上次修改日期:2023 年 8 月 8 日 | 舊版本
Jibe 和同意本附加條款的對方 (以下稱「合作夥伴」) 已簽署協議,以便提供「處理器服務」(隨時修訂,以下稱「協議」)。
本資料處理附加條款 (包括附錄,簡稱「資料處理附加條款」) 由 Jibe 和合作夥伴簽訂,且為「協議」的補充條款。本《資料處理附加條款》將自「條款生效日期」起生效,並取代先前與其標的相關的任何適用條款 (包括任何與「處理者服務」相關的資料處理和安全條款)。
如果您是以合作夥伴代表的身分接受這份資料處理附加條款,即表示您聲明及擔保:(a) 您有完整的法定授權,可讓這份資料處理附加條款對合作夥伴產生法律約束力;(b) 您已詳閱並瞭解這份資料處理附加條款;(c) 您代表合作夥伴同意這份資料處理附加條款。如果您不具備約束「合作夥伴」的法定權利,請勿接受這份資料處理附加條款。
1. 簡介
本《資料處理修訂條款》反映雙方同意就「歐盟資料保護法」和「非歐盟資料保護法」處理特定資料時所須遵守的條款。
2. 定義與闡釋
2.1 在本《資料處理附加條款》中:
「額外產品」係指由 Jibe 或第三方提供的產品、服務或應用程式,且符合下列條件:(a) 不屬於「處理者服務」的一部分;(b) 可在「處理者服務」的使用者介面中使用,或以其他方式與「處理者服務」整合。
「非歐盟資料保護法規」補充條款係指附錄 3 中所指的補充條款,反映雙方同意就特定「非歐盟資料保護法規」處理特定資料時所須遵守的條款。
「通過適足性認定的國家/地區」代表:
(a) 如為依歐盟 GDPR 處理的資料,係指歐洲經濟區,或是通過歐盟 GDPR 資料保護適足性認定的國家/地區/地域;
(b) 如為依英國 GDPR 處理的資料,係指英國,或是通過英國 GDPR 和《2018 年資料保護法》適足性認定的國家/地區/地域;和/或
(c) 如果是依《瑞士 FDPA》規定處理的資料:瑞士,或是 (i) 在瑞士聯邦資料保護及資訊委員公布的國家/地區清單中,其立法可確保適當的保護水準;或 (ii) 在瑞士聯邦理事會認定下,依《瑞士 FDPA》確保適當的資料保護措施,但不包括依選用資料保護架構所採取的措施。
「替代移轉解決方案」係指「標準合約條款」以外的解決方案,可依據「歐盟資料保護法」規定合法將個人資料移轉至第三國家/地區,例如已獲認可的資料保護架構,可確保參與的當地實體提供充分的保護。
「資料事件」係指因違反 Jibe 安全規定,導致系統上由 Jibe 管理或控制的「合作夥伴個人資料」因意外或非法行為而毀損、遺失、遭到竄改,或在未經授權的情況下遭人揭露或存取。「資料事件」未包括對「合作夥伴個人資料」安全性不會造成影響的失敗嘗試或活動,例如失敗的登入嘗試、連線偵測 (ping)、連接埠掃描、阻斷服務攻擊及其他對防火牆或網路系統的網路攻擊。
「資料當事人工具」是指 Jibe 實體提供給資料當事人的工具 (如有),可讓 Jibe 以標準化方式直接回應資料當事人有關合作夥伴個人資料的特定要求 (例如線上廣告設定或選擇退出瀏覽器外掛程式)。
「EEA」係指歐洲經濟區。
「歐盟 GDPR」係指歐洲議會及理事會為保護自然人權利,在 2016 年 4 月 27 日頒布的第 2016/679 號歐盟法規,其目的在於規範個人資料之處理及自由流通,並取代 95/46/EC 指令。
「歐盟資料保護法」係指 (視情況而定):(a) GDPR;和/或 (b) 瑞士 FDPA。
「歐盟法律」意指:(a) 歐盟或歐盟成員國法律 (如果處理合作夥伴個人資料時適用歐盟 GDPR);和/或 (b) 英國國家或地方法律 (如果處理合作夥伴個人資料時適用英國 GDPR),其定義視實際情況而定。
「GDPR」意指 (視情況而定):(a) 歐盟 GDPR;及/或 (b) 英國 GDPR。
「Jibe」係指「協議」的一方當事人 Jibe 實體。
「Jibe 實體」係指直接或間接控制 Jibe Mobile, Inc.、受 Jibe Mobile, Inc. 控制,或與 Jibe Mobile, Inc. 一同受控制的實體。
「ISO 27001 認證」係指 ISO/IEC 27001:2013 認證,或適用於「處理服務」的同等認證。
「新複委託者」的定義請參閱第 11.1 節 (同意複委託者委任)。
「非歐盟資料保護法」係指歐洲經濟區、瑞士和英國境外強制實施的資料保護或隱私權法規。
「通知電子郵件地址」指的是 (i) 合作夥伴提供給 Jibe 的電子郵件地址 (如有),或 (ii) 合作夥伴透過處理服務的使用者介面或 Jibe 提供的其他方式指定的電子郵件地址 (如有),用於接收 Jibe 發出的與本資料處理附加條款相關的特定通知。為清楚起見,合作夥伴有責任向 Jibe 提供通知電子郵件地址,並通知 Jibe 任何通知電子郵件地址的更新內容。
「合作夥伴個人資料」係指 Jibe 在提供「處理者服務」時,代表合作夥伴處理的個人資料。
「合作夥伴標準契約條款」係指適用的「標準契約條款 (控管者對處理者)」、「標準契約條款 (處理者對控管者)」和/或「標準契約條款 (處理者對處理者)」。
「處理服務」係指 RCS Business Messaging 服務 (詳情請見 developers.google.com/business-communications/rcs-business-messaging)。
「SCC」係指合作夥伴 SCC 和/或 SCC (處理方對處理方、Jibe 匯出方),視情況而定。
