資料處理附加條款

上次修改日期：2023 年 8 月 8 日 | 舊版本

簽訂本修訂條款 (「合作夥伴」) 的 Jibe 和各方，均同意簽訂「處理者服務」條款 (該修訂得不時修訂，以下簡稱「協議」)。

本《資料處理修訂條款》(包括附錄、「資料處理修訂條款」) 是由 Jibe 與合作夥伴簽訂，且補充「協議」之內容。本《資料處理附加條款》將從「條款生效日期」起生效，並取代先前與其標的相關的任何適用條款 (包括任何與「處理者服務」相關的任何資料處理及安全性條款)。

如果您代表合作夥伴接受本《資料處理修訂條款》，即表示您擔保：(a) 您已獲得完整法律授權，可約束合作夥伴履行本《資料處理附加條款》；(b) 您已詳閱並瞭解本《資料處理附加條款》；以及 (c) 您代表合作夥伴同意本《資料處理附加條款》。如果您不具備可約束合作夥伴的法律授權，請勿接受本《資料處理附加條款》。

1. 簡介

本《資料處理附加條款》反映了雙方當事人就歐盟資料保護法規和非歐盟資料保護法規範之特定資料的處理和安全性事宜。

2. 定義與闡釋

2.1 《資料處理修訂條款》：

「額外產品」係指 Jibe 或其第三方提供的產品、服務或應用程式：(a) 不屬於「處理者服務」的一部分；(b) 可以在「處理者服務」的使用者介面中存取，或以其他方式與「處理者服務」整合。

「非歐盟資料保護法規」係指「附錄 3」中所指的補充條款，反映雙方同意就特定「非歐盟資料保護法規」處理特定資料時所須遵守的條款。

「適用國家/地區」係指：

(a) 如果是依歐盟 GDPR 規定處理的資料：歐洲經濟區，或是按歐盟 GDPR 規定須採取適當資料保護措施的國家/地區或地域；

(b) 如果是依英國 GDPR 規定處理的資料：英國，或是按英國 GDPR 和《2018 年資料保護法》規定須採取適當資料保護措施的國家/地區或地域；和/或

(c) 如果是依瑞士 FDPA 法處理的資料，或 (i) 列入法規清單之國家/地區清單中所列法規的案例

「替代移轉解決方案」係指 SCC 以外的解決方案，可依據歐盟資料保護法規定合法將個人資料移轉至第三國家/地區，例如確保參與在地實體能提供適當保護措施的資料保護架構。

「資料事件」意指因 Jibe 的安全性而遭意外或非法損害、損失、改造、未經授權揭露，或由 Jibe 管理或控管其系統中的合作夥伴個人資料，因而導致違規。「資料事件」不包含不會損害合作夥伴個人資料安全性的失敗嘗試或活動，包括嘗試登入失敗、連線偵測 (ping)、通訊埠掃描、阻斷服務攻擊，以及其他防火牆或網路系統網路攻擊。

「資料當事人工具」係指 Jibe 實體對資料當事人提供的工具 (如果有的話)，讓資料當事人可以直接針對標準資料進行調整 (例如線上廣告設定或「選擇不採用瀏覽器外掛程式」)，直接向資料當事人提出直接回應。

「EEA」係指歐洲經濟區。

「歐盟 GDPR」係指歐洲議會及理事會為保護自然人權利，在 2016 年 4 月 27 日頒布的第 2016/679 號歐盟規章，其目的在於規範個人資料之處理及自由流通，並在 95/46/EC 指令廢止後取而代之。

「歐盟資料保護法」係指：(a) GDPR；和/或 (b) 瑞士 FDPA。

「歐盟法律」係指：(a) 歐盟或歐盟成員國法律 (若處理「合作夥伴個人資料」時適用歐盟 GDPR)；和/或 (b) 英國國家或地方法律 (若處理「合作夥伴個人資料」時適用英國法律)。

「GDPR」係指：(a) 歐盟 GDPR；和/或 (b) 英國 GDPR，其定義視實際情況而定。

「Jibe」意指屬於「協議」之一的 Jibe 實體。

「Jibe Entity」係指 Jibe Mobile, Inc.、Jibe Mobile Limited 或任何其他直接或間接控制、受 Jibe Mobile, Inc. 控管或共同控管的實體。

