中国大陆地区个人信息保护协议（“中国大陆PIPL协议”） 、 欧盟数据保护协议（“欧盟协议”）、 加利福尼亚州消费者隐私法案协议（“CCPA协议”） 是客户与汇聚国际技术有限公司或其关联公司（"Nativex"）之间为推广客户产品或服务（或第三方产品或服务）而签订的协议（“协议”）的补充。相关协议可查阅以下内容。为方便您快速查阅，点击上述内容可直接跳转到相关协议。

中国大陆地区个人信息保护协议

本中国大陆地区个人信息保护协议（“中国大陆 PIPL 协议”）是客户与汇聚国际技术有限公司或其关联公司（“Nativex”）之间为推广客户产品或服务（或第三方产品或服务）而签订的协议（“协议”）的补充。本中国大陆 PIPL 协议是协议不可分割的组成部分，应自协议签署之日起生效。如本中国大陆PIPL协议与协议存在不一致，且与个人信息有关，以本中国大陆PIPL协议为准。本协议中加引号的术语以及未被定义的术语应与协议及/或数据保护法规定的含义一致。

1. 定义

1.1 “关联公司” 是指与一方有关的，直接或间接地控制或被该方控制、或与该方共同处于被控制地位的任何实体。

1.2 “客户” 是指与 Nativex 签订了协议，由 Nativex 推广其产品或服务（或第三方产品或服务）的任何商业合作伙伴。

1.3 “数据保护规定” 是指任何可适用的、 Nativex 或客户的个人信息处理活动应遵守的中华人民共和国大陆地区（仅为本中国大陆PIPL协议的目的，不含中华人民共和国香港特别行政区、中华人民共和国澳门特别行政区、中华人民共和国台湾地区）的法律法规，包括但不限于与该等法律以及/或其他与上述相类似的、相当的或承继该等法律的其他法律法规，或旨在执行上述规定的法律法规、监管政策、国家标准、行业标准。

1.4 “个人” 是指与个人信息有关的自然人。

1.5 “Nativex 隐私政策” 是指 Nativex 官方网站 https://www.nativex.com/cn/privacy 不时更新的隐私政策。

1.6 “个人信息” 是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，也即《中华人民共和国个人信息保护法》中定义的“个人信息”。

1.7 “处理” 是指包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

1.8 “服务” 是指 Nativex 根据协议向客户提供的服务，包括为提供该服务而要求的、通常的、合适的活动，包括（a）进行该服务或业务所涉及的服务；（b）保留关于服务的记录；或（c）遵守关于服务的法律或自律性义务。

1.9 “用户” 是指访问移动应用/网站并接触到 Nativex 或其合作伙伴（如发布者）投放的广告的终端用户。

2. 适用

2.1 当数据保护规定适用于在协议项下或与协议相关的任何个人数据处理活动时，本中国大陆PIPL协议应予适用。

2.2 各方均确认其已遵守，并将继续遵守适用的数据保护规定所规定的有关个人信息的义务。

3. 双方的权利义务

3.1 客户知悉并认可 Nativex 因提供数字营销服务会接收到客户或客户指定的第三方传输给 Nativex（或授权Nativex收集）的用户个人信息（下称“客户个人信息”）。客户确认并同意Nativex有权处理客户个人信息用于以下目的：（i）广告归因及结算、发现作弊行为、解决与本协议相关的争议（“主要活动”），以及（ii）建立用户画像、追踪用户、在 Nativex 平台的任何广告活动中通过自动化决策方式向用户投放个性化广告（“其他活动”）。

3.2 客户保证，对 Nativex 处理客户个人信息，已向用户依法提供适当通知并获得他们的有效同意，并保证获取同意的方式、方法、程序等不会违反数据保护规定，以确保 Nativex 可按照 Nativex 隐私政策以及本中国大陆 PIPL 协议的约定对该客户个人信息或其他与合作协议相关的信息进行处理，包括但不限于 Nativex 或 Nativex 关联公司用于主要活动及其他活动。

