上次修改日期:2020 年 11 月 2 日
Jibe 和同意這項附加條款的對方 (下稱「公司」) 已同意提供「處理者服務」協議 (可能不時修訂,以下簡稱「協議」)。
《資料處理修訂條款》(包含附加條款,即「資料處理附加條款」) 由 Jibe and Company 簽訂,並補充「協議」。《資料處理修訂條款》將從「條款生效日期」起生效,並取代先前與其標的相關的任何適用條款 (包括任何與「處理者服務」相關的資料處理與安全性條款)。
如果您是代表「公司」接受本《資料處理修訂條款》,即表示您保證:(a) 您已獲得完整法律授權,可約束「公司」遵守《資料處理條款》;(b) 您已詳閱並瞭解《資料處理附加條款》;(c) 您已代表「公司」同意接受《資料處理修訂條款》。如果您不具備可約束「公司」的法律授權,請勿接受《資料處理附加條款》。
1. 簡介
本《資料處理附加條款》反映了雙方就《歐盟資料保護法規》和特定「非歐盟資料保護法規」處理及處理公司個人資料之相關條款所達成的協議。
2. 定義與闡釋
2.1 本《資料處理附加條款》:
「額外產品」係指 Jibe 或第三方提供的以下產品、服務或應用程式:(a) 不屬於「處理者服務」的一部分;(b) 可在「處理者服務」的使用者介面中使用或以其他方式與「處理者服務」整合。
「非歐盟資料保護法規」係指「附錄 3」中所指的附加條款,反映雙方同意就特定「非歐盟資料保護法規」處理特定資料時所須遵守的條款。
「關係企業」係指直接或間接控制某方、受某方直接或間接控制,或與某方一同受控制的實體。
「公司個人資料」是指 Jibe 在依據「提供處理者服務」規定時代為處理的個人資料。
「資料事件」係指 Jibe 的安全性,在由 Jibe 管理或控制的系統上,意外或非法破壞、損失、修改、未經授權即揭露或存取公司個人資料。「資料事件」不會包括未成功危害公司個人資料安全性的失敗或活動,包括登入失敗、連線偵測 (ping) 、通訊埠掃描、阻斷服務攻擊,以及防火牆或網路系統的其他網路攻擊。
「資料保護法」係指 (視情況而定):(a) 歐盟資料保護法規;及/或 (b) 非歐盟資料保護法規。
「資料主體工具」是指 Jibe Entity 為資料當事人提供的工具 (如有),可讓 Jibe 直接透過資料當事人的特定要求 (例如退出瀏覽器外掛程式) 以標準化方式直接回應資料要求。
「EEA」係指歐洲經濟區。
「歐盟 GDPR」係指歐洲議會及理事會為保護自然人權利,在 2016 年 4 月 27 日頒布的第 2016/679 號歐盟規章,其目的在於規範個人資料之處理及自由流通,並在 95/46/EC 指令廢止後取而代之。
「歐盟資料保護法」係指 (視情況而定):(a) GDPR;及/或 (b) 1992 年 6 月 19 日聯邦資料保護法 (瑞士)。
「歐盟或國家法」係指 (視情況而定):(a) 歐盟或歐盟成員國法 (如果「歐盟 GDPR」適用於處理「公司個人資料」);及/或 (b) 英國法律或「英國」部分 (若「英國 GDPR」適用於處理「公司個人資料」)。
「GDPR」係指 (視情況而定):(a) 歐盟 GDPR;及/或 (b) 英國 GDPR。
「Jibe」係指「協議」之一方的 Jibe 實體。
「Jibe 關聯企業分包處理者」具有第 11.1 節 (同意分包處理者之同意) 中的定義。
「Jibe Entity」係指 Jibe Mobile Inc、Jibe Mobile Limited 或 Jibe Mobile Inc. 的任何其他關聯企業。
「ISO 27001 認證」係指 ISO/IEC 27001:2013 認證,或「處理者服務」的類似認證。
「非歐盟資料保護法規」係指歐洲經濟區、瑞士和英國境外的資料保護或隱私權法律。
「通知電子郵件地址」係指電子郵件地址 (如果有的話):(i) 由「公司」提供給 Jibe,或 (ii) 由「公司」透過「處理者服務」的使用者介面或其他由「Bebe」提供的其他方式,用於接收 Jibe 就《資料處理修訂條款》發出的特定通知。為求明確,公司必須負責為 Jibe 提供通知電子郵件地址,並通知 Jibe 任何「通知電子郵件地址」的更新。