「ISO 27001 認證」係指 ISO/IEC 27001:2013 認證，或適用於「處理者服務」的同等認證。

「新的複委託者」定義請見第 11.1 節 (同意複委託者參與度) 的說明。

「非歐盟資料保護法規」係指在歐洲經濟區、瑞士和英國境外強制執行的資料保護或隱私權法律。

「電子郵件通知地址」係指 (i) 由「合作夥伴」提供給 Jibe 或 (ii) 「合作夥伴」透過「處理者服務」使用者介面或 Google 提供的其他方式，接收與本《資料處理修訂條款》有關的特定通知的通知。為免疑義，合作夥伴應負責將通知電子郵件地址提供給 Jibe，並通知 Jibe 任何更新「電子郵件通知地址」。

「合作夥伴個人資料」係指 Jibe 在「處理者服務」條款中代表合作夥伴處理的個人資料。

「合作夥伴 SCC」係指適用的 SCC (控管者對處理器)、SCC (處理者對控管者) 和/或 SCC (處理者到處理者)。

「處理者服務」係指 RCS Business Messaging 服務 (詳情請參閱 developers.google.com/business-communications/rcs-business-messaging)。

「SCC」係指合作夥伴 SCC 和/或 SCC (處理者、處理者、 Jibe Exporter)。

「SCC (控管者與程序)」係指 business.safety.google/gdprcontrollerterms/sccs/eu-c2p-dpa 中的條款。

「SCCs (Processor-to-Controller)」係指 business.safety.google/gdprprocessorterms/sccs/p2c 中的條款。

「SCC (處理者)」係指 business.safety.google/gdprprocessorterms/sccs/eu-p2p-dpa 中的條款。

「SCC (Processor-to-Processor, Jibe Exporter)」係指 business.safety.google/gdprprocessorterms/sccs/eu-p2p-intra-group 中的條款。

「安全性文件」係指 ISO 27001 認證，以及 Jibe 可能與「處理者服務」有關的任何其他安全認證或文件。

「安全措施」的定義請見第 7.1.1 節 (Jibe 的安全措施)。

「複委託者」係指依據本《資料處理附加條款》進行授權的第三方，具備邏輯存取權及處理「合作夥伴個人資料」，以提供「處理者服務」和任何相關技術支援服務。

「監管機關」係指：(a) 歐盟 GDPR 中定義的「監管機關」；和/或 (b) 英國 GDPR 和/或瑞士的 FDPA 中定義的「委員會」。

「Swiss FDPA」係指 1992 年 6 月 19 日《聯邦資料保護法》(瑞士)。

「效期」係指自「條款生效日期」起的期間，直到 Jibe 根據「協議」佈建「處理者服務」為止。

「條款效期」係指「協議」的有效日期。

「英國 GDPR」係指 2018 年英國《退出歐盟法案》及其相關次要適用法律所修訂和納入英國法律的歐盟 GDPR。

2.2 本《資料處理附加條款》中的「控管者」、「資料當事人」、「個人資料」、「處理」和「處理者」一詞採用 GDPR 中的定義，而「資料匯入者」和「資料匯出者」則採用適用 SCC 中的定義。

2.3「包含」和「包括」一詞意指「包括但不限於」。本《資料處理修訂條款》中的任何範例僅供說明之用，並未影射特定概念。

2.4 提及任何法律架構、法規或其他立法條例，均以其最新修訂或頒布之內容為準。

2.5 如果本《資料處理修訂條款》的任何翻譯版本與英文版不同，則應以英文版本為準。

3. 這份資料處理附加條款的時間

本《資料處理附加條款》將於「條款生效日期」生效。即使「條款」已到期，此效力仍將持續有效，且當 Jibe 刪除本「資料處理修訂條款」所述的所有「合作夥伴個人資料」時，其效力將持續有效。

4. 本資料處理修訂條款的適用範圍

4.1 套用歐盟資料保護法。若

(a) 處理是否涉及歐洲經濟區或英國合作夥伴機構之活動；和/或

(b) 合作夥伴個人資料是指與歐洲經濟區或英國境內資料當事人相關的資料，而該處理者與服務於產品或服務或歐洲經濟區或英國境內的行為，與提供產品或服務有關，或是監控自己的行為有影響。

4.2 申請者服務。本《資料處理修訂條款》僅適用於雙方同意此《資料處理附加條款》的「處理者服務」(例如：(a) 「合作夥伴」因接受《資料處理修訂條款》而選擇接受的「處理者服務」；或 (b) 如「協議」納入依本「資料處理條款」簽訂的「處理者服務」，則

