Google 評估服務客戶 (下稱「客戶」) 一旦同意下列條款,即代表「客戶」與 Google 或第三方經銷商 (視情況而定),就「客戶」在啟用「資料共用設定」的服務使用者介面提供 Google 評估服務一事達成協議 (下稱「協議」,惟其內容可能不時修訂)。
下列 Google 評估服務控管者與控管者的資料保護條款 (下稱「控管者條款」) 係由 Google 與「客戶」簽訂。如「協議」係由「客戶」與 Google 簽訂,則本「控管者條款」將成為「協議」之增補條款。如「協議」係由「客戶」和第三方經銷商簽訂,則本「控管者條款」構成 Google 與「客戶」之間另行簽訂之協議。
為免生疑義,提供 Google 評估服務之行為係受到「協議」規範。本「控管者條款」僅列出「資料共用設定」相關資料保護條款,不適用於提供 Google 評估服務之行為。
根據第 6.2 節 (「不影響處理者條款」) 規定,本「控管者條款」將從「條款生效日期」起生效,並取代此前與其標的相關的任何適用條款。
如您代表「客戶」接受本「控管者條款」,即表示您做出以下擔保:(a) 您已獲得完整法律授權,可約束「客戶」履行「控管者條款」;(b) 您已詳閱並瞭解「控管者條款」;且 (c) 您已代表「客戶」同意「控管者條款」。如果您不具備可約束「客戶」的法律授權,請勿接受本「控管者條款」。
如果您是經銷商,請勿接受本「控管者條款」。本「控管者條款」旨在闡明 Google 評估服務使用者與 Google 之間適用的權利和義務。
本頁面包含以下內容
1. 簡介
本「控管者條款」代表雙方對根據「資料共用設定」處理「控管者管理的個人資料」議定的協議。
2. 定義與闡釋
2.1
在本「控管者條款」中:
「附加條款」係指附錄 1 中所指的額外條款,反映雙方同意在依據特定「適用的資料保護法規」處理「控管者管理的個人資料」時,應遵守的相關條款。
「關係企業」係指符合以下描述的實體:直接或間接控制某方、受某方控制,或與某方一同受控制。
「適用的資料保護法規」係指適用於處理「控管者管理的個人資料」的國家、聯邦、歐盟、州/省層級法律或法規,或其他隱私權、資料安全性或資料保護法律或法規,包括「歐盟資料保護法」、LGPD 和「美國州級隱私權法律」。
「機密資訊」係指本「控管者條款」。
「控管者資料當事人」係指與「控管者管理的個人資料」相關的資料當事人。
「控管者管理的個人資料」係指某方根據「資料共用設定」處理的個人資料。
「資料共用設定」係指「客戶」透過 Google 評估服務使用者介面啟用的資料共用設定,允許 Google 及「關係企業」使用個人資料改善自家產品和服務。
「終端控管者」係指各方的「控管者管理的個人資料」最終控管者。
「歐盟 GDPR」係指歐洲議會及理事會為保護自然人權利,在 2016 年 4 月 27 日頒布的第 2016/679 號歐盟法規,旨在規範個人資料的處理與自由流通,並於 95/46/EC 指令廢止後取而代之。
「歐盟資料保護法」視情況係指:(a) GDPR 和/或 (b) 瑞士 FDPA。
「GDPR」視情況係指:(a) 歐盟 GDPR;及/或 (b) 英國 GDPR。
「Google」係指:
- (a) 如 Google 實體為「協議」之一方當事人,則指該 Google 實體。
- (b) 如「協議」係由「客戶」與第三方經銷商簽訂,且:
- (i) 該第三方經銷商之機構設於北美洲或設於歐洲、中東、非洲、亞洲和大洋洲以外的其他地區,則指 Google LLC (前身為 Google Inc.);
- (ii) 該第三方經銷商之機構設於歐洲、中東或非洲,則指 Google Ireland Limited;或
- (iii) 該第三方經銷商之機構設於亞洲和大洋洲,則指 Google Asia Pacific Pte. Ltd.。
「Google 實體」係指 Google LLC、Google Ireland Limited 或 Google LLC 的任何其他「關係企業」。
「LGPD」係指巴西《一般資料保護法》(Lei Geral de Proteção de Dados Pessoais)。
「Google 評估服務」係指 Google Analytics、Google Analytics 360、Google Analytics for Firebase、Google 最佳化工具或 Google 最佳化工具 360,視雙方同意本「控管者條款」時適用的「資料共用設定」而定。
「政策」係指 https://www.google.com/about/company/user-consent-policy.html 上列載的「Google 使用者同意授權政策」。
「處理者條款」係指:
- (a) 如 Google 為「協議」之一方當事人,則指 https://business.safety.google/adsprocessorterms 上列載的處理者條款;或
- (b) 如「協議」係由「客戶」和第三方經銷商簽訂,則指雙方同意的控管者與處理者關係條款 (如有)。
「瑞士 FDPA」係指 1992 年 6 月 19 日《聯邦資料保護法》(瑞士)。
「條款生效日期」係指「客戶」點選接受本「控管者條款」的日期,或是雙方以其他方式同意該條款的日期。
「英國控管者管理的個人資料」係指英國境內「控管者資料當事人」的「控管者管理的個人資料」。
「英國 GDPR」係指依照 2018 年英國《脫離歐盟法》修訂與納入英國法律的歐盟 GDPR,以及根據該法案制訂的相關次級法規。
「美國州級隱私權法律」的定義請參閱這裡。
2.2
本「控管者條款」中的「控管者」、「資料當事人」、「個人資料」、「處理」和「處理者」詞彙係 (a) 採用「適用的資料保護法規」所列定義;(b) 若無此類定義或法規,則採用 GDPR 所列定義。
2.3
