抑制
• 提供投递分析、Webhooks 与控制台
• 认证账户、执行速率限制并检测滥用
• 通过 app.sendarix.com 提供计费与支持

处理限于上述目的合理必要范围内。

---

6. 个人数据类型

视使用情况，可能包括电子邮件地址、消息元数据（含主题）、发件人/收件人标识符、IP 地址、投递与互动事件、含个人数据的支持工单内容以及账单联系人信息。

邮件正文为路由与投递而短暂处理；Sendarix 不会将邮件正文用于无关营销或画像。

---

7. 处理方义务

• 仅按第 4 条所述客户指示处理个人数据
• 确保被授权处理个人数据的人员负有保密义务
• 考虑技术现状、成本与风险实施适当的技术与组织措施
• 在适用情况下协助客户采取合理的技术与组织措施以响应数据主体请求、DPIA 与事先咨询
• 在知悉影响客户个人数据的个人数据泄露后毫不迟延地通知客户，并提供客户监管通知合理所需的信息
• 在服务结束（或应要求）时，按第 11 条删除或返还个人数据，法律保留除外

---

8. 子处理方

客户授权 Sendarix 聘请子处理方（例如托管、DNS、支付、传输、滥用检测、支持工具），但须签订施加与本 DPA 实质相当的数据保护义务的书面协议。

Sendarix 对子处理方履行义务承担责任。最新名单可应要求提供并可能在 <strong>sendarix.com</strong> 公布。在可行情况下 Sendarix 将就子处理方变更给予合理通知；客户可基于合理数据保护理由提出异议。

---

9. 跨境传输

源自 EEA、英国或瑞士的个人数据转移至未被认定为充分的国家时，Sendarix 将实施适当保障措施，例如欧盟委员会标准合同条款（2021）、英国国际数据传输附录（IDTA）或对欧盟 SCC 的附录、在适用情况下的瑞士要求，或其他合法传输工具。

经请求，Sendarix 将提供与客户使用相关的特定传输所依赖机制的信息。

---

10. 数据主体权利

Sendarix 将协助客户响应针对代表客户处理的个人数据的数据主体请求。除法律要求外，Sendarix 不直接回复数据主体；客户应通过账户或向 privacy@sendarix.com 提交足够详情的请求以便路由。

---

11. 保留与删除

在服务终止或客户关系结束或客户请求时，Sendarix 将根据隐私政策与运营能力删除或返还个人数据，除非法律要求更长保留或文档所述合法安全与滥用预防存档需要。

典型运营保留（可随通知变更）：SMTP/API 日志 30–90 天；退信/投诉数据最长 6 个月；账单记录依法 5–10 年。

---

12. 审计

客户可请求合理必要的信息以确认对本 DPA 的遵守（例如安全实践摘要与子处理方名单）。对服务安全或可用性构成风险或侵入性的现场或侵入性审计，需事先书面约定范围、时间与保密。超出合理协助范围的审计成本可收费。

---

13. 数据泄露通知

通知将在已知范围内说明泄露性质、受影响数据主体与记录的大致类别与数量、可能后果以及已采取或拟采取的措施。

---

14. 责任

本 DPA 项下处理的责任受条款中的限制约束，除非强制性法律禁止对数据保护违规设限。

---

15. 期限

本 DPA 在处理持续期间及直至个人数据按第 11 条返还或删除前持续有效。

---

16. 管辖条款

在 GDPR 适用时，双方确认本 DPA 包含第 28 条所要求的实质内容。在其他法律下，在所需范围内适用类似义务。

---

17. 联系

privacy@sendarix.com · legal@sendarix.com