数据保护附录

生效日期：2021 年 1 月 1 日。

"数据保护法" 指任何相关管辖区与隐私或与自然人相关数据的使用或处理有关的任何法律和法规，包括但不限于(a) 欧盟第 2016/679 号法规（"GDPR"）以及批准、实施、通过、补充或取代 GDPR 的任何法律或法规；(b) 2018 年《加利福尼亚消费者隐私法》（"CCPA"）以及批准、实施、通过、补充或取代 CCPA 的任何法律或法规；在每种情况下，以现行有效为限，并不时更新、修订或取代。

是指负责监督或强制遵守数据保护法的任何政府或监管机构或权力机构。 "Privacy Shield" 指美国商务部管理的欧盟-美国和瑞士-美国隐私保护框架。

数据保护

1.1 术语"数据主体","数据控制者","个人数据" 和"处理" 应具有 GDPR 中规定的含义，除非任何个人数据或信息适用于加州居民，在这种情况下，CCPA 中规定的等同和/或附加含义（包括 "企业"、"服务提供商 "和 "居民"）应适用。

在处理与本协议有关的个人数据时，双方在任何时候都应遵守数据保护法强制要求他们遵守的规定和义务。

各方应保存其负责的所有处理操作的记录（至少包含数据保护法要求的最低信息），并根据要求向任何 DP 监管机构提供此类信息。

1.4 为免生疑问，Coursera是贵机构为邀请用户访问Coursera平台而提供的个人数据（如姓名和电子邮件地址）或贵机构可能提供的任何附加个人资料信息（如头衔、团队、经理、地点及其他信息）（统称"邀请数据"）的处理方。 Coursera 是用户数据（用户在 Coursera 平台上确认、输入或生成的信息）的控制者。

(a) Coursera 作为 "邀请函数据 "的处理方，使用以下子处理方开展处理活动：

子处理器名称	用途	位置	子处理器名称	用途	位置	子处理器名称	用途	位置	子处理器名称	用途	位置
亚马逊网络服务公司	云服务提供商	美国弗吉尼亚州和美国俄勒冈州	亚马逊网络服务公司
Message Systems, Inc. (DBA Sparkpost)	基于云的电子邮件服务	美国

(b) 您的组织允许 Coursera 使用上述指定的子处理程序（可能会不时更改），以便向您指定给 Coursera 的员工发送邀请信息。

1.5 在 Coursera（"接收方" ）从另一方（"提供方" ）接收邀请数据的范围内，接收方作为此类邀请数据的新数据处理方/服务提供商，应：

在任何时候都要遵守数据保护法对其作为数据控制方所规定的规定和义务；

应采取合理措施，确保其有权访问此类个人数据的所有人员的可靠性，并确保任何此类人员承诺在处理此类个人数据时履行有约束力的保密义务；

实施和维护技术和机构措施和程序来确保此类个人数据具有适当的安全级别，包括保护此类个人信息免遭意外、非法或未经授权的破坏、丢失、变更、披露、传播或访问的风险。

(d) 不得将此类邀请函数据传输到欧洲经济区以外，除非符合适用的数据保护法，并在适用的情况下符合以下规定；

(i) 隐私保护框架；或

(ii) 标准合同条款；

在发现任何此类个人数据（在接收方或其分包商或子公司拥有或控制范围内）遭遇个人数据违规行为（定义见 GDPR 第 4 条）或丢失、或被毁坏、或受损、损坏或无法使用时，应在 24 小时内通知提供方；

向提供方和任何 DP 监管机构提供所有必要或合理的信息和协助，以证明或确保遵守本条款和/或数据保护法中规定的义务；

在收到数据主体提出的根据数据保护法行使其与数据主题的个人数据有关的权利的请求时，应在两 (2) 个工作日内通知提供方；

应就数据主体根据数据保护法对该数据主体的个人数据行使权利而提出任何要求提供充分的合作和协助；以及

如果接收方收到提供方提供的任何个人数据，则提供方需保证并声明，其有权根据适用的数据保护法将此类个人数据转移至接收方且接收方已获得所有必要的同意声明（如适用）。

如果任何一方收到直接或间接与另一方处理个人数据有关、或与任何一方在遵守数据保护法方面有关的投诉、通知或通信，应尽快以合理可行的方式通知另一方，并应就此类投诉、通知或通信事宜向另一方提供合理的合作和协助。

