Sojern Inc.資料處理附錄

最後更新: 2021 年 9 月 29 日

本資料處理附錄 (包含附表 1 及 2) (下稱「資料處理附錄」) 闡述了 Sojern, Inc (下稱「Sojern」) 所要求的重要條款。Sojern, Inc 為特拉華州公司,主要營業地點位於 575 Market Street, 4th Floor, San Francisco, CA 94105 USA。就本資料處理附錄而言,本資料處理附錄所屬協議 (如下方定義) 的當事方公司稱為「公司」。

1. 定義

協議」係指 Sojern 依據適用的資料提供者或服務協議所允許之目的以接收、收集、存取或以其他方式處理個人資料,所根據之各方之間的任何及所有協議。本資料處理附錄包含協議的條款與條件,以及下文所述內容。若資料處理附錄與協議有所衝突,應優先適用本資料處理附錄的條款內容。本文所使用但未定義之所有詞彙,其各別涵義應與協議所述者相同。

個人資料」係指已識別或可識別之自然人的任何相關資訊,無論是直接識別或間接識別的情形皆屬之。

服務」係指 Sojern 或公司在適用的情況下根據協議所提供的服務。

2. 資料處理附錄的適用

就 Sojern 根據協議所進行之資料處理而言,Sojern 對於 Sojern 處理之個人資料所擔任之資料處理者或資料控制者的角色內容,應載於適用的協議之中。

3. 個人資料的使用

除非本文或公司以書面形式明確允許,否則 Sojern 將不會直接或間接 (a) 揭露、銷售、散佈或傳輸個人資料給任何第三方,或 (b) 將個人資料用於根據協議為公司提供服務以外的任何目的,並將遵守所有適用的隱私權和資料保護法律。

4. 法規遵循;其他指示

各當事方確保其瞭解其在適用隱私權與資料保護法律下的義務,並應根據所有適用的隱私權與資料保護法律處理個人資料。當 Sojern 以資料處理者的身份行事時,Sojern 將按照協議中載明之內容與公司之指示執行資料處理,惟當監管機構另有通知此等處理並不遵守適用隱私權與資料保護法律時則不在此限。在此情況下,Sojern 將立即以書面形式告知公司該監管通知,並且可能會停止處理個人資料,直至監管問題解決為止。

5. 記錄;法規遵循配合

各當事方將維護個人資料處理的書面或電子記錄。各當事方將合理配合他方,以遵循適用的隱私權與資料保護法律,所涉事項為資料影響評估、處理記錄、資料保護主管機關相關要求或諮詢,以及為了讓公司確認 Sojern 確實遵循其在適用的隱私權與資料保護法律和協議下的義務,而根據適用協議實施的稽核。

6. Sojern 隱私權政策

各當事方承認 Sojern 與個人資料被提供給 Sojern 的個人之間並沒有保持直接關係。因此,在適用的隱私權與資料保護法律的要求下,公司將向個人資料被 Sojern 處理之個人提供位於 http://www.sojern.com/privacy/privacy-policy/ 的 Sojern 隱私權政策

7. 通知、同意與選擇退出

公司應依照適用的隱私權與資料保護法律,針對公司收集、使用及揭露個人資訊之事宜,通知並取得個人同意。若適用的隱私權與資料保護法律要求提供個人得據以行使權利的機制 (包括但不限於選擇退出權),則公司 (或負責代表公司收集個人資料之其他當事方) 應向個人提供此等機制。公司將被推定為已提供適當通知,且已視需求向個人資料被提供給 Sojern 的任何個人取得適當同意。

8. 個人隱私權

各當事方將合理配合他方,以回應個人所提出之任何涉及根據協議進行之個人資料處理,以及與適用隱私權與資料保護法律所賦予之隱私權有關的要求或投訴。如果 Sojern 接收到個人的要求,Sojern 將會立即:(a) 將要求轉傳給公司以管理該要求;以及 (b) 在 Sojern 是資料處理者的情況下,實施公司對於該要求的管理方式所做的決定。

9. 歐盟個人資料

在將發自美國境外的個人資料 (包括歐洲經濟區 (EEA),英國或瑞士) 傳輸至 Sojern 的情況下,資料處理必須根據公司所在國家/地區法律要求適當性,並且本資料處理附錄條款得以符合必要適當性,雙方同意在適用情況下,本資料處理附錄以引用方式納入 (EU) 2021/914 歐盟委員會標準合約條款,規範依照 (EU) 2016-679 法規將個人資料傳輸至第三國的行為,包含由 EU/EEA 控制者傳輸至設立於 EU/EEA 外的處理者 (「單元 2」) 和/或由 EU/EEA 控制者傳輸至設立於 EU/EEA 外的處理者 (「單元 1」),這些條款 (統稱「條款」) 由歐盟委員會不時修訂或更換。為了方便起見,條款超連結係由歐盟委員會提供並基於 文字 產生,以便將條款整合至協議、選擇適當單元,以及在條款允許的情況下在附錄中新增資訊。出於個人資料傳輸之目的,公司應為「資料輸出者」,而 Sojern 應為「資料輸入者」(即使公司為位於 EU/EEA 以外的實體亦然,前提是該公司須遵守 (EU) 2016-679 法規)。當條款適用時,公司 和 Sojern 即會被視為以各自的名稱自行簽訂條款,而當事方的姓名、地址、聯絡詳細資料、角色和依據條款傳輸之個人資料相關的活動將在協議中提供。協議之履行應視為條款之執行,特別是條款附錄 I.A 之執行。在資料處理附錄條款與條款有任何衝突的情況下,應優先依準適用的條款。