本「控管者條款」中的任何範例僅供說明之用,並未影射任何真實人物或事件。
2.4
如提及任何法律架構、法規或其他立法條例,均以其最新修訂或頒布之內容為準。
2.5
如果「協議」的英文版與其他語言的翻譯版本有所不符,一律以英文版為準。
2.6
《控管者標準契約條款》中所述的《Google Ads 控管者與控管者資料保護條款》應視同《Google 評估服務控管者與控管者的資料保護條款》。
3. 本控管者條款的適用範圍
3.1 一般規定
本「控管者條款」僅適用於已獲雙方同意「控管者條款」的「資料共用設定」,例如由「客戶」點選接受「控管者條款」的「資料共用設定」。
3.2 效期
本「控管者條款」將自「條款生效日期」起生效,並於 Google 或「客戶」處理「控管者管理的個人資料」期間保有效力。這段期間過後,「控管者條款」將自動終止。
4. 角色和資料處理限制
4.1 獨立控管者
根據第 4.4 節 (「終端控管者」) 規定,各方均應:
- (a) 擔任「控管者管理的個人資料」的獨立控管者;
- (b) 自行決定處理「控管者管理的個人資料」的目的和方式;且
- (c) 遵循「適用的資料保護法規」針對處理「控管者管理的個人資料」所規範的相關義務。
4.2 資料處理限制
第 4.1 節 (獨立控管者) 不會影響任一方依「協議」使用或以其他方式處理「控管者管理的個人資料」的權利限制。
4.3 使用者同意聲明
「客戶」將遵守依據「資料共用設定」共用「控管者管理的個人資料」之相關「政策」,且此類合規性之舉證責任一概由「客戶」自行承擔。
4.4 終端控管者
不縮減本「控管者條款」所述任一方義務的前提下,各方均確認:(a) 另一方的「關係企業」或「客戶」得擔任「終端控管者」;且 (b) 另一方得代表其「終端控管者」擔任資料處理者。各方均應確保其「終端控管者」遵守「控管者條款」。
4.5 資訊公開
「客戶」知悉以下事項:Google 已於 https://business.safety.google/privacy/ 發布相關資訊,說明網站、應用程式或其他資源使用 Google 服務時,Google 如何運用來自前述資源的資訊。不妨礙第 4.1(c) 節所述義務的前提下,「客戶」可提供該網頁的連結,讓「控管者資料當事人」瞭解與 Google 處理「控管者管理的個人資料」有關的資訊。
5. 賠償責任
5.1
如 Google:
- (a) 為「協議」締約方,且「協議」受下列法律規範:
- (i) 美國其中一州的法律,則儘管「協議」另有其他規定,任一方得依據本「控管者條款」或相關條款要求另一方承擔的全部賠償責任,將以「協議」規定該方應賠償的最高金額或支付款項為限 (因此,「協議」賠償責任限制對賠償請求的任何排除條款,均不適用於根據「協議」提出的「適用的資料保護法規」相關賠償請求);或
- (ii) 其他管轄區 (非美國其中一州) 的法律,則雙方依據本「控管者條款」或相關條款應承擔的賠償責任,將受「協議」中的責任排除與限制條款約束;或
- (b) 非「協議」之一方當事人,則在適用法律允許之範圍內,Google 將無須就「客戶」之收益損失或間接性、特殊性、附隨性、衍生性、懲罰性或懲戒性損害承擔任何賠償責任,即使 Google 或其「關係企業」已被知會、已知悉或應知悉這類損害不符合救濟條件亦然。如果「客戶」或任何其他方因衍生自或涉及本「控管者條款」的請求、損害或訴訟,而蒙受損失或損害,則 Google (及「關係企業」) 須承擔的全部累計賠償責任將不超過 $500 美元。
6. 控管者條款的影響
6.1 優先順序
倘若「附加條款」、本「控管者條款」其餘條款和/或「協議」其餘條款之間,有任何牴觸或不一致之處,則根據第 4.2 節 (「資料處理限制」) 及第 6.2 節 (「不影響處理者條款」) 規定,三者的適用優先順序如下:(a)「附加條款」(如適用);(b) 本「控管者條款」其餘條款;(c)「協議」其餘條款。本「控管者條款」如有任何修訂,Google 與「客戶」簽訂的「協議」仍將完全有效。
6.2 不影響處理者條款
本「控管者條款」不會取代或影響任何「處理者條款」。為免生疑義,如果「客戶」為「Google 評估服務」相關「處理者條款」的締約方,即使本「控管者條款」適用於依據「資料共用設定」處理的「控管者管理的個人資料」,「處理者條款」仍將繼續適用於「Google 評估服務」。
7. 本控管者條款的變更
7.1 控管者條款的變更
Google 可對本「控管者條款」做出符合以下描述的變更:
- (a) 反映法人的名稱或組織形式有所變化;
- (b) 為了遵守適用法律、適用法規、法院命令或政府監管機構/主管機關發布的方針,或是反映 Google 採用「替代移轉解決方案」(定義請見附錄 1A);
- (c) 屬於第 7.2 節 (「網址變更」) 所述情況;或
- (d) 不會:(i) 以其他方式試圖改變雙方依據「適用的資料保護法規」擔任「控管者管理的個人資料」控管者的角色類別;(ii) 擴大任一方使用或另行處理「控管者管理的個人資料」的權利,或解除任何相關限制;或者 (iii) 對「客戶」造成重大不利影響 (依 Google 合理認定)。
7.2 網址變更
Google 得不時變更本「控管者條款」所列的任何網址,以及此類網址的內容。
7.3 變更通知
如果 Google 有意根據第 7.1(b) 節變更本「控管者條款」,且合理認定此類變更將對「客戶」造成重大不利影響,則 Google 將盡商業上合理的努力,於變更生效日前至少提早 30 天 (或更短時間,視須遵守的適用法律、適用法規、法院命令或政府監管機構/主管機關發布的方針而定) 通知「客戶」。若「客戶」無法接受此類變更,可選擇停用「資料共用設定」。
8. 附加條款
8.1
本節 (第 8 節「附加條款」) 僅適用於 Google 並非「協議」締約方的情況。
8.2
各方應盡合理的心力,遵守本「控管者條款」規定的義務。
