資料處理附加條款

上次修改日期：2020 年 11 月 2 日

Jibe 和同意本附加條款的對手方 (以下簡稱「公司」) 已簽訂處理服務提供協議 (不時修訂，以下簡稱「協議」)。

本《資料處理附加條款》(包括附錄，下稱「資料處理附加條款」) 是由 Jibe 和「公司」簽訂，且同為「協議」之增補條款。本《資料處理附加條款》將自「條款生效日期」起生效，並取代先前與其標的相關的任何適用條款 (包括任何與「處理者服務」相關的資料處理和安全條款)。

如果您是以公司代表的身分接受這份資料處理附加條款，即表示您擔保：(a) 您有完整的法定授權，可讓這份資料處理附加條款對公司產生法律約束力；(b) 您已詳閱並瞭解這份資料處理附加條款；以及 (c) 您代表公司同意這份資料處理附加條款。如果您不具備可約束公司的法律授權，請勿接受這份《資料處理附加條款》。

1. 簡介

本「資料處理附加條款」反映雙方同意就「歐盟資料保護法」和特定「非歐盟資料保護法」中的「公司個人資料」處理及安全條款。

2. 定義與闡釋

2.1 在本《資料處理附加條款》中：

「額外產品」係指由 Jibe 或第三方提供的產品、服務或應用程式，且符合下列條件：(a) 不屬於「處理者服務」的一部分；(b) 可在「處理者服務」的使用者介面中使用，或以其他方式與「處理者服務」整合。

「非歐盟資料保護法規」補充條款係指「附錄 3」中所指的補充條款，反映雙方同意就特定「非歐盟資料保護法規」處理特定資料時所須遵守的條款。

「關聯企業」係指直接或間接控制某方、受某方直接或間接控制，或與某方一同受控制的實體。

「公司個人資料」係指 Jibe 提供「處理者服務」時，代表「公司」處理的個人資料。

「資料事件」係指因違反 Jibe 的安全規定，導致系統上由 Jibe 管理或控制的「公司個人資料」因意外或非法行為而毀損、遺失、遭到竄改，或在未經授權的情況下遭人公開或存取。「資料事件」未包括對「公司個人資料」安全性不會造成影響的失敗嘗試或活動，例如失敗的登入嘗試、連線偵測 (ping)、連接埠掃描、阻斷服務攻擊及其他對防火牆或網路系統的網路攻擊。

「資料保護法」係指 (視情況而定)：(a) 歐盟資料保護法；和/或 (b) 非歐盟資料保護法。

「資料當事人工具」係指 Jibe 實體提供給資料當事人的工具 (如有)，可讓 Jibe 以標準化方式直接回應資料當事人有關「公司個人資料」的特定要求 (例如選擇不採用的瀏覽器外掛程式)。

「EEA」係指歐洲經濟區。

「歐盟 GDPR」係指歐洲議會及理事會為保護自然人權利，在 2016 年 4 月 27 日頒布的第 2016/679 號歐盟法規，其目的在於規範個人資料之處理及自由流通，並廢止 95/46/EC 指令。

「歐盟資料保護法」係指 (視情況而定)：(a) GDPR；和/或 (b) 1992 年 6 月 19 日聯邦資料保護法 (瑞士)。

「歐盟或國家法律」意指：(a) 歐盟或歐盟成員國法律 (若處理「公司個人資料」時適用歐盟 GDPR)；和/或 (b) 英國國家或地方法律 (若處理「公司個人資料」時適用英國 GDPR)。

「GDPR」係指 (視情況而定)：(a) 歐盟 GDPR；及/或 (b) 英國 GDPR。

「Jibe」係指「協議」的一方當事人 Jibe 實體。

「Jibe 聯盟複委託者」的定義請參閱第 11.1 節 (同意複委託者委任)。

「Jibe 實體」係指 Jibe Mobile Inc.、Jibe Mobile Limited 或 Jibe Mobile Inc. 的任何其他關聯企業。

「ISO 27001 認證」係指 ISO/IEC 27001:2013 認證，或適用於「處理服務」的同等認證。

「非歐盟資料保護法」係指歐洲經濟區、瑞士和英國境外強制實施的資料保護或隱私權法規。

「通知電子郵件地址」指的是 (i) 公司提供給 Jibe 的電子郵件地址 (如有)，或 (ii) 公司透過處理服務的使用者介面或 Jibe 提供的其他方式指定的電子郵件地址 (如有)，用於接收 Jibe 發出的特定通知，而該通知與本「資料處理附加條款」有關。為清楚起見，請注意，提供 Jibe 通知電子郵件地址，並通知 Jibe 任何通知電子郵件地址的更新內容，均屬於「公司」的責任。

「處理服務」係指 RCS Business Messaging 服務 (詳情請見 https://developers.google.com/business-communications/rcs-business-messaging)

