Google 評估服務客戶 (以下稱「客戶」) 一旦同意下列條款,即代表:對於在「客戶」已啟用「資料共用設定」的服務使用者介面,提供 Google 評估服務一事,「客戶」與 Google 或第三方經銷商 (視與何者簽訂) 已達成協議 (以下稱「協議」,惟其內容可能會不時修訂)。
下列 Google 評估服務控管者與控管者的資料保護條款 (以下稱「控管者條款」) 係由 Google 與「客戶」簽訂。如「協議」係由「客戶」與 Google 簽訂,則本「控管者條款」為「協議」的增補條款。如「協議」係由「客戶」和第三方經銷商簽訂,則本「控管者條款」構成 Google 與「客戶」另行簽訂的協議。
為免生疑義,提供 Google 評估服務之行為係受到「協議」規範。本「控管者條款」僅列出與「資料共用設定」有關的資料保護條款,不適用於提供 Google 評估服務之行為。
根據第 6.2 節 (不影響「處理者條款」) 的規定,本「控管者條款」將從「條款生效日期」起生效,並取代此前與其標的相關的任何適用條款。
如您代表「客戶」接受本「控管者條款」,即代表您做出以下擔保:(a) 您已獲得完整法律授權,可約束「客戶」履行本「控管者條款」;(b) 您已詳閱並瞭解本「控管者條款」;且 (c) 您已代表「客戶」同意接受本「控管者條款」。如果您不具備可約束「客戶」的法律授權,請勿接受本「控管者條款」。
如果您是經銷商,請勿接受本「控管者條款」。本「控管者條款」旨在闡明 Google 評估服務使用者與 Google 之間適用的權利和義務。
1. 簡介
本「控管者條款」反映雙方對於依據「資料共用設定」處理「控管者管理的個人資料」一事,達成協議。
2. 定義與闡釋
2.1
在本「控管者條款」中:
「補充條款」係指「附錄 1」中所指的額外條款,反映雙方同意在依據特定「適用的資料保護法規」處理「控管者管理的個人資料」時,應遵守的相關條款。
「關係企業」係指直接或間接控制某方、受某方控制,或與某方一同受控制的實體。
「適用的資料保護法規」係指適用於處理「控管者管理的個人資料」的國家、聯邦、歐盟、州/省層級法律或法規,或其他隱私權、資料安全性或資料保護法律或法規,包括「歐盟資料保護法」、LGPD 和「美國州級隱私權法律」。
「機密資訊」係指本《控管者條款》。
「控管者資料當事人」係指與「控管者管理的個人資料」相關的資料當事人。
「控管者管理的個人資料」係指某方根據「資料共用設定」處理的個人資料。
「資料共用設定」係指「客戶」在 Google 評估服務使用者介面啟用的資料共用設定。啟用這類設定後,Google 及關係企業即可將個人資料用於改善自家產品和服務。
「終端控管者」係指各方當事人的「控管者管理的個人資料」最終控管者。
「歐盟 GDPR」係指歐洲議會及理事會為保護自然人權利,在 2016 年 4 月 27 日頒布的第 2016/679 號歐盟規章,旨在規範個人資料之處理及自由流通,並廢止 95/46/EC 指令。
「歐盟資料保護法」視實際情況而定,可能指:(a)《GDPR》和/或 (b)《瑞士 FDPA》。
「GDPR」係指 (視情況而定):(a) 歐盟 GDPR;及/或 (b) 英國 GDPR。
「Google」係指:
- (a) 如 Google 實體為「協議」之一方當事人,則指該 Google 實體。
- (b) 如「協議」係由「客戶」與第三方經銷商簽訂,且:
- (i) 該第三方經銷商之機構設於北美洲或設於歐洲、中東、非洲、亞洲和大洋洲以外的其他地區,則指 Google LLC (前身為 Google Inc.);
- (ii) 該第三方經銷商之機構設於歐洲、中東或非洲,則指 Google Ireland Limited;或
- (iii) 該第三方經銷商之機構設於亞洲和大洋洲,則指 Google Asia Pacific Pte. Ltd.。
「Google 實體」係指 Google LLC、Google Ireland Limited 或 Google LLC 的任何其他「關係企業」。
「LGPD」係指巴西《一般資料保護法》(Lei Geral de Proteção de Dados Pessoais)。
「Google 評估服務」係指 Google Analytics (分析)、Google Analytics (分析) 360、Google Analytics for Firebase、Google 最佳化工具或 Google 最佳化工具 360,視雙方同意本「控管者條款」時,適用的「資料共用設定」而定。
「政策」係指 https://www.google.com/about/company/user-consent-policy.html 上列載的「Google 使用者同意授權政策」。
「處理者條款」係指:
- (a) 如 Google 為「協議」之一方當事人,則指 https://business.safety.google/adsprocessorterms 上列載的處理者條款;或
- (b) 如「協議」係由「客戶」和第三方經銷商簽訂,有這兩方同意的控管者與處理者關係條款時,則指這類條款。
「瑞士 FDPA」係指 1992 年 6 月 19 日《聯邦資料保護法》(瑞士)。
「條款生效日期」係指「客戶」點選接受本「控管者條款」的日期,或是雙方以其他方式同意本「控管者條款」的日期。
「英國控管者管理的個人資料」係指英國境內「控管者資料當事人」的「控管者管理的個人資料」。
「英國 GDPR」係指依照 2018 年英國《退出歐盟法案》修訂及整合至英國法律的歐盟 GDPR,以及根據該法案制訂的相關次級法規。
「美國州級隱私權法律」視情況係指:(i) 2018 年《加州消費者隱私法》(包括 2020 年《加州隱私權法案》修訂條文) 及所有實施細則 (以下稱「CCPA」);(ii)《維吉尼亞州消費者資料保護法》(《維吉尼亞州法典註釋版》第 § 59.1-571 節及後續條款);(iii)《科羅拉多州隱私法》(《科羅拉多州修訂制定法》第 § 6-1-1301 節及後續條款);(iv)《康乃狄克州資料隱私與網路監控法》(《康乃狄克州公開法》第 22015 號);以及 (v)《猶他州消費者隱私保護法》(《猶他州法典註釋版》第 § 13-61-101 節及後續條款)。
