SCIDraw × 智谱 / MiniMax 数据处理补充协议（DPA）

客户数据：指客户通过 API 接口发送给服务方的所有数据，包括但不限于终端用户的输入 prompt、上传素材、生成的输出内容、调用上下文、元数据。

个人数据：指客户数据中属于《个人信息保护法》定义的个人信息部分，包括但不限于终端用户的注册信息、设备 IP、操作日志。

处理：指对客户数据的收集、存储、使用、加工、传输、提供、公开、删除等操作。

不回流：指服务方不得将客户数据用于训练、微调、评估、测试其自身或关联方的任何大模型、机器学习模型或算法产品。

子处理者：指经服务方委托，代为处理客户数据的第三方。

安全事件：指导致或可能导致客户数据被未授权访问、披露、修改、损毁、丢失的事件。

本 DPA 适用于服务方为客户（即 SCIDraw 运营公司）通过 API 接口提供大模型服务期间对客户数据的全部处理活动。

本 DPA 自双方授权代表签字盖章之日起生效，有效期与 MSA 一致；MSA 终止后，本 DPA 在数据删除义务履行完毕前持续有效。

就客户数据中的个人数据部分，客户为数据处理者（受终端用户即数据主体委托），服务方为客户的次级处理者。服务方处理个人数据应严格遵循客户的书面指示，不得超出本 DPA 与 MSA 约定的范围。

就客户数据中的非个人数据部分（如 AI 输入输出文本/图像），客户与服务方之间的权利义务由本 DPA 与 MSA 共同约束；服务方对该部分数据不享有任何知识产权或商业使用权。

处理目的严格限定为完成客户本次 API 调用所需，包括：接收 prompt、生成模型输出、返回响应。不包括：服务方自身的产品改进、模型训练、性能基准测试、对外报告与展示、统计分析、新型号研发等任何与本次调用无关的目的。

处理期限：服务方应在 API 响应返回给客户后立即删除本次处理所涉及的客户数据（含 prompt、生成内容、上下文缓存、临时日志），最迟不超过响应返回后 30 个自然日。

法律法规要求保留的审计日志（如《网络安全法》网络日志保留 6 个月），服务方可在脱敏化（去除可识别个人数据与原始 prompt 内容）后保留；脱敏后的日志不得用于反向定位或重建客户数据。

训练禁令：服务方不得将客户数据，全部或部分、直接或间接、原始或衍生（含 embedding、统计特征、偏好分布、点击/接受/拒绝信号等），用于训练、微调、强化学习、对齐、评估、测试、benchmark 服务方自身或其关联方的任何大模型、机器学习模型、算法或产品。

关联方约束：本条约束范围及于服务方的母公司、子公司、参股公司、共同控制实体、董事、高管、员工、承包商、投资人。服务方应通过内部制度、合同条款、访问控制等手段，确保前述主体无法获取或使用客户数据。

衍生数据禁令：服务方基于客户数据生成的衍生数据（如模型在客户 prompt 下生成的 logits 概率、attention 权重、token 选中序列等中间产物）同样适用第 5.1、5.2 条训练禁令，不得回流。

反向工程禁令：服务方不得通过客户数据反向推断终端用户的身份、机构、研究方向、科研成果等隐私或商业敏感信息，用于任何商业目的。

合规承诺：服务方承诺其向主管部门提交的大模型备案文件中，将明确披露其作为第三方 API 服务方向客户（如 SCIDraw）提供服务的情形，并承诺对该等客户的数据不回流训练。

证明义务：客户提出书面请求的，服务方应在 30 日内提供下列证明材料之一：

• 第三方独立审计机构出具的数据处理合规报告；
• 服务方内部数据隔离机制的技术说明与流程图；
• 服务方 CEO / CTO 签字的合规承诺书。

服务方应采取与风险程度相适应的技术与管理措施保障客户数据安全，至少包括：

• 传输加密：TLS 1.2+ 全链路加密；
• 存储加密：AES-256 加密存储；
• 访问控制：基于角色的权限管理（RBAC）+ 最小授权原则；
• 日志审计：客户数据访问日志保留至少 180 天；
• 员工管理：与接触客户数据的员工签署保密协议，员工离职后保密义务持续 2 年；
• 物理安全：数据中心 ISO 27001 / 等保三级认证；
• 定期渗透测试与漏洞响应（发现高危漏洞 24 小时内修复）。

