个人数据的向外传输

为了有效地为您提供服务，您向缔约的 Shopify 实体提供的个人数据将被传输给以下接收方：

• 某些其他 Shopify 实体，以及
• 经过仔细选择且受信任的分支处理机构

此部分提供有关如何管理向外传输数据的信息。

从欧洲经济区 (EEA) 和英国向外传输个人数据

Shopify International Limited 是一家在爱尔兰登记的实体并且是 Shopify 与 EMEA（欧洲、中东地区和非洲）和 LATAM（拉丁美洲）的商家之间的主要缔约实体。Shopify International Limited 还是 Shopify 为符合《通用数据保护条例》(GDPR) 所建立的主要实体。

GDPR 及其英国等效法规要求，与 EEA 和英国以外的实体共享个人数据时，目的地国家/地区必须具有实质相同的保护级别。因此，此类国际传输必须受到强大的法律机制的保护。

Shopify 如何符合针对国际数据传输的 GDPR 要求

为了符合此要求，当 Shopify International Limited 将个人数据传输到其在加拿大登记的母公司 Shopify 公司时，Shopify 依赖于欧盟委员会针对加拿大的充分性决定。详细了解充分性决定。

此外，Shopify 还使用全面的数据传输和处理协议（DPA，其中包含欧盟委员会批准的最新版本的标准合同条款 (SCC)）来管理：

• Shopify 集团内的任何传输，以及
• 到分支处理机构的向外传输

我们仔细评估我们的分支处理机构，以确保他们采取适当的技术和组织措施来保护个人数据并执行适当的传输影响评估。详细了解 SCC

EEA 和英国的数据保护机构将充分性决定和 SCC 均视为法律上有效且充分的传输机制。

作为补充措施，Shopify 还申请使用约束公司规则，以进一步管理 Shopify 集团内的传输。为符合 GDPR，Shopify 已向 Shopify 的主要监管机构 - 爱尔兰数据保护委员会提交此申请。这些将成为确保在我们公司集团内部保护数据传输的附加合法传输机制。我们目前处于此申请的最后阶段，预计将在不久后获得批准。

从所有其他地区向外传输个人数据

欧洲经济区和英国以外管辖区的某些隐私法律还要求在国际传输个人数据时提供特定的保护。为了符合这些要求，Shopify 负责监管 Shopify 集团内部数据传输的 DPA 及其负责监管向分支处理机构进行外部数据传输的 DPA 均包括适当的保护机制以确保符合加拿大、美国和新加坡的隐私政策（如适用）。我们还根据需要来更新和维护这些 DPA。

数据托管位置

Shopify 会动态调整多个 Google Cloud Platform 区域之间的存储，以确保我们可以提供可靠且可缩放的基础设施，使其有能力处理整个商家数据库中的不可预测数据量。为了运营我们的服务，我们需要能够在地理位置之间移动数据，并且我们根据适用的法律和法规（包括 GDPR）建立了相应的机制。

Shopify 现在在欧洲（即欧洲经济区、英国和/或瑞士）存储特定商家和客户个人数据，如下所示：

• 欧洲的新商家会自动利用这种新的基础设施，并且现在默认将他们的商店数据、订单数据和客户个人数据保存在欧洲的其余区域。
• 所有现有 Shopify 功能将继续正常工作。
• 即使商家客户个人数据被存储在欧洲，我们也会依赖国际数据传输来处理该个人数据。

Shopify 如何选择其分支处理机构

根据 GDPR 和其他适用的数据保护法律，Shopify 在招募分支处理机构时采用一系列最佳做法措施：

• 我们谨慎选择合作公司。
• 我们仅使用有限数量的第三方服务提供商。
• 我们要求分支处理机构签署全面的 DPA，其中包含 SCC 和适当的保护内容，以确保遵守加拿大、美国和新加坡的隐私法律。
• 我们仅将分支处理机构用于技术服务：云托管、错误记录、负载均衡、内容交付、映射交付、数据分析和内部记录（日志文件）。
• 传输会持续且安全的进行。
• 除非由控制方指示，否则我们不会有意处理敏感或特殊类别的个人数据。
• 我们仔细审核分支处理机构的隐私和安全计划。

详细了解 Shopify 的核心分支处理机构。