2.2
本「控管者條款」中的「控管者」、「資料當事人」、「個人資料」、「處理」和「處理者」詞彙係 (a) 採用「適用的資料保護法規」所列定義;(b) 若無此類定義或法規,則採用 GDPR 所列定義。
2.3
本「控管者條款」中的任何範例僅供說明之用,並未影射任何真實人物或事件。
2.4
如提及任何法律架構、法規或其他立法條例,均以其最新修訂或頒布之內容為準。
2.5
如果「協議」的英文版與其他語言的翻譯版本有所不符,一律以英文版為準。
2.6
《控管者標準契約條款》中所述的《Google Ads 控管者與控管者資料保護條款》應視同《Google 評估服務控管者與控管者的資料保護條款》。
3. 本「控管者條款」之適用範圍
3.1 一般規定
本「控管者條款」僅適用於雙方就本「控管者條款」同意的「資料共用設定」(例如由「客戶」點選接受本「控管者條款」的「資料共用設定」)。
3.2 效期
本「控管者條款」自「條款生效日期」起適用,並於 Google 或「客戶」處理「控管者管理的個人資料」期間保有效力。該期間結束後,本「控管者條款」將自動終止。
4. 資料處理角色和限制
4.1 獨立控管者
根據第 4.4 節 (「終端控管者」) 規定,各方均應:
- (a) 為「控管者管理的個人資料」的獨立控管者;
- (b) 自行決定處理「控管者管理的個人資料」之目的和方式;並且
- (c) 根據「適用的資料保護法規」處理「控管者管理的個人資料」,並遵循相關義務。
4.2 資料處理限制
第 4.1 節 (獨立控管者) 不影響任一方依「協議」使用或以其他方式處理「控管者管理的個人資料」時,適用的權利限制。
4.3 使用者同意聲明
依據「資料共用設定」共用「控管者管理的個人資料」時,「客戶」將遵循相關「政策」規定,且不論何時,一律應承擔依法舉證的責任。
4.4 終端控管者
在不減少各方依「控管者條款」承擔義務的情況下,各方均確認 (a) 另一方的「關係企業」或客戶得擔任「終端控管者」;及 (b) 另一方得代表其「終端控管者」擔任處理者。各方均應確保其「終端控管者」遵守「控管者條款」。
4.5 資訊公開
「客戶」知悉 Google 已於 https://business.safety.google/privacy/ 發布相關資訊,說明網站、應用程式或其他資源使用 Google 服務時,Google 將如何運用來自前述資源的資訊。如不妨礙第 4.1(c) 節所述的義務,「客戶」可提供該網頁的連結,協助「控管者資料當事人」瞭解 Google 如何處理「控管者管理的個人資料」。
5. 賠償責任
5.1
如 Google 為:
- (a)「協議」其中一方,且「協議」受下列法律規範:
- (i) 美國其中一州的法律,則儘管「協議」另有其他規定,任一方依據本「控管者條款」或相關條款要求另一方承擔的全部賠償責任,將以「協議」規定該方應賠償的最高金額或支付款項為限 (因此,「協議」賠償責任限制對賠償請求的任何排除條款,均不適用於根據「協議」提出的「適用的資料保護法規」相關賠償請求);或
- (ii) 其他管轄區 (非美國其中一州) 的法律,則雙方依據本「控管者條款」或相關條款應承擔的賠償責任,將受「協議」中責任排除及限制的條款約束;或
- (b) 非「協議」之一方當事人,則在適用法律允許的範圍內,對於「客戶」的收益損失或間接性、特殊性、附隨性、衍生性、懲罰性或懲罰性損害賠償,Google 無須承擔任何賠償責任 (無論 Google 或其「關係企業」是否已獲知、已知悉或應知悉這類損害不符合救濟條件)。針對與本「控管者條款」相關或因本「控管者條款」產生的索賠、損害或訴訟等損失或損害,Google (及其「關係企業」) 對「客戶」或任何其他當事方,所須承擔的全部累計賠償責任將不超過 $500 美元。
6. 《控管者條款》的效力
6.1 優先順序
倘若「補充條款」、本「控管者條款」其餘條款和/或「協議」其餘條款之間,有任何牴觸或不一致之處,則根據第 4.2 節 (資料處理限制) 和第 6.2 節 (不影響「處理者條款」) 規定,三者的適用優先順序如下:(a)「補充條款」(如適用);(b) 本「控管者條款」其餘條款;(c)「協議」其餘條款。本《控管者條款》如有任何修訂,Google 與「客戶」簽訂之「協議」仍將完全有效。
6.2 不影響「處理者條款」
本「控管者條款」不會取代或影響任何「處理者條款」。為免生疑義,倘若「客戶」為 Google 評估服務相關「處理者條款」之一方,則無論本「控管者條款」是否適用於依「資料共用設定」處理的「控管者管理的個人資料」,「處理者條款」仍將繼續適用於 Google 評估服務。
7. 本「控管者條款」之變更
7.1 控管者條款之變更
發生以下情況時,Google 得變更本「控管者條款」:
- (a) 反映法人的名稱或組織形式變更;
- (b) 為了遵守適用法律、適用法規、法院命令或政府監管機構或主管機關發布的方針,或為了反映 Google 採用「替代移轉解決方案」 (定義見「附錄 1A」);
- (c) 屬於第 7.2 節 (「網址變更」) 所述情況;或
- (d) 此類變更不會:(i) 以其他方式試圖改變雙方依「適用的資料保護法規」定義的個人資料控管者角色類別;(ii) 擴大任一方使用或以其他方式處理「控管者管理的個人資料」的權限,或解除任何相關限制;或 (iii) 對「客戶」造成重大不利影響 (依 Google 合理認定)。
7.2 網址變更
Google 得不時變更本「控管者條款」中提及的任何網址,以及任何此類網址的內容。
7.3 變更通知