8.3
任一方如未取得另一方事先書面同意,便不得使用或揭露另一方的「機密資訊」,除非為了行使自身權利、履行本「控管者條款」所述義務,或是遵守法律、法規或法院命令,則不在此限。在此情況下,揭露「機密資訊」的一方應預先於合理可行的範圍內,盡可能通知另一方。
8.4
在適用法律允許的最大範圍內,除非本「控管者條款」另有明文規定,否則 Google 不提供任何明示、默示、法定或其他形式的擔保,包括但不限於適售性、特定用途適用性及未侵權的擔保。
8.5
如任一方因超出合理可控範圍的事由而無法履行或延遲履行義務,將無須承擔任何責任。
8.6
即使本「控管者條款」有任何條款 (或某條款的部分內容) 無效、違法或不可執行,「控管者條款」的其餘部分仍將保有完整效力。
8.7
(a) 除了以下 (b) 節所述情況外,本「控管者條款」將受美國加州法律規範並依其解釋,但不適用該州衝突法原則。如果外國法律、規章和條例與加州法律、規章和條例之間有任何衝突,應以加州法律、規章和條例為準。雙方同意僅遵守加州聖塔克拉拉郡 (Santa Clara County) 法院的判決。《聯合國國際貨物銷售契約公約》和美國《電腦資訊交易統一法》不適用於本「控管者條款」。
(b) 如「協議」係由「客戶」和第三方經銷商簽訂,且該第三方經銷商的機構設於歐洲、中東或非洲,則本「控管者條款」將受英國法律規範。各方一致同意,凡是衍生自或涉及本「控管者條款」的爭議 (無論是否與合約有關),均須服從英國法院的專屬管轄權。
(c) 適用《控管者標準契約條款》但提供之準據法有別於上述 (a) 和 (b) 節時,《控管者標準契約條款》中的準據法將僅適用於《控管者標準契約條款》。
(d)《聯合國國際貨物銷售契約公約》和美國《電腦資訊交易統一法》不適用於本「控管者條款」。
8.8
所有終止或違規通知均應以英文書面提供,並寄送至另一方的法務部門。Google 法務部門接收通知的電子郵件地址為 legal-notices@google.com。一旦相關通知經另一方以回信或自動回條確認收取,或是在電子記錄中顯示為已收取 (如適用),即視為已送達。
8.9
任一方未行使 (或延緩行使) 本「控管者條款」中的任何權利,不得視為拋棄權利。未經對方書面許可,任一方均不得轉讓本「控管者條款」之任何部分,除非受讓方為「關係企業」,且:(a) 受讓方已書面同意接受本「控管者條款」之約束;(b) 如受讓方未能履行本「控管者條款」之義務,轉讓方仍將承擔其賠償責任;(c) 就「客戶」而言,轉讓方已將其 Google 評估服務帳戶轉讓給受讓人;且 (d) 轉讓方已通知另一方轉讓情事。任何其他嘗試轉讓的行為均屬無效。
8.10
雙方均為獨立承攬人,並未透過本「控管者條款」建立任何代理、合夥或合資關係。除非有明確陳述,否則本「控管者條款」不向任何第三方授予利益。
8.11
在適用法律允許的範圍內,本「控管者條款」已載明雙方同意的所有條款。簽訂本「控管者條款」後,任一方皆不得主張本「控管者條款」未明確列出之任何聲明、陳述或擔保的效力,亦無法基於這類聲明、陳述或擔保享有任何權利或救濟 (無論出於過失或無心)。
附錄 1:「適用的資料保護法規」附加條款
A 部分 -「歐盟資料保護法」附加條款
1. 簡介
本附錄 1A 的適用範圍,僅限於「歐盟資料保護法」對處理「控管者管理的個人資料」的適用範圍。
2. 定義
2.1 在本附錄 1A 中:
「受規範國家/地區」代表:
- (a) 如為依歐盟 GDPR 處理的資料,係指歐洲經濟區,或是通過歐盟 GDPR 資料保護適足性認定的國家/地區/地域;
- (b) 如為依英國 GDPR 處理的資料,係指英國,或是通過英國 GDPR 和《2018 年資料保護法》適足性認定的國家/地區/地域;和/或
- (c) 如為依據瑞士 FDPA 處理的資料,係指瑞士,或是符合下列條件的國家/地區/地域:(i) 該州列於瑞士聯邦資料保護與資訊委員會發布的清單,當地法規要求對資料採取適當保護措施;或 (ii) 通過瑞士聯邦委員會之適足性認定。以上兩者的判定依據均為瑞士 FDPA,而非選擇性採用的資料保護架構。
「替代移轉解決方案」係指《控管者標準契約條款》以外的解決方案,可依據「歐盟資料保護法」,合法將個人資料移轉至第三國家/地區,例如通過適足性認定的資料保護架構,確保參與實體可提供適當的保護措施。
《控管者標準契約條款》係指 business.safety.google/adscontrollerterms/sccs/c2c 所列條款。
「EEA」係指歐洲經濟區。
「歐洲控管者管理的個人資料」係指歐洲經濟區或瑞士境內「控管者資料當事人」的「控管者管理的個人資料」。
「歐洲法律」視情況係指:(a) 若處理「控管者管理的個人資料」時適用歐盟 GDPR,則為歐盟或歐盟成員國法律;(b) 若處理「控管者管理的個人資料」時適用英國 GDPR,則為英國國家或地方法律;(c) 若處理「控管者管理的個人資料」時適用瑞士 FDPA,則為瑞士法律。
「Google 終端控管者」係指 Google 所處理「控管者管理的個人資料」的「終端控管者」。
「允許的歐洲資料移轉行為」係指在「受規範國家/地區」處理「控管者管理的個人資料」,或是將「控管者管理的個人資料」轉移至「受規範國家/地區」。
「受管制的歐洲資料移轉行為」係指符合以下描述的「控管者管理的個人資料」移轉行為:(a) 受「歐盟資料保護法」約束;且 (b) 並非「允許的歐洲資料移轉行為」。
「英國控管者管理的個人資料」係指英國境內「控管者資料當事人」的「控管者管理的個人資料」。
2.2「資料匯入者」和「資料匯出者」詞彙採用《控管者標準契約條款》所列定義。
3. Google 終端控管者
