Google 与客户已签订 Google 效果衡量产品的控制方-控制方数据保护条款(以下简称“控制方条款”),该条款是对服务协议的补充。“美国州级隐私法界定的控制方”附录(以下简称“州级隐私法控制方”附录,是控制方条款的附录)由 Google 与客户签订,也是对服务协议的补充。本附录将自 2023 年 1 月 1 日或者客户点击接受或双方以其他方式同意本附录之日(以较晚者为准)起生效。
1. 简介。
针对效果衡量服务,Google 可能会提供涉及到 business.safety.google/rdp 中的相关文档(其内容会不时更新)所述的受限的数据处理(以下简称“受限的数据处理”)的产品内设置、配置或其他功能,并且客户也可能会启用这类设置、配置或功能。本“州级隐私法控制方”附录仅规定了与数据共享设置有关的数据保护细则(在未启用“受限的数据处理”的情况下),并不适用于效果衡量服务。客户全权负责在使用 Google 服务(包括受限的数据处理)时遵守所有适用的州级隐私法。
本“州级隐私法控制方”附录反映了双方根据与适用的州级隐私法(如下文中所定义)相关的数据共享设置,就处理客户个人数据和去标识化数据(如下文中所定义)达成的协议,且仅在相关州级隐私法适用的范围内有效。
2. 定义和解释。
2.1 根据具体适用情形,“适用的州级隐私法”是指:(a) CCPA;(b)《弗吉尼亚州消费者数据保护法案》弗吉尼亚州法典第 59.1-571 条的规定及后续条款;(c)《科罗拉多州隐私法》科罗拉多州修订法第 6-1-1301 条的规定及后续条款,以及所有实施的条例;(d)《康涅狄格州数据隐私和在线监控法案》,第 22015 号公共法案;以及 (e)《犹他州消费者隐私保护法》犹他州法案第 13-61-101 条的规定及后续条款。
2.2“CCPA”是指 2018 年颁布的《加州消费者隐私法案》(修订版),包括经 2020 年《加州隐私权法案》修订的条款,以及所有实施的条例。
2.3“去标识化数据”是指协议一方向另一方披露的经过“去标识化”(该术语由 CCPA 定义)处理的数据信息,以及由其他适用的州级隐私法定义的“去标识化数据”。
2.4 本“州级隐私法控制方”附录中所用的术语“企业”“消费者”“控制方”“个人数据”“个人信息”“流程”“处理”“促销”和“销售”以适用的州级隐私法中指定的含义为准。
2.5 本“州级隐私法控制方”附录中使用但未定义的相关术语以控制方条款中指定的含义为准。
3. 适用的州级隐私法条款。
3.1 去标识化数据。对于根据数据共享设置从另一方接收的任何去标识化数据,双方均须遵守适用的州级隐私法就去标识化数据处理所规定的要求。
3.2 Google 应履行的 CCPA 义务。对于在未启用“受限的数据处理”的情况下根据数据共享设置处理的客户个人数据,如果 CCPA 适用于对客户个人数据的处理,则:
- (a) Google 将根据服务协议和相关文档(例如帮助中心文章)中进一步说明的数据共享设置或以 CCPA 允许的其他方式处理此类客户个人数据,并且双方同意客户出于上述目的向 Google 提供此类客户个人数据;
- (b) Google 允许通过审核来验证 Google 是否遵照本“州级隐私法控制方”附录履行了相关义务,具体如下:
- (i) 客户可以通过审核验证 Google 是否遵照本“州级隐私法控制方”附录履行了相关义务,方法是索要并审核以下材料:(1) 截至客户提出请求的日期,在 12 个月内取得的安全验证证书,体现第三方审核机构审核的结果(例如 ISO/IEC 27001 证书或具有相当权威性的证书,或是由客户和 Google 一致同意的第三方审核机构经审核后颁发的其他安全证书;以及 (2) 客户确认 Google 是否履行了此等义务所必需的任何其他信息(由 Google 合理判断)。
- (ii) 或者,Google 也可以应客户的请求,自行决定请第三方审核机构审核,以验证 Google 是否遵照本“州级隐私法控制方”附录的规定履行了相关义务。在此类审核过程中,Google 将向第三方审核机构提供所有必要的信息,以此证明己方履行了相关义务。如果客户请求进行此类审核,Google 可能会收取审核费用(以 Google 的合理费用为准)。在开展任何此类审核工作之前,Google 将向客户提供任何应计费用的详细信息及计算依据。对于由第三方审核机构开展的此类审核,客户须支付相应机构收取的所有费用。
- (iii) 本“州级隐私法控制方”附录中的任何规定均未要求 Google 向客户或其第三方审核机构披露以下信息,也未允许客户或其第三方审核机构访问这类信息:
- (1) Google 实体的任何其他客户的任何数据;
- (2) Google 实体的任何内部会计或财务信息;
- (3) Google 实体的任何商业秘密;
- (4) Google 有合理的理由认为披露或授予访问权限后可能导致以下情况的任何信息:(A) 导致 Google 实体的任何系统或场所受到安全威胁;或 (B) 导致 Google 实体违反适用的州级隐私法所规定的义务,或违反对客户或任何第三方的安全保障义务和/或隐私保护义务;或者
- (5) 客户或其第三方审核机构在诚实履行适用的州级隐私法规定的客户义务之外,出于任何其他目的寻求获取的任何信息;
- (c) 如果 Google 确定无法再履行 CCPA 规定的义务,将会通知客户;
- (d) 如果客户有合理的理由认为 Google 以未经授权的方式处理客户个人数据,则有权通过 privacy.google.com/businesses/processorsupport 所述的方法通知 Google,并且双方将本着诚实守信的原则合作,根据需要针对涉嫌违规的处理活动采取补救措施;并且
- (e) Google 将根据 CCPA 履行己方应承担的义务,并会根据 CCPA 的要求提供同等级别的隐私保护。
4. 对本“州级隐私法控制方”附录的更改。
除本控制方条款第 9 条(本控制方条款的更改)外,Google 可在不另行通知的情况下对本“州级隐私法控制方”附录做出以下更改,前提是这些更改:(a) 符合适用法律法规、法院命令或政府监管机构或者其他机构发布的指南;或者 (b) 根据适用的州级隐私法,不会对客户产生实质性不利影响(由 Google 合理判断)。
2023 年 1 月 1 日