4.3 非歐盟資料保護法規補充條款。「非歐盟資料保護法規」補充條款補充這份《資料處理附加條款》。

5. 資料處理

5.1 角色及法規遵循；授權。

5.1.1 處理者和控管者責任。雙方確認並同意：

(a) 附錄 1 說明處理合作夥伴個人資料的主題和詳細資料；

(b) Jibe 是依據歐盟資料保護法規範的合作夥伴個人資料的處理者；

(c) 「合作夥伴」為「歐盟個人資料」適用「合作夥伴個人資料」的控管者或處理者 (如適用)；

(d) 各方將都遵守「歐盟資料保護法規」針對處理「合作夥伴個人資料」所規範之相關義務。

5.1.2 處理方合作夥伴。如果合作夥伴是處理者：

(a) 合作夥伴持續承諾，相關控制器已授權 (i) 指示；(ii) 合作夥伴將 Jibe 預約為其他處理者，以及 (iii) Jibe 在第 11 節 (複委託者) 中說明的複委託者參與度；

(b)「合作夥伴」將立即依向第 5.4 節 (「通知通知」) 第 7.2.1 節 (「事件通知」)、11.4 節 (「對「複委託者」變動」所稱) 或任何「SCC」；

(c)「合作夥伴」得向可能涉及第 7.4 節 (安全認證)、「10.5」(資料傳輸資訊) 及 11.2 (「複委託者」資訊) 提供任何相關控管者之相關控管者提供相關資訊。

5.2 合作夥伴的操作說明。根據本「資料處理修訂條款」規定，「合作夥伴」僅可按照適用法律：(a) 就「處理者服務」或任何相關技術支援 (b) 所述之方式提供「合作夥伴個人資料」，包括 (a) 針對「說明文件」所載明之任何「說明文件」所附的指引 (「說明文件」的程序，以及依照本文件之說明文件規定)。

5.3 Jibe 遵循操作說明。除非歐洲法律另有規定，否則 Jibe 將遵循指示。

5.4 指示通知。如果以下情況，Jbebe 會在下列情況中通知合作夥伴：(a) 歐洲法律禁止 Jibe 遵循指示；(b) 指示未遵守歐洲資料保護法；或 (c) Jibe 在任何情況下均未遵守指示，除非歐盟法律禁止。本節 (第 5.4 節 (指示通知)) 不會影響任一方在「協議」中的其他權利和義務的情況下。

5.5 額外產品。如果「合作夥伴」使用任何「額外產品」，處理者可能會允許「額外產品」依本「額外產品」與「處理者服務」的互通性，依需求存取「合作夥伴個人資料」。如有需要，各方應簽訂獨立的資料處理條款，以處理「額外產品」處理「合作夥伴個人資料」的方式。

6. 資料刪除

6.1 效期。

6.1.1 具備刪除功能之處理者服務。在效期內：

(a) 處理者服務的功能包括刪除合作夥伴個人資料的選項；

(b) 合作夥伴使用「處理者服務」刪除特定「合作夥伴個人資料」；以及

(c) 合作夥伴無法取回已刪除的合作夥伴個人資料 (例如，從「交易」中還原)。除非歐盟法律要求儲存資料，否則 Jibe 會在合理可行的情況下盡快從系統中刪除這類「合作夥伴個人資料」。

6.1.2 不含刪除功能的處理器服務。在本「條款」內，如果「處理者服務」的功能沒有為合作夥伴提供「合作夥伴個人資料」刪除選項的選項，則 Jibe 將遵循「合作夥伴」因任何合理理由而提出的刪除要求，並將這項規定納入考量，因為「處理者服務」的特性與功能必須考慮到儲存條件，除非歐洲法律要求儲存體。依據第 6.1.2 節 (「無刪除功能」的「處理者服務」) 規定，資料刪除作業會產生 Jibe 收取的費用 (根據 Jibe 的合理費用)。Jibe 會在任何此類資料刪除前，事先向合作夥伴提供任何適用費用的詳細資料，以及其計算方式。

6.2 效期到期時刪除。「條款」到期後，合作夥伴必須指示 Jibe 根據適用法律刪除所有合作夥伴個人資料 (包括現有副本)。除非歐洲法律要求儲存空間，否則 Jibe 會在合理可行的情況下盡快遵循這項指示。

7. 資料安全性

7.1 Jibe 的安全措施與協助。

7.1.1 Jibe 的安全措施。Jibe 會實施及維護技術和機構措施，以保護合作夥伴個人資料免於意外或非法刪除、損失、變更、未經授權的揭露或存取，如附錄 2 所述 (以下稱「安全措施」)。如附錄 2 所述，安全措施包括：(a) 加密個人資料；(b) 協助確保 Jibe 系統和服務的機密性、完整性、可用性和彈性；(c) 協助在事件發生後及時恢復個人資料的存取；以及 (d) 定期測試有效性。Jibe 可能會不時更新或修改安全措施，前提是這類更新和修改不會導致處理者服務的整體安全性下降。