3.3 应 Nativex 的请求，客户应向 Nativex 提供所有用户同意的记录。客户理解并同意，Nativex 要求客户提供用户同意记录并不免除客户对将用户个人信息提供给 Nativex 应尽的法律义务，并不意味着 Nativex 对客户对外提供用户个人信息的行为承担任何法律责任。客户应在收到用户对任何数据处理的拒绝同意或撤回同意的通知后24小时内以书面方式通知 Nativex。

3.4 客户保证，其隐私政策应符合数据保护规定及本中国大陆PIPL协议的约定，包括但不限于：
（1）客户应根据本中国大陆PIPL协议的约定，在其产品内显著地公告、展示隐私政策，该隐私政策应独立成文，并具有明显提示性，用户进入主功能界面后，通过4次以内的点击/滑动，能够访问到该隐私政策。
（2）客户应保证在产品首次运行时会通过弹窗等明显方式提示用户阅读其隐私政策，用户确认同意隐私政策后，再允许 Nativex 进行个人信息的处理。
（3）客户的隐私政策应由用户自主选择是否同意，不应以默认勾选同意的方式或是以欺骗诱导的方式取得用户授权。
（4）客户应通过隐私政策等文件向用户明确告知的内容包括但不限于：（a）客户处理的个人信息的类型、处理目的、处理方式、保存期限等；（b）客户选择了 Nativex 作为其合作伙伴、客户使用了 Nativex 的服务以及 Nativex 的相关信息，包括但不限于 Nativex 的公司名称、联系方式、 Nativex/Nativex 关联公司及其流量提供方处理的个人信息的类型、处理目的、处理方式及其他依法应告知用户的其他信息；（c）特别地，客户应告知用户 Nativex 及 Nativex 的关联公司将通过自动化决策方式向用户进行个性化信息推送、商业营销，以及客户依法享有的退出个性化推送的权利；（d）Nativex 将按照 Nativex 隐私政策处理个人信息，客户应告知用户 Nativex 隐私政策的链接，用户通过点击该链接可访问 Nativex 隐私政策；（e）为符合数据保护规定需包含的其他任何信息。

3.5 客户有义务向用户提供便捷的方式确保用户可以拒绝通过自动化决策方式向其提供的个性化信息推送和商业营销，或应向用户提供不针对其个人特征的选项。如客户提出拒绝个性化推荐的，客户须通过合适的方式告知 Nativex，Nativex 将配合用户的相关要求。

3.6 如果客户的产品面向的是中国个人信息保护相关法律所规定的儿童用户（儿童用户是指未年满14周岁的未成年人）或产品的部分用户是儿童用户，Nativex 将不向该产品/该部分用户提供服务，且客户不得向 Nativex 传输该等儿童的个人信息，除非客户已遵守并履行了以下所有要求:
（1）客户应获得 Nativex 的事先书面同意；
（2）客户保证遵守未成年人保护及儿童个人信息保护的相关法律法规，如果客户的产品可能会对不满十四周岁的儿童用户提供服务并可能向 Nativex 传输，客户承诺已采取相关措施并保证已获得其父母或其他有权监护人的有效明确的同意（包括同意的方式、方法、程序应当合法），并尽合理努力确认该等同意由父母或其他有权监护人授权，以保证 Nativex/Nativex 的关联公司可以根据本协议及 Nativex 隐私政策处理儿童用户的个人信息；
（3）客户遵守 Nativex 指示的其他任何规定。

3.7 客户应向用户提供易于操作的访问、更正、删除其个人信息，撤销或更改其授权同意、注销其个人账号等用户权利实现机制，确保用户可以依法实现其个人信息相关的权利。

3.8 客户保证，向 Nativex 提供（或允许 Nativex 收集）的相关个人信息和数据，均未超出客户获取此类信息和数据、或基于此类信息和数据提供相关服务所需的合法的必要存储期限，因客户与 Nativex 合作而需对此类信息和数据进行的处理亦未超出上述期限。