「標準合約條款 (控管者對處理者)」係指 business.safety.google/gdprcontrollerterms/sccs/eu-c2p-dpa 中的條款。
「標準合約條款 (處理者與控管者)」係指 business.safety.google/gdprprocessorterms/sccs/p2c 所列條款。
「SCC (處理者對處理者)」係指 business.safety.google/gdprprocessorterms/sccs/eu-p2p-dpa 中的條款。
「SCC (處理方對處理方、Jibe 匯出方)」係指 business.safety.google/gdprprocessorterms/sccs/eu-p2p-intra-group 中的條款。
「安全文件」係指 ISO 27001 認證,以及 Jibe 可能提供的任何其他安全認證或文件,與處理服務相關。
「安全措施」定義請參閱第 7.1.1 節 (Jibe 的安全措施)。
「複委託者」係指依據本「資料處理附加條款」授權的第三方,對「合作夥伴個人資料」具有合理的存取及處理權利,以提供部分的「處理者服務」和任何相關技術支援。
「監管機關」意指 (視情況而定):(a) 歐盟 GDPR 中定義的「監理機關」;及/或 (b) 英國 GDPR 和/或 瑞士 FDPA 中定義的「資訊專員辦公室」。
「瑞士 FDPA」係指 1992 年 6 月 19 日《聯邦資料保護法》(瑞士)。
「效期」係指從「條款生效日期」開始到 Jibe 依「協議」停止提供「處理服務」為止。
「條款生效日期」係指「協議」的生效日期。
「英國 GDPR」係指依照 2018 年英國《退出歐盟法案》修訂及整合至英國法律的歐盟 GDPR,以及根據該法案制定的相關次級法規。
2.2 本「資料處理附加條款」中的「控管者」、「資料當事人」、「個人資料」、「處理」和「處理者」等詞彙採用 GDPR 之定義,而「資料匯入者」和「資料匯出者」則採用適用的標準契約條款之定義。
2.3「包括」和「包含」這兩個詞係指「包括但不限於」。本《資料處理附加條款》中的任何範例僅供說明之用,並非特定概念的唯一範例。
2.4 如提及任何法律架構、法規或其他立法條例,均以其最新修訂或頒布之內容為準。
2.5 如果《資料處理附加條款》的英文版與其他語言的翻譯版本有所不符,一律以英文版為準。
3. 本《資料處理修訂條款》的有效期間
本「資料處理附加條款」自「條款生效日期」起生效,無論「效期」是否已過,仍維持效力,直到 Jibe 刪除所有「合作夥伴個人資料」為止,屆時「附加條款」將自動失效。
4. 本《資料處理附加條款》的適用範圍
4.1 歐盟資料保護法規的適用範圍。本條款第 5 節 (資料處理) 至第 12 節 (聯絡 Jibe;處理記錄) (含括) 的適用範圍,僅限於「歐盟資料保護法」對處理「合作夥伴個人資料」的適用範圍,包括以下情況:
(a) 處理作業涉及合作夥伴於歐洲經濟區或英國設立的機構或單位之活動;及/或
(b) 合作夥伴個人資料:與歐經區或英國境內資料當事人相關的個人資料,處理作業與向資料當事人提供商品或服務,或監控其在歐經區或英國境內的行為有關。
4.2 適用於處理器服務。本《資料處理附加條款》僅適用於雙方同意適用該《資料處理附加條款》的處理者服務 (例如:(a) 合作夥伴點選接受《資料處理附加條款》的處理者服務;或 (b) 如果《協議》以參照方式納入《資料處理附加條款》,則是指《協議》的處理者服務)。
4.3 納入「非歐盟資料保護法規」補充條款。「非歐盟資料保護法規」補充條款旨在補充本「資料處理附加條款」。
5. 資料處理
5.1 角色及法規遵循;授權。
5.1.1 處理者和控管者的責任。雙方確認並同意:
(a) 附錄 1 載述「合作夥伴個人資料」處理標的和細節;
(b) 根據「歐盟資料保護法」,Jibe 是「合作夥伴個人資料」的處理者;
(c) 根據「歐盟資料保護法」,合作夥伴為「合作夥伴個人資料」的控管者或處理者 (視情況而定);以及
(d) 各方將遵循「歐盟資料保護法」有關處理「合作夥伴個人資料」之適用義務。
5.1.2 處理器合作夥伴。如果合作夥伴是處理者:
(a) 合作夥伴必須持續確保相關控管者已授權 (i) 提出「指示」;(ii) 合作夥伴指定 Jibe 做為另一方處理者;以及 (iii) 依據第 11 節 (「複委託者」) 所述,Jibe 聘用複委託者;
(b) 如 Jibe 根據第 5.4 節 (操作說明通知)、7.2.1 節 (事件通知)、11.4 節 (拒絕複委託者變更的機會) 或任何 SCC 規定向「合作夥伴」發送任何通知,則「合作夥伴」應立即轉發給相關控管者;且
(c) 合作夥伴可將 Jibe 依據第 7.4 節 (安全認證)、第 10.5 節 (資料中心資訊) 和第 11.2 節 (次級處理者資訊) 提供的資訊,提供給相關控管者。
5.2 合作夥伴指示:透過簽署這份《資料處理附加條款》,合作夥伴指示 Jibe 僅依據適用法律處理合作夥伴個人資料:(a) 提供「處理服務」和任何相關技術支援;(b) 合作夥伴使用「處理服務」時 (包括「處理服務」的設定和其他功能) 進一步指定的事項,以及任何相關技術支援;(c) 在「協議」表單中 (包括這份《資料處理附加條款》) 進一步指定的事項;以及 (d) 在合作夥伴提供的任何其他書面指示中進一步指定的事項,並由 Jibe 確認該事項構成本《資料處理附加條款》的指示 (統稱為「指示」)。