1.8 如果一方是 CCPA 中定义的服务提供商，则该方证明其不得(a)出售邀请数据，(b)保留、使用或披露邀请数据，用于履行本协议项下义务的特定目的之外的任何目的，或(c)在双方直接业务关系之外保留、使用或披露邀请数据。

请注意，我们会不时审查隐私惯例，而且这些惯例可能会发生更改。任何更改、更新或修改将在我们的网站上发布后立即生效。

标准惯例条款（处理器）

第 1 节

第 1 条

目的和范围

就本条款而言

(a) 这些标准合同条款的目的是确保在向第三国传输个人数据时，符合欧洲议会和欧盟理事会 2016 年 4 月 27 日关于在处理个人数据时保护自然人以及个人数据自由流动的第 2016/679 号条例（《一般数据保护条例》）1 的要求。

(b) 双方： (i) 附件 I.A.所列的转让个人资料的自然人或法人、公共当局、机构或其他团体（以下简称 "实体"）（以下简称 "资料出口方"），以及

(ii) 直接或间接通过附件 I.A 所列的也是本条款缔约方的另一实体从数据输出方接收个人数据的第三国实体（以下称 "数据输入方）

同意这些标准合同条款（以下简称 "条款"）。

(d) 本条款附录包括其中提及的附件，构成本条款的组成部分。

第 2 条

条款的效力和不变性

(a) 本条款根据（欧盟）2016/679 号条例第 46(1)条和第 46(2)(c)条规定了适当的保障措施，包括可强制执行的数据主体权利和有效的法律补救措施，并根据（欧盟）2016/679 号条例第 28(7)条规定了从控制者向处理者和/或处理者向处理者进行数据传输的标准合同条款，但不得对其进行修改，选择适当的模块或添加或更新附录中的信息除外。这并不妨碍双方将本条款中规定的标准合同条款纳入更广泛的合同和/或增加其他条款或额外的保障措施，只要它们不直接或间接与本条款相抵触或损害数据主体的基本权利或自由。