3.9 客户保证其不窃取或者以其他非法方式获取个人信息，不非法出售或者非法向任何第三方（包括 Nativex ）提供个人信息，不泄露、篡改、毁损所收集的个人信息。

3.10 当 Nativex 为提供数字营销服务之需而向客户（或客户指定的第三方）提供个人信息的，客户应保证仅为本协议下的广告推广活动的广告归因和广告结算的目的而使用该个人信息，不得将该个人信息用于其他目的。未经 Nativex 书面同意，客户不得将该个人信息提供给任何其他第三方。如前述所提及的传输涉及跨境传输的，客户应根据当地现行法律法规的规定，采取相应措施合法传输。

3.11 客户不应因其作为或不作为，而导致 Nativex/Nativex 的关联公司在依据本中国大陆 PIPL 协议及 Nativex 隐私政策处理个人信息时违反任何适用的数据保护规定，或导致 Nativex/Nativex 的关联公司依据中国大陆 PIPL 本协议及 Nativex 隐私政策对个人信息的处理超越了用户授权同意的范围。

4. 客户员工个人信息

客户保证，在任何时候，其已向其员工提供适当的通知并获得他们的有效同意，以保证 Nativex/Nativex 或其关联公司可以根据 Nativex 的隐私政策 https://www.nativex.com/cn/privacy 通过邮件发送相关产品或服务的直接营销邮件给客户的员工。客户应当依照 Nativex 的请求向 Nativex 提供所有员工的同意记录，其应在收到员工拒绝同意或撤回同意后 24 小时内以书面方式通知 Nativex。

5. 有效期

本中国大陆 PIPL 协议应一直有效，直至协议期满或终止。

6. 其他

6.1 Nativex 可通过其网站通知并公布本中国大陆PIPL协议的修改版本。客户继续使用 Nativex 服务的，将被视为接受该等修改，除非客户首先向 Nativex 发送反对该修改的书面通知。

6.2 本中国大陆 PIPL 协议中一项或多项规定无效并不会影响到其余条款的效力。无效条款应当尽可能由具有实质上相同目标的有效条款替代。

6.3 客户同意， Nativex/Nativex 或其关联公司可以在适用的数据保护规定或其他适用的法律规定的范围内，向任何监管机构、监管者或其他有相关管辖权的主管部门披露本中国大陆 PIPL 协议以及其中有关隐私的约定。该种披露不会构成 Nativex 对在协议项下保密义务的违反。

欧盟数据保护协议

本欧盟数据保护协议（“欧盟协议”）是客户与汇聚国际技术有限公司或其关联公司（“Nativex”）之间为推广客户产品或服务（或第三方产品或服务）而签订的协议（“协议”）的补充。本欧盟协议是协议不可分割的组成部分，应自协议签署之日起生效。如本欧盟协议与协议存在不一致，且与个人信息有关，以本欧盟协议为准。如标准合同条款与协议及/或本欧盟协议存在不一致，以标准合同条款为准。本协议中加引号的术语以及未被定义的术语应与协议及/或数据保护法规定的含义一致。

1. 定义

1.1 “关联公司” 是指与一方有关的，直接或间接地控制或被该方控制、或与该方共同处于被控制地位的任何实体。

1.2 “控制者” 是指决定个人信息的处理目的和处理方法的任何实体。

1.3 “客户” 是指与Nativex签订了协议，由Nativex推广其产品或服务（或第三方产品或服务）的任何商业伙伴。

1.4 “数据保护法” 是指任何可适用的、Nativex或客户的个人信息处理活动应遵守的英国、欧盟或其成员国的法律法规，包括但不限于由欧洲经济区（“EEA”）内的国家实施的《一般数据保护条例》（“EU GDPR”）、《欧盟电子隐私指令2002/58/EC》、英国《2018年数据保护法案》、英国《2003年隐私与电子通讯（EC指令）条例》以及根据2018年欧盟（退出）法案保留作为英国法的EU GDPR（“UK GDPR）”，以及/或其他与上述相类似的、相当的或承继该等法律的其他法律法规，或旨在执行上述规定的法律法规。