7.1.2 存取權和法規遵循。Jibe 將 (a) 授權其員工、承包商和「複委託者」對「合作夥伴個人資料」採取必要的存取限制，且必須遵循「指南」規定；(b) 採取適當步驟，確保其員工範圍、其僱傭者和「複委託者」所採取的「安全措施」確實遵循其其成效範圍；以及 (c) 確保所有對「保密」處理之「機密個人資料」所保密人 皆保密。

7.1.3 Jibe 的安全性協助。基於處理合作夥伴個人資料的處理性質及 Jibe 可用資訊，Jibe 會協助合作夥伴確保遵循合作夥伴 (或合作夥伴，為處理者) 對個人資料和個人資料侵害安全負責的義務，包括第 32 條 (第 32 條) 規定 (包括合作夥伴)

(a) 依據第 7.1.1 節 (Jibe 的安全措施) 實作及維護安全措施；

(b) 遵守第 7.2 節 (資料事件) 的條款；以及

(c) 根據第 7.5.1 節 (安全文件審查) 與本《資料處理修訂條款》所含資訊向合作夥伴提供安全性說明文件。

7.2 資料事件。

7.2.1 事件通知。如果 Jibe 得知資料事件，Jabe 將 (a) 立即通知資料事件合作夥伴，且不會無故拖延；以及 (b) 及時採取合理步驟，盡可能減少傷害和合作夥伴資料。

7.2.2 資料事件詳細資料。依據第 7.2.1 節 (事件通知) 節發送的通知將說明：資料事件的性質 (包括受影響的合作夥伴資源)、Jibe 採取或打算採取的措施來解決資料事件，並降低潛在風險；Jibe 建議合作夥伴採取適當做法，以便處理資料事件 (如果有)。如果無法同時提供所有這類資訊，Jaibe 的第一則通知將包含這些資訊，且會在更多資訊出現時提供更多資訊，而不會無故提供。

7.2.3 通知傳送。Jibe 會透過其他通訊方式 (例如電話或現場會議) 將任何「資料事件」的通知傳送至「電子郵件通知地址」，或由 Jibe 自行決定 (包括「合作夥伴」未提供「通知電子郵件地址」)。合作夥伴應負責提供通知電子郵件地址，並確保「通知電子郵件地址」為有效且有效。

7.2.4 第三方通知。合作夥伴必須自行負責遵守合作夥伴適用的事件通知法律，並履行任何與資料事件相關的任何第三方通知義務。

7.2.5 Jibe 的確認聲明。Jibe 根據第 7.2 節 (資料事件) 規定對「資料事件」發出通知或回覆，並不構成 Jibe 因資料事件而產生的任何錯誤或責任。

7.3 合作夥伴的安全性責任與評估。

7.3.1 合作夥伴的安全性責任。「合作夥伴」同意，Fitbit 未依第 7.1 節 (Jibe 的安全措施與協助) 和 7.2 節 (資料事件) 的規定承擔義務：

(a) 「合作夥伴」使用其「處理者服務」時，必須遵守：

(i) 適當使用「處理者服務」，確保「合作夥伴個人資料」可能具有適當的安全性；以及

(ii) 保護合作夥伴用於存取「處理者服務」的帳戶驗證憑證、系統及裝置；

(b) Jibe 沒有義務保護「合作夥伴個人資料」，並在「合作夥伴」及其「複委託者」系統之外儲存或轉移合作夥伴個人資料。

7.3.2 合作夥伴的安全性評估。合作夥伴確認，Jibe 根據第 7.1.1 節 (Jibe 的安全措施) 所實施及維護的安全措施，對合作夥伴個人資料的看法，在合作夥伴個人資料的處理方麵包括國際性、範圍、內容及用途等方面提供適當的安全性措施。

7.4 安全性認證。為了評估及確保「安全措施」持續有效，Jibe 將保留 ISO 27001 認證或其他適當的措施，以證明安全措施有效。

7.5 法規遵循審查與稽核。

7.5.1 安全性說明文件審查。為了證明 Jibe 履行本《資料處理附加條款》的義務，Jibe 將提供安全性說明文件，以供合作夥伴審查。

7.5.2 合作夥伴的稽核權利。

(a) Jibe 將由「合作夥伴」指定的第三方稽核機構執行稽核 (包括檢查作業)，根據該條款第 7.5.3 節「其他稽核條款」，確認 Jibe 根據本《資料處理附加條款》所履行的義務。稽核期間，Jibe 會提供所有必要資訊來證明符合這些法規遵循規定，並為稽核工作提供第 7.4 節 (安全認證) 和第 7.5 節 (法規遵循審查與稽核) 中所述的規定。