(b) 本条款不影响数据出口方根据（欧盟）2016/679 号法规应承担的义务。

第 3 条

第三方受益人

(a) 数据主体可作为第三方受益人对数据输出方和/或数据输入方援引并执行本条款，但以下情况除外：

(i) 第 1 條、第 2 條、第 3 條、第 6 條及第 7 條；

(ii) 第 8.1(b)、 8.9(a)、 (c)、 (d)及 (e)條

(iii) 第 9(a)、(c)、(d)及(e)條；

(iv) 第 12(a)、(d)及(f)條；

(v) 第 13 条；

(vi) 第 15.1(c)条、 (d)和(e)；

(vii) 第 16(e)條；

(viii) 第 18(a)及 (b)條

(b) (a)段不影响数据主体在第 2016/679 号条例（欧盟）下的权利。

第 4 条

解读

(a) 本条款使用的术语如在（欧盟）第 2016/679 号条例中有所定义，则这些术语应具有与该条例中相同的含义。

(b) 本条款应根据（欧盟）第 2016/679 号条例的规定进行解读和解释。

第 5 条

层次结构

如果本条款与双方在商定本条款时或其后签订的相关协议的规定相抵触，应以本条款为准。

第 6 条

转让描述

转移的详细情况，特别是转移的个人资料类别和目的，见附件 I.B。

第 7 条

对接条款

(a) 非本条款缔约方的实体，经缔约方同意，可随时作为数据出口方或数据进口方，通过填写附录和签署附件 I.A 加入本条款。

(b) 一旦完成附录并签署附件 I.A，加入实体将成为本条款的缔约方，并根据其在附件 I.A 中的指定享有数据出口方或数据进口方的权利和义务。

第 2 节

第 8 条

数据保护措施

模块二：将控制器转移到处理器 8.1 说明 (a) 数据输入者只能根据数据输出者的书面指示处理个人数据。数据输出方可在整个合同期内发出此类指示。

(b) 如果数据输入者无法遵守这些指示，应立即通知数据输出者。

8.2 目的限制数据导入者应仅为特定的传输目的处理个人数据、
附件 I.B 所列，除非得到数据输出者的进一步指示。

8.3 透明度数据输出者应要求提供本条款的副本，包括附录，作为由缔约方完成，免费提供给数据主体。在必要的范围内保护商业秘密或其他机密信息，包括以下所述的措施附件 II 和个人数据，数据输出者可编辑这些附录的部分文本。在共享副本之前，应提供一份有意义的摘要。否则将无法理解其内容或行使其权利。应要求提供、各方应向资料当事人提供编辑的理由，但仅限于以下情况尽可能不泄露经编辑的信息。本条款不影响数据出口方在《条例》（欧盟）2016/679 第 13 和 14 条下的义务。

8.4 准确性如果数据导入者意识到其收到的个人数据不准确，或已经如果数据已过期，则应及时通知数据输出方。在这种情况下，数据数据输入者应与数据输出者合作，删除或更正数据。

8.5 数据处理的持续时间以及数据的删除或归还数据输入者的处理只能在附件 I.B 规定的期限内进行。在提供处理服务结束后，数据输入方应根据以下选择进行处理删除代表数据输出者处理的所有个人数据，并证明数据输出者已这样做，或向数据输出者退还在以下情况下处理的所有个人数据并删除现有副本。在数据被删除或退回之前，数据导入者应继续确保遵守这些条款。适用于数据的当地法律如資料輸入者的決定禁止退回或刪除個人資料，則資料輸入者保證其将继续确保遵守这些条款，并仅在以下范围内进行处理根据当地法律的要求，其有效期为一年。这并不影响第 14 条，特别是第 14(e)條規定資料輸入方須在整個過程中通知資料輸出方如果有理由认为合同的有效期受到或已经受到法律或条例的限制，则应在合同有效期内终止合同。不符合第 14(a)条规定的做法。

8.6 处理的安全性 (a) 数据输入方，以及在数据传输过程中，数据输出方应采取适当的技术和组织措施，确保数据安全，包括防止违反安全规定导致数据意外或非法损毁、丢失、篡改、未经授权的披露或访问（以下简称 "个人数据泄露"）。在评估适当的安全级别时，双方应适当考虑技术水平、实施成本、处理的性质、范围、背景和目的，以及处理过程中对数据主体涉及的风险。双方应特别考虑采用加密或假名化方法，包括在传输过程中，如果这样做可以达到处理目的。在假名化的情况下，在可能的情况下，用于将个人数据归属于特定数据主体的附加信息应由数据输出方全权控制。在遵守本款规定的义务时，数据输入者至少应执行附件 II 中规定的技术和组织措施。数据导入者应进行定期检查，以确保这些措施继续提供适当的安全水平。

(b) 数据输入者应仅在执行、管理和监督合同所严格需要的范围内，允许其工作人员查阅个人数据。应确保被授权处理个人资料的人员已承诺保密或负有适当的法定保密义务。

(c) 如資料輸入者根據本細則處理的個人資料外洩，資料輸入者須採取適當措施處理外洩事件，包括減輕不利影響的措施。数据输入方在发现违规行为后也应立即通知数据输出方，不得无故拖延。此类通知应包含可获取更多信息的联络点的详情、对信息泄露性质的描述（可能时包括数据当事人和相关个人数据记录的类别和大致数量）、可能造成的后果以及为解决信息泄露问题而采取或建议采取的措施，包括在适当情况下为减轻其可能造成的不利影响而采取的措施。在无法同时提供所有信息的情况下，首次通知应包含当时可获得的信息，随后在获得进一步信息时应及时提供，不得无故拖延。

(d) 数据导入者应与数据导出者合作并提供协助，使数据导出者能够遵守第 2016/679 号条例（欧盟）规定的义务，特别是通知主管监督机构和受影响的数据主体，同时考虑到处理的性质和数据导入者可获得的信息。

8.7 敏感数据当转让涉及揭示种族或民族血统、政治观点的个人数据时、宗教或哲学信仰，或工会会员身份、基因数据或生物识别数据，用于用于唯一识别自然人身份的数据、与健康或性生活有关的数据或性取向，或与刑事定罪和犯罪有关的数据（下称 "敏感数据"）。数据"），数据输入者应适用特定限制和/或附加保障措施见附件 I.B。