服务方应至少每年开展一次信息安全风险评估，并在客户书面请求下提供评估摘要。

服务方不得将客户数据委托给任何子处理者处理，包括服务方集团内的关联公司，但下列情形除外：

1. 已事先取得客户书面同意；
2. 子处理者签署与本 DPA 实质等价的保密与不回流条款；
3. 客户保留随时拒绝特定子处理者的权利。

服务方拟变更或新增子处理者的，应提前 30 日书面通知客户；客户有权在收到通知后 15 日内提出异议，服务方应妥善解决，否则客户有权终止 MSA 且不承担违约责任。

服务方应对子处理者的数据处理行为承担连带责任。

客户接到终端用户关于个人数据行使权利（查询、更正、删除、可携带、撤回同意）请求的，应转交服务方；服务方应在 15 个工作日内配合执行，提供必要数据或完成删除。

监管部门或司法机关就客户数据处理向服务方调查的，服务方应配合并提供真实、完整的材料；涉及客户敏感信息时应事先通知客户（法律法规禁止通知的除外）。

服务方发现或合理怀疑发生涉及客户数据的安全事件，应在知道后 24 小时内书面通知客户，并立即启动应急响应。通知内容至少包括：

• 事件发生时间、发现时间、影响范围；
• 受影响客户数据类型与数量估算；
• 已采取与拟采取的处置措施；
• 服务方联系人以便协同处置。

服务方应配合客户依据《数据安全法》《个人信息保护法》向主管部门与受影响终端用户的通知义务，不得隐瞒、延迟或弱化事件影响。

因服务方过错导致安全事件给客户或终端用户造成损失的，服务方应承担全部直接损失赔偿责任，赔偿上限不低于客户该次事件前 12 个月内向服务方支付的 API 服务费用总额。

客户有权每年不超过一次（重大事件后不受此限制）自行或委托独立第三方对服务方的客户数据处理活动进行审计，审计范围包括：数据存储位置、访问日志、子处理者清单、安全控制有效性、不回流训练机制。

服务方应配合审计并提供必要的资料与系统访问；审计费用由客户承担，但发现服务方违约的，费用由服务方承担。

服务方应每年主动向客户提供一次 SOC 2 Type II 报告或等效合规证明。

服务方应在中华人民共和国境内完成客户数据的全部处理与存储活动，不得将客户数据传输至境外。

如因服务方技术架构调整确需跨境传输，应提前 60 日取得客户书面同意，并依照《数据出境安全评估办法》《个人信息出境标准合同办法》完成安全评估或签署标准合同。

服务方违反本 DPA 任一条款（特别是第 5 条不回流训练条款）的，视为根本性违约。客户有权立即：

1. 暂停向服务方发送客户数据；
2. 终止 MSA 且不承担违约责任；
3. 要求服务方在 7 日内删除全部客户数据（含缓存、备份）；
4. 要求服务方按 MSA 年度服务费 200% 支付违约金，并赔偿全部直接损失；
5. 向主管部门报告并对外公告。

MSA 终止或本 DPA 终止时，服务方应在 30 日内彻底删除其持有的全部客户数据（含生产环境、备份环境、日志、缓存），并向客户提供数据删除证明书（由服务方 CEO 或 CTO 签字盖章）。

本 DPA 的订立、生效、解释、履行与争议解决均适用中华人民共和国大陆地区法律。因本 DPA 产生的争议，由客户注册地有管辖权的人民法院管辖。

本 DPA 任何条款被认定无效或不可执行的，不影响其他条款的效力，双方应协商以最接近本意的有效条款替代。

本 DPA 一式两份，双方各执一份，具有同等法律效力。本 DPA 可签署电子签名版本，与纸质签字盖章版具有同等效力。

双方联系人与联系方式：

• 客户联系人：__姓名__ / __邮箱__ / __电话__
• 服务方联系人：__姓名__ / __邮箱__ / __电话__