如 Google 有意根據第 7.1(b) 節變更本「控管者條款」,且合理判定此類變更將對「客戶」造成重大不利影響,則 Google 將盡商業上合理的努力,於變更生效日至少 30 天前通知「客戶」,或於更短期間內通知 (取決於須遵守的適用法律、適用法規、法院命令或政府監管機構/主管機關發布的方針)。如「客戶」不接受此類變更,可選擇停用「資料共用設定」。
8. 附加條款
8.1
本節 (第 8 節「附加條款」) 僅適用於 Google 非「協議」一方的情況。
8.2
各方應盡合理的心力,遵守本「控管者條款」規定的義務。
8.3
未經對方事先書面同意,任一方不得使用或揭露另一方的「機密資訊」,除非是為了行使其權利或履行本「控管者條款」的義務,或為了遵守法律、法規或法院命令。在此情況下,被迫揭露「機密資訊」之一方應於揭露資訊前,在合理可行的範圍內,盡可能通知另一方。
8.4
在適用法律允許的最大範圍內,除非本「控管者條款」另有明文規定,否則 Google 不提供任何明示、暗示、法定或其他形式之擔保,包括但不限於適售性、特定用途適用性及未侵權擔保。
8.5
如任一方因人力不可抗拒之因素而無法履行或延遲履行義務,則無須承擔任何賠償責任。
8.6
即使本「控管者條款」有任何條款 (或其部分內容) 無效、違法或不可執行,本「控管者條款」的其餘部分仍具效力。
8.7
(a) 除了以下 (b) 節所述事項外,本「控管者條款」將受美國加州法律規範並依其解釋,但不適用該州衝突法原則。如果外國法律、規章和條例與加州法律、規章和條例之間有任何衝突,應以加州法律、規章和條例為準。各方同意美國加州聖塔克拉拉郡 (Santa Clara County, California) 的法院具有屬人管轄權,而且是唯一的審判法院。《聯合國國際貨物銷售契約公約》和美國《統一電腦資訊交易法》不適用於本「控管者條款」。
(b) 如「協議」係由「客戶」和第三方經銷商簽訂,且該第三方經銷商的機構設於歐洲、中東或非洲,則本「控管者條款」將受英國法律規範。各方一致同意,衍生自本「控管者條款」或與本條款相關的任何爭議 (不論是否與合約有關),均受英國法院專屬管轄。
(c) 在適用《控管者標準契約條款》但提供之準據法有別於上述 (a) 和 (b) 節的情況下,《控管者標準契約條款》中的準據法將僅適用於《控管者標準契約條款》。
(d)《聯合國國際貨物銷售契約公約》和美國《統一電腦資訊交易法》不適用於本《控管者條款》。
8.8
所有終止或違約通知均應以英文書面提供,並寄送至另一方的法務部門。Google 法務部門接收通知的電子郵件地址為 legal-notices@google.com。一旦相關通知確認由另一方收取 (回信或自動回條),或電子記錄中顯示為已收取 (如適用),即視為已送達。
8.9
任一方未行使 (或延緩行使) 本「控管者條款」中的任何權利,不得視為拋棄權利。未經對方書面許可,任一方均不得轉讓本「控管者條款」的任何部分,除非受讓方為「關係企業」,且:(a) 受讓方已書面同意接受本「控管者條款」約束;(b) 若受讓方未能履行本「控管者條款」義務,轉讓方仍將承擔賠償責任;(c) 對「客戶」而言,轉讓方已將其 Google 評估服務帳戶轉移給受讓方;以及 (d) 轉讓方已通知另一方轉讓情事。任何其他嘗試轉讓的方式均視為無效。
8.10
雙方均為獨立承攬人,並未透過本「控管者條款」建立任何代理、合夥或合資關係。除非有明確陳述,否則本「控管者條款」不向任何第三方授予利益。
8.11
在適用法律允許的範圍內,本「控管者條款」已載明雙方同意的所有條款。簽訂本「控管者條款」後,任一方皆不得主張本「控管者條款」未明確列出之任何聲明、陳述或擔保的效力,亦無法基於這類聲明、陳述或擔保享有任何權利或救濟 (無論出於過失或無心)。
附錄 1:「適用的資料保護法規」補充條款
A 部分 -「歐盟資料保護法規」補充條款
1. 簡介
本「附錄 1A」的適用範圍,僅限於「歐盟資料保護法規」對處理「控管者管理的個人資料」的適用範圍。
2. 定義
2.1 在本「附錄 1A」中:
「受規範國家/地區」係指:
- (a) 如果是根據歐盟 GDPR 規定處理資料,則指歐洲經濟區,或是資料保護受歐盟 GDPR 規範的國家/地區或地域;
- (b) 如果是根據英國 GDPR 規定處理資料,則指英國,或是資料保護受英國 GDPR 和《2018 年資料保護法》規範的國家/地區或地域;和/或
- (c) 如果是根據瑞士 FDPA 規定處理資料,則指瑞士,或是在自行採用資料保護架構之外,亦符合下列條件的國家/地區或地域:(i) 資料保護措施符合相關規範,且列於「瑞士聯邦資料保護與資訊委員會」發布的名單,或 (ii) 資料保護措施經瑞士聯邦委員會認定且受瑞士 FDPA 規範。
「替代移轉解決方案」係指《控管者標準契約條款》以外的解決方案,可依據「歐盟資料保護法規」合法將個人資料移轉至第三國家/地區,例如經過認可的資料保護架構,確保參與實體可提供適當的保護措施。
《控管者標準契約條款》係指 business.safety.google/adscontrollerterms/sccs/c2c 中的條款。
「EEA」係指歐洲經濟區。
「歐洲控管者管理的個人資料」係指歐洲經濟區或瑞士境內「控管者資料當事人」的「控管者管理的個人資料」。
「歐洲法律」定義視實際情況而定:(a) 若處理「控管者管理的個人資料」時適用歐盟 GDPR,則指歐盟或歐盟成員國法律;(b) 若處理「控管者管理的個人資料」時適用英國 GDPR,則指英國國家或地方法律;(c) 若處理「控管者管理的個人資料」時適用瑞士 FDPA,則指瑞士法律。
「Google 終端控管者」係指由 Google 處理之「控管者管理的個人資料」的「終端控管者」。
「允許的歐洲資料移轉行為」係指在受規範國家/地區處理「控管者管理的個人資料」,或是將「控管者管理的個人資料」移轉至受規範國家/地區。
「受限制的歐洲資料移轉行為」係指符合以下描述的「控管者管理的個人資料」移轉行為:(a) 受「歐盟資料保護法規」約束;且 (b) 並非「允許的歐洲資料移轉行為」。