「處理者服務」係指 RCS Business Messaging 服務 (如 https://developers.google.com/business-communications/rcs-business-messaging 所述)
「安全性說明文件」係指 ISO 27001 認證,以及 Jibe 可提供與「處理者服務」有關的任何其他安全性認證或說明文件。
「安全性措施」定義於第 7.1.1 節 (Jibe 安全措施) 中的定義。
「標準契約條款」係指歐盟執行委員會 (https://privacy.google.com/businesses/gdprhandlingterms/sccs) 中的標準契約條款,該條款是標準資料保護條款,用於確保個人資料在未確定適足資料保護條款的第三國家/地區成立的處理者時,如歐盟第 46 條所規定。
「複委託者」係指依據《資料處理附加條款》授權的第三方,以邏輯方式存取及處理「公司個人資料」,以便提供「處理者服務」及任何相關技術支援。
「監管機關」係指 (視情況而定):(a) 歐盟 GDPR 中定義的「監管機關」,和/或 (b) 英國 GDPR 中定義的「委託人」。
「效期」係指「條款有效日期」從 Jibe 依據本協議提供「處理者服務」結束為止。
「條款生效日期」係指「協議」的生效日期。
「第三方複委託者」定義請參閱第 11.1 節 (同意分包處理者之同意)。
「英國 GDPR」係指依照 2018 年英國《退出歐盟法案》修訂而納入英國法律的歐盟 GDPR。
2.2 在本《資料處理修訂條款》中使用的「控管者」、「資料當事人」、「個人資料」、「處理中」和「處理者」等詞皆具有 GDPR 的定義,而「資料匯入者」和「資料匯出者」則採用「標準契約條款」中的定義。
2.3 「包括」、「包含」或任何類似的運算式會做為說明用途,且不會限制這些字詞之前的含義。本《資料處理附加條款》中的任何範例僅供參考,不是特定概念的唯一範例。
2.4 提及任何法律架構、法規或其他立法條例,均以其最新修訂或頒布之內容為準。
2.5 如果《資料處理條款》翻譯為任何其他語言版本,而英文版本與翻譯版本有不一致之處,應以英文版本為準。
3. 《資料處理附加條款》效期
本《資料處理修訂條款》自「條款生效日期」起生效,無論「效期」是否已過期,該條款將持續有效,直到「Google Analytics (分析)」刪除《公司資料處理附加條款》所述的「公司個人資料」為止。
4. 資料處理附加條款的應用
4.1 歐洲資料保護法規的適用範圍。第 5 節 (處理資料) 到第 12 節 (聯絡 Jibe;處理記錄) (含) 僅適用於「歐盟資料保護法規」對處理「公司個人資料」的適用範圍,包括:
(a) 處理過程涉及於歐洲經濟區或英國公司設立的活動;和/或
(b)「公司個人資料」是指位於歐洲經濟區或英國的資料當事人相關資料,且處理與商品/服務或歐洲經濟區/英國的監控行為相關。
4.2 處理者服務。本《資料處理修訂條款》僅適用於雙方已同意接受《資料處理附加條款》的「處理者服務」(例如:(a)「公司」點擊接受《資料處理修訂條款》的「處理者服務」;或 (b) 如「協議」是以「協議」方式納入本《資料處理修訂條款》的「處理者服務」)。
4.3 納入非歐盟資料保護法規的附加條款。「非歐盟資料保護法規」附加條款旨在補充這些《資料處理條款》。
5. 資料處理
5.1 角色和監管;合規性。
5.1.1 加工器和控制器的責任。雙方確認並同意:
(a) 附錄 1 說明處理公司個人資料的標的和主題;
(b) Jibe 是《歐盟資料保護法規》中處理公司個人資料的處理者;
(c) 根據「歐盟資料保護法規」,「公司」擔任「控管者個人資料」的控管者或處理者;以及
(d) 雙方均遵守「歐盟資料保護法規」針對處理「公司個人資料」所適用的義務。
5.1.2 第三方控制器的授權。如果「公司」是處理者,「公司」向 Jibe 保證「公司」有關「公司個人資料」的操作指示和行動,包括獲派 Jibe 為其他處理者,並已獲得相關控管者的授權。
5.2 公司指示。根據本《資料處理附加條款》規定,「公司」指示 Jibe 只依據適用的法律處理「公司個人資料」:(a) 提供「處理者服務」及任何相關技術支援;(b) 如「公司」使用「處理者服務」(包括「處理者服務」之設定與其他功能) 及說明文件中列載之其他指示,在「說明文件」中列載之「資料」及「說明文件」中列載之其他文件。