8.8 向前转移数据导入者只能在以下情况下向第三方披露个人数据数据导出器的指示。此外，数据只能向第三方披露位于欧盟以外4 （与数据输入者位于同一国家或另一第三国如果第三方受或同意受本协议约束，则该第三方可将其资产转让给该第三方的国家，以下称 "前向转让"）。在适当模块下的条款，或者如果：

转运至受益于根据（欧盟）第 2016/679 号条例第 45 条做出的适当性决定的国家，该决定涵盖转运；

第三方根据（欧盟）2016/679 号法规第 46 或 47 条，以其他方式确保对相关处理采取适当的保障措施；

在特定的行政、监管或司法程序中，为确立、行使或捍卫法律主张而必须进行的转移；或

为保护数据当事人或其他自然人的重要利益，有必要进行转发。

数据输入方必须遵守本条款规定的所有其他保障措施，尤其是目的限制。

8.9 文件编制与合规 (a) 数据导入者应及时、充分地处理数据导出者或控制者提出的与本条款规定的处理有关的询问。

(b) 双方应能证明遵守了这些条款。特别是，数据输入方应保存有关代表数据输出方进行的处理活动的适当文件。

(c) 数据进口方应向数据出口方提供一切必要信息，以证明其遵守了本条款规定的义务，并应数据出口方的要求，在合理的时间间隔内或在有迹象表明不遵守本条款规定时，允许并协助对本条款规定的处理活动进行审计。在决定审查或审计时，数据出口方可考虑数据进口方持有的相关证书。

(d) 数据出口方可选择自行进行审计，或委托独立的审计机构进行审计。审计员审核可包括对数据进口商的场所或实体设施进行检查，并应酌情在合理通知的情况下进行。

(e) 双方应根据要求向主管监督机构提供(b)和(c)段中提及的信息，包括任何审计的结果。

第 9 條

使用子处理器

(a) 一般书面授权数据进口方获得数据出口方的一般授权，可从商定的清单中聘用子处理方。数据进口商应至少提前 1 个月以书面形式明确告知数据出口商因增加或更换次级处理商而打算对该清单进行的任何更改，从而使数据出口商有足够的时间在聘用次级处理商之前对此类更改提出异议。数据输入者应向数据输出者提供必要信息，以便数据输出者行使其反对权。

(b) 如果数据输入者（代表数据输出者）聘用次级处理者开展具体的处理活动，则应通过书面合同的方式进行，该合同应在实质上规定与本条款下约束数据输入者的相同的数据保护义务，包括在数据主体的第三方受益权方面。双方同意，通过遵守本条款，数据进口方履行了第 8.8 条规定的义务。数据输入方应确保子处理方遵守数据输入方根据本条款应承担的义务。

(d) 数据进口商应继续对数据出口商全面负责，履行其与数据进口商签订的合同规定的次级处理人的义务。如果次级处理人未能履行合同规定的义务，数据进口方应通知数据出口方。

(e) 数据进口商应与分包商商定一个第三方受益人条款，根据该条款，如果数据进口商事实上已消失、在法律上已不复存在或已破产，数据出口商应有权终止分包商合同并指示分包商删除或归还个人数据。

第 10 条

数据主体权利

(a) 数据导入者应立即将其从数据主体收到的任何请求通知数据导出者。除非数据输出方授权，否则数据输出方不得自行回复该请求。

(b) 数据导入者应协助数据导出者履行其义务，回应数据主体关于行使其在第 2016/679 号条例（欧盟）下的权利的请求。为此，締約方應在附件 II 中列出適當的技術和組織措施，並考慮到加工的性質、提供協助的方式以及所需協助的範圍和程度。