「安全性文件」係指 ISO 27001 認證，以及 Jibe 可能提供的任何其他安全性認證或文件，與處理服務相關。

「安全措施」定義請參閱第 7.1.1 節 (Jibe 的安全措施)。

「標準契約條款」係指歐盟執委會的標準契約條款，詳見 https://privacy.google.com/businesses/gdprprocessorterms/sccs，這些條款用於規範將個人資料轉移至無法確保適當程度資料保護的第三國家/地區所設立的處理者，如歐盟《一般資料保護規則》第 46 條所述。

「複委託者」係指依據本「資料處理附加條款」授權的第三方，對「公司個人資料」具有合理的存取及處理權利，以提供部分的「處理者服務」和任何相關技術支援。

「監管機關」意指 (a) 歐盟 GDPR 中定義的「監理機關」；及/或 (b) 英國 GDPR 中定義的「資訊專員辦公室」。

「效期」係指從「條款生效日期」開始到 Jibe 依「協議」停止提供「處理服務」為止。

「條款生效日期」係指「協議」的生效日期。

「第三方複委託者」的定義請參閱第 11.1 節 (同意複委託者委任)。

「英國 GDPR」意指若 2018 年英國《退出歐盟法案》施行，依照英國法律針對歐盟 GDPR 進行的修訂及合併法規。

2.2 本「資料處理附錄」中的「控管者」、「資料當事人」、「個人資料」、「處理」和「處理者」等詞係採用 GDPR 之定義，而「資料匯入者」和「資料匯出者」則採用「標準契約條款」之定義。

2.3「包括」、「包含」或任何類似表述都應解讀為說明文字，且不會對置於該詞彙前之文字要表達的意思造成限制。本《資料處理修訂條款》中的任何範例僅供說明之用，並未影射任何真實人物或事件。

2.4 如提及任何法律架構、法規或其他立法條例，均以其最新修訂或頒布之內容為準。

2.5 如果本「資料處理條款」翻譯為其他語言版本，而英文版本與翻譯版本有不一致之處，應以英文版本為準。

3. 本《資料處理修訂條款》的有效期間

本「資料處理附加條款」將自「條款生效日期」起生效，無論「效期」是否已過，仍會持續有效，直到 Jibe 依據本「資料處理附加條款」所述內容刪除所有「公司個人資料」為止，刪除時「條款」將自動過期。

4. 本《資料處理附加條款》的適用範圍

4.1 歐盟資料保護法規的適用範圍。本條款第 5 節 (資料處理) 至第 12 節 (聯絡 Jibe；處理記錄) (含括) 的適用範圍，僅限於「歐盟資料保護法」對處理「公司個人資料」的適用範圍，包括：

(a) 處理作業涉及「貴公司」於歐洲經濟區或英國設立的機構或單位之活動；及/或

(b)「公司個人資料」係指歐經區或英國境內資料當事人相關的個人資料，處理作業與向資料當事人提供商品或服務，或監控其於歐經區或英國境內的行為有關。

4.2 適用於處理器服務。本《資料處理附加條款》僅適用於雙方同意適用該《資料處理附加條款》的處理者服務 (例如：(a) 公司點選接受《資料處理附加條款》的處理者服務；或 (b) 如果《協議》以參照方式納入《資料處理附加條款》，則是指《協議》的處理者服務)。

4.3 納入「非歐盟資料保護法規」補充條款。「非歐盟資料保護法規」補充條款旨在補充本「資料處理條款」。

5. 資料處理

5.1 角色及法規遵循；授權。

5.1.1 處理者和控管者的責任。雙方確認並同意：

(a) 附錄 1 描述「公司個人資料」處理標的和細節；

(b) 根據「歐盟資料保護法規」，Jibe 為「公司個人資料」的處理者；

(c) 根據「歐盟資料保護法」，「公司」為「公司個人資料」的控管者或處理者 (視情況而定)；以及

(d) 各方將遵循「歐盟資料保護法」有關處理「公司個人資料」之適用義務。

5.1.2 由第三方控制者授權：如果公司是資料處理者，則公司向 Jibe 保證，公司針對公司個人資料的操作指令和相關動作 (包括任命 Jibe 為另一個資料處理者) 均已獲得相關控制者的授權。

5.2 公司指示：透過簽署這份《資料處理附加條款》，公司指示 Jibe 僅依據適用法律處理公司個人資料：(a) 提供處理者服務和任何相關技術支援；(b) 在公司使用處理者服務 (包括處理者服務的設定和其他功能) 時進一步指定，以及提供任何相關技術支援；(c) 在「協議」(包括這份《資料處理附加條款》) 中記錄；以及 (d) 在公司提供的任何其他書面指示中記錄，並由 Jibe 確認該指示構成這份《資料處理附加條款》的目的。

5.3 Jibe 遵循指示：除非 Jibe 受歐盟或國家/地區法律規範，要求 Jibe 以其他方式處理「公司個人資料」，否則 Jibe 將遵循第 5.2 節 (「公司指示」) 所述的指示 (包括資料移轉)。在這種情況下，Jibe 會通知公司 (除非有任何此類法律禁止 Jibe 基於公眾利益的重要理由這麼做)。