「英國控管者管理的個人資料」係指英國境內「控管者資料當事人」的「控管者管理的個人資料」。
2.2「資料匯入者」和「資料匯出者」詞彙採用《控管者標準契約條款》的定義。
3. Google 終端控管者
「Google 終端控管者」包括:(i) Google Ireland Limited (針對 Google 處理的「歐洲控管者管理的個人資料」);(ii) Google LLC (針對 Google 處理的「英國控管者管理的個人資料」)。各方均應確保其「終端控管者」遵守《控管者標準契約條款》(如適用)。
4. 資料移轉
4.1 受限制的歐洲資料移轉行為。任一方均可進行「受限制的歐洲資料移轉行為」,惟應遵守「歐盟資料保護法規」中「受限制的歐洲資料移轉行為」相關條款。
4.2 替代移轉解決方案。
- (a) 如果 Google 採用「替代移轉解決方案」進行任何「受限制的歐洲資料移轉行為」,則:(i) Google 會確保依照該「替代移轉解決方案」進行這類「受限制的歐洲資料移轉行為」;且 (ii) 本「附錄 1A」第 5 項 (「控管者標準契約條款」) 不適用於這類「受限制的歐洲資料移轉行為」。
- (b) 若 Google 未採用「替代移轉解決方案」,或已告知「客戶」不再使用「替代移轉解決方案」進行任何「受限制的歐洲資料移轉行為」,則本「附錄 1A」第 5 項 (「控管者標準契約條款」) 將適用於此類「受限制的歐洲資料移轉行為」。
4.3 後續移轉條款。
- (a) 第 4.3 項的適用範圍。本「附錄 1A」第 4.3(b) 項 (「使用資料提供者個人資料」) 和第 4.3(c) 項 (「保護資料提供者個人資料」) 僅適用於以下情況:
- (i) 某方 (以下稱「資料接收者」) 處理另一方 (以下稱「資料提供者」) 根據「協議」提供的相關「控管者管理的個人資料」,例如「控管者管理的個人資料」、「資料提供者個人資料」;
- (ii)「資料提供者」或其「關係企業」通過「替代移轉解決方案」認證;且
- (iii)「資料提供者」以書面通知「資料接收者」此類「替代移轉解決方案」認證。
- (b) 使用資料提供者個人資料。
- (i) 若適用的「替代移轉解決方案」包含後續移轉原則,則根據相關「替代移轉解決方案」的此類後續移轉原則,「資料接收者」將僅按照相關「控管者資料當事人」的同意聲明,使用「資料提供者個人資料」。
- (ii) 如果「資料提供者」未能根據「協議」取得相關「控管者資料當事人」的同意,但「資料接收者」使用「資料提供者個人資料」的方式符合必要的同意聲明規定,則不違反第 4.3(b)(i) 項。
- (c) 保護資料提供者個人資料。
- (i)「資料接收者」必須為「資料提供者個人資料」提供一定程度的保護,至少應等同適用的「替代移轉解決方案」要求的保護層級。
- (ii) 若「資料接收者」認為自身無法遵守第 4.3(c)(i) 項規定,則應:(A) 以書面通知「資料提供者」;且 (B) 停止處理「資料提供者個人資料」,或採取合理的適當措施,彌補此等無法符合規定的情形。
- (d)「替代移轉解決方案」的採用與認證。如要瞭解 Google 和/或其「關係企業」如何採用「替代移轉解決方案」及通過這類方案的認證,請參閱 https://policies.google.com/privacy/frameworks。本項 (第 4.3(d) 項) 條款視同在「條款生效日期」,以書面提供 Google 和/或其「關係企業」當前認證狀態的通知,如第 4.3(a)(iii) 項所述。
5. 控管者標準契約條款
5.1 將「歐洲控管者管理的個人資料」轉移給「客戶」。如為以下情況:
- (a) Google 將「歐洲控管者管理的個人資料」轉移給「客戶」;且
- (b) 該轉移屬於「受限制的歐洲資料移轉行為」,則視同「客戶」以資料匯入者的身分,與 Google Ireland Limited (適用的「Google 終端控管者」) 以資料匯出者的身分,共同簽訂《控管者標準契約條款》,且轉移作業將受此條款規範。
5.2 將「英國控管者管理的個人資料」轉移給「客戶」。如為以下情況:
- (a) Google 將「英國控管者管理的個人資料」轉移給「客戶」;且
- (b) 該轉移屬於「受限制的歐洲資料移轉行為」,則視同「客戶」以資料匯入者的身分,與 Google LLC (適用的「Google 終端控管者」) 以資料匯出者的身分,共同簽訂《控管者標準契約條款》,且轉移作業將受此條款規範。
5.3 將「歐洲控管者管理的個人資料」移轉給 Google。雙方均知悉,若「客戶」將「歐洲控管者管理的個人資料」轉移給 Google,則無須簽訂《控管者標準契約條款》,因為 Google Ireland Limited (適用的 Google「終端控管者」) 設立於「受規範國家/地區」,故這類轉移作業屬於「允許的歐洲資料移轉行為」。這不影響 Google 根據本「附錄 1A」第 4.1 項 (「受限制的歐洲資料移轉行為」) 應承擔的義務。
5.4 將「英國控管者管理的個人資料」移轉給 Google。若「客戶」將「英國控管者管理的個人資料」轉移給 Google,即視同「客戶」以資料匯出者的身分,與 Google LLC (適用的 Google「終端控管者」) 以資料匯入者的身分,共同簽訂《控管者標準契約條款》,且轉移作業將受此條款規範,因為 Google LLC 的地址不在「受規範國家/地區」境內。
5.5 與 Google 聯絡;客戶資訊
- (a) 有關《控管者標準契約條款》的相關事宜,「客戶」得透過 https://support.google.com/policies/troubleshooter/9009584 或 Google 不時提供的其他聯絡方式,與 Google Ireland Limited 和/或 Google LLC 聯絡。