第 11 條

纠正

(a) 数据导入者应以透明和易于获取的方式，通过个别通知或在其网站上告知数据主体一个有权处理投诉的联络点。它应及时处理从数据当事人收到的任何投诉。

(b) 如果数据主体与一方在遵守本条款方面发生争议，该方应尽最大努力及时友好地解决问题。双方应相互通报此类争议，并酌情合作解决争议。

(i) 向其惯常居住地或工作地所在成员国的监管机构或第 13 条规定的主管监管机构提出申诉；

(ii) 将争议提交第 18 条所指的主管法院。

(d) 双方同意，根据第 2016/679 号法规（欧盟）第 80(1)条规定的条件，数据主体可由非营利机构、组织或协会代表。

(e) 数据导入者应遵守根据适用的欧盟或成员国法律具有约束力的决定。

(f) 数据导入者同意，数据主体所做的选择不会损害其根据适用法律寻求补救的实质性和程序性权利。

第 12 条

责任

(a) 每一方应对因违反本条款而给另一方/各实体造成的任何损失负责。

(b) 对于数据导入者或其子处理者因违反本条款规定的第三方受益人权利而给数据主体造成的任何物质或非物质损害，数据导入者应向数据主体负责，数据主体有权获得赔偿。

(c) 尽管有(b)款的规定，对于数据输出者或数据输入者（或其子处理者）因违反本条款规定的第三方受益人权利而给数据主体造成的任何物质或非物质损害，数据输出者应向数据主体负责，数据主体有权获得赔偿。这并不影响数据输出者的责任，如果数据输出者是代表控制者行事的处理者，则不影响控制者根据（欧盟）第 2016/679 号条例或（欧盟）第 2018/1725 号条例（如适用）应承担的责任。

(d) 双方同意，如果数据输出方根据第(c)款对数据输入方（或其分包商）造成的损害负有赔偿责任，则有权向数据输入方索回与数据输入方对损害所负责任相对应的那部分赔偿金。

(e) 如果因违反这些条款而对数据当事人造成的任何损害由多于一方负责，则所有负责方应承担连带责任，数据当事人有权向法院起诉其中任何一方。

(f) 双方同意，如果一方根据第(e)段的规定承担责任，则有权向另一方/它们索回与其对损害所负责任相应的那部分赔偿金。

(g) 数据进口商不得援引次级处理人的行为来规避其自身的责任。

第 13 條

监督

(a) 如附件 I.C 所示，《2016/679 号条例》（欧盟）第 27(1)条所指的代表所在成员国的监管机构应作为主管监管机构行事。

(b) 数据导入者同意在任何旨在确保遵守本条款的程序中接受主管监督机构的管辖并与之合作。特别是，数据导入者同意回复查询、接受审计并遵守监管机构采取的措施，包括补救和补偿措施。它应向监管机构提供书面确认，说明已采取必要行动。

第 3 节--地方法律和公共机构访问时的义务

第 14 條

影响遵守本条款的当地法律和惯例

(a) 双方保证没有理由认为，目的地第三国适用于数据输入方处理个人数据的法律和惯例，包括任何披露个人数据的要求或授权公共当局查阅的措施，会妨碍数据输入方履行本条款规定的义务。这是基于这样一种理解，即尊重基本权利和自由的本质，且不超出民主社会为保障第 2016/679 号法规（欧盟）第 23(1)条所列目标之一所必需且相称的法律和做法，与这些条款并不矛盾。

(b) 双方声明，在提供(a)段中的保证时，他们特别适当考虑了以下因素：

(i) 转移的具体情况，包括处理链的长度、涉及的行为者的数量和使用的传输渠道；打算进行的后续转移；接收者的类型；处理的目的；被转移的个人数据的类别和格式；发生转移的经济部门；被转移数据的存储地点；

(ii) 目的地第三国的法律和惯例--包括要求向公共当局披露数据或授权公共当局查阅数据的法律和惯例--与转让的具体情况相关，以及适用的限制和保障措施；

(iii) 为补充本条款规定的保障措施而采取的任何相关合同、技术或组织保障措施，包括在传输过程中以及在目的地国处理个人数据时采取的措施。

(d) 双方同意将(b)款规定的评估记录在案，并应要求提供给主管监督机构。

(e) 如果数据进口方在同意本条款后并在合同期内有理由认为其正在或已经受制于不符合(a)段要求的法律或惯例，包括在第三国法律发生变化或有措施（如披露要求）表明此类法律在实践中的适用不符合(a)段要求后，数据进口方同意立即通知数据出口方。