1.5 “个人” 是指与个人信息有关的自然人，也即《一般数据保护条例》中所称的“数据主体”。

1.6 “Nativex隐私政策” 是指Nativex官方网站 https://www.nativex.com/cn/privacy 不时更新的隐私政策。

1.7 “个人信息” 是指与已被识别的个人或可被识别的个人相关的信息，也即《一般数据保护条例》中定义的“个人数据”。

1.8 “处理” 是指无论是否通过自动处理方式对个人信息实施的任何操作或一系列操作，如收集、记录、组织、存储、调整或修改、检索、咨询、使用、通过传输而进行披露、传播或以其他方式提供、排列或组合、屏蔽、删除或销毁。

1.9 “处理者” 是指代表控制者处理个人信息的任何实体。

1.10 “服务” 是指Nativex根据协议向客户提供的服务，包括为提供该服务而要求的、通常的、合适的活动，包括（a）进行该服务或业务所涉及的服务；（b）保留关于服务的记录；或（c）遵守关于服务的法律或自律性义务。

1.11 “标准合同条款” 系指根据欧盟议会和理事会第2016/679规定的国际传输的标准合同条款(可在 https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en 查看)，其内容可能根据不同情况会不定时修改、更替。

1.12 “再处理者” 是指处理者引入的处理与服务相关的个人数据的其他处理者。

1.13 “用户” 是指访问移动应用/网站并接触到Nativex或其合作伙伴（如发布者）投放的广告的终端用户，即数据主体。

2．适用

2.1 当数据保护法适用于在协议项下或与协议相关的任何个人数据处理活动时，本欧盟协议应予适用。

2.2 各方均确认其已遵守，并将继续遵守适用的数据保护法所规定的有关个人信息的义务。

3．双方的地位

3.1 当Nativex根据协议为向客户提供服务而处理个人信息，双方确认客户作为控制者处理该个人信息，Nativex作为处理者处理该个人信息。为了避免疑问，Nativex该处理活动包括广告归因、监控流量、与客户及其他在Nativex履行协议过程中为客户投放广告的发布者结算、反作弊相关活动，以及处理法与协议及本欧盟协议相关的法律主张。在此情况下，本欧盟协议第4条应适用。

3.2 双方确认当Nativex实施其他个人信息处理时，Nativex是控制者。为避免疑问，Nativex该处理活动包括建立用户画像、追踪用户并在Nativex及/或其关联公司的广告活动中向用户投放在线行为广告。

4．Nativex作为处理者

4.1 个人信息处理的期限、标的、性质、目的，处理的个人信息的类型以及数据主体的类型将在本欧盟协议的附件A约定。

4.2 作为处理者，Nativex应当：

（a）仅按客户书面的指示处理个人信息（包括为了提供服务及遵守协议下的义务而必要的处理），除非适用的法律对Nativex处理个人信息另有要求。在此情况下，Nativex应及时通知客户该等适用的法律要求，除非适用法律基于公共利益禁止Nativex通知客户；

（b）保证被授权处理个人信息的人已承诺保密或负有合适的法定保密义务；

（c）执行与个人信息相关的合适的技术及组织安全措施，且应考虑 Nativex 的个人信息处理的性质及提供给Nativex的信息，在得知数据泄露时及时通知客户，应客户请求并由客户承担费用的情况下，在与数据泄露相关方面协助客户；

（d）考虑 Nativex 个人信息处理的性质，应客户请求并由客户承担费用的情况下，合理协助客户处理与协议项下处理的个人信息相关的用户沟通或用户请求；

（e）考虑 Nativex 个人信息处理的性质及提供给 Nativex 的信息，应客户请求并由客户承担费用的情况下，当根据数据保护法应进行相关评估或咨询时，应合理协助客户实施个人信息处理的影响评估以及当向监管机构进行咨询；

（f）在客户选择和请求且技术可行的情况下，Nativex作为处理者应在协议届满或终止时删除或向客户归还所有个人信息，除非英国、欧盟或其成员国法律要求超过该期限保存个人信息；