5.3 Jibe 遵循指示。除非歐洲法律禁止,否則 Jibe 應遵守「指示」。
5.4 操作說明通知。如果 Jibe 認為:(a) 歐洲法律禁止 Jibe 遵守指示;(b) 指示違反歐洲資料保護法;或 (c) Jibe 無法遵守指示,則 Jibe 會立即通知合作夥伴。在上述情況中,除非歐洲法律禁止發出通知,否則 Jibe 應立即通知合作夥伴。本節 5.4 (操作說明通知) 並未縮減「協議」其他條款規定的任一方權利及義務。
5.5 額外產品。如果合作夥伴使用任何額外產品,處理服務可能會允許該額外產品存取合作夥伴個人資料,以便額外產品與處理服務進行互通作業。如有需要,雙方將簽訂個別的資料處理條款,說明額外產品如何處理合作夥伴個人資料。
6. 資料刪除
6.1 在服務期間刪除。
6.1.1 具有刪除功能的處理者服務。在期限內,如果發生下列情況:
(a) 處理者服務的功能包括合作夥伴刪除合作夥伴個人資料的選項;
(b) 合作夥伴使用處理服務刪除特定合作夥伴個人資料;且
(c) 合作夥伴無法復原已刪除的合作夥伴個人資料 (例如從「垃圾桶」中),除非歐洲法律規定必須儲存,否則 Jibe 應在合理可行的時間內,盡快從其系統刪除這類合作夥伴個人資料。
6.1.2 不提供刪除功能的處理者服務。在「效期」期間,如果「處理服務」的功能不包含讓合作夥伴刪除合作夥伴個人資料的選項,則 Jibe 會在考量「處理服務」的性質和功能的情況下,盡可能配合合作夥伴提出的任何合理要求,協助刪除這類資料,除非歐洲法律規定必須儲存。根據本第 6.1.2 節 (沒有刪除功能的處理服務),Jibe 得就任何資料刪除作業收取費用 (以 Jibe 的合理支出金額為準)。在任何此類資料刪除作業開始前,Jibe 會事先向合作夥伴提供任何適用費用的詳細資料及其計算方式。
6.2 到期時刪除。在「效期」過期時,合作夥伴指示 Jibe 依據適用法律,刪除 Jibe 系統中的所有合作夥伴個人資料 (包括現有副本)。除非歐洲法律要求儲存資料,否則 Jibe 將在合理可行的情況下盡快遵循此項指示。
7. 資料安全性
7.1 Jibe 的安全措施和協助。
7.1.1 Jibe 的安全措施。Jibe 將實施及維護技術及組織措施,以保護「合作夥伴個人資料」不受意外或非法損害、損失、變更、未經授權之揭露或存取,如附件 2 (以下稱「安全措施」) 所述。如附錄 2 所述,安全防護措施包括:(a) 加密個人資料;(b) 協助確保 Jibe 系統和服務持續維持機密性、完整性、可用性和彈性;(c) 協助在事件發生後及時恢復存取個人資料;以及 (d) 定期測試成效。Jibe 得不時更新或修改「安全措施」,前提是此等更新及修改作業不會降低「處理服務」的整體安全。
7.1.2 存取權和法規遵循。Jibe 將 (a) 授權其員工、承包商和分包處理者,僅在遵守「指示」時,基於必要性存取「合作夥伴個人資料」;(b) 採取適當措施,確保其員工、承包商和分包處理者在其工作範圍內遵守「安全措施」;以及 (c) 確保有權處理「合作夥伴個人資料」的所有人員,均承諾維護機密性,或履行適當的法定保密義務。
7.1.3 Jibe 的安全協助。考量處理合作夥伴個人資料的性質,以及 Jibe 可取得的資訊,Jibe 將協助合作夥伴確實遵守合作夥伴 (或合作夥伴為處理者時,相關控管者) 在個人資料安全和個人資料外洩方面的義務,包括合作夥伴 (或合作夥伴為處理者時,相關控管者) 依 GDPR 第 32 到 34 條 (含) 規定應盡的義務,方法如下:
(a) 依據第 7.1.1 節 (Jibe 的安全措施) 規定實施及維護「安全措施」;
(b) 遵循第 7.2 節 (資料事件) 條款;且
(c) 依據第 7.5.1 節 (審查安全文件) 及本《資料處理修訂條款》所含資訊,向合作夥伴提供安全文件。
7.2 資料事件。
7.2.1 事件通知。若 Jibe 察覺發生「資料事件」,將會:(a) 立即向「合作夥伴」通知「資料事件」,不會在察覺發生「資料事件」後無故拖延;以及 (b) 立即採取合理步驟儘可能降低傷害,並維護「合作夥伴個人資料」安全。
7.2.2 資料事件詳細資料。依據第 7.2.1 節 (事件通知) 規定提供的通知,將說明以下事項:資料事件的性質 (包括受影響的合作夥伴資源);Jibe 已採取或預計採取的措施,以因應資料事件並減輕潛在風險;Jibe 建議合作夥伴採取的措施 (如有),以因應資料事件;以及可取得更多資訊的聯絡窗口詳細資料。如果無法同時提供所有這類資訊,Jibe 的初始通知會包含當時可用的資訊,並在可用時立即提供其他資訊。
7.2.3 通知傳送。Jibe 會將任何資料事件的通知傳送至「通知電子郵件地址」,或由 Jibe 決定 (包括合作夥伴未提供通知電子郵件地址的情況),透過其他直接通訊方式 (例如電話或親自會面) 傳送。「合作夥伴」應自行負責提供有效的最新「通知電子郵件地址」。
7.2.4 第三方通知。「合作夥伴」應自行負責遵守「合作夥伴」適用的事件通知法律,並履行與任何「資料事件」相關的任何第三方通知義務。
7.2.5 Jibe 不承認錯誤。當 Jibe 根據本項 (第 7.2 節「資料事件」) 規定,針對「資料事件」發送通知或做出回應時,不得解釋為 Jibe 承認有關「資料事件」的任何錯誤或責任。
7.3 合作夥伴的安全責任和評估。