  1. 控制者至控制者。出於單元 1 之目的,(i) 本資料處理附錄之附表 1 應取代單元 1 附錄 1.B;(ii) 本資料處理附錄之附表 2 應取代單元 1 之附錄 II;且 (iii) 在單元 1 第 11(a) 條下選擇了提供的選擇性文字;(iv) 根據單元 1 第 17 條,選擇選項 1,歐盟會員國為愛爾蘭,以及 (v) 在單元 1 第 18(b) 條下選擇愛爾蘭法院。
  2. 控制者至處理者。出於單元 2 之目的,(i) 本資料處理附錄之附表 1 應取代單元 2 附錄 1.B;(ii) 本資料處理附錄之附表 2 應取代單元 2 之附錄 II;(iii) 根據單元 2 第 9(a) 條,選擇選項 2:已選擇一般書面授權,預先通知期間為三十 (30) 天;(iv) 根據單元 2 第 11(a) 條,選擇提供的選擇性文字;(v) 根據單元 2 第 17 條,選擇選項 1,且歐盟會員國為愛爾蘭;及 (vi) 根據單元 2 第 18(b) 條,選擇愛爾蘭法院。
  3. 美國外國情報監察法第 702 條與行政命令第 12333 號。如果 Sojern 發現其已成為美國外國情報監察法 (FISA) 第 702 條和/或行政命令第 12333 號所設想之資料分享或揭露要求的規範對象,Sojern 應該立即通知公司,並停止接受個人資料。如果歐洲資料保護委員會或其他負責監理公司的監理機構,針對個人資料的國際輸出所需採取的進一步適當措施發佈進一步的指導,則 Sojern 應當立即實施任何進一步的適當措施。

10. 安全防護措施

各當事方應實施並維護適當的技術、實體和組織性措施,以保護個人資料,免於遭受未經授權或非法的處理,並防免意外遺失、破壞或損毀。

  1. 個人資料侵害。在發現適用隱私權與資料保護法律所規範的個人資料侵害情事後,各當事方將在適用隱私權與資料保護法律規定的期限內,以書面形式通知他方,且不得有不當遲延。各當事方將在可能的情況下合理配合他方,以減輕個人資料侵害的不利影響。
  2. 資料儲存;個人資料在終止後刪除。Sojern 實施技術安全措施來防止個人資料遭受未經授權存取,包括在傳輸時以及在 Sojern 網路或系統中儲存時以電子形式加密個人資料。Sojern 在協議終止時針對個人資料所負的義務載於協議的「期間與終止」一節,並仍受適用協議的任何資料保留條款的規範。

11. 子處理者

公司授予 Sojern 使用其他資料處理者來處理個人資料 (下稱「子處理者」) 的一般授權,其他資料處理者受到與本資料處理附錄一致之保密和資料保護義務的約束,清單列於 http://sojern.com/legal/partner-list/。當協議有所要求或 Sojern 以資料處理者的身分行事時,Sojern 將透過更新上述清單,通知公司任何有關新增或更換子處理者的變更,從而讓公司有機會反對此等變更,提出反對的說明亦提供於相同網址。如果公司合理反對變更,且 Sojern 無法解決此等反對,公司得終止協議和資料處理附錄。

12. 資料處理附錄的適用

但凡 (a) 協議仍為有效或 (b) Sojern 仍保留個人資料副本,本資料處理附錄即應維持完整效力與作用。一旦有重大違反本資料處理附錄,或監理機構及/或具有司法管轄權的法庭或法院認定當事方對個人資料的處理有重大違反適用的隱私權與資料保護法律之情事,任一當事方即可立即終止本資料處理附錄,但前提是未違反之一方必須通知所聲稱之違反情事,且該等違反情事在該通知後十五 (15) 天仍未經解決。

13. 準據法

本資料處理附錄應視為已在美國加州有效成立,且應依據該州法律進行解釋,而無須理會該等法律條文是否有所衝突。

附表 1

傳輸說明

個人資料傳輸之資料主體類別

公司的旅客及其他客戶。

傳輸之個人資料類別

公司傳輸的個人資料係根據協議提供,且可能包括但不限於:

  • 與專一線上識別碼相關的資訊,例如 Cookie ID、行動裝置 ID、雜湊電子郵件地址、廣告 ID,以及公司指定的客戶 ID 號碼。
  • 與個人裝置相關的資訊,例如 IP 位址、裝置類型、瀏覽器類型、點擊和造訪網站的日期與時間戳記、造訪過的網址和其他技術資訊。
  • 與個人旅遊相關的資訊,例如旅客人數和類型、貨幣/費率/票價/費用、搜尋和預訂資訊 (例如出發和抵達日期、目的地國家/地區或城市)、獎勵或忠誠計畫資訊,以及住宿或服務偏好 (例如房間、航班座位或汽車類型,以及設施與便利設施的偏好)。
傳輸的機密資料 (若適用),以及應用限制或保護,應完全考量資料性質與相關風險,例如嚴格之目的限制、存取限制 (包括僅限受過特殊訓練的人員進行存取)、保存資料存取記錄、限制後續傳輸或其他安全措施。

傳輸頻率 (例如資料傳輸是否為一次性或持續性)。

在適用的協議期間持續進行。

處理的本質

使用 Cookie 和其他追蹤技術收集線上瀏覽資訊。

資料傳輸及進一步處理之目的
任何根據資料輸出者及資料輸入者之間的協議所提供之服務有關的合法目的,特別是基於線上瀏覽資訊的針對性廣告。不允許進一步處理。
個人資料保留期間,或者如果不可行,決定該期間的標準

在適用的協議期間,除非資料匯出者選擇刪除或退回個人資料。

對於傳輸至 (子) 處理者的情況,也請指定處理的主題、性質及持續時間

子處理者依照單元 1 第 9(a) 條的規定列於 http://sojern.com/legal/partner-list/

  • 有關處理的主題:  子處理者提供託管、儲存和處理基礎架構及服務,讓 Sojern 為其客戶提供服務。此外,子處理者可在網站、行動應用程式和其他網際網路連線內容上提供數位廣告,發佈廣告活動的成效報告,同時提供平台透過即時拍賣來促進線上廣告曝光/庫存的銷售。
  • 處理的本質:  雲端託管服務供應商會儲存並處理 Sojern 客戶提供的資料,而需求端平台則處理程序化媒體購買與廣告服務的資料。
  • 處理期間:  在 Sojern 與子處理者之間的協議期限內,受到協議中保留期間之規定。

主管機關

資料主體因商品或服務之提供個人資料遭根據本條款傳輸,或其行為受到監督,其所在地會員國之一的主管機關,如附錄 I.C 所述,應為主管機關。

附表 2

其中包括技術及組織性措施,以確保資料安全性

  1. 一般。Sojern 將會建立、實施並維護適當管理、技術及組織性措施,防止未經授權或非法處理個人資料,並防止意外遺失或毀損個人資料,或對個人資料造成損害。這些措施足以符合適用之資料保護法,Sojern 將隨時遵守其資訊安全政策與資訊安全計畫。
  2. 資訊安全政策與標準。Sojern 將會維護資訊安全政策、標準及程序。這些政策、標準與程序應隨時更新,並於使用或儲存個人資料之資訊系統進行相關變更時予以修訂。
  3. 弱點管理。Sojern 將針對所有處理個人資料的系統維護弱點管理計畫,包括但不限於掃描內部和外部弱點,並提供風險評等結果及正式補救計畫,以解決任何已知弱點。
  4. 風險評估。Sojern 將會定期進行風險評估,識別並評估針對包含個人資料之記錄安全性、機密性及完整性的合理可預見風險,並在必要時評估並改善其防護措施對於限制這些風險的有效性。
  5. 資料分類。Sojern 將會維護政策及程序,分類機密資訊資產、釐清安全責任,並提升全體員工的認知。
  6. 加密。Sojern 將會導入業界標準之加密機制及強大加密套件 (建議採取 AES 256 位元),以供儲存及傳輸之用。Sojern 將接受透過加密通道進行的連線 (建議使用 TLS)。
  7. 網路安全性。Sojern 將運用市售設備和業界標準技術,採用深度防禦方法來保護網路安全,包括但不限於防火牆、入侵偵測系統、存取控制清單和路由通訊協定。
  8. 病毒及惡意程式控制。Sojern 將保護個人資料免受惡意程式碼的威脅,同時會在任何處理個人資料的系統上安裝並維護防毒和惡意程式防護軟體。
  9. 存取控制。Sojern 將會採取最少權限原則,其中對於個人資料的存取權僅限授予組織內對此存取權限具有業務需求的人員,並且權限僅限於執行特定職務所需的最低數量。
  10. 處理地點。Sojern 將在美國處理個人資料,惟適用的資料保護法可能會要求在其他地區處理個人資料。
  11. 事件回應。Sojern 將會維護資料安全事件回應計畫,記錄所有疑似的資料安全性事件。Sojern 將調查任何資料安全性事件,採取所有必要步驟來排除或遏制資料安全性事件。
  12. 員工。Sojern 將會維護資訊安全意識及訓練計畫,並且會針對資料保護措施和一般網路安全防護訓練關鍵 Sojern 員工。
  13. 供應商。Sojern 將會維護供應商管理計畫,評估所有跟 Sojern 交換個人資料的供應商。此類供應商必須遵循的資料安全標準,其限制不會低於本文所規定的標準。