5.3 Jibe 遵守指示。Jibe 將遵守第 5.2 節 (公司指示) 所述的指示 (包括有關資料傳輸的歐洲、國家法則),但 Jibe 所依規定需由 Jibe 處理其他「公司個人資料」;在此情況下,Jebe 會通知「公司」(除非任何這類法律禁止 Jibe 基於公眾利益的重要理由這麼做)。
5.4 額外產品。如果「公司」使用任何「額外產品」,「處理者服務」可能會允許該「額外產品」根據「額外產品」與「處理者服務」的互通性,存取「公司個人資料」。本「資料處理附加條款」不適用於針對提供「公司」使用之任何「額外產品」之個人資料,包括傳輸至該「額外產品」的「個人資料」之個人資料。
6. 資料刪除
6.1 效期內刪除。
6.1.1 具有缺失功能的加工服務。在「效期」內:
(a)「處理者服務」功能包括刪除公司個人資料;
(b) 公司使用「處理者服務」刪除特定公司個人資料;以及
(c) 貴公司無法復原遭刪除的公司個人資料 (例如從「trash」中取得)
因此,除非歐洲或國家法律要求儲存資料,否則 Jibe 就會盡快從系統中刪除這類公司個人資料。
6.1.2 具有缺失功能的加工服務。在「效期」內,如果「處理者服務」功能不包含「公司」刪除「公司個人資料」的選項,則 Jibe 將遵守「公司」提出的合理要求,以協助刪除這類要求,同時考量「處理者服務」的性質和功能。針對根據第 6.1.2 節 (沒有刪除功能的處理者服務) 規定的資料刪除作業,Jabe 可能會向您收取相關費用 (根據 Jibe 的合理費用)。在刪除這類資料前,Jibe 會提供公司任何適用費用的進一步詳細資訊,以及其計算方式。
6.2 終止期限。效期到期之後,公司指示 Jibe 根據適用法律刪除所有公司資料 (包括現有的複本)。Jibe 會盡快合理遵守此指示,除非歐洲或國家法律要求儲存。
7. 資料安全性
7.1 Jibe 的安全性措施和協助。
7.1.1 Jibe 的安全措施。Jibe 將實施及維護技術和組織措施,保護「公司個人資料」免於意外或非法破壞、損失、變更、未經授權擅自揭露或存取 (如附錄 2 中所述) (以下稱安全性措施)。Jibe 得不時更新或修改「安全措施」,但此等更新及修改不導致「安全性」之「影響」造成負面影響。
7.1.2 Jibe Staff.Jibe 的安全性合規性能確保所有獲授權處理「公司個人資料」的人都承諾有自信或受過法定保密義務。
7.1.3 Jibe 的安全援助。公司同意 Jibe 將協助公司確保公司遵守有關個人資料和個人資料侵害事件的任何義務 (考慮到處理公司個人資料的性質和對 Jibe 可用的資訊),包括 (如適用) 公司在 GDPR 第 32 條至 34 條 (含) 下的義務:
(a) 根據第 7.1.1 節 (Jibe 安全措施) 實作及維護安全措施;
(b) 遵守第 7.2 節 (資料事件) 的條款;以及
(c) 根據第 7.5.1 節 (安全性說明文件審查) 和本《資料處理附加條款》所提供的資訊,為公司提供安全說明文件。
7.2 資料事件。
7.2.1 事件通知。如果 Jibe 發現資料事件時,Jibe 將:(a) 及時通知公司資料事件,且不會發生不當延遲;以及 (b) 立即採取合理步驟,以最大限度地減少公司資料並保護公司個人資料。
7.2.2 適合的消息。根據第 7.2.1 節 (違規通知) 發出的通知,應盡可能說明「資料事件」的詳細資料,包括為降低潛在風險而採取的步驟,以及 Jibe 建議公司因應「資料事件」而採取的措施。
7.2.3 交付通知。Jibe 會透過其他直接通訊 (例如透過電話或現場會議) 將「事件」發生的任何資料通知傳送至「電子郵件通知」電子郵件地址,或自行斟酌決定 (包括公司未提供「通知電子郵件地址」)。公司必須全權負責提供通知電子郵件地址,並確保通知電子郵件地址符合現況且有效。
7.2.4 第三方通知。公司全權負責遵守公司適用的事件通知法,並履行任何與任何資料事件相關的第三方通知義務。
7.2.5 Jabe.Jibe 依據第 7.2 節 (資料事件) 通知或回應資料事件時,並未確認故障狀況,不會被 Jibe 確認對資料事件的任何錯誤或責任。