7.3.1 合作夥伴的安全責任。「合作夥伴」同意在不侵害 Jibe 依據第 7.1 節 (Jibe 的安全措施和協助) 及第 7.2 節 (資料事件) 所述義務的情況下:
(a) 合作夥伴應負責使用「處理服務」的責任,包括:
(i) 適當使用「處理服務」,確保「合作夥伴個人資料」的安全程度符合相關風險;
(ii) 確保合作夥伴用於存取「處理器服務」的帳戶驗證憑證、系統和裝置安全無虞;
(b) 對於合作夥伴選擇在 Jibe 和其次要處理者系統以外儲存及轉移的「合作夥伴個人資料」,Jibe 並無保護義務。
7.3.2 合作夥伴的安全評估。合作夥伴承認,第 7.1.1 節所述的 Jibe 安全措施 (Jibe 的安全措施) 已實施並維護,可根據處理合作夥伴個人資料的性質、範圍、背景和目的、現有技術、實施成本和個人風險,提供適當的安全性。
7.4 安全認證。為評估並確保「安全措施」持續有效,Jibe 將維持 ISO 27001 認證或其他適當措施,以證明「安全措施」的有效性。
7.5 法規遵循審查與稽核。
7.5.1 審查安全文件。為證明 Jibe 遵守《資料處理補充條款》中的義務,Jibe 會提供安全文件供合作夥伴審查。
7.5.2 合作夥伴的稽核權利。
(a) Jibe 會允許合作夥伴或合作夥伴指派的第三方稽核員進行稽核 (包括檢查),以便依據第 7.5.3 節 (稽核的其他商業條款) 規定,確認 Jibe 是否遵守本「資料處理附加條款」的義務。在稽核期間,Jibe 會提供所有必要資訊,證明自身確實遵循前述義務,並協助進行稽核作業,詳情請參閱第 7.4 節 (安全認證) 和本節 7.5 (法規遵循審查與稽核)。
(b) 如果適用第 10.2 節 (受管制的歐洲資料移轉行為) 的標準合約條款,Jibe 會允許合作夥伴 (或合作夥伴指派的第三方稽核機構) 依據適用的標準合約條款進行稽核,並在稽核期間提供這些標準合約條款所要求的所有資訊,每項資訊均須符合第 7.5.3 節 (稽核的額外商業條款) 規定。
(c) 合作夥伴也可透過稽核,確認 Jibe 是否遵循本「資料處理附錄」的義務,稽核方式為審查任何第三方稽核機構核發給 Jibe 的憑證 (例如 ISO 27001 認證,如有)。
7.5.3 稽核的其他商業條款。
(a) 合作夥伴會依據第 12.1 節(與 Jibe 聯絡) 的說明,向 Jibe 提出任何第 7.5.2(a) 或 7.5.2 (b) 節所述稽核要求。
(b) Jibe 收到依據第 7.5.3(a) 節提出的稽核要求後,Jibe 和合作夥伴將事先討論及議定任何稽核作業的合理開始日期、範圍與期間,以及適用的安全與機密控制措施 (依據第 7.5.2(a) 或 7.5.2(b) 節)。
(c) Jibe 得針對第 7.5.2 (a) 或 7.5.2(b) 節所述稽核作業收取費用(依據 Jibe 合理成本)。在任何前述稽核程序開始前,Jibe 會事先向合作夥伴提供任何適用費用的進一步詳細資料,以及其計算方式。如果「合作夥伴」指定任何第三方稽核機構執行前述稽核,這類機構收取的費用均由「合作夥伴」負擔。
(d) 如果稽核員在 Jibe 合理判斷下不具備適當資格或獨立性、是 Jibe 的競爭對手,或以其他方式顯然不適合,Jibe 得對合作夥伴指派的任何第三方稽核員提出異議,以便進行第 7.5.2(a) 或 7.5.2(b) 節所述稽核作業。只要 Jibe 提出任何前述反對意見,合作夥伴即須指派其他稽核者或自行進行稽核。
(e) 在本「資料處理附加條款」中,並無任何條文規定 Jibe 必須向「合作夥伴」或其第三方稽核機構揭露或允許「合作夥伴」或其第三方稽核機構存取下列資訊:
(i) Jibe 實體的任何其他合作夥伴或客戶的任何資料;
(ii) 任何 Jibe 實體的內部會計或財務資訊;
(iii) 任何 Jibe 實體的商業機密;
(iv) 任何在 Jibe 合理判斷下,可能會 (A) 危害任何 Jibe 實體系統或場地的安全性;或 (B) 導致任何 Jibe 實體違反「歐盟資料保護法」或其對合作夥伴或任何第三方的安全和/或隱私權義務;或
(v) 除了基於善意履行「歐盟資料保護法規」規範的義務以外,合作夥伴或其第三方稽核機構基於任何其他理由要求存取的任何資訊。
8. 影響評估與諮詢
考量處理作業的性質和 Jibe 可取得的資訊,Jibe 將協助合作夥伴確實遵守合作夥伴 (或合作夥伴為處理者時,則為相關控管者) 在資料保護影響評估和事前諮詢方面的義務,包括 (如適用) 合作夥伴或相關控管者依據 GDPR 第 35 和 36 條規定的義務,方法如下:
(a) 依據第 7.5.1 節 (審查安全文件) 提供安全文件;
(b) 提供本《資料處理附加條款》所含資訊;且
(c) 依據 Jibe 的標準做法,提供或另行發布「處理服務」性質及「合作夥伴個人資料」處理作業的其他相關資料,例如說明中心資料。
9. 資料當事人權利
9.1 回覆資料當事人要求。如果 Jibe 接獲資料當事人有關「合作夥伴個人資料」的要求,即代表「合作夥伴」授權 Jibe 採取以下措施,且 Jibe 據此通知「合作夥伴」其將採取以下措施:
(a) 根據「資料當事人工具」的標準功能,直接回覆資料當事人的要求 (如果要求是透過「資料當事人工具」提出);或
(b) 如果這類要求並非透過「資料當事人工具」提交,則建議資料當事人向「合作夥伴」提交要求,且「合作夥伴」必須負責回應這類要求。
