Google 與「客戶」已簽訂《Google 評估服務控管者與控管者的資料保護條款》(下稱「控管者條款」),此為「協議」之增補條款。本「控管者條款」的《美國州級隱私權法律控管者附錄》(下稱「州級隱私權法律控管者附錄」) 係由 Google 與「客戶」簽訂,且同為「協議」之增補條款。本「附錄」的生效日為 2023 年 1 月 1 日,或是「客戶」點按接受本「附錄」或雙方透過其他方式同意本「附錄」該日,以日期較晚者為準。
1. 前言
針對與受限資料處理模式相關的「評估服務」,Google 可提供且「客戶」可啟用特定產品內設定、配置或其他功能 (下稱「受限的資料處理」),如business.safety.google/rdp 提供的補充說明文件所述 (相關資訊將不時更新)。本「州級隱私權法律控管者附錄」僅列出與「資料共用設定」有關的資料保護條款 (未啟用「受限的資料處理」),不適用於提供「評估服務」之行為。「客戶」使用 Google 服務 (包括「受限的資料處理」服務) 時應擔負法規遵循全責,確保一切符合「適用州隱私權法律」的各項規定。
本「州級隱私權法律控管者附錄」代表雙方同意根據「適用州隱私權法律」(如下文定義) 的「資料共用設定」,處理「客戶個人資料」和「去識別資料」(如下文定義),且本附錄效力僅限於「適用州隱私權法律」各項規定的適用範圍。
2. 定義與闡釋。
2.1「適用州隱私權法律」係指 (如適用):(a)《加州消費者隱私法》(CCPA);(b)「維吉尼亞州消費者資料保護法」,《維吉尼亞州法典註釋版》第 § 59.1-571 節及後續條款;(c)「科羅拉多州隱私權法」,《科羅拉多州修訂制定法》第 § 6-1-1301 節及後續條款,以及所有實施法規;(d)「康乃迪克州資料隱私權與線上監控法」,《康乃迪克州公開法》第 22015 號;以及 (e)「猶他州消費者隱私法」,《猶他州法典註釋版》第 § 13-61-101 節及後續條款。
2.2「CCPA」係指 2018 年修訂版《加州消費者隱私法》,包括 2020 年《加州隱私權法》修訂條文,以及所有實施法規。
2.3「去識別化資料」係指經過「去識別化」(該詞依 CCPA 定義) 的資料資訊,以及某方向另一方揭露的「去識別化資料」(依「適用州隱私權法律」定義)。
2.4 本「州級隱私權法律控管者附錄」使用「業務」、「消費者」、「控管者」、「個人資料」、「個人資訊」、「程序」、「處理」、「銷售」和「販售」等詞,這些字詞的涵義同「適用州隱私權法律」中的定義。
2.5 本「州級隱私權法律控管者附錄」中採用但未定義的字詞 (由引號「」括住),其涵義同本「控管者條款」中的定義。
3. 適用州隱私權法律條款。
3.1 去識別化資料。對於依「資料共用設定」從另一方接收的任何「去識別化資料」,各方皆須按照「適用州隱私權法律」所載的規定進行處理。
3.2 Google 的 CCPA 義務。對於依「資料共用設定」處理的「客戶個人資料」(未啟用「受限的資料處理」的情況下),CCPA 涵蓋的「客戶個人資料」適用處理範圍:
- (a) Google 處理「客戶個人資料」時,將依據「協議」和補充說明文件 (例如說明中心文章) 中詳述的「資料共用設定」或是依 CCPA 規定,且各方同意「客戶」係基於此等目的,將「客戶個人資料」提供給 Google;
- (b) Google 允許透過稽核程序確認 Google 是否遵循本「州級隱私權法律控管者附錄」載明的義務:
- (i) 「客戶」得透過稽核確認 Google 是否遵循本「州級隱私權法律控管者附錄」載明的義務,稽核方式為要求提供以下項目並進行審核: (1) 憑證。第三方稽核機構核發的安全性稽核結果證明 (例如 ISO/IEC 27001 憑證,或由「客戶」和 Google 雙方議定的第三方稽核機構所核發的同等憑證或其他安全性認證),此類憑證應於「客戶」提出要求該日起 12 個月內保持有效;以及 (2) 任何其他合理資訊。「客戶」確認 Google 是否遵循前述義務時,Google 認定可用來依循的任何必要資訊。
- (ii) 此外,Google 也可逕自依「客戶」要求,請第三方稽核機構驗證 Google 是否遵循本「州級隱私權法律控管者附錄」載明的義務。進行此類稽核期間,Google 會向第三方稽核機構提供所有必要資訊,證明自身確實遵循前述義務。如果「客戶」提出此類稽核要求,Google 可能會收取稽核相關費用 (以 Google 的合理報價為準)。Google 會在進行任何前述稽核之前,事先向「客戶」進一步說明任何適用費用及計算基礎。對於任何第三方稽核機構因執行任何前述稽核,而收取的所有費用,皆應由「客戶」自行負擔。
- (iii) 在本「州級隱私權法律控管者附錄」中,並無任何條文規定 Google 必須向「客戶」或其第三方稽核機構揭露或允許「客戶」或其第三方稽核機構存取:
- (1) Google 實體任何其他「客戶」的任何資料;
- (2) 任何 Google 實體的內部會計或財務資訊;
- (3) Google 實體的任何商業機密;
- (4) Google 合理認為可能符合下列條件的任何資訊:(A) 危及任何 Google 實體的系統或設施安全性;或 (B) 導致任何 Google 實體違反「適用州隱私權法律」載明的義務,或是違反 Google 對「客戶」/任何第三方的安全性和/或隱私權義務;或是
- (5)「客戶」或其第三方稽核機構要求存取的任何資訊,而原因皆非出於善意履行「適用州隱私權法律」載明的義務;
- (c) 如果 Google 認定本身已無法履行 CCPA 載明的義務,Google 將通知「客戶」;
- (d) 如果「客戶」合理認為 Google 擅自處理「客戶個人資料」,「客戶」有權透過 privacy.google.com/businesses/processorsupport 所述的方式知會 Google,且雙方將基於善意合作補救疑似違規的處理活動 (如有必要);且
- (e) Google 將遵守 CCPA 載明的適用義務,並按 CCPA 規定提供同等隱私保護措施。
4. 本「州級隱私權法律控管者附錄」的異動。
除了「控管者條款」第 9 節 (本「控管者條款」的異動) 的內容,Google 亦可在不另行通知的情況下變更本「州級隱私權法律控管者附錄」,惟該項變更應 (a) 基於適用法律、適用法規、法院命令,或政府當局/主管機關發布的方針,或是 (b) 根據「適用州隱私權法律」規定,對「客戶」不會造成重大不利影響 (依 Google 合理認定)。
2023 年 1 月 1 日