7.3 公司的安全性責任與評估。
7.3.1 公司的安全責任。公司同意,在不影響第 7.1 節 (Jibe 的安全性措施與協助) 及第 7.2 節 (資料事件) 規定的 Jibe 義務下:
(a) 「公司」必須對其使用「處理者服務」負責,包括:
(i) 妥善使用「處理者服務」,確保「公司個人資料」風險涉及適當安全等級;且
(ii) 確保帳戶驗證憑證、系統和裝置的安全 公司用來存取「處理者服務」;以及
(b) Jibe 沒有義務保護「公司」選擇將「個人資料」儲存或轉移到 Jibe 及其「複委託者」系統外的公司。
7.3.2 公司的安全評估。「公司」確認並同意:Jabe 在第 7.1.1 節 (Jibe 安全措施) 實施之安全安全措施,考量到先進技術、實作成本,以及處理「公司資料」的性質、範圍、背景與目的,以及對個人風險等因素。
7.4 安全性認證。為了評估及協助確保安全性措施能夠持續運作,Jibe 將維持 ISO 27001 認證。
7.5 法規遵循審查與稽核。
7.5.1 安全文件評論。為了證明 Jibe 遵守《資料處理附加條款》中的義務,Jibe 會提供安全性說明文件供客戶審核。
7.5.2 公司的稽核權利。
(a) Jibe 將允許「公司」或「公司」指定的第三方稽核員根據第 7.5.3 節 (其他稽核稽核條款) 進行稽核 (包括檢查),確認 Jibe 是否遵守《資料處理修訂條款》所規定的義務。Jibe 將依據第 7.4 節 (安全認證) 所述之稽核進行相關稽核。
)
(c) 也可進行 ISO 27001 認證 (反映第三方稽核單位稽核的稽核結果),執行稽核,確認 Jibe 遵守本《資料處理附加條款》所規定之義務。
7.5.3 評估的附加商電期限。
(a) 根據第 12.1 節(與 Jibe 聯絡) 所述,公司將依第 7.5.2(a) 節或第 7.5.2 (b) 節的規定向稽核要求傳送稽核要求。
)
)「公司」須負擔任何第三方稽核單位為執行這類稽核作業而產生的任何費用。
)在 Jibe 提出任何前述反對意見時,要求公司指定另一位稽核單位或自行進行稽核。
(e) 本「資料處理附加條款」中的任何規定均不得要求 Jibe 向本公司或其第三方稽核單位揭露,或允許本公司或其第三方稽核單位存取以下項目:
(i) Jibe 實體的任何其他客戶資料;
(ii) 任何 Jibe Entity 的內部會計或財務資訊;
(iii) Jibe 實體的任何商業秘密;
(iv) 在 Jibe 合理看法中,任何相關資訊均可供:(A) 入侵任何 Jibe Entity 系統或設施的安全性;或 (B) 導致任何 Jibe 實體違反其於歐洲資料保護法,或對公司或任何第三方的安全性和/或隱私權義務;或
)
7.5.4 不修訂標準合同子句。如果《標準契約條款》第 10.2 節 (資料移轉) 之規定適用,則第 7.5 節 (合規審查與稽核) 中的所有規定,均未根據「標準契約條款」規定修改或修改「公司」或「Jabe」的任何權利或義務。
8. 影響評估與諮詢
公司同意 Jibe 將協助公司確保公司遵守資料保護相關法規評估及事先諮詢 (並考量處理的性質與 Jibe 可用資訊) 的任何義務,包括 (如適用) 公司在 GDPR 第 35 條和第 36 條規定中的義務:
(a) 根據第 7.5.1 節提供「安全文件」 (安全性說明文件審查);
(b) 提供《資料處理修訂條款》中的資訊;以及
(c) 依據 Jibe 標準做法提供或提供與「處理者服務」性質相關的資料,以及處理「公司資料」的其他相關資料 (例如說明中心資料)。
9. 資料主體權利
9.1 資料當事人要求:如果 Jibe 收到資料當事人針對「公司個人資料」提出的請求,Jibe 就會:
(a) 如果是透過資料當事人工具提出要求,則請依據資料主體工具的標準功能,直接回應資料主體的要求;或
(b) 如果要求並非透過資料當事人工具提出,建議資料當事人向公司提出要求,公司將負責回應這類要求。
9.2 Jibe 的資料當事人要求協助。公司同意 Jibe 將協助公司履行公司對資料當事人要求的任何義務 (考慮到處理公司個人資料的性質,以及 GDPR 第 11 條的適用情況),包括 (如適用) 公司對於簽署 GDPR 第 3 節規定的資料當事人權利的義務:
(a) 提供「處理者服務」功能;
(b) 遵守第 9.1 節 (對資料當事人要求的回應) 中的承諾;以及
(c) 適用於「處理者服務」,提供可用的「資料當事人工具」。
10. 資料移轉
10.1 資料儲存與處理設施。「公司」同意 Jibe 可以根據第 10.2 節 (「資料移轉」) 的規定,將「公司個人資料」儲存在 Jibe 或其「複委託者」設有任何設施的國家/地區。
10.2 資料移轉。
如果「公司個人資料」的儲存和/或處理作業,將「公司個人資料」從歐洲經濟區、瑞士或英國移轉至任何不受歐盟資料保護法規所適足性決策的第三國家/地區:
(a) 「公司」(即資料匯出者) 將視同與「Databe」簽訂《標準契約條款》;
(b) 轉移作業受標準契約條款之規範;且
(c) 在《標準契約條款》中提及 Google LLC 和「客戶」的協議將分別由 Jibe 及「公司」提供。
10.3 資料中心資訊。如要瞭解 Google 資料中心的位置,請參閱 www.google.com/about/datacenters/locations/index.html。
11. 複委託者
11.1 同意分包處理者參與度。本公司特別授權 Jibe 的關聯企業成為「複委託者」(以下稱「Jibe 聯盟分包處理者」)。此外,本公司通常也會授權任何其他第三方做為「複委託者」(以下稱「第三方複委託者」)。如果「標準契約條款」已依據第 10.2 節 (「資料移轉」之規定) 進行上述書面授權,則由前述
11.2 複委託者相關資訊。於本公司的書面要求中,Jibe 會提供複委託者及其所在位置的相關資訊。任何此類要求都必須使用第 12.1 節 (與 Jibe 聯絡) 中詳列的聯絡資料傳送至 Jibe。
11.3 複委託者參與規定。與任何複委託者互動時,Jibe 會:
(a) 透過以下形式提供書面合約:
(i) 「複委託者」只有在為了履行分包合約之義務而存取及使用「公司個人資料」時,才會遵守「協議」(包括本「資料處理附加條款」);以及 (如果適用) 根據第 10.2 節 (「資料移轉」) 的規定;
(ii) 如 GDPR 適用於處理「公司個人資料」,則 GDPR 第 28(3) 條規定將實施資料保護措施;
(b) 就轉包商的所有合約及所有行為和疏失負起責任。
11.4 反對變更複委託者之機會。
(a) 當「條款」的任何新「第三方分包處理者」在效期內進行互動時,Jibe 至少要在新的「第三方複委託者」處理任何「公司個人資料」的至少 30 天前,以電子郵件通知「公司」的參與度 (包括相關分包處理者的名稱與位置以及將執行的活動)。
(b) 公司可以在向 Jibe 發出書面通知後立即終止「協議」,以反對任何新的「第三方複委託者」進行處理,前提是「公司」必須在收到第 11.4(a) 節所述的新「第三方複委託者」參與通知後 90 天內提供這類通知。如果貴公司對任何新的「第三方複委託者」提出異議,則這項終止權是公司唯一的專屬補救措施。
12. 與 Jibe 聯絡;處理記錄
12.1 與 Jibe 聯絡。公司可以透過 Jibe 的 RCS 資料保護聯絡人透過 http://issuetracker.google.com 或可透過 Jibe 不時提供的其他方式,與 Jibe 聯絡,使用此《資料處理修訂條款》。
12.2 Jibe 的處理記錄。公司確認,Jebe 必須依照 GDPR 的規定:(a) 收集並維護特定資訊的紀錄,包括代表 Jibe 採取行動的各處理者和/或控管者的名稱和聯絡詳細資訊,以及 (如果適用) 這類處理者或控管者的當地代表與資料保護長;以及 (b) 向任何監管機關提供這類資訊。因此,在要求及適用的情況下,本公司會透過「處理者服務」的使用者介面或其他方式,向 Jibe 提供此類資訊,並利用這類使用者介面或其他方法,確保所提供的所有資訊都正確無誤且符合現況。
13. 賠償責任
13.1 責任上限。無論協議中其他規定如何,任一方當事人均根據本《資料處理修訂條款》或與此條款相關的任何責任,上限為「協議」所規定之最大責任或支付款項上限;因此,「協議」對「協議」的「保密協議」除外。本節 (第 13 節) 的任何規定皆不排除或限制任一方對下列事項所負的責任:(a) 因過失或因其員工或代理人之過失而造成的死亡或人身傷害;(b) 詐欺或詐欺性不實陳述或行為;或 (c) 根據適用法律規定,無法排除或限制責任的相關事宜。