（g）在客户承担费用的情况下，向客户提供所有必要的信息证明已遵守本第4.2条所约定的义务，在提前30天书面通知后，允许并协助由客户和Nativex指定或根据数据保护法指定的审计机构进行的审计和调查，该审计和调查（i）每12个月进行一次；（ii）根据数据保护法由监管机构要求；（iii）应在涉及到个人信息的数据泄露发生后进行。如Nativex基于诚信善意原则认为根据本第4.2条形式权利将违反数据保护法，Nativex应书面通知客户。该审计不应与协议约定的其他额外的审计权利重复。如果审计由第三方进行，经双方提出并为了双方利益，该第三方应签署保密协议。在审计完成时，客户应及时向Nativex提供与任何审计相关的每份报告的审计结果摘要；

（h）被广泛授权允许引入其他处理者处理个人信息，前提是Nativex应与每个其他处理者签署书面协议，该书面协议应包含与第4.3条所约定的义务同等的数据保护义务。应客户请求，Nativex向客户提供其他处理者的名单，客户应当根据协议的保密义务对该等信息保密，Nativex在授权新的处理者处理个人信息前应通知客户。客户可在收到通知后10个工作日内及时通过书面通知反对Nativex授权该新的处理者。在客户反对的情况下，Nativex应尽合理努力避免授权该受到反对的处理者处理个人信息。如在一段时期内Nativex不采纳客户的反对意见，客户可终止协议；

（i）应被允许为了广告归因、结算、发现作弊、解决与协议下的广告活动相关的争议与其发布者共享个人信息；

（j）仅根据数据保护法及第6条的约定传输个人信息到EEA/UK以外的地区。

5．客户的义务

5.1 客户明确保证：

（a）在任何时候，其已向用户提供适当的通知并获得他们的有效同意，以保证Nativex可以作为处理者并按照客户的指示处理个人信息，或作为控制者并根据Nativex隐私政策所载的目的处理个人信息，该等处理包括（但不限于）建立用户画像、追踪用户及并在Nativex及/或其关联公司的广告活动中向用户投放行为广告。基于此目的，客户应使用IAB同意及透明框架。为进一步说明，根据数据保护法，用户接受客户的合同或条款并不必然构成用户的有效同意。相反，客户必还须向用户展示有效的同意提示（例如"Cookie 横幅"），并在用户自愿点击同意后才开始收集用户的个人数据。同时，客户不得以用户不同意处理其个人数据为由拒绝提向用户供服务或限制用户使用部分功能；

（b）应Nativex请求，应向Nativex提供其获得的所有的同意的记录；

（c）应在收到用户反对个人信息处理或用户撤回同意的通知后24小时内书面通知Nativex；

（d）不应因其作为或不作为，而导致Nativex对个人信息的处理违反数据保护法、向用户提供的通知（包括，如适用，Nativex的隐私政策）或从用户处获取的同意。

（e）当Nativex作为控制者处理个人信息，客户向Nativex发出的任何处理的指示应符合数据保护法；

（f）其有权向Nativex传输及/或披露个人信息并由Nativex处理；

（g）不应（或允许或使得任何第三方）向Nativex披露任何特殊类型的个人信息（根据数据保护法所定义）。

6．国际传输

6.1 如果客户在EEA/英国（以下简称“数据输出方”）将个人数据传输至位于EEA/英国以外的Nativex及其子公司或子处理商（统称为“数据输入方”），则标准合同条款应适用并将通过本引用纳入本欧盟协议。为免生疑问，在本欧盟协议第3.1节所列举的场景下，则双方选择适用MODULE TWO；在本欧盟协议第3.2节所列举的场景下，则双方选择适用MODULE ONE。标准合同条款应加入如下内容：

（a）当MODULE TWO适用时：双方同意，在标准条款第9条中选择OPTION 2：: GENERAL WRITTEN AUTHORISATION。具体来说，数据输入方有权将其云服务商和流量提供商作为其子处理商参与到数据处理中。