5.4 額外產品。如果「公司」使用任何「額外產品」，則「處理服務」可能會允許該「額外產品」存取「公司」個人資料，以便「額外產品」與「處理服務」進行互通作業。當提供「公司」使用的任何「額外產品」時，相關的個人資料處理作業不適用本《資料處理修訂條款》，這類資料包括與「額外產品」相互傳輸的個人資料。

6. 資料刪除

6.1 在服務期內刪除。

6.1.1 提供刪除功能的處理服務。在期限內，如果：

(a) 處理者服務的功能包括公司刪除公司個人資料的選項；

(b) 公司使用處理服務刪除特定公司個人資料；

(c) 公司無法復原已刪除的公司個人資料 (例如從「垃圾桶」中復原)，

除歐盟或國家法律規定要求儲存外，Jibe 應於合理之實際可行範圍內盡速自其系統刪除該公司個資。

6.1.2 不提供刪除功能的處理者服務。在「效期」期間，如果「處理者服務」的功能不包含「公司」刪除「公司個人資料」的選項，則 Jibe 會在考量「處理者服務」的性質和功能的情況下，盡可能配合「公司」提出的任何合理要求，以便刪除這類資料。根據本第 6.1.2 節 (不提供刪除功能的處理服務)，Jibe 得就任何資料刪除作業收取費用 (依據 Jibe 合理成本)。在任何資料刪除作業開始前，Jibe 會事先向「公司」提供任何適用費用的詳細資料及其計算方式。

6.2 效期結束時刪除。「公司」指示 Jibe 在「效期」過期時，依據適用法律刪除 Jibe 系統中所有「公司個人資料」(包括現有副本)。除非歐盟或國家法律規定須予儲存，否則 Jibe 會在合理可行的情況下盡速遵循此項指示。

7. 資料安全性

7.1 Jibe 的安全措施和協助。

7.1.1 Jibe 的安全措施。Jibe 將實施及維護技術及組織措施，以保護「公司個人資料」不受意外或非法損害、損失、變更、未經授權之揭露或存取，如附件 2 (以下稱「安全措施」) 所述。Jibe 得不時更新或修改安全措施，前提是此等更新及修改作業不會降低「處理服務」的整體安全。

7.1.2 Jibe 員工的安全性合規性。Jibe 將確保有權處理「公司個人資料」的所有人員均承諾維護機密性，或履行適當的法定保密義務。

7.1.3 Jibe 的安全協助。公司同意，Jibe 將協助公司確實遵守公司在個人資料安全和個人資料外洩事件方面的義務 (考量處理公司個人資料的性質，以及 Jibe 可取得的資訊)，包括 (如適用) 公司依據 GDPR 第 32 到 34 條 (含) 規定的義務，並採取以下做法：

(a) 依據第 7.1.1 節 (Jibe 的安全措施) 規定實施及維護「安全措施」；

(b) 遵循第 7.2 節 (資料事件) 條款；且

(c) 依據第 7.5.1 節 (審查安全文件) 及本《資料處理修訂條款》所含資訊，向公司提供安全文件。

7.2 資料事件。

7.2.1 事件通知。若 Jibe 察覺發生「資料事件」，將會：(a) 立即向「公司」通知「資料事件」，不會在察覺發生「資料事件」後無故拖延；以及 (b) 立即採取合理步驟儘可能降低傷害，並維護「公司個人資料」安全。

7.2.2 資料事件詳細資料。依據第 7.2.1 節 (事件通知) 規定提供的通知，將在可能範圍內說明「資料事件」詳細資料，包括為減輕可能風險所採取的步驟，以及 Jibe 建議「公司」因應「資料事件」所採取的步驟。

7.2.3 通知傳送。Jibe 會將任何資料事件的通知傳送至「通知電子郵件地址」，或由 Jibe 決定以其他直接通訊方式 (包括公司未提供通知電子郵件地址的情況) 傳送 (例如電話或親自會面)。「公司」應自行負責提供有效的最新「通知電子郵件地址」。

7.2.4 第三方通知。「公司」應自行負責遵守「公司」適用的事件通知法律，並履行與任何「資料事件」相關的任何第三方通知義務。

7.2.5 Jibe 不承認錯誤：Jibe 依據第 7.2 節 (資料事件) 規定對「資料事件」的通知或回應，並不構成 Jibe 承認任何有關「資料事件」之任何錯誤或責任。

7.3 公司安全責任及評估。

7.3.1 公司安全責任。「公司」同意在不侵害 Jibe 根據第 7.1 節 (Jibe 的安全措施和協助) 及第 7.2 節 (資料事件) 所述義務的情況下：

(a) 公司應負責使用「處理服務」的責任，包括：

(i) 適當使用「處理服務」，確保針對「公司個人資料」相關風險達到適當的安全程度；

(ii) 確保「公司」用於存取「處理服務」之帳戶驗證憑證、系統及裝置安全無虞；

(b) 對於「公司」選擇在 Jibe 和其複委託者系統以外儲存及轉移的「公司個人資料」，Jibe 並無保護義務。

7.3.2 公司安全評估。「公司」承認並同意 (考量現有技術、實施成本，以及處理「公司個人資料」的性質、範圍、背景和目的，以及對個人造成的風險)，Jibe 在第 7.1.1 節 (Jibe 的安全措施) 中實施及維護的安全措施，可提供與「公司個人資料」風險相符的安全性。