13.2 適用標準契約條款之責任。如果《標準契約條款》第 10.2 節 (「資料移轉」) 的規定適用,則各方及其「關聯企業」根據「協議」所簽訂或與「關係企業」及「關係企業」共同結合的責任,應遵循第 13.1 節 (賠償責任上限) 的規定。
14. 受益第三人
若任一方當事人為第 10.2 節 (轉移資料) 所規定的標準契約條款的一方,則該關係企業將成為第 6.2 節 (效期到期)、第 7.1 節 (合規審查) 和第 1.1 條 (回應;應要求)如本節 (第 14 節) 受益第三人 (簡稱「受益第三人」) 與「協議」中任何其他條款有牴觸或不一致之處,則以本節 (第 14 節「第三方受益人」) 條款為準。
15. 《資料處理附加條款》的影響
如果《標準合約條款》、《非歐盟資料保護法規》附加條款、《資料處理附加條款》和「協議」的其餘部分有所牴觸或不一致,則適用以下的優先順序:
(a) 標準契約條款;
(b)《非歐盟資料保護法規》附加條款;
(c) 本《資料處理條款》的其餘部分;以及
(d) 本「協議」的其餘部分。
如果本「協議」(包括任何「附加條款」) 翻譯成任何其他語言,而翻譯後的文字與英文版本有所牴觸或不一致,一律以英文版本為準。
根據本《資料處理附加條款》中的修訂條款,「協議」仍然完全有效。
16. 《資料處理附加條款》異動
16.1 網址異動
16.2 資料處理條款異動。如果變更,Jabe 可能會變更《資料處理修訂條款》:
(a) 本《資料處理附加條款》已明確允許,包括第 16.1 節 (網址變更) 中所述;
(b) 變更法人的名稱或形式;
(c) 為遵守適用法律、適用法規、法院命令或政府管理當局或機構發布的方針;
(d) 不會 (i) 導致「處理者服務」的整體安全性降低;(ii) 在「非歐盟資料保護法規」附加條款中,增加或移除任何限制;(x) 在本「條款」中須依「條款」進行增補及
16.3 變更通知。若 Jibe 打算依第 16.2(c) 或 (d) 節的規定變更本《資料處理修訂條款》,至少需在 30 天內 (或遵守適用法律、適用法規、政府法規或政府核發之當局) 以書面方式 (或) 傳送電子郵件,於「服務」發出通知後,以下列方式通知;如果公司反對任何此類變更,公司可於 Jibe 收到通知後的 90 天內,向 Jibe 發出書面通知來終止「協議」。
附件 1:資料處理主題及詳細資料
主題
Jibe 為「公司」提供「處理者服務」及任何相關的技術支援服務。
處理時間
本「效期」加上「效期」從到期前到 Jibe (根據本《資料處理附加條款》) 刪除所有「公司個人資料」的期限。
處理內容的性質與目的
Jibe 會根據本《資料處理附加條款》(包括適用的「處理者服務」以及第 5.2 節 (公司指示) 所述的指示) 處理「公司服務」和任何相關的技術支援,以便收集、記錄、組織、建立、儲存、變更、擷取、使用、揭露、合併、合併、「合併」等資料。
個人資料類型
透過「處理服務」(由「公司」或「公司」使用者) 提供給「Jbebe」的個人個人資料。
資料主體類別
資料當事人包括由公司或公司使用者透過資料處理服務向 Jibe 提供資料的個人。
附件 2:安全措施
自「條款生效日期」起,Jebe 將實施和維護本附錄 2 中的「安全措施」。Jibe 可能會不時更新或修改這類「安全措施」,前提是這類更新和修改不會導致「處理者服務」的整體安全性降低。
1. 資料中心與網路安全性
(a) 資料中心。
基礎架構。Jibe 維護分散各地的資料中心。Jibe 會將所有實際工作環境資料儲存在實體安全的資料中心。
備援功能。基礎架構系統經過精心設計,可消除單點故障,將預期對環境的風險降到最低。雙電路、開關、網路或其他必要裝置可提供這項備援功能。「處理者服務」旨在讓 Jibe 得以執行特定類型的預防性和修正性維護作業,而不會發生中斷情形。所有環境設備和設施都內建預防性維護程序,詳細說明製造商或內部規格的效能程序和頻率。資料中心設備的預防及修正性維護是按照記錄程序的標準程序排定。