9.2 Jibe 的資料當事人要求協助。Jibe 將協助合作夥伴 (或合作夥伴是處理者時,則為相關控管者) 履行 GDPR 規定的義務,回應資料當事人行使權利的要求,在所有情況下都會考量處理合作夥伴個人資料的性質,並視需要遵循 GDPR 第 11 條規定,包括 (視情況而定):
(a) 提供「處理器服務」功能;
(b) 遵循第 9.1 節 (回應資料當事人要求) 的承諾;且
(c) 提供適用於「處理者服務」的「資料當事人工具」。
9.3 更正。如果「合作夥伴」發現任何「合作夥伴個人資料」不正確或已過時,應負責依「歐盟資料保護法」規定更正或刪除該資料,包括視情況使用「處理服務」功能執行前述作業。
10. 資料移轉
10.1 資料儲存及處理設施:依據本第 10 節 (資料移轉) 的其餘規定,Jibe 得在 Jibe 或其任何複委託者設有相關設施的任何國家/地區,處理「合作夥伴個人資料」。
10.2 受限制的歐洲資料移轉行為。雙方確認,在歐盟資料保護法中,如果要處理合作夥伴個人資料或將其移轉至適用國家/地區,並不需要使用 SCC 或替代移轉解決方案。
如果「合作夥伴個人資料」移轉至任何其他國家/地區,且「歐盟資料保護法」適用於這些移轉作業 (以下稱「受管制的歐洲資料移轉行為」),則:
(a) 如果 Jibe 為任何「受限制的歐洲資料移轉行為」採用替代移轉解決方案,則 Jibe 會向合作夥伴說明相關解決方案,並確保這類「受限制的歐洲資料移轉行為」依照該解決方案辦理;和/或
(b) 如果 Jibe 未採用或已告知合作夥伴不再採用替代移轉解決方案進行任何「受限制的歐洲資料移轉行為」,則:
(i) 如果 Jibe 的地址位於適當國家/地區:
(A) 針對從 Jibe 傳送至次級處理者的這類受管制的歐洲資料移轉行為,將適用標準契約條款 (處理者對處理者,Jibe 匯出者);
(B) 此外,如果合作夥伴的地址不在適當國家/地區,則 SCC (處理者對控管者) 將適用於 Jibe 和合作夥伴之間的歐洲受限轉移 (無論合作夥伴是否為控管者和/或處理者);或
(ii) 如果 Jibe 的地址不在適當國家/地區:
合作夥伴和 Jibe 之間的這類受管制的歐洲資料移轉行為,將適用《標準契約條款》(控管者到處理者) 和/或《標準契約條款》(處理者到處理者) (視合作夥伴是否為控管者和/或處理者而定);
(c) 在任何《標準契約條款》中,凡是提及 Google LLC 或 Google 和您,將分別改為提及 Jibe 和合作夥伴。
10.3 補充措施和資訊。Jibe 會向合作夥伴提供與「受限歐洲移轉」相關的資訊,包括保護合作夥伴個人資料的補充措施資訊,如第 7.5.1 節 (安全性文件審查)、附錄 2 (安全措施) 和其他與「處理服務」性質及處理合作夥伴個人資料相關的資料 (例如說明中心文章)。
10.4 終止。如果合作夥伴根據目前或預期的處理服務使用情形,得出結論認為替代轉移解決方案和/或適用的 SCC 未為合作夥伴個人資料提供適當的安全防護措施,則合作夥伴可立即終止本協議,並以書面形式通知 Jibe。
10.5 資料中心資訊。如需 Google LLC 資料中心所在位置的相關資訊,請參閱 www.google.com/about/datacenters/locations/index.html。
11. 複委託者
11.1 同意複委託者委任。合作夥伴明確授權委任第 11.2 節 (複委託者相關資訊) 列出的複委託者,自「條款生效日期」起生效。此外,合作夥伴通常會授權委任任何其他第三方擔任複委託者 (「新複委託者」),但須遵守第 11.4 節 (反對變更複委託者之機會) 的規定。
11.2 複委託者相關資訊。在合作夥伴的書面要求下,Jibe 會提供有關次級處理者及其位置的資訊。任何這類要求都必須透過第 12.1 節 (與 Jibe 聯絡) 所列的聯絡詳細資料傳送給 Jibe。
11.3 複委託者委任要求。委任任何「複委託者」時,Jibe 會:
(a) 透過書面合約確保:
(i) 僅在執行分包義務的必要範圍內存取及使用合作夥伴個人資料,且必須遵循「協議」(包括本「資料處理附加條款」) 的規定;
(ii) 若處理「合作夥伴個人資料」時適用「歐盟資料保護法」,則「複委託者」必須遵循本「資料處理附加條款」中的資料保護義務 (如適用,請參閱 GDPR 第 28(3) 條);以及
(b) 對所有轉包負責的義務,以及「複委託者」的所有行為及疏失負完全責任。
11.4 反對變更複委託者之機會。
(a) 如果在本合約期間有任何新複委託者,Jibe 會在新複委託者處理任何合作夥伴個人資料前,至少提前 30 天,透過電子郵件通知合作夥伴這項合作關係 (包括相關複委託者的名稱、所在地和預計執行的活動)。通知電子郵件地址如下:
(b) 合作夥伴可在收到新次級處理機構的聘用通知後,於 90 天內向 Jibe 發出書面通知,以便立即終止協議,但須符合第 11.4(a) 節所述條件。
12. 與 Jibe 聯絡;處理記錄
12.1 與 Jibe 聯絡。在行使本資料處理附加條款規定的權利時,合作夥伴可以透過 Jibe 的 RCS 資料保護聯絡窗口 (可透過 issuetracker.google.com 或 Jibe 提供的其他方式聯絡) 與 Jibe 聯絡。