「Google 終端控管者」的定義視情況而異:(i) 就 Google 處理的「歐洲控管者管理的個人資料」而言,係指 Google Ireland Limited;(ii) 就 Google 處理的「英國控管者管理的個人資料」而言,係指 Google LLC。各方均應確保其「終端控管者」遵守《控管者標準契約條款》(如適用)。
4. 資料移轉
4.1 受管制的歐洲資料移轉行為。任一方均可進行「受管制的歐洲資料移轉行為」,惟應遵守「歐盟資料保護法」中「受管制的歐洲資料移轉行為」相關規定。
4.2 替代移轉解決方案。
- (a) 如果 Google 採用「替代移轉解決方案」進行任何「受管制的歐洲資料移轉行為」,則:(i) Google 會確保依照該「替代移轉解決方案」進行此類「受管制的歐洲資料移轉行為」;且 (ii) 本附錄 1A 第 5 項 (「控管者標準契約條款」) 不適用於這類「受管制的歐洲資料移轉行為」。
- (b) 如果 Google 未採用或已告知「客戶」不再使用「替代移轉解決方案」進行任何「受管制的歐洲資料移轉行為」,則本附錄 1A 第 5 項 (「控管者標準契約條款」) 適用於這類「受管制的歐洲資料移轉行為」。
4.3 後續移轉條款。
- (a) 第 4.3 項的適用範圍。本附錄 1A 第 4.3(b) 項 (「使用資料提供者個人資料」) 和第 4.3(c) 項 (「保護資料提供者個人資料」) 僅適用於以下情況:
- (i) 某方 (下稱「資料接收者」) 處理另一方 (下稱「資料提供者」) 根據「協議」提供的相關「控管者管理的個人資料」,例如「控管者管理的個人資料」、「資料提供者個人資料」;
- (ii)「資料提供者」或其「關係企業」通過「替代移轉解決方案」認證;且
- (iii)「資料提供者」以書面通知「資料接收者」此類「替代移轉解決方案」認證。
- (b) 使用資料提供者個人資料。
- (i) 如果適用的「替代移轉解決方案」包含後續移轉原則,則根據相關「替代移轉解決方案」的此類後續移轉原則,「資料接收者」只會按照相關「控管者資料當事人」的同意聲明,使用「資料提供者個人資料」。
- (ii) 如果「資料提供者」未能根據「協議」規定徵得相關「控管者資料當事人」的同意,但「資料接收者」使用「資料提供者個人資料」的方式符合必要的同意聲明,則不違反第 4.3(b)(i) 項規定。
- (c) 保護資料提供者個人資料。
- (i)「資料接收者」必須為「資料提供者個人資料」提供一定程度的保護,至少應等同適用「替代移轉解決方案」所要求的保護層級。
- (ii) 若「資料接收者」認為自身無法遵守第 4.3(c)(i) 項規定,則應:(A) 以書面通知「資料提供者」;且 (B) 停止處理「資料提供者個人資料」,或採取合理的適當措施,彌補此等無法符合規定的情形。
- (d) 替代移轉解決方案的採用與認證。如要瞭解 Google 和/或其「關係企業」如何採用「替代移轉解決方案」及通過這類方案的認證,請參閱 https://policies.google.com/privacy/frameworks。本項 (第 4.3(d) 項) 條款視同在「條款生效日期」,以書面提供 Google 和/或其「關係企業」當前認證狀態的通知,如第 4.3(a)(iii) 項所述。
5. 控管者標準契約條款
5.1 將「歐洲控管者管理的個人資料」移轉給「客戶」。如為以下情況:
- (a) Google 將「歐洲控管者管理的個人資料」轉移給「客戶」;且
- (b) 移轉作業屬於「受管制的歐洲資料移轉行為」,則視同「客戶」以資料匯入者的身分,與資料匯出者 Google Ireland Limited (適用的「Google 終端控管者」) 共同簽訂《控管者標準契約條款》,且移轉作業將受此條款規範。
5.2 將「英國控管者管理的個人資料」移轉給「客戶」。如為以下情況:
- (a) Google 將「英國控管者管理的個人資料」轉移給「客戶」;且
- (b) 移轉作業屬於「受管制的歐洲資料移轉行為」,則視同「客戶」以資料匯入者的身分,與資料匯出者 Google LLC (適用的「Google 終端控管者」) 共同簽訂《控管者標準契約條款》,且移轉作業將受此條款規範。
5.3 將「歐洲控管者管理的個人資料」移轉給 Google。雙方均瞭解,如果「客戶」將「歐洲控管者管理的個人資料」移轉給 Google,便無須簽訂《控管者標準契約條款》,因為 Google Ireland Limited (適用的「Google 終端控管者」) 設立於「受規範國家/地區」,故此類移轉作業屬於「允許的歐洲資料移轉行為」。這並不影響 Google 根據本附錄 1A 第 4.1 項 (「受管制的歐洲資料移轉行為」) 應承擔的義務。
5.4 將「英國控管者管理的個人資料」移轉給 Google。如果「客戶」將「英國控管者管理的個人資料」轉移給 Google,即視同「客戶」以資料匯出者的身分,與身為資料匯入者的 Google LLC (適用的「Google 終端控管者」) 簽訂《控管者標準契約條款》,且移轉作業將受此條款規範,因為 Google LLC 並未設立於「受規範國家/地區」。
5.5 與 Google 聯絡;客戶資訊。
- (a)「客戶」可透過 https://support.google.com/policies/troubleshooter/9009584 或 Google 不時提供的其他方式,就《控管者標準契約條款》相關事宜聯絡 Google Ireland Limited 和/或 Google LLC。
- (b)「客戶」知悉 Google 須遵照《控管者標準契約條款》規定記錄特定資訊,包括 (i) 資料匯入者 (包含負責保護資料的任何聯絡人) 的身分和詳細聯絡資料;以及 (ii) 資料匯入者採取的技術與組織措施。因此,「客戶」應依據收到的要求 (如適用),以 Google 提供的方式向 Google 提供此等資訊,並應確保一切資訊正確無誤且符合現況。