電力。資料中心的電力系統具有備援性和可維護性,而且不會影響持續運作,全天候運作,24 小時,全年無休。在多數情況下,主要資料中心和替代電源都具備相同容量,且這些資料中心在資料中心的重要基礎架構元件中都有各自的容量。備用電力由多種機制提供,例如不間斷的電源供應器 (UPS) 電池,可在公用事業輸出電流、停止期間、高壓電、電壓不足,以及偏差頻率條件下提供穩定可靠的電力防護。如果公用事業電流中斷,備用電源能夠以完整的容量為資料中心提供電力,最長可達 10 分鐘,直到柴油發電機系統接管為止。柴油發電機只需要幾秒鐘就能自動啟動,提供充足的電力,讓電池在最大容量下持續提供一整天的數據用量。
伺服器作業系統Jibe 伺服器採用經過強化的作業系統,這些作業系統會根據企業的獨特伺服器需求量身打造。並使用專屬的演算法儲存資料安全性和備援功能。Jibe 採用程式碼審查流程來加強程式碼的安全性機制,並在「實際工作環境」環境中提供「處理者服務」及強化安全性產品。
業務持續性。Jibe 會將資料複製到多個系統,以防止意外損壞或遺失。Jibe 設計並定期規劃及測試業務持續性規劃/災難復原計畫。
(b) 網路與傳輸。
資料傳輸。資料中心通常會透過高速私人連結進行連線,以便在資料中心之間提供安全快速的資料移轉。這種做法可防止資料在電子傳輸或傳輸期間未經授權,或在資料儲存媒體錄製時,在未經授權的情況下讀取、複製、變更或移除。Jibe 透過網際網路標準通訊協定轉移資料。
外部攻擊面Jibe 使用多層網路裝置及入侵偵測機制,以保護其外部攻擊面。Jibe 考量潛在的攻擊向量,並將適當的專門技術納入外部系統。
入侵偵測。入侵偵測旨在提供有關持續攻擊事件的深入分析,並提供充足的資訊來回應事件。Jibe 的入侵偵測功能包括:
透過預防措施,妥善控制 Jibe 攻擊面的大小和組成方式;
在資料進入點採用智慧型偵測控制項;以及
運用可自動修復某些危險情況的技術。
事件回應機制。Jibe 會監控各種通訊管道是否有安全性事件,而 Jibe 的安全性人員將立即對已知事件做出反應。
加密技術。Jibe 提供 HTTPS 加密功能 (也稱為 SSL 或 TLS 連線)。Jibe 伺服器支援臨時的橢圓曲線 Diffie Hellman 加密編譯金鑰交換,由 RSA 和 ECDSA 簽署。這些完美的正向密碼 (PFS) 方法可協助保護流量,並盡量降低遭到入侵金鑰或加密編譯金鑰造成的影響。
2. 存取權和網站控制項
(a) 站台控制:
現場資料中心安全性作業。Jibe 的資料中心會全天候執行現場安全性作業,負責維持所有實體資料中心的安全性功能。現場安全作業人員監控閉路電視 (「CCTV」) 攝影機和所有警報系統。現場安全營運人員定期執行資料中心的內部和外部巡航。
資料中心存取權程序。Jibe 保存了一套正式的存取程序,以便實際存取資料中心。資料中心則位於需要電子卡片鑰匙存取的設施,且有與現場安全性作業相關的鬧鐘。進入資料中心的所有參賽者都必須表明自己的身分,並向現場安全作業顯示身分證明。只有獲得授權的員工、承包商和訪客才能進入資料中心。只有已獲授權的員工和承包商才能要求電子設備金鑰的存取。資料中心的電子卡鑰匙存取要求必須事先及寫入,且須經過要求者管理員及資料中心總監核准。其他所有需要暫時存取資料中心的進入者都必須:(i) 事先獲得資料中心管理員核准,前往他們想造訪的特定資料中心和內部區域;(ii) 在現場安全性作業中登入;以及 (iii) 參照核准存取資料中心的存取記錄,確認該人員擁有核准的個人身分。
資料中心資料中心的安全性裝置。Jibe 資料中心採用電子卡鑰匙和生物特徵辨識控制系統,與系統警報連結。出入控制系統會監控和記錄每個人的電子卡鑰匙,以及存取外圍門門、運送、收訊和其他重要區域的時機。存取權控管系統會記錄未經授權的活動和失敗存取行為,並視情況進行調查。 企業營運和資料中心的授權存取權受到區域和個人職責的限制。資料中心的防火門已響起。CCTV 攝影機在資料中心內外運作。攝影機的定位設計以涵蓋策略性領域,包括週邊範圍、資料中心的門口,以及運送/接送處等。現場安全營運人員負責管理 CCTV 的監控、錄製和控管設備。資料中心的安全傳輸線連接了 CCTV 設備。攝影機會全天候錄下數位錄影機的全天候錄影記錄,監控記錄是根據活動保留至少 7 天。