12.2 Jibe 處理記錄:根據 GDPR 的規定,Jibe 會保留處理活動的適當文件。合作夥伴承認,根據 GDPR 規定,Jibe 必須:(a) 收集並保留特定資訊的記錄,包括:(i) 代表 Jibe 行事的每位處理者和/或控制者,以及 (如果適用) 此處理者或控制者的當地代表和資料保護官的姓名和聯絡資料;以及 (ii) 根據相關的「一般條款」,向任何監管機關提供這類資訊;因此,在收到要求後,合作夥伴應透過處理服務的使用者介面,或 Jibe 提供的其他方式,向 Jibe 提供此類資訊,並使用此類使用者介面或其他方式,確保所有提供的資訊正確無誤且符合現況。
12.3 控制器要求。如果 Jibe 收到第三方要求或指示,聲稱對合作夥伴個人資料有控制權,Jibe 會建議第三方與合作夥伴聯絡。
13. 賠償責任
如果「協議」受下列法律規範:
(a) 美國某州,則無論「協議」中規定的其他事項為何,雙方依據本《資料處理附加條款》或相關條款應承擔的賠償責任,均以該方在「協議」中規定的金錢或費用最高上限為限 (因此,若「協議」中排除保密性或賠償請求的責任,則不適用於根據「協議」提出的與歐洲資料保護法或非歐洲資料保護法相關的請求);或
(b) 其他管轄區 (非美國其中一州) 的法律,則雙方依據本《資料處理附加條款》或相關條款應承擔的總和賠償責任,將受「協議」約束。
14. 《資料處理附加條款》的效力
14.1 優先順序。如果「標準契約條款」、「非歐盟資料保護法規」補充條款、「資料處理附加條款」和「協議」其餘條款之間有任何牴觸或不一致之處,則應以以下優先順序為準:
(a) 標準契約條款;
(b)「非歐盟資料保護法規」補充條款;
(c) 《資料處理附加條款》的其餘部分;
(d) 本協議的其餘部分。
本「資料處理附加條款」如有任何修訂,本「協議」仍將完全有效。
14.2 不得修改 SCC。本「協議」之任何條款 (包括本「資料處理附加條款」) 皆不得修改或牴觸任何「標準合約條款」,也不得侵害「歐盟資料保護法」賦予資料當事人的基本權利或自由。
14.3 不影響控管者條款。本「資料處理附加條款」不會影響 Jibe 與合作夥伴之間的任何個別條款,這些條款反映的是處理服務以外的服務的控管者-控管者關係。
14.4 舊版英國《標準契約條款》。自 2022 年 9 月 21 日起,或自協議生效日起 (以較晚者為準),將適用 SCC 的英國 GDPR 轉移補充條款,並取代及終止任何根據英國 GDPR 和《2018 年資料保護法》核准,且先前由合作夥伴和 Jibe 簽訂的標準合約條款 (「舊版英國 SCC」)。本第 14.4 節 (舊版英國標準合約條款) 不會影響任一方或任何資料當事人,在舊版英國標準合約條款生效期間,可能已獲得的權利。
15. 資料處理附加條款的變更
15.1 網址異動:Jibe 可能不時變更本《資料處理修訂條款》中提及的任何網址,以及任何此類網址的內容,但 Jibe 只能依據第 15.2(b) 至 15.2(d) 節 (《資料處理修訂條款》異動) 變更 SCC,或納入任何可能根據歐盟資料保護法規採用的 SCC 新版本,且在每個情況下,都必須以不會影響歐盟資料保護法規下 SCC 效力的做法進行。
15.2 資料處理修訂條款異動。若變更符合以下條件,Jibe 可變更本《資料處理附加條款》:
(a) 明確受到《資料處理附加條款》的允許,包括第 15.1 節 (網址變更) 所述的情況;
(b) 反映法人的名稱或組織形式變更;
(c) 為遵守適用法律、適用法規、法院命令或政府管理當局或機構發布的方針,或是反映 Jibe 採用替代移轉解決方案;或
(d) 不會 (i) 導致「處理服務」的整體安全性降低;(ii) 擴大 (x) 在「非歐盟資料保護法」附加條款的情況下,Jibe 在「非歐盟資料保護法」附加條款範圍內使用或以其他方式處理資料的權利;或 (y) 在本《資料處理附加條款》的其餘部分,Jibe 處理「合作夥伴個人資料」的權利 (如第 5.3 節所述,Jibe 遵循指示);且 (iii) 不會以其他方式對「合作夥伴」在《資料處理附加條款》下的權利造成重大不利影響,這點由 Jibe 合理判斷。
15.3 變更通知。如果 Jibe 打算依據第 15.2 節(c) 或 (d) 變更本《資料處理附加條款》,將會在變更生效前至少 30 天 (或為了遵守適用法律、適用法規、法院命令或政府監管機關或機構發布的指南,而需縮短的期間) 通知合作夥伴,方法如下:(a) 傳送電子郵件至「通知電子郵件地址」;或 (b) 透過「處理服務」的使用者介面通知合作夥伴。如果合作夥伴不接受任何這類變更,可在 Jibe 通知變更後的 90 天內,向 Jibe 發出書面通知,以便終止協議。
附件 1:資料處理主題及詳細資料
主題
Jibe 向合作夥伴提供「處理器服務」和任何相關技術支援。
處理期間
「效期」外加「效期」結束後,直至 Jibe 依據本「資料處理附加條款」刪除所有「合作夥伴個人資料」為止的時間。
處理性質及目的
Jibe 將處理合作夥伴個人資料,包括 (視處理服務和指示的性質而定) 收集、記錄、整理、建構、儲存、修改、擷取、使用、揭露、結合、刪除及銷毀合作夥伴個人資料,目的是依據本《資料處理附加條款》向合作夥伴提供處理服務和任何相關技術支援。
個人資料類型
由「合作夥伴」或「合作夥伴」使用者透過「處理服務」向 Jibe 提供 (或指示提供) 的個人相關資料。
資料當事人的類別
資料當事人包括由「合作夥伴」或「處理者」透過「處理者服務」向 Jibe 提供 (或指示提供) 個人資料之個人。
附件 2:安全措施