(b) 如果 SCC 根據第 10.2 節 (「受限制的歐洲資料移轉行為」) 的規定執行，Jibe 將允許「合作夥伴」(或「合作夥伴」指派的第三方稽核者) 按照適用 SCC 所述方式進行稽核，並在這類稽核作業中提供 SCC 根據第 7.5.3 節 (其他《商業條款》) 規定的所有資訊。

(c) 合作夥伴也可透過稽核，審查任何第三方稽核單位 (例如 ISO 27001 認證) 核發給 Jibe 的任何憑證，藉此驗證 Jibe 遵守本《資料處理附加條款》時履行的義務。

7.5.3 稽核的其他商業條款。

(a) 「合作夥伴」將根據第 7.5.2(a) 或 7.5.2(b) 節規定向稽核方式傳送第 12.1 節 (「與 Jibe」聯絡) 的稽核要求。

(b) 根據 Jibe 第 7.5.3(a) 節所要求之要求，在適用之合理範圍內，事先討論及同意適用於第 7.5.2(a) 或 7.5.2(b) 節所述的任何稽核開始日期、範圍與時間長度，以及安全性和機密性控制。

(c) Jibe 依據第 7.5.2(a) 或 7.5.2(b) 節規定稽核的費用，可能會收取 Jibe 的合理費用。Jibe 會在進行任何此類稽核之前，事先向合作夥伴提供任何適用費用及計算基礎的詳細資訊。合作夥伴須負擔任何第三方稽核機構針對任何此類稽核所收取的任何費用。

)因為這些類型的異議將需要合作夥伴決定另一名稽核員或自行進行稽核。

(e) 本《資料處理修訂條款》不會要求 Jibe 揭露合作夥伴或其第三方稽核機構，或允許合作夥伴或其第三方稽核機構存取：

(i)「 Jibe 實體」任何其他合作夥伴或客戶的資料；

(ii) 任何 Jibe 實體的內部會計或財務資訊；

(iii) Jibe 實體的任何商業機密；

(iv) 任何在 Jibe 合理上產生的任何資訊，都可能：(A) 危及任何 Jibe 實體的系統或設施安全性；或 (B) 導致任何 Jibe 實體違反其歐盟資料保護法規或其對合作夥伴/任何第三方的安全性和/或隱私權義務；

(v)「合作夥伴」或其第三方稽核機構要求存取的任何資訊，而原因皆非出於善意履行「歐盟資料保護法規」義務的義務。

8. 影響力評估與諮詢

考量到處理流程和 Jibe 可用資訊的性質，Jbebe 會協助合作夥伴確保我們遵守合作夥伴 (或合作夥伴、處理者等相關控管者) 對資料保護影響評估及先前的諮詢 (如適用) 的義務，包括：

(a) 依據第 7.5.1 節規定提供安全性說明文件 (請參閱安全性說明文件)。

(b) 提供本《資料處理附加條款》中的資訊；以及

(c) 依據 Jibe 的標準做法、其他與「處理者服務」性質和「合作夥伴個人資料」處理方式 (例如說明中心資料) 相關的資料，提供或以其他方式提供。

9. 資料當事人權利

9.1 回應資料當事人要求。如果 Jibe 收到與合作夥伴個人資料相關的資料要求，合作夥伴授權 Jibe 並要求 Jibe 通知：

(a) 根據資料當事人工具工具的標準功能 (如果資料要求透過資料主體工具提出要求) 直接回應資料主體的要求；或

(b) 建議資料當事人向合作夥伴提交要求，且合作夥伴必須負責回應這類要求 (如果要求並非透過資料主體工具提出)。

9.2 Jibe 的資料當事人要求協助Jibe 會協助合作夥伴 (或合作夥伴，為處理者) 履行 GDPR 規定的義務，以回應符合資料當事人權利的要求；在所有情況下，皆是處理合作夥伴個人資料的處理事宜，且適用 GDPR 第 11 條 (如適用) 的行為 (如有)：

(a) 提供「處理者服務」的功能；

(b) 遵循第 9.1 節 (資料當事人要求) 的承諾；以及

(c) 若提供「處理者服務」，請提供可用的資料當事人工具。

9.3 規範。如果合作夥伴發現任何合作夥伴個人資料不正確或過時，則在歐洲資料保護法規的要求 (包括使用「處理者服務」功能) 要求的情況下，您必須負責修正或刪除該資料。