(f) 在根据(e)段发出通知后，或如果数据输出方有理由相信数据输入方不能再履行本条款规定的义务，数据输出方应立即确定适当的措施（如数据输出国和/或数据输入国为应对这种情况而采取的确保安全和保密的技术或组织措施。如果数据输出方认为无法确保对数据传输采取适当的保障措施，或在主管监督机构的指示下，数据输出方应暂停数据传输。在这种情况下，数据输出方有权终止合同，只要合同涉及本条款规定的个人数据处理。如果合同涉及两个以上缔约方，数据输出方只能对相关缔约方行使终止权，除非双方另有约定。根据本条款终止合同时，应适用第 16(d)和(e)条。

第 15 条

数据导入者在公共机构访问时的义务

15.1 通知 (a) 如果出现以下情况，数据导入者同意立即通知数据导出者，并在可能的情况下通知数据主体（必要时在数据导出者的帮助下）：

(i) 收到公共机构（包括司法机构）根据目的地国法律提出的具有法律约束力的请求，要求披露根据本条款转让的个人数据；此类通知应包括关于请求披露的个人数据、提出请求的机构、请求的法律依据以及所提供答复的信息；或

(ii) 意识到公共当局可根据目的地国的法律直接获取根据本条款转让的个人数据；此类通知应包括进口商可获得的所有信息。

(b) 如果目的地国法律禁止数据进口商通知数据出口商和/或数据主体，数据进口商同意尽最大努力争取免除禁令，以便尽快传递尽可能多的信息。数据导入者同意将其最大努力记录在案，以便在数据导出者提出要求时加以证明。

(d) 数据输入者同意在合同期内保存(a)至(c)段所述信息，并应要求向主管监督机构提供。

(e) (a)至(c)段不影响数据输入方根据第 14 欧元条和第 16 条承担的义务，即在无法遵守这些条款时及时通知数据输出方。

15.2 审查合法性和数据最小化 (a) 数据进口方同意审查披露请求的合法性，特别是审查该请求是否仍在授予提出请求的公共当局的权力范围之内，并在仔细评估后得出结论，认为根据目的地国的法律、国际法规定的适用义务和国际礼让原则，有合理的理由认为该请求不合法时，对该请求提出质疑。数据导入者应在相同条件下寻求上诉的可能性。在对请求提出质疑时，数据进口商应寻求临时措施，以便在主管司法当局对请求的是非曲直作出裁决之前，暂缓执行请求的效力。在根据适用的程序规则要求披露之前，不得披露所要求的个人数据。这些要求不影响第 14(e)条规定的数据输入者的义务。

(b) 数据进口商同意将其法律评估和对披露请求的任何质疑记录在案，并在目的地国法律允许的范围内，向数据出口商提供这些文件。还应根据要求向主管监督机构提供。

第 4 节--最后条款

第 16 条

不遵守条款和终止

(a) 如果数据输入方因任何原因无法遵守本条款，应立即通知数据输出方。

(b) 如果数据输入方违反本条款或无法遵守本条款，数据输出方应暂停向数据输入方传输个人数据，直至再次确保遵守本条款或终止合同。这并不影响第 14(f)条的规定。

(i) 資料輸出方已根據(b)段暫停向資料輸入方轉移個人資料，但在合理時間內（無論如何在暫停轉移後一個月）仍未恢復遵守本條款；

(ii) 資料輸入者嚴重或持續違反本條款；或

(iii) 数据输入方未能遵守主管法院或监管机构就本条款规定的义务做出的具有约束力的决定。

在这种情况下，应将不遵守规定的情况通知主管监督机构。如果合同涉及两个以上缔约方，数据输出方只能对相关缔约方行使终止权，除非双方另有约定。

(d) 在根据 (c) 段终止合同之前已经转让的个人数据，应根据数据输出方的选择，立即返还给数据输出方或全部删除。这同样适用于数据的任何副本。数据输入者应向数据输出者证明已删除数据。在数据被删除或归还之前，数据导入者应继续确保遵守本条款。如果适用于数据导入者的当地法律禁止退回或删除所传输的个人数据，则数据导入者保证将继续确保遵守这些条款，并仅在当地法律要求的范围和期限内处理数据。