7.4 安全認證。為評估並確保「安全措施」持續有效，Jibe 將維持 ISO 27001 認證。

7.5 法規遵循審查與稽核。

7.5.1 審查安全文件。為證明 Jibe 遵守《資料處理附加條款》中的義務，Jibe 會提供安全文件供客戶查閱。

7.5.2 公司的稽核權利。

(a) Jibe 將允許「公司」或「公司」指派的第三方稽核機構進行稽核 (包括檢查)，以便依據第 7.5.3 節 (稽核的其他商業條款) 確認 Jibe 是否遵循本「資料處理附加條款」的義務。Jibe 將協助第 7.4 節 (安全認證) 及本節 7.5 (法規遵循審查與稽核) 所述之稽核作業。

(b) 如果適用第 10.2 節 (資料轉移) 的標準契約條款，Jibe 會允許公司或公司指派的第三方稽核人員，依據第 7.5.3 節 (稽核的其他商業條款) 所述的標準契約條款進行稽核。

(c) 也可透過審查 ISO 27001 認證核發的憑證 (反映第三方稽核機構之稽核結果) 的方式進行稽核，確認 Jibe 是否遵循本「資料處理附錄」所述義務。

7.5.3 稽核的其他商業條款。

(a) 公司會根據第 12.1 節(與 Jibe 聯絡) 的說明，向 Jibe 傳送任何第 7.5.2(a) 或 7.5.2 (b) 節所述稽核要求。

(b) Jibe 收到依據第 7.5.3(a) 節提出的請求後，Jibe 和「公司」將事先討論及議定依據第 7.5.2(a) 或 7.5.2(b) 節進行的任何稽核作業，並決定合理的開始日期、範圍與期間，以及適用的安全與機密控制措施。

(c) Jibe 得針對第 7.5.2 (a) 或 7.5.2(b) 節所述稽核作業收取費用(依據 Jibe 合理成本)。Jibe 會在進行任何前述稽核之前，事先向「公司」進一步說明任何適用費用及計算基礎。對於任何第三方稽核機構因執行任何前述稽核，而收取的所有費用，皆由「公司」自行負擔。

(d) 如果稽核員在 Jibe 合理判斷下不具適當資格或獨立性、是 Jibe 的競爭對手，或以其他方式顯然不適任，Jibe 得對公司指派的任何第三方稽核員提出異議，以便執行第 7.5.2(a) 或 7.5.2(b) 節所述的任何稽核作業。只要 Jibe 提出任何前述反對意見，公司就必須指派其他稽核者或自行進行稽核。

(e) 在本「資料處理附加條款」中，並無任何條文規定 Jibe 必須向「公司」或其第三方稽核機構揭露或允許「公司」或其第三方稽核機構存取下列資訊：

(i) Jibe 實體的任何其他客戶的任何資料；

(ii) 任何 Jibe 實體的內部會計或財務資訊；

(iii) 任何 Jibe 實體的商業機密；

(iv) 任何在 Jibe 合理判斷下，可能會 (A) 危害任何 Jibe 實體系統或場地的安全性，或 (B) 導致任何 Jibe 實體違反「歐盟資料保護法規」或其對公司或任何第三方的安全和/或隱私權義務；或

(v) 除了基於善意履行「歐盟資料保護法規」規範的義務以外，公司或其第三方稽核機構基於任何其他理由要求存取的任何資訊。

7.5.4 不得修改標準契約條款。如果適用第 10.2 節 (資料移轉) 的標準合約條款，則第 7.5 節 (法規遵循審查與稽核) 的任何內容，均未改變或修訂「公司」或 Jibe 依據標準合約條款所負的任何權利或義務。

8. 影響評估與諮詢

公司同意，Jibe 將協助公司確實遵守公司在資料保護影響評估和事前諮詢方面的義務 (考量處理的性質和 Jibe 可取得的資訊)，包括 (如適用) 公司依《一般資料保護規則》第 35 和 36 條規定的義務，並透過以下方式提供協助：

(a) 依據第 7.5.1 節 (審查安全文件) 提供安全文件；

(b) 提供本《資料處理附加條款》所含資訊；且

(c) 依據 Jibe 的標準做法，提供或另行發布「處理服務」性質及「公司個人資料」處理作業的其他相關資料，例如說明中心資料。

9. 資料當事人權利

9.1 回覆資料當事人要求。如果 Jibe 收到資料當事人有關「公司個人資料」的要求，Jibe 會採取以下行動：

(a) 如果要求是透過「資料當事人工具」提出，請根據該「資料當事人工具」的標準功能，直接回覆資料當事人的要求；

(b) 如果要求並非透過「資料當事人工具」提交，請建議資料當事人向「公司」提出要求，且「公司」須負責回應此類要求。

9.2 Jibe 的資料當事人要求協助。公司同意，Jibe 將協助公司履行回應資料當事人要求的任何義務 (考量公司個人資料處理作業的性質，以及適用的情況下，GDPR 第 11 條)，包括 (如適用) 回應資料當事人行使 GDPR 第 III 章所載權利的要求。具體做法如下：