(b) 存取權控制
基礎架構安全人員。Jibe 為自家人員制定及維護了安全性政策,因此必須接受安全性培訓,讓員工能夠接受培訓。Jibe 的基礎架構安全性人員負責持續監測 Jibe 的安全性基礎架構、對「處理者服務」的審查,以及回應安全性事件。
存取權控管和權限管理。公司的管理員和使用者必須透過中央驗證系統或單一登入系統自行驗證,才能使用處理者服務。
內部資料存取程序和政策 – 存取政策Jibe 的內部資料存取流程和政策旨在防止未經授權的人士和/或系統無法存取用來處理個人資料的系統。Jibe 的設計旨在:(i) 僅允許獲得授權的人員存取他們有權存取的資料;以及 (ii) 確保在處理、使用和記錄期間,在未經授權的情況下讀取、複製、更改或移除個人資料。系統旨在偵測任何不當的存取權。Jibe 採用集中式存取管理系統,控管人員存取生產伺服器的人員,而且僅開放少數授權人士存取。LDAP、Kerberos 及採用 SSH 憑證的專屬系統,旨在為 Jibe 提供安全且靈活的存取機制。這些機制旨在只授予網站主機、記錄、資料和設定資訊的核准存取權限。Jibe 規定必須使用不重複的使用者 ID、高強度密碼、雙重驗證和仔細監控的存取清單,以盡量減少未經授權的帳戶使用行為。授予或修改存取權的方式取決於:被授權人的工作職責;執行授權工作所需的工作職責要求,以及有必要瞭解。此外,存取權限的授予或修改也必須符合 Jibe 的內部資料存取政策和訓練。核准程序是由工作流程工具管理,這類工具專門維護所有變更稽核記錄,系統會記錄系統存取權,以建立稽核追蹤來排除責任。在利用密碼進行驗證 (例如登入工作站) 時,必須遵循至少符合業界標準做法的密碼政策。這些標準包括密碼重複使用和限制的密碼強度。
3.資料
(a) 資料儲存、隔離和驗證。
Jibe 會將資料儲存在 Jibe 擁有的多用戶群環境中。處理資料、處理者服務資料庫和檔案系統架構會在分散於多個地理區域的資料中心之間複製。Jibe 在邏輯上隔離每位客戶的資料。所有處理者服務都使用中央驗證系統,以增加統一的資料安全性。
(b) 已停用的磁碟及磁碟刪除指南。
某些包含資料的磁碟可能會發生效能問題、錯誤或硬體故障,導致系統停用 (「停用磁碟」)。每個已停用的磁碟會經歷一系列的資料刪除程序 (以下稱「資料刪除指南」),才能離開 Jibe 的環境,並重複使用或刪除。已停用的磁碟會在多步驟程序中清除,且至少有兩個獨立驗證工具完成驗證。清除結果則會由已停用磁碟的序號記錄進行追蹤。最後,清除的「停用磁碟」會釋出至庫存,以供重複使用和重新部署。假使硬體故障,「已停用的磁碟」無法清除,我們會妥善儲存,直到刪除為止。我們會定期對每個設施進行稽核,藉此監控資料是否符合《資料刪除指南》的規定。
4. 人員安全性
Jibe 員工必須按照公司保密、商業道德、適當使用情況及專業標準等準則,自主處理業務。Jibe 在法律許可的範圍內,依適用的勞動法規和法定法規進行合理適當的背景調查。
執行人員必須簽署保密協議,且必須確認接收並遵守 Jibe 的機密與隱私權政策。人員會進行安全性培訓。處理「公司個人資料」的員工必須完成符合其角色的其他規定。Jibe 的員工不會在未經授權的情況下處理公司的個人資料
5. 複委託者的安全性
在加入 複委託者之前,Jibe 會進行複委託者的安全性和隱私權相關稽核,確保「複委託者」提供的安全與隱私程度,能保障他們的資料存取權,以及他們所能提供服務範圍的服務範圍。一旦 Jibe 評估過「複委託者」所承擔的風險,則根據第 11.3 節 (「複委託者參與度」的相關規定) 規定,「複委託者」必須輸入適當的安全性、機密性和隱私權合約條款。
附錄 3:「非歐盟資料保護法規」附加條款
下列「非歐盟資料保護法規」附加條款旨在補充《資料處理條款》:
- 《CCPA.google.com/businesses/gdprhandlingterms/ccpa》(2020 年 8 月 27 日)
- LGPD 處理者附加條款 privacy.google.com/businesses/gdprprocessingrterms/lgpd (日期:2020 年 8 月 27 日)
Jibe 資料處理條款 2.0 版
2020 年 8 月 27 日