（b）双方同意，在标准条款第17条中选择OPTION 1 ：
[OPTION 1 ：本协议应受欧盟成员国之一的法律管辖，前提是该法律承认第三方受益人的权利。双方同意选择荷兰法律。]

（c）双方同意，荷兰法院应为第18(b)条中的有权管辖法院。

（d）标准条款中的APPENDIX的内容见本欧盟协议的附录。

6.2 在任何时候，如果此处引入的标准合同条款不再被认为为所传输的个人信息提供了合适的保护，或如果欧盟委员会发布执行更新系列的标准合同条款，或数据保护法要求新的传输机制，各方同意签订该修改或替代的标准合同条款，并应另一方的合理要求采取所有进一步措施以符合个人信息国际传输相关的数据保护法下的法律及或监管要求。

7．欧盟协议的有效期

本欧盟协议应一直有效，直至协议期满或终止。

8．其他

Nativex可通过在其网站上公布修改版本及向客户发送相关书面通知的方式不时修改本欧盟协议。该修改在通知发出的10日后将被视为被客户接受且生效，除非客户首先向Nativex发送反对该修改的书面通知。

本欧盟协议中一项或多项规定无效并不会影响到其余条款的效力。无效条款应当尽可能由具有实质上相同目标的有效条款替代。

客户同意，Nativex和/或其关联公司可以在适用的数据保护法或其他适用的法律规定的范围内，向任何监管机构、监管者或其他有相关管辖权的主管部门披露本欧盟协议以及其中有关隐私的约定。该种披露不会构成Nativex对在协议项下保密义务的违反。

附件

附件一

A.合同当事人

数据输出方：客户
地址：依据协议约定
联系人姓名、职位及联系方式：依据协议约定
与本条款传输的数据相关的活动：依据欧盟协议第3节规定
角色（控制者/处理者）：控制者

数据输入方：Nativex
地址：依据协议约定
联系人姓名、职位及联系方式：依据协议约定
与本条款传输的数据相关的活动：依据欧盟协议第3节规定
角色（控制者/处理者）：控制者/处理者

B.传输情况概述

被传输个人数据的主体类别：用户

被传输的个人信息类别：
（a）移动识别符：GAID，IDFA；
（b）其他设备数据：UUID、安卓ID、移动mac地址、国家代码、设备操作系统(即“OS”，安卓或iOS)、OS平台、OS版本、设备型号、IP地址、用户代理(UA)、设备品牌、软件包名；
（c）用户与Nativex广告的互动：表示用户在点击或查看Nativex提供的广告后安装客户的应用程序；用户在下载了客户的应用后在应用内执行的操作信息，如应用内购买，以及用户打开应用的次数；以及客户决定与Nativex分享的其他信息。

敏感个人数据传输：没有敏感个人数据会被传输

数据传输频率（如，数据是一次性传输还是连续传输）：在协议期限内连续传输。

数据处理的性质：个人数据将由Nativex进行自动和人工处理操作，具体包括收集、使用、分析、转移、存储和删除。

传输和处理数据的目的：当数据输入方作为数据处理者，用于提供协议约定的服务；当数据输入方作为数据控制者，用于建立用户画像，跟踪用户行为，并通过Nativex和/或其子公司为用户提供用在线行为广告。

保留个人数据的期限：（如无法提供，则提供确定该期限的标准）：如果数据输入方是作为数据处理者，则根据欧盟协议第4节规定确定期限；如果数据输入方是作为数据控制者，则根据Nativex隐私政策确定期限。

C.监管机关

根据第13条确定主管监管机构：根据第13条约定的不同情形来确定不同的监管主管机构。

附件二：技术及组织安全措施（包括确保数据安全的技术和组织安全措施）

关于技术及组织安全措施的描述由数据输入方执行（包括任何相关认证），以确保适当的安全水平，这需要考虑包括数据处理的性质、范围、背景和目的，以及关于自然人权利和自由的风险。