自「條款生效日期」起,Jibe 將實施及維護本附件 2 所述之「安全措施」。Jibe 得不時更新或修改前述「安全措施」,前提是前述更新及修訂不會降低「處理服務」的整體安全。
1. 資料中心與網路安全性
(a) 資料中心。
基礎架構。Jibe 維護分布各地的資料中心。Jibe 會在實體安全無虞的資料中心儲存所有正式作業環境資料。
備援功能:基礎架構系統設計可消除單一故障點,並儘可能降低預期環境風險的影響。雙電路、交換器、網路或其他必要裝置,可協助提供此項備援功能。「處理器服務」在設計上可讓 Jibe 執行特定類型的預防及修正維護作業,不會中斷營運。所有環境設備及設施都擁有書面的預防維護程序,詳述依據製造商或內部規格之效能程序及頻率。資料中心設備的預防及修正維護作業,是以書面程序為依據的標準程序排定時間。
電源:資料中心電源系統具備備援及維護功能,不會影響每週 7 天每天 24 小時的連續營運。在大多數情況下,會提供相同能力的主要及備用電源,作為資料中心關鍵的基礎設施元件。備用電源以各種不同機械裝置提供,例如不斷電系統 (UPS) 電池,以便在公用事業低電壓期間、停止期間、過電壓、低電壓及超出公差頻率情況下,提供一致穩定的電源保護。若公用事業電源中斷,備用電源能夠以完整電量提供資料中心暫時電力,最長可維持 10 分鐘,直到備用發電機系統接手為止。發電機能夠在幾秒鐘內自動啟動,提供足夠的緊急電力,讓資料中心全力運作,一般可維持數天時間。
伺服器作業系統:Jibe 伺服器採用經過強化的作業系統,這些作業系統是根據企業的獨特伺服器需求進行客製化。資料是以專屬演算法儲存,以擴增資料安全及備援能力。Jibe 採用程式碼審查程序,讓用於提供「處理器服務」的程式碼更為安全,並加強正式作業環境中的安全產品。
業務持續性。Jibe 會將資料複製到多個系統,以提供保護對抗意外破壞或遺失等問題。Jibe 已設計並定期規劃及測試其業務持續性規劃/災難復原計劃。
加密技術:Jibe 的安全政策規定所有使用者資料 (包括個人資料) 都必須進行靜態資料加密。在資料中心的 Jibe 實際執行儲存堆疊中,資料通常會於多個層級加密 (包括硬體層級),合作夥伴或客戶不必採取任何行動。這種多層式加密機制可提供備援式資料保護,讓 Jibe 能夠依據應用程式的需求採取最適當的做法。所有個人資料都會在儲存空間層級加密,一般來說使用的是 AES256。Jibe 會使用整合 Jibe 已通過 FIPS 140-2 驗證模組的通用加密編譯程式庫,為各項處理器服務一致導入加密功能。
(b) 網路與傳輸。
資料傳輸。資料中心一般透過高速私有連結連線,以便在資料中心之間提供安全快速的資料移轉。這種做法是為了避免資料在電子傳輸期間,在未經授權的情況下遭到讀取、複製、更改或移除。Jibe 會透過網際網路標準通訊協定轉移資料。
外部攻擊面:Jibe 採用多層網路裝置和入侵偵測技術,保護其外部攻擊面。Jibe 會考量可能的攻擊向量,並在面對外部的系統之中,納入專為特定用途建構的適當技術。
入侵偵測。入侵偵測的目的是洞察持續進行的攻擊活動,並提供適當資訊回應事件。Jibe 的入侵偵測機制包括:
透過預防措施嚴密控制 Jibe 攻擊表面的大小及結構;
在資料輸入點採用智慧偵測控制;以及
採用技術自動矯正特定危險情況。
事件回應。Jibe 會監控各種通訊管道以掌握安全事件,而 Jibe 的安全人員會迅速回應已知事件。
加密技術:Jibe 提供 HTTPS 加密 (也稱為 TLS 連線)。Jibe 伺服器支援以 RSA 和 ECDSA 簽署的暫時性橢圓曲線 Diffie-Hellman 加密金鑰交換。這類完全正向密碼 (PFS) 有助於保護流量,並盡量減少金鑰遭盜用或加密遭破解所造成的影響。
2. 出入及站台控制
(a) 站台控制。
現場資料中心作業:Jibe 資料中心維持現場安全作業,每週 7 天、每天 24 小時,負責所有實體資料中心安全職務。現場安全作業人員會監控閉路電視 (「CCTV」CCTV) 攝影機和所有警報系統。現場安全作業人員會定期進行資料中心的內外巡邏。
資料中心出入程序。Jibe 訂定正式出入程序以規範實際出入資料中心流程。資料中心所在設施需要使用電子卡鑰匙出入,並設置警報連結至現場安全作業。進入資料中心的所有人,都必須驗明身分,並向現場安全作業出示身分證明。只有獲得授權的員工、承包商和訪客才允許進入資料中心。只有獲得授權的員工和承包商,才允許要求使用電子卡鑰匙進入資料中心設施。資料中心電子卡鑰匙出入要求必須事先以書面形式提出,並需獲得授權資料中心人員核准。其他需要臨時存取資料中心的人員,必須 (i) 事先取得資料中心經理的核准,才能前往特定資料中心和所需的內部區域;(ii) 在現場安全作業中登入;以及 (iii) 參照核准的資料中心存取記錄,確認該人員已獲准存取。
現場資料中心安全裝置:Jibe 的資料中心採用電子卡鑰匙及生物特徵辨識出入控制系統,連結至系統警報。出入控制系統負責監控及記錄每個人的電子卡鑰匙,以及每個人進入周邊門戶、收發處和其他關鍵區域的情形。出入控制系統會記錄未授權活動及嘗試出入失敗事件,並依據適當情況進行調查。整個業務營運及資料中心的授權出入,係依據區域及個人工作進行限制。資料中心的防火門設有警報。CCTV 攝影機在資料中心內外都有運作。攝影機所設置的位置,能夠涵蓋各個重要區域,其中包括周邊、通往資料中心建築的門戶,以及收發處。現場安全作業人員負責管理 CCTV 監控、記錄及控制設備。整個資料中心的安全纜線連結 CCTV 設備。攝影機透過數位影片錄影機記錄現場情況,每週 7 天、每天 24 小時。監視記錄最長會保存 7 天,視活動而定。