(a) 提供「處理器服務」功能；

(b) 遵循第 9.1 節 (回應資料當事人要求) 的承諾；且

(c) 提供適用於「處理者服務」的「資料當事人工具」。

10. 資料移轉

10.1 資料儲存及處理設施：公司同意，依據第 10.2 節 (資料移轉) 規定，Jibe 可在 Jibe 或其任何複委託者設有相關設施之國家/地區處理及儲存「公司個人資料」。

10.2 資料移轉。

如果「公司個人資料」的儲存及/或處理作業，牽涉將「公司個人資料」從歐洲經濟區、瑞士或英國移轉至任何未受歐盟資料保護法規所規範的第三國/地區，則：

(a) 視同「公司」(資料匯出者) 已與「Jibe」(資料匯入者) 共同簽訂《標準契約條款》；

(b) 移轉作業須遵守標準契約條款；

(c) 標準合約條款中提及的 Google LLC 和客戶，將分別改為 Jibe 和公司。

10.3 資料中心資訊：如需 Google 資料中心所在位置的相關資訊，請前往 www.google.com/about/datacenters/locations/index.html。

11. 複委託者

11.1 同意複委託者委任：「公司」明確授權委任 Jibe 的關聯企業擔任「複委託者」(「Jibe 關聯企業複委託者」)。此外，「公司」一般授權委任任何其他第三方擔任「複委託者」(「第三方複委託者」)。如果適用第 10.2 節 (資料轉移) 的標準契約條款，上述授權即構成「公司」事先書面同意 Jibe 處理「公司個人資料」的轉包作業。

11.2 複委託者相關資訊：在公司提出書面要求時，Jibe 會提供有關次級處理者及其位置的資訊。任何這類要求都必須透過第 12.1 節 (與 Jibe 聯絡) 所列的聯絡詳細資料傳送給 Jibe。

11.3 複委託者委任要求：委任任何「複委託者」時，Jibe 會：

(a) 透過書面合約確保：

(i) 處理代管人僅在執行分包義務的必要範圍內存取及使用「公司個人資料」，且必須遵循「協議」(包括本「資料處理附加條款」) 和「標準契約條款」(如適用) 的 10.2 節 (資料轉移) 規定；

(ii) 若 GDPR 適用於「公司個人資料」處理事宜，「複委託者」就必須遵循 GDPR 第 28(3) 條規定的資料保護義務；以及

(b) 對所有轉包負責的義務，以及「複委託者」的所有行為及疏失負完全責任。

11.4 反對變更複委託者之機會。

(a) 如果在本合約期間有任何新的第三方複委託者，Jibe 會在新的第三方複委託者處理任何公司個人資料前，至少提前 30 天，透過電子郵件通知公司 (包括相關複委託者的名稱、所在地和預計執行的活動)。

(b) 公司可在收到新「第三方次級處理者」的聘僱通知後，於 90 天內以書面通知 Jibe 終止「協議」，但須符合第 11.4(a) 節所述的條件。若「公司」反對任何「新的第三方複委託者」，這項終止權利是「公司」唯一且專屬的救濟方式。

12. 與 Jibe 聯絡；處理記錄

12.1 與 Jibe 聯絡公司可透過 Jibe 的 RCS 資料保護聯絡窗口，與 Jibe 聯絡，瞭解這份資料處理補充條款的相關資訊。您可以透過 http://issuetracker.google.com 與該聯絡窗口聯絡，或透過 Jibe 不時提供的其他方式。

12.2 Jibe 處理記錄公司承認，根據《一般資料保護規則》(GDPR)，Jibe 必須：(a) 收集並保留特定資訊的記錄，包括代表 Jibe 行事的每位處理者和/或控制者，以及 (如適用) 此處理者或控制者的當地代表和資料保護長的姓名和聯絡詳細資料；以及 (b) 向任何監管機關提供這類資訊。因此，在收到要求且適用的情況下，「公司」應透過「處理服務」的使用者介面，或透過「處理服務」提供的其他方式，向「Jibe」提供此類資訊，並使用此類使用者介面或其他方式，確保提供的所有資訊正確無誤且符合現況。

13. 賠償責任

13.1 責任上限：無論「協議」中規定的其他事項為何，任一方依據本「資料處理附加條款」或與之相關的事項，向另一方負擔的總責任，均以該方在「協議」中規定的金錢或費用最高上限為限 (因此，若「協議」的責任限制條款排除或限制機密資訊或賠償請求，則不適用於根據「協議」提出的與歐洲資料保護法或非歐洲資料保護法相關的請求)。本節 13 (責任) 的任何規定皆不排除或限制任一方就下列事項應負之責任：(a) 因其疏失或其員工或代理人的疏失而導致人員傷亡；(b) 詐欺或詐欺性不實陳述或行為；或 (c) 依適用法律規定不得排除或限制的責任。