5.6 回覆資料當事人的提問。對於資料匯入者處理適用「控管者管理的個人資料」的情形,相關資料匯入者應負責回覆資料當事人和監管機關的提問。
5.7 終止時刪除資料。如為以下情況:
- (a) 根據《控管者標準契約條款》規定,Google LLC 為資料匯入者,「客戶」為資料匯出者;且
- (b)「客戶」根據《控管者標準契約條款》第 16(c) 條終止「協議」,並依《控管者標準契約條款》第 16(d) 條規定,「客戶」指示 Google 刪除「控管者管理的個人資料」;除非「歐洲法律」要求儲存資料,否則只要合理可行,Google 將盡可能在合理時間內,協助刪除此等資料 (應考量 Google 為此等資料的獨立控管者,以及「Google 評估服務」的本質和功能)。
6. 適用《控管者標準契約條款》時的賠償責任
如為本附錄 1A 第 5 項 (「控管者標準契約條款」) 所載適用《控管者標準契約條款》的情況,則
- (a) Google、Google LLC 和 Google Ireland Limited 對「客戶」應承擔的全部累計賠償責任;以及
- (b) 針對因「協議」和《控管者標準契約條款》而產生或與其相關的費用,「客戶」對 Google、Google LLC 和 Google Ireland Limited 應承擔的全部累計賠償責任,將以第 5 節「賠償責任」規定者為限。《控管者標準契約條款》第 12 條不影響前項條款。
7. 受益第三人
如果 Google LLC 和/或 Google Ireland Limited 並非「協議」締約方,但依本附錄 1A 第 5 項 (「控管者標準契約條款」) 為適用《控管者標準契約條款》的締約方,則 Google LLC 和/或 Google Ireland Limited (視情況而定) 將為以下各節/項條款所述的受益第三人:第 4.4 節 (「終端控管者」),以及本附錄 1A 第 3 項 (「Google 終端控管者」)、第 5 項 (「控管者標準契約條款」) 和第 6 項 (「適用《控管者標準契約條款》時的賠償責任」)。若本項 (第 7 項「受益第三人」) 與「協議」中的任何其他條款牴觸或不一致,應以本項 (第 7 項「受益第三人」) 為準。
8. 優先順序
8.1 如果《控管者標準契約條款》、本附錄 1A、「控管者條款」其餘條款和/或「協議」其餘條款之間,有任何牴觸或不一致,應以《控管者標準契約條款》為準。
8.2 附加商業條款。「控管者條款」如有任何修訂,「協議」仍將完全有效。本附錄 1A 第 5.5 項 (「與 Google 聯絡」) 至第 5.7 項 (「終止時刪除資料」),以及第 6 項 (「適用《控管者標準契約條款》時的賠償責任」) 為《控管者標準契約條款》的相關附加商業條款,且《控管者標準契約條款》第 2(a) 條 (「條款之效力和不變性」) 允許此類條款。
8.3 不得修改《控管者標準契約條款》。「協議」的任何條款 (包括「控管者條款」) 皆不得修改或牴觸任何《控管者標準契約條款》規定,也不得侵害「歐盟資料保護法」賦予資料當事人的基本權利或自由。
B 部分 -「美國州級隱私權法律」附加條款
1. 簡介
如 business.safety.google/rdp 提供的補充說明文件所述 (相關資訊將不時更新),對於有關受限資料處理的「Google 評估服務」,Google 可提供且「客戶」可啟用特定產品內設定、配置或其他功能 (以下稱「受限的資料處理」)。本附錄 1B 代表雙方同意根據「協議」,依「美國州級隱私權法律」處理「客戶個人資料」和「去識別化資料」(如下文定義),且效力僅限於「美國州級隱私權法律」各項規定的適用範圍。
2. 其他定義與闡釋。
在本附錄 1B 中:
- (a)「客戶個人資料」係指 Google 提供「Google 評估服務」時,代表「客戶」處理的個人資料。
- (b)「去識別化資料」係指經過「去識別化」(該詞依 CCPA 定義) 的資料資訊,以及某方向另一方揭露的「去識別化資料」(依其他「美國州級隱私權法律」定義)。
- (c)「指示」泛指「客戶」要求 Google 僅依據「美國州級隱私權法律」處理「客戶個人資料」所提出的指示,包括:(a) 要求提供「RDP 服務」與所有相關技術支援的指示;(b)「客戶」透過「RDP 服務」(涵蓋這類「RDP 服務」的設定和其他功能) 及任何相關技術支援,提出的進一步指示;(c) 以「協議」(包含本附錄 1B) 形式記錄的指示;(d) 以「客戶」提供的任何其他書面指示進一步記錄,並由 Google 確認構成本附錄 1B 目的之指示;以及 (e) 以「美國州級隱私權法律」許可的方式,為服務供應商和處理者處理「客戶個人資料」的指示。
- (d)「RDP 服務」係指在「受限的資料處理」模式下運作的「控管者服務」。
- (e)「效期」係指從「條款生效日期」開始到 Google 依「協議」停止提供「Google 評估服務」為止。
- (f) 本附錄 1B 中的「企業」、「消費者」、「個人資訊」、「銷售」、「出售」、「服務供應商」和「共用」字詞採用「美國州級隱私權法律」所載的定義。
- (g)「客戶」使用 Google 服務 (包括「受限的資料處理」服務) 時,應擔負法規遵循全責,確保一切符合「美國州級隱私權法律」的各項規定。
3. 美國州級隱私權法律條款 (使用受限的資料處理模式)。
3.1 資料處理。
3.1.1
- (a) 處理者和控管者的責任。雙方確認並同意:
- (i) 本附錄 1B 第 7 項 (「美國州級隱私權法律規範的資料處理標的和細節」) 描述「客戶個人資料」處理標的和細節;
- (ii) 根據「美國州級隱私權法律」,Google 是「客戶個人資料」的服務供應商和處理者;且
- (iii) 根據「美國州級隱私權法律」,「客戶」是「客戶個人資料」的控管者或處理者 (視情況而定)
- (b) 身為處理者的客戶。如果「客戶」是處理者:
- (i)「客戶」必須持續確保相關控管者已授權:(A) 提出「指示」;(B)「客戶」得指定 Google 做為另一方處理者;以及 (C) Google 得依據本附錄 1B 第 3.6 項 (「分包商」) 規定聘用分包商;
- (ii) 如 Google 根據第 3.3.2(a) 項 (「事件通知」) 和第 3.6 項 (「分包商」) 規定向「客戶」發送任何通知,「客戶」應立即轉發給相關控管者;且
- (iii)「客戶」可將 Google 根據第 3.3.3(c) 項 (「客戶的稽核權利」) 和第 3.6 項 (「分包商」) 發布的任何資訊,提供給相關控管者。
3.1.2 客戶指示。簽訂本附錄 1B,即代表「客戶」要求 Google 僅依據「指示」處理「客戶個人資料」。
3.1.3 Google 遵循指示。除非「美國州級隱私權法律」禁止,否則 Google 應遵守「指示」。
3.1.4 額外產品。如「客戶」使用 Google 或第三方提供的任何產品、服務或應用程式,且此類產品、服務或應用程式符合下列描述 (下稱「額外產品」),則「RDP 服務」得允許「額外產品」存取「客戶個人資料」,以滿足「RDP 服務」與「額外產品」的互通性需求:(a) 不屬於「RDP 服務」;且 (b) 可在「RDP 服務」的使用者介面中使用,或以其他方式與「RDP 服務」整合。為求明確,當提供「客戶」使用的任何「額外產品」時,相關的個人資料處理作業不適用本附錄 1B 規定,這類資料包括與「額外產品」相互傳輸的個人資料。
3.2 效期結束時刪除資料。「客戶」指示 Google 在「效期」結束時根據適用法律,刪除 Google 系統中所有剩餘的「客戶個人資料」,包括現有副本。除非適用法律要求儲存資料,否則 Google 將在合理可行的時間內 (最長不超過 180 天) 盡快遵循此指示。
3.3 資料安全性。
3.3.1 Google 的安全措施和協助。
- (a) Google 的安全措施。為避免「客戶個人資料」因意外或違法行為而毀損、遺失、遭到竄改,或未經授權即遭人公開或存取,Google 將實施並維護技術性與組織性的保護措施 (下稱「安全措施」)。「安全措施」包括:(i) 加密個人資料;(ii) 協助確保 Google 系統與服務持續保有機密性、完整性、可用性和恢復能力;(iii) 協助在事件發生後及時恢復個人資料存取功能;以及 (iv) 定期測試有效性。Google 得不時更新或修改「安全措施」,前提是此等更新及修改作業不會降低「客戶個人資料」的整體安全。
- (b) 存取權和法規遵循。Google 將確保有權處理「客戶個人資料」的所有人員均致力於維護機密性,或履行適當的法定保密義務。
- (c) Google 的安全協助。Google 將考量「客戶個人資料」處理性質和 Google 可取得的資訊,協助「客戶」履行「客戶」在確保個人資料安全及防範個人資料侵害方面的義務 (如「客戶」為處理者,則協助履行相關控管者的義務),包括「美國州級隱私權法律」規定「客戶」應承擔的前述義務。協助方式如下:
- (i) 根據第 3.3.1(a) 項 (「Google 的安全措施」) 採取及維護「安全措施」;
- (ii) 遵守第 3.3.2 項 (「資料事件」) 的條款;且
- (iii) 向「客戶」提供依據第 3.3.3(c) 項 (「客戶的稽核權利」) 授予的權利。
3.3.2 資料事件。
- (a) 事件通知。若 Google 察覺發生「資料事件」(如下文定義),將會:(i) 立即向「客戶」通知「資料事件」;(ii) 迅速採取合理措施將傷害降至最低,並維護「客戶個人資料」安全。本附錄 1B 的「資料事件」係指因 Google 資安侵害事件,導致 Google 管理或控制的系統中,「客戶個人資料」因意外或違法行為而毀損、遺失、遭到竄改,或在未經授權即遭人公開或存取。「資料事件」不包含未損害「客戶個人資料」安全性的失敗嘗試或活動,包括失敗的登入嘗試、連線偵測 (ping)、通訊埠掃描、阻斷服務攻擊,以及其他對防火牆或網路系統的網路攻擊。
- (b) 發送通知。Google 會將所有「資料事件」通知傳送至「客戶」指定的電子郵件地址 (下稱「通知電子郵件地址」)。「客戶」可透過「RDP 服務」使用者介面或 Google 提供的其他方法,指定該電子郵件地址,用於接收與本附錄 1B 相關的特定通知。Google 亦可視情況 (包括「客戶」未提供「通知電子郵件地址」),自行斟酌採取其他直接通訊方式,例如電話、電子郵件或親自通知。「客戶」應自行負責提供有效的最新「通知電子郵件地址」。
- (c) 第三方通知。「客戶」應自行負責遵守「客戶」適用的事件通知法律,並履行與「資料事件」相關的任何第三方通知義務。
- (d) 不視同 Google 承認錯誤。當 Google 根據本項 (第 3.3.2 項「資料事件」) 規定,針對「資料事件」發送通知或做出回應時,不得解釋為 Google 承認有關「資料事件」的任何錯誤或責任。
3.3.3 客戶的安全責任和評估。
- (a) 客戶的安全責任。對於第 3.3.1 項 (「Google 的安全措施和協助」) 和第 3.3.2 項 (「資料事件」) 所述的 Google 義務,「客戶」同意在不妨礙此等義務時:
- (i)「客戶」必須對「RDP 服務」的使用情況負起責任,包括:(1) 以適當方式使用「RDP 服務」,確保安全機制足以防範「客戶個人資料」相關風險;(2) 保護「客戶」用於存取「RDP 服務」的帳戶驗證憑證、系統和裝置;且
- (ii) 對於「客戶」選擇在 Google 系統和其分包商系統以外儲存及轉移的「客戶個人資料」,Google 並無保護義務。