10. 資料移轉

10.1 資料儲存與處理設施。根據第 10 節 (資料移轉) 的其餘規定，Jibe 可以在 Jibe 或其任何複委託者維護設施的任何國家/地區處理合作夥伴個人資料。

10.2 受管制的歐洲資料移轉行為。雙方瞭解歐盟資料保護法規不需使用 SCC 或替代移轉解決方案，即可處理合作夥伴個人資料或將其移轉至適用國家/地區。

如果合作夥伴個人資料轉移給任何其他國家/地區，而歐盟資料保護法則適用於這些轉移 (下稱「受管制的歐洲資料移轉行為」)，則：

(a) 如果 Jibe 在任何「受管制的歐洲資料移轉行為」採用「替代移轉解決方案」，則 Jibe 將通知相關解決方案的「合作夥伴」，並確認此類「受管制的歐洲資料移轉行為」符合該解決方案。

(b) 如果 Jibe 尚未採用或已告知合作夥伴，他們不再為任何受限制的歐洲移轉採用替代移轉解決方案，則：

(i) 如果 Jibe 的地址位於適當的國家/地區：

(A) 對「受管制的歐洲資料移轉行為」從 Jibe 到「複委託者」進行的「SCC」(處理方、處理者、Jibe Exporter) 之適用範圍；以及

(B) 此外，如果合作夥伴地址不在適用國家/地區，則 SCC (「處理者與控管者」) 將針對 Jibe 與合作夥伴之「受管制的歐洲資料移轉行為」(無論合作夥伴為控管者和/或處理方) 都適用 SCC。

(ii) 如果 Jibe 的地址不在適當的國家/地區：

合作夥伴是否應遵守 SCC (控管者與處理者) 和/或 SCC (處理者) 規定 (根據合作夥伴為控管者和/或處理方)，若遵守 YouTube 與 Jibe 中的此類受管制歐洲資料移轉行為，則適用

(c) 對 Google LLC 或 Google 的提及，以及任何 SCC 的您分別屬於 Jibe 和 Partner。

10.3 補充措施和資訊。Jibe 向合作夥伴提供與受限制的歐洲資料移轉有關的相關資訊，包括保護合作夥伴個人資料的補充措施相關資訊，如第 7.5.1 節 (安全文件審查)、附錄 2 (安全措施) 和其他與「處理者服務」性質有關的其他資料 (例如說明中心文章)。

10.4 終止。如果「合作夥伴」有依據其目前或預期使用的「處理者服務」使用情形，或者「替代移轉解決方案」和/或「SCC」( 在適用情況下) 並未針對「合作夥伴個人資料」提供適當保護措施，則「合作夥伴」得立即以書面方式通知 Jibe，終止「協議」。

10.5 資料中心資訊。如要瞭解 Google LLC 資料中心的地點，請前往 www.google.com/about/datacenters/locations/index.html。

11. 複委託者

11.1 接受複委託者參與。自「條款生效日期」起，「合作夥伴」明確授權第 11.2 節 (「複委託者」相關資訊) 所述的子處理者參與度。此外，合作夥伴通常會授權任何其他第三方為複委託者 (以下稱「新子處理者」) 的參與，遵循第 11.4 節 (「對複委託者變更」一節)。

11.2 複委託者相關資訊。針對夥伴，您將在收到書面要求時，Jibe 提供「複委託者」及其所在地點的相關資訊。這類要求皆須使用第 12.1 節 (與 Jibe 中聯絡) 所述的聯絡詳細資料傳送給 Jibe。

11.3 複委託者參與規定。要求任何「複委託者」時，Jibe 將：

(a) 透過書面合約確保下列事項：

(i) 「複委託者」只會根據履行「協議」所規定之義務，存取並使用「合作夥伴個人資料」，並遵循「協議」(包括本「資料處理修訂條款」) 的規定。

(ii) 如為處理「合作夥伴個人資料」的處理者受「歐盟資料保護法規」規範，那麼本「資料處理附加條款」 (依 GDPR 第 28(3) 條 (如適用) 規定) 會施行「複委託者」的義務；以及

(b) 對所有分包契約的所有義務，以及「複委託者」的所有行為和疏失負起完全責任。

11.4 反對變更複委託者之機會。

(a) 如在「效期」內處理任何新的「複委託者」時，在「複委託者」處理任何「合作夥伴個人資料」之前至少 30 天，Jibe 將傳送電子郵件至「電子郵件通知地址」，告知「合作夥伴」涉及參與 (包括相關「複委託者」的名稱和地點及其將從事的活動)。