- (b)「客戶」知悉 Google 須遵照《控管者標準契約條款》規定記錄特定資訊,包括 (i) 資料匯入者 (包含負責保護資料的任何聯絡人) 的身分和詳細聯絡資料;以及 (ii) 資料匯入者採取的技術與組織措施。因此,如果「客戶」收到相關要求,應以 Google 可能提供的方式,向 Google 提交此等資訊,並確保一切資訊正確無誤且符合現況。
5.6 回覆資料當事人的提問。有關資料匯入者對「控管者管理的個人資料」的處理情形,相關資料匯入者應負責回應資料當事人和監管機關的提問。
5.7 終止時刪除資料。如為以下情況:
- (a) 根據《控管者標準契約條款》規定,Google LLC 為資料匯入者,「客戶」為資料匯出者;且
- (b)「客戶」根據《控管者標準契約條款》第 16(c) 條終止「協議」,並依《控管者標準契約條款》第 16(d) 條規定,「客戶」指示 Google 刪除「控管者管理的個人資料」;除非「歐洲法律」要求儲存資料,否則只要合理可行,Google 將盡可能在合理時間內,協助刪除此等資料 (應考量 Google 為此等資料的獨立控管者,同時具有「評估服務」的本質和功能)。
6. 適用《控管者標準契約條款》時的賠償責任。
如為本「附錄 1A」第 5 項 (「控管者標準契約條款」) 所載適用《控管者標準契約條款》的情況,則:
- (a) Google、Google LLC 和 Google Ireland Limited 對「客戶」應承擔的全部累計賠償責任;以及
- (b) 針對因「協議」和《控管者標準契約條款》而產生或與其相關的費用,「客戶」對 Google、Google LLC 和 Google Ireland Limited 應承擔的全部累計賠償責任,將以第 5 節「賠償責任」規定者為限。《控管者標準契約條款》第 12 條不影響前項條款。
7. 受益第三人
假如 Google LLC 和/或 Google Ireland Limited 並非「協議」締約方,但依本「附錄 1A」第 5 項 (「控管者標準契約條款」) 為適用《控管者標準契約條款》的締約方,則 Google LLC 和/或 Google Ireland Limited (視情況而定) 將為以下各節/項內容中所述的受益第三人:第 4.4 節「終端控管者」,以及本「附錄 1A」第 3 項「Google 終端控管者」、第 5 項「控管者標準契約條款」和第 6 項「適用《控管者標準契約條款》時的賠償責任」。如果本項 (第 7 項「受益第三人」) 與「協議」中的任何其他條款有牴觸或不一致之處,則以本項 (第 7 項「受益第三人」) 為準。
8. 優先順序
8.1 如果《控管者標準契約條款》、本「附錄 1A」、「控管者條款」其餘條款和/或「協議」其餘條款之間,有任何牴觸或不一致,應以《控管者標準契約條款》為準。
8.2 額外商業條款。本《控管者條款》如有任何修訂,「協議」仍將完全有效。本「附錄 1A」第 5.5 項 (「與 Google 聯絡」) 至第 5.7 項 (「終止時刪除資料」),以及第 6 項 (「適用《控管者標準契約條款》時的賠償責任」) 為《控管者標準契約條款》的相關附加商業條款,且《控管者標準契約條款》第 2(a) 條 (「條款之效力和不變性」) 允許此類條款。
8.3 不得修改《控管者標準契約條款》。本「協議」之任何條款 (包括本《控管者條款》) 皆不得修改或牴觸任何《控管者標準契約條款》規定,也不得侵害《歐盟資料保護法》賦予資料當事人的基本權利或自由。
B 部分 -「美國州級隱私權法律」補充條款
1. 簡介
如 business.safety.google/rdp 提供的補充說明文件所述 (相關資訊將不時更新),對於有關受限資料處理的「評估服務」,Google 可提供且「客戶」可啟用特定產品內設定、配置或其他功能 (以下稱「受限的資料處理」)。本「附錄 1B」代表雙方同意根據「協議」,依「美國州級隱私權法律」處理「客戶個人資料」和「去識別化資料」(如下文定義),且效力僅限於「美國州級隱私權法律」各項規定的適用範圍。
2. 其他定義與闡釋。
在本「附錄 1B」中:
- (a)「客戶個人資料」係指 Google 提供「評估服務」時,代表「客戶」處理的個人資料。
- (b)「去識別化資料」係指經過「去識別化」處理 (該詞依 CCPA 定義) 的資料資訊,以及某方向另一方揭露的「去識別化資料」(依其他「美國州級隱私權法律」定義)。
- (c)「指示」泛指「客戶」要求 Google 僅依據「美國州級隱私權法律」處理「客戶個人資料」所提出的指示,包括:(a) 提供「RDP 服務」及所有相關技術支援的指示;(b)「客戶」透過「RDP 服務」(包括這類「RDP 服務」的設定和其他功能) 及任何相關技術支援服務,提出的進一步指示;(c) 以「協議」(包括本「附錄 1B」) 形式記錄的指示;(d) 以「客戶」提供的任何其他書面指示進一步記錄,並由 Google 確認構成本「附錄 1B」目的之指示;以及 (e) 以「美國州級隱私權法律」許可的方式,為服務供應商和處理者處理「客戶個人資料」的指示。
- (d)「RDP 服務」係指在「受限的資料處理」模式下運作的「控管者服務」。
- (e)「效期」係指從「條款生效日期」開始到 Google 依「協議」停止提供「評估服務」為止。
- (f) 本「附錄 1B」中的「企業」、「消費者」、「個人資訊」、「銷售」、「出售」、「服務供應商」和「共用」字詞採用「美國州級隱私權法律」所載的定義。
- (g)「客戶」使用 Google 服務 (包括「受限的資料處理」服務) 時,應擔負法規遵循全責,確保一切符合「美國州級隱私權法律」的各項規定。
3. 美國州級隱私權法律條款 (使用「受限的資料處理」模式)。
3.1 資料處理。
3.1.1
- (a) 處理者和控管者的責任。雙方確認並同意:
- (i) 本「附錄 1B」第 7 項 (「美國州級隱私權法律」規範的資料處理標的和細節) 載述「客戶個人資料」處理標的和細節;