- (b) 客戶的安全評估。「客戶」瞭解並同意,就 Google 根據第 3.3.1(a) 項 (「Google 的安全措施」) 採取及維護的「安全措施」而言,其安全機制足以防範「客戶個人資料」相關風險,並已考量先進技術、實施成本、對個人造成的風險,以及「客戶個人資料」處理作業的性質、範圍、背景和目的。
- (c) 客戶的稽核權利。
- (i)「客戶」得執行稽核,確認 Google 是否遵循本附錄 1B 所述義務。稽核方式為索取及審核:(1) 憑證。第三方稽核機構核發的安全性驗證稽核結果證明 (例如 SOC 2 Type II 或 ISO/IEC 27001 憑證,或是由「客戶」和 Google 雙方議定的第三方稽核機構所核發的同等憑證或其他安全性認證),此類憑證應於「客戶」提出要求該日起 12 個月內保持有效;以及 (2) 任何其他合理資訊。為方便「客戶」確認 Google 是否遵循前述義務,Google 認定可供參考的所有必要資訊。
- (ii) 此外,Google 亦可自行斟酌依「客戶」要求,委請第三方稽核機構驗證 Google 是否遵循本附錄 1B 規定的義務。進行此類稽核期間,Google 會向第三方稽核機構提供所有必要資訊,證明自身確實遵循前述義務。如果「客戶」提出此類稽核要求,Google 可能會收取稽核相關費用 (以 Google 的合理報價為準)。Google 會在進行任何前述稽核前,事先向「客戶」進一步說明任何適用費用及計算基礎。如果「客戶」指定任何第三方稽核機構執行前述稽核,這類機構收取的費用均由「客戶」負擔。
- (iii) 在本附錄 1B 中,並無任何條文規定 Google 必須向「客戶」或其第三方稽核機構揭露下列資訊,或是允許「客戶」或其第三方稽核機構存取以下資訊:
- (1) Google 實體任何其他「客戶」的任何資料;
- (2) 任何 Google 實體的內部會計或財務資訊;
- (3) Google 實體的任何商業機密;
- (4) Google 合理認為可能符合下列描述的任何資訊:(A) 危及任何 Google 實體的系統或設施安全性;或 (B) 導致任何 Google 實體違反「美國州級隱私權法律」載明的義務,或是違反 Google 對「客戶」/任何第三方的安全性和/或隱私權義務;或者
- (5)「客戶」或其第三方稽核機構並非出於善意履行「美國州級隱私權法律」所述義務,而要求存取的任何資訊。
3.4 協助評估影響。Google 將考量資料處理性質和 Google 可取得的資訊,協助「客戶」根據「美國州級隱私權法律」規定,履行「客戶」在評估資料保護影響及事前諮詢監管機構方面的義務 (如「客戶」為處理者,則協助履行相關控管者的義務)。協助方式如下:
- (a) 提供安全性說明文件;
- (b) 提供「協議」所含資訊 (包括本附錄 1B);且
- (c) 依據 Google 標準做法,提供或另行發布「RDP 服務」性質及「客戶個人資料」處理作業的其他相關資料,例如說明中心資料。
3.5 資料當事人權利。
3.5.1 回應資料當事人要求。若 Google 接獲資料當事人有關「客戶個人資料」的要求,即代表「客戶」授權 Google 採取以下措施,且 Google 據此通知「客戶」其將採取以下措施:
- (a) 使用 Google 實體提供給資料當事人的工具 (如有) 標準功能,直接回應資料當事人的要求。此類工具 (下稱「資料當事人工具」) 提供標準化方式,例如線上廣告設定,或選擇停用瀏覽器外掛程式,便於 Google 直接回應資料當事人的「客戶個人資料」特定要求 (如果該要求是透過「資料當事人工具」提交);或
- (b) 如果這類要求並非透過「資料當事人工具」提交,則建議資料當事人向「客戶」提交要求,且「客戶」必須負責回應這類要求。
3.5.2 Google 協助回應資料當事人要求。Google 將充分考量「客戶個人資料」處理性質,協助「客戶」履行「美國州級隱私權法律」規定的義務 (如「客戶」為處理者,則協助履行相關控管者的義務),回應資料當事人行使自身權利的要求。協助方式如下:
- (a) 提供「RDP 服務」功能;
- (b) 遵循第 3.5.1 項 (「回應資料當事人要求」) 所述的規定措施;且
- (c) 提供適用於「RDP 服務」的「資料當事人工具」。
3.5.3 更正。如果「客戶」發現任何「客戶個人資料」不正確或已過時,應負責依「美國州級隱私權法律」規定更正或刪除該資料,包括視情況使用「RDP 服務」功能執行前述作業。
3.6 分包商。
- (a)「客戶」於一般情況下授權 Google 聘僱其他實體擔任分包商,處理有關提供「RDP 服務」的事宜。僱用任何分包商時,Google 將會:
- (i) 透過書面合約確保:(1) 分包商僅在履行分包契約義務所需的範疇內,依據「協議」(包括本附錄 1B) 存取與使用「客戶個人資料」;且 (2) 如果「客戶個人資料」處理作業受「美國州級隱私權法律」約束,則須確保分包商承擔本附錄 1B 規定的資料保護義務;
- (ii) 聘用任何新分包商時,應根據「美國州級隱私權法律」的規定,提供有關此類新分包商的通知,並根據「美國州級隱私權法律」的規定,進一步提供「客戶」就此類分包商提出異議的機會;且
- (iii) 對於分包商的所有分包契約義務、行為和疏失,承擔全部責任。
- (b)「客戶」向 Google 發出書面通知後得立即終止「協議」,以此表示對任何新分包商的異議,前提是「客戶」必須依本文第 3.6(a)(ii) 項所述,在收到新分包商聘用通知後 90 天內,提出此等通知聲明。
3.7 與 Google 聯絡。「客戶」可透過 privacy.google.com/businesses/processorsupport 所述方法或 Google 不時提供的其他方式,就根據本附錄 1B 行使自身權利的相關事宜聯絡 Google。
4. 美國州級隱私權法律條款