13.2 適用標準契約條款時的責任。如果第 10.2 節 (資料轉移) 適用標準契約條款，則各方及其「關聯企業」因「協議」和標準契約條款而對另一方及其「關聯企業」負擔的總責任，將受到第 13.1 節 (責任上限) 的規範。

14. 受益第三人

如果一方的關聯企業是依據第 10.2 節 (資料移轉) 適用的標準契約條款的一方，則該關聯企業將成為第 6.2 節 (到期後刪除)、7.5 節 (遵循規定的審查和稽核)、9.1 節 (回應資料當事人要求)、10.2 節 (資料移轉)、11.1 節 (同意委外處理者參與) 和 13.2 節 (適用標準契約條款時的責任) 的第三方受益人。如果本節 (第 14 節「受益第三人」) 與「協議」中的任何其他條款有牴觸或不一致之處，則以本節 (第 14 節「受益第三人」) 條款為準。

15. 《資料處理附加條款》的效力

如果「標準契約條款」、「非歐盟資料保護法規」補充條款、本「資料處理附加條款」與「協議」其餘條款之間有任何牴觸或不一致之處，則應優先以以下順序為準：

(a) 標準契約條款；

(b)「非歐盟資料保護法規」補充條款；

(c) 本《資料處理條款》的其餘部分；

(d) 本協議的其餘部分。

如果本「協議」(包括任何附加條款) 翻譯為其他語言，而翻譯版本與英文版本有任何牴觸或不一致之處，應以英文版本為準。

本「資料處理附加條款」如有任何修訂，本「協議」仍將完全有效。

16. 資料處理附加條款的變更

16.1 網址異動 Jibe 可能不時變更本《資料處理修訂條款》所列的任何網址，以及此類網址的內容，但 Jibe 只能依據第 16.2(b) 至 16.2(d) 節 (「資料處理條款異動」) 變更標準契約條款，或納入任何可根據歐洲資料保護法規採用的標準契約條款新版本，且不得影響根據歐洲資料保護法規所採用的標準契約條款有效性。

16.2 資料處理條款異動若變更符合下列條件，Jibe 可變更這份《資料處理附加條款》：

(a) 明確遵循《資料處理附加條款》的規定，包括第 16.1 節 (「網址變更」) 所述情況；

(b) 反映法人的名稱或組織形式變更；

(c) 為遵守適用法律、適用法規、法院命令或政府管理當局或機構發布的方針；或

(d) 不會 (i) 導致「處理服務」的整體安全性降低；(ii) 擴大 (x)「非歐盟資料保護法附加條款」中，Jibe 使用或以其他方式處理「非歐盟資料保護法附加條款」範圍內資料的權利；或 (y) 在「資料處理條款」其餘部分中，Jibe 處理「公司個人資料」的權利，如第 5.3 節 (Jibe 遵循指示) 所述；且 (iii) 不會對「公司」在「本資料處理附加條款」下享有的權利造成重大不利影響，這點由 Jibe 合理判斷。

16.3 異動通知：如果 Jibe 打算依據第 16.2 節第(c) 或 (d) 款變更本「資料處理附加條款」，則會在變更生效前至少 30 天 (或為了遵守適用法律、適用法規、法院命令或政府主管機關或單位之指示，而需縮短的期間) 通知「公司」，方法如下：(a) 傳送電子郵件至「通知電子郵件地址」；或 (b) 透過「處理服務」的使用者介面通知「公司」。如果公司對任何這類變更有異議，可在 Jibe 通知變更後的 90 天內，以書面形式通知 Jibe 終止本協議。

附件 1：資料處理主題及詳細資料

主題

Jibe 向「公司」提供「處理器服務」及所有相關技術支援。

處理期間

「效期」外加「效期」過期至 Jibe 依據本《資料處理附加條款》刪除所有「公司個人資料」的時間。

處理性質及目的

Jibe 將處理「公司個人資料」，目的是依據本「資料處理附加條款」向「公司」提供「處理者服務」和任何相關技術支援 (包括適用於「處理者服務」和第 5.2 節 (「公司指示」) 所述的指示，收集、記錄、整理、建構、儲存、修改、擷取、使用、揭露、結合、刪除及銷毀「公司個人資料」)。

個人資料類型

由「本公司」或「本公司」使用者透過「處理服務」向 Jibe 提供 (或指示提供) 的個人相關資料。

資料當事人的類別

資料當事人包括由「公司」或「公司」使用者透過「處理服務」向 Jibe 提供 (或指示提供) 個人資料之個人。

附件 2：安全措施

自「條款生效日期」起，Jibe 將實施及維護本附件 2 所述之「安全措施」。Jibe 得不時更新或修改前述「安全措施」，前提是前述更新及修訂不會降低「處理服務」的整體安全。