- (ii) 根據「美國州級隱私權法律」,Google 是「客戶個人資料」的服務供應商和處理者;且
- (iii) 根據「美國州級隱私權法律」,「客戶」是「客戶個人資料」的控管者或處理者 (視情況而定)
- (b) 身為處理者的客戶。如果「客戶」是處理者:
- (i)「客戶」必須持續確保相關控管者已授權:(A) 提出「指示」;(B)「客戶」得指定 Google 做為另一方處理者;以及 (C) Google 得依本「附錄 1B」第 3.6 項「分包商」規定聘用分包商;
- (ii) 如 Google 根據第 3.3.2(a) 項 (「事件通知」) 和第 3.6 項 (「分包商」) 規定向「客戶」發送任何通知,「客戶」應立即轉發給相關控管者;且
- (iii) 對於 Google 根據第 3.3.3(c) 項 (「客戶的稽核權利」) 和第 3.6 項 (「分包商」) 發布的資訊,「客戶」可提供給相關控管者。
3.1.2 客戶指示。簽訂本「附錄 1B」,即代表「客戶」要求 Google 僅依據「指示」處理「客戶個人資料」。
3.1.3 Google 遵循指示。除非「美國州級隱私權法律」禁止,否則 Google 應遵守「指示」。
3.1.4 額外產品。如「客戶」使用 Google 或第三方提供的任何產品、服務或應用程式,且此類產品、服務或應用程式符合下列描述 (下稱「額外產品」),則「RDP 服務」得允許「額外產品」存取「客戶個人資料」,以滿足「RDP 服務」與「額外產品」的互通性需求:(a) 不屬於「RDP 服務」;且 (b) 可在「RDP 服務」使用者介面中使用,或以其他方式與「RDP 服務」整合。為求明確,當提供「客戶」使用任何「額外產品」,相關的個人資料處理作業不適用本「附錄 1B」規定,這類資料包括與「額外產品」相互傳輸的個人資料。
3.2. 效期結束時刪除資料。「客戶」指示 Google 在「效期」結束時根據適用法律,刪除 Google 系統中所有剩餘的「客戶個人資料」,包括現有副本。除非適用法律要求儲存資料,否則 Google 將在合理可行的時間內 (最長不超過 180 天) 盡快遵循此指示。
3.3. 資料安全性。
3.3.1 Google 的安全措施和協助。
- (a) Google 的安全措施。為避免「客戶個人資料」因意外或違法行為而毀損、遺失、遭到竄改,或在未經授權的情況下遭人揭露或存取,Google 將實施並維護技術性與組織性的保護措施 (下稱「安全措施」)。「安全措施」包括:(i) 加密個人資料;(ii) 協助確保 Google 系統與服務持續保有機密性、完整性、可用性和恢復能力;(iii) 協助在事件發生後及時恢復個人資料存取功能;以及 (iv) 定期測試有效性。Google 得不時更新或修改「安全措施」,前提是此等更新及修改作業不會降低「客戶個人資料」的整體安全。
- (b) 存取權和法規遵循。Google 將確保有權處理「客戶個人資料」的所有人員均承諾維護機密性,或履行適當的法定保密義務。
- (c) Google 的安全協助。Google 將考量「客戶個人資料」處理性質和 Google 可取得的資訊,協助「客戶」履行「客戶」在確保個人資料安全及防範個人資料侵害方面的義務 (如「客戶」為處理者,則協助履行相關控管者的義務),包括「美國州級隱私權法律」規定「客戶」應承擔的前述義務。協助方式如下:
- (i) 根據第 3.3.1(a) 項 (「Google 的安全措施」) 採取及維護「安全措施」;
- (ii) 遵守第 3.3.2 項 (「資料事件」) 的條款;且
- (iii) 向「客戶」提供依據第 3.3.3(c) 項 (「客戶的稽核權利」) 授予的權利。
3.3.2 資料事件
- (a) 事件通知。若 Google 察覺發生「資料事件」(如下文定義),將會:(i) 立即向「客戶」通知「資料事件」;(ii) 迅速採取合理措施將傷害降至最低,並維護「客戶個人資料」安全。本「附錄 1B」的「資料事件」係指因違反 Google 安全規定,導致 Google 管理或控制的系統中,「客戶個人資料」因意外或違法行為而毀損、遺失、遭到竄改,或在未經授權的情況下遭人揭露或存取。「資料事件」未包括對「客戶個人資料」安全性不會造成影響的失敗嘗試或活動,例如失敗的登入嘗試、連線偵測 (ping)、連接埠掃描、阻斷服務攻擊及其他對防火牆或網路系統的網路攻擊。
- (b) 發送通知。Google 會將所有「資料事件」通知傳送至「客戶」指定的電子郵件地址 (下稱「通知電子郵件地址」)。「客戶」可透過「RDP 服務」使用者介面或 Google 提供的其他方法,指定該電子郵件地址,用於接收與本「附錄 1B」相關的特定通知。Google 亦可視情況 (包括「客戶」未提供「通知電子郵件地址」時),自行斟酌採取其他直接通訊方式,例如電話、電子郵件或親自通知。「客戶」應自行負責提供有效的最新「通知電子郵件地址」。
- (c) 第三方通知。「客戶」應自行負責遵守「客戶」適用的事件通知法律,並履行與「資料事件」相關的任何第三方通知義務。
- (d) 不視同 Google 承認錯誤。當 Google 根據本項 (第 3.3.2 項「資料事件」) 規定,針對「資料事件」發送通知或做出回應,不得解釋為 Google 承認有關「資料事件」的任何錯誤或責任。
3.3.3「客戶」的安全責任及評估。
- (a)「客戶」的安全責任。對於第 3.3.1 項 (「Google 的安全措施和協助」) 和第 3.3.2 項 (「資料事件」) 所述的 Google 義務,「客戶」同意在不妨礙此等義務的情況下:
- (i)「客戶」必須對「RDP 服務」的使用情況負起責任,包括:(1) 以適當方式使用「RDP 服務」,確保安全機制足以防範「客戶個人資料」相關風險;(2) 保護「客戶」用於存取「RDP 服務」的帳戶驗證憑證、系統和裝置;且
- (ii) 對於「客戶」選擇在 Google 系統及其分包商系統外儲存及轉移的「客戶個人資料」,Google 並無保護義務。