(b) 如「合作夥伴」在收到新「複委託者」的討論後 90 天內，於收到書面通知後立即終止本「協議」的新「複委託者」，則「合作夥伴」得於第 11.4(a 節) 通知的 90 天內提供此等通知。

12. 聯絡 Jibe；處理記錄

12.1 聯絡 Jibe根據本《資料處理修訂條款》行使自身權利時，合作夥伴可以透過 Jibe 的 RCS 資料保護聯絡人聯絡 Jibe，或是透過 issuetracker.google.com 或其他可能透過 Jibe 提供的其他方式聯絡他們。

12.2 Jibe 的處理記錄。Jibe 會依照 GDPR 的規定，妥善處理其處理活動的說明文件。合作夥伴確認，Jibe 必須遵循 GDPR，才能 (a) 收集及維護特定資訊的記錄，包括：(i) 代表個別處理方和/或控管者，且該代理人或控管者的當地代表、資料保護長 (如果有的話) 的名稱和聯絡人詳細資料；以及 (ii) 相關責任 (如適用) 提供相關資訊。因此，在收到要求時，若適用要求，以及適用的合作夥伴將透過「處理者服務」的使用者介面或其他方式，向 Jibe 提供此類資訊，並會使用此使用者介面或其他方式，確保所提供的所有資訊都正確無誤且符合現況。

12.3 控管者要求。如果 Jibe 從第三方要求取得「合作夥伴個人資料」控制器的要求或指示，Jibe 將建議第三方與「合作夥伴」聯絡。

13. 賠償責任

如果本「協議」受下列法律規範：

(a) 美國。如「協議」中之其他規定，任一方均無須承擔任何「資料處理修訂條款」或與此「資料處理修訂條款」相關權利的賠償責任，該方將受本「協議」規範的「有限責任」或「賠償條款」所規定之賠償責任限制 (或根據「協議」對「條款」提供的「受限性」或「有限性」聲明，

(b) 其他管轄區 (非美國其中一州) 的效力，則雙方當事人與其關係企業依據本「資料處理修訂條款」或相關條款所賦予之總責任，均受本協議的約束。

14. 這份《資料處理附加條款》的影響

14.1 優先順序。如果 SCC、《非歐盟資料保護法規》補充條款、本《資料處理附加條款》和「協議」的其餘部分有所牴觸或不一致，則以下列順序為準：

(a) SCC：

(b) 非歐盟資料保護法規的額外條款；

(c) 本《資料處理修訂條款》的其餘部分；以及

(d)「協議」的其餘部分。

依據本《資料處理附加條款》修訂條款，本「協議」仍完全有效。

14.2 不得修改 SCC。本「協議」之任何條款 (包括本《資料處理修訂條款》) 皆不得修改或牴觸任何 SCC，亦不得降低《歐盟資料保護法》賦予資料當事人的基本權利或自由。

14.3 不影響《控管者條款》。本《資料處理附加條款》不適用於 Jibe 和合作夥伴之間反映「控管者服務者」服務控管者的任何其他條款。

14.4 舊版英國《標準契約條款》。自 2022 年 9 月 21 日或「協議生效日期」起，將適用 SCC 的英國 GDPR 資料移轉條款補充條款，將取代和終止 2018 年英國 GDPR 和《資料保護法》先前同意的任何標準契約條款 (以下稱「舊版英國標準契約條款」)。第 14.4 節 (舊版英國《標準契約條款》) 不會影響任一方依《英國標準契約條款》規定而在

15. 《資料處理修訂條款》修訂

15.1 網址變更。Jaibe 可不時變更本《資料處理附加條款》中提及的任何網址，以及任何網址中的內容，但 Jibe 只能依據第 15.2 (b) 節 - 15.2(d) 規定

15.2 資料處理修訂條款修訂。如果變更發生， Jibe 可能會變更本《資料處理附加條款》：

(a) 本《資料處理附加條款》明確允許的行為，包括第 15.1 節 (網址異動) 所述情形；

(b) 反映法人名稱或格式異動；

(c) 為遵守適用法律、適用法規、法院命令或政府管理當局或機構發布的方針，或是反映 Jay 採用替代移轉解決方案；或

(d) 不會 (i) 導致「處理者服務」的整體安全性降低；(ii) 若「非歐盟資料保護法」的「附加條款」 在適用情況下依「資料」適用「歐盟地區」適用「通用條款」，或「資料」適用「一般資料保護規則」，則適用法規 (i) 和「資料」處理 (「一般人」的「資料」條款)