Nativex已采取符合相关法律和行业标准的物理、技术以及行政管理措施。例如，Nativex会使用防火墙、加密技术以及其他为防止欺诈和身份窃取而设计的自动化软件；Nativex只将信息储存在能够为用户信息提供较高保护程度的设备和场所。我们也会通过视频以及其他电子监控方式对周边以及建筑物入口所发生的数据访问实施严格监控。

Nativex会尽量减少敏感信息在其服务器的存放以保护用户的隐私。Nativex也会从合同上要求合作伙伴保护用户数据。

Nativex也已经完成ISO27001审计，并已获得SOC2 Type1审计报告，该报告基于美国注册公共会计师协议（“AICPA”）的标准Trust Service Criteria（“TSC”）就安全性、可用性、处理完整性、保密性及隐私控制方面提供了详细的信息及保证。

加利福尼亚州消费者隐私法案协议

本加利福尼亚州消费者隐私法案协议（“CCPA协议”）是客户与汇聚国际技术有限公司或其关联公司（“Nativex”）之间为推广客户产品或服务（或第三方产品或服务）而签订的协议（“协议”）的补充。本CCPA协议是协议不可分割的组成部分，应自协议签署之日起生效。如本CCPA协议与协议存在不一致，且与个人信息有关，以本CCPA协议为准。本协议中加引号的术语以及未被定义的术语应与协议及/或CCPA（定义如下）规定的含义一致。

1. 定义

1.1 “关联公司”是指与一方有关的，直接或间接地控制或被该方控制、或与该方共同处于被控制地位的任何实体。

1.2 “CCPA”是指2018年《加利幅尼亚州消费者隐私法案》（经2023年1月1日生效的《加利福尼亚州隐私权法案》等法案修订后的版本）及其法规和法规的修订，及/或承继该法律或旨在执行该法律的其他法律。

1.3 “客户”是指与Nativex签订了协议，由Nativex推广其产品或服务（或第三方产品或服务）的任何商业伙伴。

1.4 “个人”是指与个人信息有关的自然人，也即《一般数据保护条例》中所称的“数据主体”。

1.5 “Nativex隐私政策”是指Nativex官方网站 https://www.nativex.com/cn/privacy 不时更新的隐私政策。

1.6 “服务”是指Nativex根据协议向客户提供的服务，包括为提供该服务而要求的、通常的、合适的活动，包括（a）进行该服务或业务所涉及的服务；（b）保留关于服务的记录；或（c）遵守关于服务的法律或自律性义务。

1.7 “用户”是指访问移动应用/网站并接触到Nativex或其合作伙伴（如发布者）投放的广告的终端用户，即数据主体。

1.8 术语“公司”、“商业目的”、“消费者”、“个人信息”、“处理”、“销售”及“服务提供者”的含义与CCPA规定的含义一致，与他们相近或相关的术语应作相应的解释。

2. Nativex的活动

双方确认并同意客户（或任何代表客户的第三方）会向Nativex传输用户的个人信息（“客户个人信息”），用于以下目的：

（i）广告归因、结算、发现作弊行为及解决与协议相关的争议（“主要活动”）；

（ii）对用户进行画像、追踪用户、在Nativex及其关联公司的任何广告活动中向用户投放在基于兴趣的广告或个性化广告（“其他活动”）。

3. Nativex的义务

3.1 作为服务提供者

当Nativex处理任何客户个人信息用于协议下的商业目的，

（i）Nativex是服务提供方，客户个人信息的处理仅用于提供协议项下的服务。

（ii）Nativex不应保存、使用、披露或处理客户个人信息用于提供服务以外的其他目的，除非CCPA允许。Nativex应在服务结束时删除或返还所有客户个人信息，或应客户指示早于服务结束时删除或返还，除非Nativex根据本CCPA协议第3.2条作为公司处理客户个人信息。Nativex应遵循客户关于删除或销毁客户个人信息的相关指示。