- (b)「客戶」的安全評估措施。「客戶」瞭解並同意,就 Google 根據第 3.3.1(a) 項 (「Google 的安全措施」) 採取及維護的「安全措施」而言,其安全機制足以防範「客戶個人資料」相關風險,並已考量先進技術、實施成本、對個人造成的風險,以及「客戶個人資料」處理作業的性質、範圍、背景和目的。
- (c)「客戶」的稽核權利。
- (i)「客戶」得執行稽核,確認 Google 是否遵循本「附錄 1B」所述義務。稽核方式為索取及審核:(1) 憑證。第三方稽核機構核發的安全性驗證稽核結果證明 (例如 SOC 2 Type II 或 ISO/IEC 27001 憑證,或是由「客戶」和 Google 雙方議定的第三方稽核機構所核發的同等憑證或其他安全性認證),此類憑證應於「客戶」提出要求該日起 12 個月內保持有效;以及 (2) 任何其他合理資訊。為方便「客戶」確認 Google 是否遵循前述義務,Google 認定可供參考的所有必要資訊。
- (ii) 此外,Google 亦可自行斟酌依「客戶」要求,委請第三方稽核機構驗證 Google 是否遵循本「附錄 1B」規定的義務。進行此類稽核期間,Google 會向第三方稽核機構提供所有必要資訊,證明自身確實遵循前述義務。如果「客戶」提出此類稽核要求,Google 可能會收取稽核相關費用 (以 Google 的合理報價為準)。Google 會在進行任何前述稽核之前,事先向「客戶」進一步說明任何適用費用及計算基礎。如果「客戶」指定任何第三方稽核機構執行前述稽核,這類機構收取的費用均由「客戶」負擔。
- (iii) 在本「附錄 1B」中,並無任何條文規定 Google 必須向「客戶」或其第三方稽核機構揭露下列資訊,或是允許「客戶」或其第三方稽核機構存取以下資訊:
- (1) Google 實體任何其他「客戶」的任何資料;
- (2) 任何 Google 實體的內部會計或財務資訊;
- (3) Google 實體的任何商業機密;
- (4) Google 合理認為可能符合下列描述的任何資訊:(A) 危及任何 Google 實體的系統或設施安全性;或 (B) 導致任何 Google 實體違反「美國州級隱私權法律」載明的義務,或是違反 Google 對「客戶」/任何第三方的安全性和/或隱私權義務;或者
- (5)「客戶」或其第三方稽核機構並非出於善意履行「美國州級隱私權法律」所述義務,而要求存取的任何資訊。
3.4 協助評估影響。Google 將考量資料處理性質和 Google 可取得的資訊,協助「客戶」根據「美國州級隱私權法律」規定,履行「客戶」在評估資料保護影響及事前諮詢監管機構方面的義務 (如「客戶」為處理者,則協助履行相關控管者的義務)。協助方式如下:
- (a) 提供安全性說明文件;
- (b) 提供「協議」中包含的資訊 (包括本「附錄 1B」);且
- (c) 依據 Google 標準做法,提供或另行發布「RDP 服務」性質及「客戶個人資料」處理作業的其他相關資料,例如說明中心資料。
3.5. 資料當事人權利。
3.5.1 回應資料當事人要求。若 Google 接獲資料當事人有關「客戶個人資料」的要求,即代表「客戶」授權 Google 採取以下措施,且 Google 據此通知「客戶」其將採取以下措施:
- (a) 使用 Google 實體提供給資料當事人的工具 (如有) 標準功能,直接回應資料當事人的要求。此類工具 (下稱「資料當事人工具」) 提供標準化方式 (例如線上廣告設定,或瀏覽器外掛程式選擇停用功能),便於 Google 直接回應資料當事人透過「資料當事人工具」提交的「客戶個人資料」特定要求;或是
- (b) 如果這類要求並非透過「資料當事人工具」提交,則建議資料當事人向「客戶」提交要求,且「客戶」必須負責回應這類要求。
3.5.2 Google 資料當事人要求協助。Google 將充分考量「客戶個人資料」處理性質,協助「客戶」履行「美國州級隱私權法律」規定的義務 (如「客戶」為處理者,則協助履行相關控管者的義務),回應資料當事人行使自身權利的要求。協助方式如下:
- (a) 提供「RDP 服務」功能;
- (b) 遵循第 3.5.1 項 (「回應資料當事人要求」) 所述承諾;且
- (c) 提供適用於「RDP 服務」的「資料當事人工具」。
3.5.3 更正。如果「客戶」發現任何「客戶個人資料」不正確或已過時,應負責依「美國州級隱私權法律」規定更正或刪除該資料,包括視情況使用「RDP 服務」功能執行前述作業。
3.6. 分包商。
- (a)「客戶」通常會授權 Google 聘僱其他實體擔任分包商,處理有關提供「RDP 服務」的事宜。僱用任何分包商時,Google 將會:
- (i) 透過書面合約確保:(1) 分包商僅在履行分包契約義務所需的範疇內,依據「協議」(包括本「附錄 1B」) 存取與使用「客戶個人資料」;且 (2) 如果「客戶個人資料」處理作業受「美國州級隱私權法律」約束,則須確保分包商承擔本「附錄 1B」規定的資料保護義務;
- (ii) 聘用任何新分包商時,應根據「美國州級隱私權法律」的規定,提供有關此類新分包商的通知,並根據「美國州級隱私權法律」的規定,進一步提供「客戶」就此類分包商提出異議的機會;且
- (iii) 對於分包商的所有分包契約義務、行為和疏失,承擔全部責任。
- (b)「客戶」向 Google 發出書面通知後得立即終止「協議」,以此表示對任何新分包商的異議,前提是「客戶」必須依本文第 3.6(a)(ii) 項所述,在收到新分包商聘用通知後 90 天內,提出此等通知聲明。
3.7 與 Google 聯絡。「客戶」可透過 privacy.google.com/businesses/processorsupport 所述方法或 Google 不時提供的其他方式聯絡 Google,瞭解根據本「附錄 1B」行使自身權利的相關事宜。
4. 「美國州級隱私權法律」條款