4.1 去識別化資料。針對已啟用或未啟用「受限的資料處理」模式時處理的「客戶個人資料」,如有一或多項「美國州級隱私權法律」適用於「客戶個人資料」處理作業,則各方在處理另一方依據「協議」提供的任何「去識別化資料」時,都將遵循「美國州級隱私權法律」的「去識別化資料」處理規定。本項 (第 4.1 項「去識別化資料」) 所述的「客戶個人資料」係指一方對於本身提供或使用「Google 評估服務」時,根據「協議」處理的任何個人資料。
5. Google 的 CCPA 義務。
5.1 針對已啟用「受限的資料處理」模式時處理的「客戶個人資料」,如果 CCPA 適用於此類「客戶個人資料」處理作業,則 Google 將擔任「客戶」的服務供應商,因此除非 CCPA 允許服務供應商採取其他行動 (依 Google 合理認定),否則:
- (a) Google 不會販售或分享依「協議」取自「客戶」的任何「客戶個人資料」;
- (b) Google 不會保留、使用或揭露「客戶個人資料」(包括在 Google 與「客戶」之間直接業務關係以外的情況),除非為了 CCPA 規定的商業目的代表「客戶」採取前述行動,以及出於執行「RDP 服務」此一特定目的,則不在此限。詳情請參閱 business.safety.google/rdp 提供的補充說明文件,相關資訊將不時更新;
- (c) 除非在 CCPA 允許的範圍內,否則 Google 不會將取自「客戶」或代表「客戶」接收的「客戶個人資料」與以下資料合併:(i) Google 取自其他人或代表其他人接收的個人資訊;或 (ii) Google 透過與消費者互動而蒐集的個人資訊。詳情請參閱 business.safety.google/rdp 提供的補充說明文件;
- (d) Google 將基於執行「RDP 服務」此一特定目的 (詳情請見「協議」和補充說明文件,例如說明中心文章),或在 CCPA 另行許可的範圍內,處理這類「客戶個人資料」,且雙方同意「客戶」係出於此等目的,向 Google 提供這類「客戶個人資料」;
- (e) Google 將依據本文第 3.3.3(c) 項 (「客戶的稽核權利」) 規定,允許透過稽核程序確認 Google 是否遵循本附錄 1B 載明的義務;
- (f) 如果 Google 認定本身無法再履行 CCPA 所述義務,將通知「客戶」。本項 (第 5.1(f) 項) 並未縮減「協議」其他條款規定的任一方權利及義務;
- (g) 如果「客戶」合理認為 Google 擅自處理「客戶個人資料」,「客戶」有權透過 privacy.google.com/businesses/processorsupport 所述方式知會 Google,且雙方將基於善意,合作補救「客戶」聲稱違規的處理活動 (如有必要);且
- (h) Google 將遵守 CCPA 載明的適用義務,並按 CCPA 規定提供同等隱私保護措施。
5.2 針對未啟用「受限的資料處理」模式時處理的「客戶個人資料」,如果 CCPA 適用於「客戶個人資料」處理作業:
- (a) Google 將基於執行「Google 評估服務」此一特定目的 (詳情請見「協議」和補充說明文件,例如說明中心文章),或在 CCPA 另行許可的範圍內,處理這類「客戶個人資料」,且雙方同意「客戶」係出於此等目的,向 Google 提供這類「客戶個人資料」;
- (b) Google 將依據本文第 3.3.3(c) 項 (「客戶的稽核權利」) 規定,允許透過稽核程序確認 Google 是否遵循本附錄 1B 載明的義務;
- (c) 如果 Google 認定本身無法再履行 CCPA 所述義務,將通知「客戶」;
- (d) 如果「客戶」合理認為 Google 擅自處理「客戶個人資料」,「客戶」有權透過 privacy.google.com/businesses/processorsupport 所述方式知會 Google,且雙方將基於善意,合作補救「客戶」聲稱違規的處理活動 (如有必要);且
- (e) Google 將遵守 CCPA 載明的適用義務,並按 CCPA 規定提供同等隱私保護措施。
6. 本附錄 1B 相關異動。
除了「控管者條款」第 7 節 (「本控管者條款相關異動」) 規定的修訂 (如適用) 外,Google 亦可不另行通知即變更本附錄 1B,惟該項變更 (a) 應基於適用法律、適用法規、法院命令或政府監管機構/主管機關發布的方針;或是 (b) 根據「美國州級隱私權法律」,不會對「客戶」造成重大不利影響 (依 Google 合理認定)。
7. 美國州級隱私權法律規範的資料處理標的和細節
Google 向「客戶」提供「RDP 服務」及所有相關技術支援。
處理期間
「效期」的時間,加上「效期」結束後,直至 Google 依附錄 1B 刪除所有「客戶個人資料」為止的時間。
處理性質及目的
基於為「客戶」提供「RDP 服務」及任何相關技術支援,Google 將根據附錄 1B 規定,或採取處理者依「美國州級隱私權法律」另行許可的方式,處理「客戶個人資料」。處理作業視「RDP 服務」和「指示」而定,可能包括蒐集、記錄、整理、組織、儲存、修改、擷取、使用、揭露、合併、清除及銷毀資料。
個人資料類型
「客戶個人資料」可能涵蓋「美國州級隱私權法律」描述的個人資料類型。
資料當事人的類別
「客戶個人資料」涉及與下列資料相關的資料當事人類別:
- Google 提供「RDP 服務」時蒐集的個人資料;和/或
- 由「客戶」主動轉移、依「客戶」指示轉移或代表「客戶」轉移給 Google 的「RDP 服務」相關個人資料。
視「RDP 服務」性質而定,此類資料當事人可能包括符合以下描述的個人:(a) 線上廣告已經或即將指定的目標對象;(b) 曾造訪 Google 用於提供「RDP 服務」的特定網站或應用程式;和/或 (c)「客戶」旗下產品或服務的消費者或使用者。
《Google 評估服務控管者與控管者的資料保護條款》第 4.0 版