(b) 存取控管。
基礎架構安全人員:Jibe 為其人員訂定安全政策,要求將安全訓練作為人員訓練方案的一部分。Jibe 的基礎架構安全人員負責持續監控 Jibe 的安全基礎架構、審查「處理服務」,以及回應安全事件。
存取權控制和權限管理:合作夥伴的管理員和使用者必須使用中央驗證系統或單一登入系統驗證自己身分,才能使用處理器服務。
內部資料存取程序及政策 – 存取政策:Jibe 內部資料存取程序及政策,可預防未授權人員及/或系統取得處理個人資料系統之存取權。Jibe 的系統設計目標如下:(i) 僅允許獲授權人員存取獲授權存取之資料;以及 (ii) 確保在處理、使用期間及記錄之後,資料無法在未經授權的情況下遭到讀取、複製、更改或移除。系統可偵測任何不適當的存取行為。Jibe 採用中央存取管理系統,以控制人員存取正式作業環境伺服器,並且僅向少數獲得授權之人員提供存取權。LDAP、Kerberos 和利用數位憑證的專屬系統,可向 Jibe 提供安全彈性的存取機制。這類機制只會向站台主機、記錄、資料及設定資訊授予獲得核准的存取權。Jibe 要求使用不重複使用者 ID、高強度密碼、雙重驗證,以及謹慎監控的存取清單,儘可能降低未授權帳戶使用的可能性。存取權的授予或修改係依據:獲授權人員的工作職責;執行授權工作的必要工作職責要求;以及有知情必要。存取權之授予及修改也必須遵循 Jibe 內部資料存取政策及訓練辦理。核准程序是由工作流程工具管理,這類工具專門維護所有變更稽核記錄,存取系統時會留下記錄,以建立稽核軌跡用於釐清責任。在採用密碼進行驗證的情況下 (例如登入工作站),必須實施至少遵循業界標準實務的密碼政策。這類標準包括限制密碼重複使用,以及足夠的密碼強度。
3. 資料
(a) 資料儲存、隔離和驗證。
Jibe 會將資料儲存在 Google LLC 自有伺服器的多用戶群環境中。資料、處理器服務資料庫和檔案系統架構會複製到多個不同地區的資料中心。Jibe 會以邏輯方式隔離每位合作夥伴或客戶的資料。所有處理服務都會使用集中式驗證系統,提升資料的一致安全性。
(b) 停用磁碟和磁碟銷毀指南。
部分含有資料的磁碟可能會遭受效能問題、錯誤或硬體故障,導致遭到停用 (以下稱「停用磁碟」)。每個「停用磁碟」都要進行一系列的資料銷毀程序 (以下稱「資料銷毀指南」),才能離開 Jibe 場所以便重複使用或銷毀。「停用磁碟」會在多步驟程序中清除,並由至少兩位獨立驗證者負責驗證程序完畢。清除結果由「停用磁碟」序號記錄以便追蹤。最後,清除後的「停用磁碟」將釋出至庫存,以便重複使用及重新部署。如果因為硬體故障而無法清除「停用磁碟」,就必須以安全方式儲存直到可以銷毀為止。每座設施會定期接受稽核,確保落實「資料銷毀指南」。
(c) 匿名資料。
網路廣告資料通常會與網路 ID 建立關聯,而這些 ID 本身被視為「匿名」(也就是說,如果沒有使用其他資訊,無法歸因於特定個人)。Jibe 已制定一套完善的政策,並設立技術和組織控管機制,確保假名資料與可識別使用者身分的資訊 (即可用於直接識別、聯絡或精確定位個人位置的資訊) 之間的區隔,例如使用者的 Jibe 帳戶資料。在極少數情況下,Jibe 政策只允許在化名資料和個人識別資料之間流通資訊。
(d) 啟動評論。
Jibe จะตรวจสอบการเปิดตัวผลิตภัณฑ์และฟีเจอร์ใหม่ก่อนการเปิดตัวจริง 包括由受過專業訓練的隱私權工程師進行的隱私權審查。在隱私權審查中,隱私權工程師會確保遵循所有適用的 Jibe 政策和規範,包括但不限於與化名化、資料保留和刪除相關的政策。
4. 員工安全性
Jibe 人員行為必須符合機密性、商業道德、適當使用及專業標準等方面的公司準則。Jibe 會在法律允許的範圍內,依據適當的當地勞工法規和法規,進行合理適當的背景調查。
人員必須履行機密協議,並必須確認接收及遵循 Jibe 的機密性及隱私權政策。人員將接受安全訓練。處理「合作夥伴個人資料」的人員必須完成其職務之適當額外要求。Jibe 人員不會在未經授權的情況下處理合作夥伴個人資料。
5. 複委託者的安全性
在讓次級處理者參與資料處理活動之前,Jibe 會對次級處理者的安全性和隱私權做法進行稽核,並根據該次級處理者可能會存取的資料和提供的服務範圍,判斷其採取的安全性和隱私權防護層級是否恰當。Jibe 完成對複委託者處理資料的風險評估後,複委託者必須簽訂適當的安全性、機密性和隱私權合約條款,並遵守第 11.3 節 (複委託者委任要求) 的規定。
附錄 3:「非歐盟資料保護法規」補充條款
下列「非歐盟資料保護法規」補充條款旨在補充本「資料處理附加條款」:
- LGPD 處理者附加條款,請參閱 business.safety.google/processorterms/lgpd (2020 年 8 月 27 日)
- 美國州級法律附加條款,請參閱 business.safety.google/processorterms/us-state-laws (2022 年 12 月 12 日)
在 LGPD 處理者附加條款和美國州級法律附加條款中,提及 Google LLC 或 Google 的內容將改為提及 Jibe。
Jibe 資料處理附加條款,第 4.0 版