1. 資料中心與網路安全性

(a) 資料中心。

基礎架構。Jibe 維護分布各地的資料中心。Jibe 會在實體安全無虞的資料中心儲存所有正式作業環境資料。

備援功能：基礎架構系統設計可消除單一故障點，並儘可能降低預期環境風險的影響。雙電路、交換器、網路或其他必要裝置，可協助提供此項備援功能。「處理器服務」在設計上可讓 Jibe 執行特定類型的預防及修正維護作業，不會中斷營運。所有環境設備及設施都擁有書面的預防維護程序，詳述依據製造商或內部規格之效能程序及頻率。資料中心設備的預防及修正維護作業，是以書面程序為依據的標準程序排定時間。

電源：資料中心電源系統具備備援及維護功能，不會影響每週 7 天每天 24 小時的連續營運。在大多數情況下，會提供相同能力的主要及備用電源，作為資料中心關鍵的基礎設施元件。備用電源以各種不同機械裝置提供，例如不斷電系統 (UPS) 電池，以便在公用事業低電壓期間、停止期間、過電壓、低電壓及超出公差頻率情況下，提供一致穩定的電源保護。若公用事業電源中斷，備用電源能夠以完整電量提供資料中心暫時電力，最長可維持 10 分鐘，直到柴油發電機系統接手為止。柴油發電機能夠在幾秒鐘內自動啟動，提供足夠的緊急電力，讓資料中心全力運作，一般可維持數天時間。

伺服器作業系統：Jibe 伺服器採用經過強化的作業系統，這些作業系統是根據企業的獨特伺服器需求進行客製化。資料是以專屬演算法儲存，以擴增資料安全及備援能力。Jibe 採用程式碼審查程序，讓用於提供「處理器服務」的程式碼更為安全，並加強正式環境中的安全產品。

業務持續性：Jibe 會將資料複製到多個系統，以提供保護對抗意外破壞或遺失等問題。Jibe 已設計並定期規劃及測試其業務持續性規劃/災難復原計劃。

(b) 網路與傳輸。

資料傳輸：資料中心一般透過高速私有連結連線，以便在資料中心之間提供安全快速的資料移轉。這種作法是為了避免資料在電子轉移或傳輸期間，或是在記錄至資料儲存媒體時，在未經授權的情況下遭到讀取、複製、更改或移除。Jibe 會透過網際網路標準通訊協定轉移資料。

外部攻擊面：Jibe 採用多層網路裝置及入侵偵測技術，保護其外部攻擊面。Jibe 會考量可能的攻擊向量，並在面對外部的系統之中，納入專為特定用途建構的適當技術。

入侵偵測。入侵偵測的目的是洞察持續進行的攻擊活動，並提供適當資訊回應事件。Jibe 的入侵偵測機制包括：

1. 透過預防措施嚴密控制 Jibe 攻擊表面的大小及結構；

2. 在資料輸入點採用智慧偵測控制；以及

3. 採用技術自動矯正特定危險情況。

事件回應。Jibe 監控各種通訊管道以掌握安全事件，而 Jibe 的安全人員會迅速回應已知事件。

加密技術：Jibe 提供 HTTPS 加密 (也稱為 SSL 或 TLS 連線)。Jibe 伺服器支援以 RSA 和 ECDSA 簽署的暫時性橢圓曲線 Diffie-Hellman 加密金鑰交換。這類完全正向密碼 (PFS) 有助於保護流量，並盡量減少金鑰遭盜用或加密遭破解所造成的影響。

2. 出入及站台控制

(a) 站台控制：

現場資料中心作業：Jibe 資料中心維持現場安全作業，每週 7 天、每天 24 小時，負責所有實體資料中心安全職務。現場安全作業人員會監控閉路電視 (CCTV) 攝影機和所有警報系統。CCTV現場安全作業人員會定期進行資料中心的內外巡邏。

資料中心出入程序：Jibe 訂定正式出入程序以規範實際出入資料中心流程。資料中心所在設施需要使用電子卡鑰匙出入，並設置警報連結至現場安全作業。進入資料中心的所有人，都必須驗明身分，並向現場安全作業出示身分證明。只有獲得授權的員工、承包商及訪客才允許進入資料中心。只有獲得授權的員工和承包商，才允許要求使用電子卡鑰匙進入資料中心設施。資料中心電子卡鑰匙出入要求必須事先以書面形式提出，並需獲得要求者經理及資料中心主管核准。其他需要臨時進入資料中心的人員，必須 (i) 事先取得資料中心經理的核准，才能前往特定資料中心和所需的內部區域；(ii) 在現場安全作業中登入；以及 (iii) 參照已核准的資料中心存取記錄，確認該人員已獲准進入。

現場資料中心安全裝置：Jibe 的資料中心採用電子卡鑰匙及生物特徵辨識出入控制系統，連結至系統警報。出入控制系統負責監控及記錄每個人的電子卡鑰匙，以及每個人進入周邊門戶、收發處和其他關鍵區域的情形。出入控制系統會記錄未授權活動及嘗試出入失敗事件，並依據適當情況進行調查。整個業務營運及資料中心的授權出入，係依據區域及個人工作進行限制。資料中心的防火門設有警報。CCTV 攝影機在資料中心內外都有運作。攝影機所設置的位置，能夠涵蓋各個重要區域，其中包括周邊、通往資料中心建築的門戶，以及收發處。現場安全作業人員負責管理 CCTV 監控、記錄及控制設備。整個資料中心的安全纜線連結 CCTV 設備。攝影機透過數位影片錄影機記錄現場情況，每週 7 天、每天 24 小時。監視記錄最長會保存 7 天，視活動而定。