(e) 在以下情况下，任何一方均可撤销其受本条款约束的协议：(i) 欧盟委员会根据 (EU) 2016/679 号条例第 45(3)条通过一项决定，该决定涵盖本条款适用的个人数据传输；或 (ii) (EU) 2016/679 号条例成为个人数据传输目的地国家法律框架的一部分。这并不影响根据条例 (EU) 2016/679 适用于相关处理的其他义务。

第 17 条

管辖法律

本条款受欧盟成员国法律管辖，前提是该法律允许第三方受益权。双方同意以荷兰法律为准。

第 18 條

选择诉讼地和管辖权

(a) 因本条款产生的任何争议应由欧盟成员国法院解决。

(b) 双方同意，这些法院应为数据出口方所在成员国的法院。

(d) 双方同意接受上述法院的管辖。

标准合同条款附录

附件 1

A.当事方名单

数据输出者：名称：在相关订购单中指定的组织地址：如订购单所示联系人姓名、职务和联系方式：如订货单所示与根据本条款转让的数据相关的活动：邀请数据主体访问数据导入者的平台角色（控制器/处理器）：控制器

数据导入者：名称： Coursera, Inc：Coursera, Inc. 地址： 381 E. Evelyn Ave：381 E. Evelyn Ave. 联系人姓名、职位和联系方式：隐私团队；[email protected] 与根据本条款转让的数据相关的活动：邀请数据主体访问数据导入者的平台角色（控制器/处理器）：处理器

B.转让说明

个人数据被转移的数据主体类别数据输出者的雇员或附属机构转让的个人资料类别主要是姓名和电子邮件地址，也可能包括其他字段，如员工 ID，以便正确发送邀请函转移的敏感数据（如适用），并采用充分考虑到数据性质和所涉风险的限制或保障措施，例如严格的目的限制、访问限制（包括只有经过专门培训的员工才能访问）、保存数据访问记录、对继续转移的限制或额外的安全措施。无传输频率（例如数据是一次性传输还是持续传输）。一次性，可能多次处理性质邀请数据主体访问数据导入者平台数据传输和进一步处理的目的邀请数据主体访问数据导入者平台个人数据的保留期限，如果无法保留，则说明用于确定保留期限的标准合同期限或应出口商要求予以删除对于向（子）处理者的转让，还应说明处理的主题、性质和期限云服务提供商和云电子邮件服务。处理期限为合同期限或应出口商要求删除的期限。

C.主管监督机构

根据第 13 条确定主管监督机构：荷兰数据保护局

附件 2--技术和组织措施，包括确保数据安全的技术和组织措施

考虑到处理的性质、范围、背景和目的，以及对自然人的权利和自由的风险，描述数据输入者为确保适当的安全水平而实施的技术和组织措施（包括任何相关认证）。

数据导入者采用基于风险的方法进行安全评估，并将提供充分和适当的管理、物理、技术和组织保障措施，以维护这些标准合同条款所涵盖信息的保护性、保密性、完整性、可用性和安全性。数据导入者不会实质性地降低签约时考虑的安全标准。

安全措施将旨在拒绝未经授权的人员进入用于处理个人数据的设备；防止未经授权读取、复制、修改或删除包含个人数据的媒体；防止未经授权输入个人数据和未经授权检查、修改或删除个人数据；防止未经授权者使用自动数据处理系统；规定获准使用自动数据处理系统的人员只能访问其访问授权所涵盖的个人数据；使数据导入者能够核实和确定哪些个人数据已经或可能被传送或提供；以及包括商业上合理的灾难恢复程序，以便继续提供协议规定的服务和个人数据备份。

在适当情况下，数据在传输和静止时都将使用行业标准加密技术和密钥安全管理进行加密。

数据导入方将采取合理措施，确保其员工和其他可访问本标准合同条款所涵盖的个人数据的人员的可靠性，并将仅限于有业务需要访问此类数据、接受过有关个人数据处理和相关数据保护法的合理培训的人员访问此类数据。

对于向（子）处理者的转移，还应说明（子）处理者为向控制者提供协助而采取的具体技术和组织措施，以及对于从处理者向子处理者的转移，向数据出口者提供协助的具体技术和组织措施。 Coursera 与我们的每个分包商都签订了适当的数据保护协议，以确保他们采取技术和组织措施。