（iii）Nativex不应销售任何客户个人信息。

（iv）Nativex应协助客户履行CCPA规定的回应客户个人信息相关请求的义务，包括及时满足关于获取或删除Nativex持有的相关客户个人信息的请求。如Nativex接收到用户要求知悉或删除其个人信息的的请求而该个人信息是Nativex代表客户收集或保存的，但Nativex未能遵从该请求，Nativex应解释拒绝的理由。Nativex应同时通知用户其应直接向客户提交请求，如可行，应向用户提供客户的联系信息。

（v）Nativex应与处理客户个人信息的各第三方分包商签订书面协议，要求分包商遵守与本CCPA协议下Nativex应遵守的义务至少同等严格的条款，包括禁止销售客户个人信息。

3.2 作为公司

当Nativex在其他活动中决定处理客户个人信息的目的和方法时，

（i）如满足CCPA定义的公司的其他条件，则Nativex是CCPA所规定的公司。

（ii）作为公司，Nativex应遵守CCPA规定的个人信息安全和其他义务。

（iii）Nativex应确保Nativex隐私政策与其当时的商业实践一致，并确保Nativex隐私政策符合CCPA。

（iv）Nativex仅能处理那些经合法有效收集的个人信息，并确保该个人信息与其各自的用途相关、相符合。

（v）Nativex应建立相关用户行使个人信息权利的流程。

（vi）Nativex同意并确认，加利福尼亚州的居民享有以下关于其个人信息的权利：（a）有权请求公司披露其向哪些第三方销售或披露了他们的个人信息；（b）有权请求公司披露公司保存了他们的哪些信息；（c）有权请求公司删除他们的个人信息；（d）有权拒绝公司销售其个人信息；以及其他的权利。

（vii）如果Nativex曾向第三方销售个人信息，Nativex应在其网站首页提供一个清晰、显眼的名为“拒绝销售我的个人信息”的链接，该链接可连接到一个互联网页面以使得个人或其代表可以拒绝公司销售该其个人信息。

4. 客户的义务

关于客户个人信息，在任何时候并在符合CCPA的情况下，客户承诺与保证：

（i）其已向用户提供适当的通知并获得他们的有效同意（“用户同意”），以保证Nativex可以处理客户个人信息用于与协议、本CCPA协议相关的目的，或可以根据Nativex的隐私政策处理客户个人信息，包括但不限于用于主要活动及其他活动，以及跨境传输，包括传输给Nativex；

（ii）不应因其作为或不作为，而导致Nativex因进行主要活动和其他活动而涉及对个人信息的处理违反Nativex隐私政策、任何适用的数据保护法包括CCPA、向用户提供的通知或从用户处获取的同意；

（iii）客户应在收到用户反对Nativex将个人信息用于本CCPA协议第2条约定的主要活动及其他活动或用户撤回相关同意的通知后24小时内书面通知Nativex 。

5. 有效期

尽管协议到期，本CCPA协议应一直有效，直至Nativex删除或或向客户返还全部客户个人信息。

6. 限制访问

各方应当将个人信息的访问权限限制在为履行该方的协议义务而必须访问该等个人信息的人员范围内。

7. 信息安全

各方应当依据适用的数据保护法包括CCPA、主管部门发布的官方指引以及良好的行业惯例，使用适当的行政管理上、物理上、制度上以及技术上的保障措施，以保证个人信息的安全性、保密性和完整性。各方承诺定期监督该等保障措施的遵守和执行情况，并承诺在协议有效期内不会大幅度减少该等整体安全控制措施。

8. 其他

8.1 Nativex可通过在其网站上公布修改版本及向客户发送相关书面通知的方式不时修改本CCPA协议。该修改在通知发出的10日后将被视为被客户接受且生效，除非客户首先向Nativex发送反对该修改的书面通知。

8.2 本CCPA协议中一项或多项规定无效并不会影响到其余条款的效力。无效条款应当尽可能由具有实质上相同目标的有效条款替代。

8.3 客户同意，Nativex和/或其关联公司可以在适用的数据保护法或其他适用的法律规定的范围内，向任何监管机构、监管者或其他有相关管辖权的主管部门披露本CCPA协议以及其中有关隐私的约定。该种披露不会构成Nativex对在协议项下保密义务的违反。