(b) 存取權控制

基礎架構安全人員：Jibe 為其人員訂定安全政策，要求將安全訓練作為人員訓練方案的一部分。Jibe 基礎架構安全人員要負責持續監控 Jibe 的安全基礎架構、審查「處理器服務」，以及回應安全事件。

存取權控制和權限管理：公司管理員和使用者必須透過中央驗證系統或單一登入系統驗證自己身分，才能使用處理器服務。

內部資料存取程序及政策 – 存取政策：Jibe 內部資料存取程序及政策，可預防未授權人員及/或系統取得處理個人資料系統之存取權。Jibe 的系統設計目標如下：(i) 僅允許獲授權人員存取獲授權存取之資料；以及 (ii) 確保在處理、使用期間及記錄之後，資料無法在未經授權的情況下遭到讀取、複製、更改或移除。系統可偵測任何不適當的存取行為。Jibe 採用中央存取管理系統，以控制人員存取正式作業環境伺服器，並且僅向少數獲得授權之人員提供存取權。LDAP、Kerberos 及利用 SSH 憑證的專屬系統，可向 Jibe 提供安全彈性的存取機制。這類機制只會向站台主機、記錄、資料及設定資訊授予獲得核准的存取權。Jibe 要求使用不重複使用者 ID、高強度密碼、雙重驗證，以及謹慎監控的存取清單，儘可能降低未授權帳戶使用的可能性。存取權的授予或修改係依據：獲授權人員的工作職責；執行授權工作的必要工作職責要求；以及有知情必要。存取權之授予及修改也必須遵循 Jibe 內部資料存取政策及訓練辦理。核准程序是由工作流程工具管理，這類工具專門維護所有變更稽核記錄，存取系統時會留下記錄，以建立稽核軌跡用於釐清責任。在採用密碼進行驗證的情況下 (例如登入工作站)，必須實施至少遵循業界標準實務的密碼政策。這類標準包括限制密碼重複使用，以及足夠的密碼強度。

3. 資料

(a) 資料儲存、隔離和驗證。

Jibe 會將資料儲存在 Jibe 自有伺服器的多用戶群環境中。資料、處理器服務資料庫和檔案系統架構會複製到多個不同地區的資料中心。Jibe 會在邏輯上隔離每位客戶的資料。所有處理器服務都會使用中央驗證系統，提升資料的一致安全性。

(b) 停用磁碟和磁碟銷毀指南。

某些含有資料的磁碟可能會發生效能問題、錯誤或硬體故障，導致遭到停用 (以下稱「停用磁碟」)。每個「停用磁碟」都要進行一系列的資料銷毀程序 (以下稱「資料銷毀指南」)，才能離開 Jibe 場所以便重複使用或銷毀。「停用磁碟」會在多步驟程序中清除，並由至少兩位獨立驗證者負責驗證程序完畢。清除結果由「停用磁碟」序號記錄以便追蹤。最後，清除後的「停用磁碟」將釋出至庫存，以便重複使用及重新部署。如果因為硬體故障而無法清除「停用磁碟」，就必須以安全方式儲存直到可以銷毀為止。每座設施會定期接受稽核，確保落實「資料銷毀指南」。

4. 員工安全性

Jibe 人員行為必須符合機密性、商業道德、適當使用及專業標準等方面的公司準則。Jibe 會在法律允許的範圍內，依據適當的當地勞工法規和法規進行合理適當的背景調查。

人員必須履行機密協議，並必須確認接收及遵循 Jibe 的機密性及隱私權政策。人員將接受安全訓練。處理「公司個人資料」的人員必須完成其職務之適當額外要求。Jibe 人員不會在未經授權的情況下處理「公司個人資料」

5. 複委託者的安全性

在讓複委託者參與資料處理活動之前，Jibe 會先對複委託者的安全性和隱私權做法進行稽核，並根據該複委託者可能會存取的資料和提供的服務範圍，判斷其採取的安全性和隱私權防護層級是否恰當。Jibe 完成複委託者處理資料的風險評估之後，複委託者必須簽訂適當的安全性、機密性和隱私權合約條款，並一律遵守第 11.3 節 (複委託者委任要求) 的規定。

附錄 3：「非歐盟資料保護法規」補充條款

下列「非歐盟資料保護法規」補充條款旨在補充本「資料處理條款」：

• 請參閱 privacy.google.com/businesses/gdprprocessorterms/ccpa 的 CCPA 服務供應商附加條款 (2020 年 8 月 27 日)
• 請參閱 privacy.google.com/businesses/gdprprocessorrterms/lgpd 中的 LGPD 處理者附加條款 (2020 年 8 月 27 日)

Jibe 資料處理條款，第 2.0 版

2020 年 8 月 27 日