4.1 去識別化資料。針對已啟用或未啟用「受限的資料處理」模式時處理的「客戶個人資料」,如有一或多項「美國州級隱私權法律」適用於「客戶個人資料」處理作業,則各方在處理另一方依據「協議」提供的任何「去識別化資料」時,都將遵循「美國州級隱私權法律」的「去識別化資料」處理規定。本項 (第 4.1 項「去識別化資料」) 所述的「客戶個人資料」係指一方對於本身提供或使用「評估服務」時,根據「協議」處理的任何個人資料。
5. Google 的 CCPA 義務。
5.1 針對已啟用「受限的資料處理」模式時處理的「客戶個人資料」,如果 CCPA 適用於此類「客戶個人資料」處理作業,則 Google 將擔任「客戶」的服務供應商,因此除非 CCPA 允許服務供應商採取其他行動 (依 Google 合理認定),否則:
- (a) Google 不會販售或分享依「協議」取自「客戶」的任何「客戶個人資料」;
- (b) Google 不會保留、使用或揭露「客戶個人資料」(包括在 Google 與「客戶」之間直接業務關係以外的情況),但如果是為了 CCPA 規定的商業目的代表「客戶」採取前述行動,以及出於執行「RDP 服務」此一特定目的,則不在此限。詳情請參閱 business.safety.google/rdp 提供的補充說明文件,相關資訊將不時更新;
- (c) 除非在 CCPA 允許的範圍內,否則 Google 不會將取自「客戶」或代表「客戶」接收的「客戶個人資料」與以下資料合併:(i) Google 取自其他人或代表其他人接收的個人資訊;或 (ii) Google 透過與消費者互動而收集的個人資訊。詳情請參閱 business.safety.google/rdp 提供的補充說明文件;
- (d) Google 將基於執行「RDP 服務」此一特定目的 (詳情請見「協議」和補充說明文件,例如說明中心文章),或在 CCPA 另行許可的範圍內,處理這類「客戶個人資料」,且雙方同意「客戶」係出於此等目的,向 Google 提供這類「客戶個人資料」;
- (e) Google 將依據本文第 3.3.3(c) 項 (「客戶的稽核權利」) 規定,允許透過稽核程序確認 Google 是否遵循本「附錄 1B」載明的義務;
- (f) 如果 Google 認定本身無法再履行 CCPA 所述義務,將通知「客戶」。本項 (第 5.1(f) 項) 並未縮減「協議」其他條款規定的任一方權利及義務;
- (g) 如果「客戶」合理認為 Google 擅自處理「客戶個人資料」,「客戶」有權透過 privacy.google.com/businesses/processorsupport 所述方式知會 Google,且雙方將基於善意,合作補救「客戶」聲稱違規的處理活動 (如有必要);且
- (h) Google 將遵守 CCPA 載明的適用義務,並按 CCPA 規定提供同等隱私保護措施。
5.2 針對未啟用「受限的資料處理」模式時處理的「客戶個人資料」,如果 CCPA 適用於「客戶個人資料」處理作業:
- (a) Google 將基於執行「評估服務」此一特定目的 (詳情請見「協議」和補充說明文件,例如說明中心文章),或在 CCPA 另行許可的範圍內,處理這類「客戶個人資料」,且雙方同意「客戶」係出於此等目的,向 Google 提供這類「客戶個人資料」;
- (b) Google 將依據本文第 3.3.3(c) 項 (「客戶的稽核權利」) 規定,允許透過稽核程序確認 Google 是否遵循本「附錄 1B」載明的義務;
- (c) 如果 Google 認定自身已無法履行 CCPA 載明的義務,將通知「客戶」;
- (d) 如果「客戶」合理認為 Google 擅自處理「客戶個人資料」,「客戶」有權透過 privacy.google.com/businesses/processorsupport 所述的方式知會 Google,且雙方將基於善意合作補救疑似違規的處理活動 (如有必要);且
- (e) Google 將遵守 CCPA 載明的適用義務,並按 CCPA 規定提供同等隱私保護措施。
6. 本「附錄 1B」的變更。
除了「控管者條款」第 7 節 (本「控管者條款」之變更) 規定的修訂 (如適用),Google 亦可在不另行通知的情況下變更本「附錄 1B」,惟該項變更 (a) 應基於適用法律、適用法規、法院命令或政府監管機構/主管機關發布的方針;或是 (b) 根據「美國州級隱私權法律」,不會對「客戶」造成重大不利影響 (依 Google 合理認定)。
7. 「美國州級隱私權法律」規範的資料處理標的和細節
Google 向「客戶」提供「RDP 服務」及所有相關技術支援。
處理期間
「效期」的時間,加上「效期」結束後直至 Google 依「附錄 1B」刪除所有「客戶個人資料」為止的時間。
處理性質及目的
基於為「客戶」提供「RDP 服務」及任何相關技術支援,Google 將根據「附錄 1B」規定,或採取處理者依「美國州級隱私權法律」另行許可的方式,處理「客戶個人資料」。處理作業視「RDP 服務」和「指示」而定,可能包括收集、記錄、整理、組織、儲存、修改、擷取、使用、揭露、合併、清除及銷毀資料。
個人資料類型
「客戶個人資料」可能涵蓋「美國州級隱私權法律」描述的個人資料類型。
資料當事人的類別
「客戶個人資料」涉及與下列資料相關的資料當事人類別:
- Google 提供「RDP 服務」時收集的個人資料;和/或
- 由「客戶」主動轉移、依「客戶」指示轉移或代表「客戶」轉移給 Google 的「RDP 服務」相關個人資料。
視「RDP 服務」性質而定,此類資料當事人可能包括符合以下描述的個人:(a) 線上廣告已經或即將指定的目標對象;(b) 曾造訪 Google 提供「RDP 服務」的特定網站或應用程式;和/或 (c)「客戶」旗下產品或服務的消費者或使用者。
《Google 評估服務控管者與控管者的資料保護條款》第 4.0 版
舊版本