15.3 變更通知。如果 Jibe 打算根據第 15.2(c) 或 (d) 節變更本《資料處理修訂條款》，應以至少 30 天或更短的時間為準，依照適用法律、法律或法院命令的規定，在通知使用者前透過如果合作夥伴對此類變更有任何異議，合作夥伴可在 90 天內於 Jibe 告知變更後的 90 天內，於收到書面通知後終止協議。

附件 1：資料處理主題及詳細資料

主題

Jibe 提供「處理者服務」與「合作夥伴」的任何相關技術支援。

處理時

「效期」加上「效期」結束時，至 Jibe 根據本《資料處理附加條款》刪除所有「合作夥伴個人資料」前的期間。

處理流程與目的

Jibe 會根據「處理者服務」的性質處理「合作夥伴個人資料」，包括「處理者服務」和「操作說明」的收集、記錄、整理、組織、儲存、變更、擷取、使用、揭露、組合、清除和刪除「合作夥伴個人資料」，並提供給「合作夥伴」依照本「附錄」提供「合作夥伴服務」的任何相關「技術支援服務」。

個人資料類型

透過「處理服務」、或由「合作夥伴」提供或由「合作夥伴」提供「使用者」的個人專屬個人資料。

資料當事人類別

資料當事人包括透過其處理者 (或指定方向) 或合作夥伴將資料處理者提供給 Jibe。

附件 2：安全措施

自條款生效日期起，Jibe 將在本附錄 2 中實作並維護安全措施。Jibe 可能會不時更新或修改這類安全措施，前提是這類更新和修改不會導致處理者服務的整體安全性下降。

1. 資料中心與網路安全性

(a) 資料中心。

基礎架構：Jibe 負責分散各地的資料中心。Jibe 會將所有實際工作環境資料儲存在實體安全資料中心。

備援功能。基礎架構系統經過特別設計，可排除單點故障，將預期環境風險降至最低。雙電路、開關、網路或其他必要裝置有助於提供這類備援功能。「處理者服務」旨在讓 Jibe 在不受干擾的情況下執行特定類型的預防性和修正維護。所有環境設備和設施都記錄了預防性維護程序，並根據製造商或內部規格詳細說明效能程序和頻率。資料中心設備的預防及修正措施採用標準程序，依程序程序進行。

電源資料中心的電力系統專為備援設計，設計出備援與維護功能，不但不會影響持續運作，還能維持 24 小時全年無休的運作。在大部分情況下，系統會提供主要和備用容量，且每個資料中心都具備同等的容量，這些資料中心都提供重要的基礎架構元件。備份電源是由多種機制提供，例如不斷電給不電供應 (UPS) 電池，可在公用事業戰鬥系統、停止期間、電壓不足、未電壓和偏差頻率條件下提供穩定可靠的電源。如果公用程式電力中斷，備份電力設計的目的是為資料提供完整的資料供電量，最多可提供 10 分鐘，直到備份產生器系統接手為止。產生器能夠自動在幾秒內啟動，以便提供足夠的緊急電力，且資料通常要維持幾天才能以最大容量執行。

伺服器作業系統。Jibe 伺服器採用經過強化的作業系統，專門針對企業的獨特伺服器需求進行自訂。系統會使用專屬演算法儲存資料，以強化資料安全性和備援功能。Jibe 採用程式碼審查程序，加強用於提供處理器服務的程式碼，並在實際工作環境中強化安全性產品。

業務持續性Jibe 複製多個系統中的資料，以免發生意外損毀或遺失。Jibe 設計及規律規劃及測試其業務持續性/災難復原計畫。

加密技術。Jibe 的安全性政策對使用者資料 (包括個人資料) 進行靜態加密。通常在 Jibe 的實際工作環境等級堆疊 (包括硬體層級) 中加密多個層級的資料，無須由合作夥伴或客戶採取任何行動。使用多層加密功能可以增加多餘的資料保護功能，並讓 Jibe 依據應用程式的需求選取最適合的方法。所有個人資料都會在儲存空間層級加密，通常使用 AES256。Jibe 使用常用加密編譯程式庫，納入 Jibe FIPS 140-2 驗證的模組，以便在整個處理器服務中採用一致的加密機制。

(b) 網路與傳輸。

資料傳輸。資料中心通常透過高速私人連結連線，以便在資料中心之間提供安全快速的資料移轉服務。這樣可防止在傳輸期間未經授權即讀取、複製、修改或移除資料。Jibe 會透過網際網路標準通訊協定轉移資料。

外部攻擊面。Jibe 採用多層網路裝置與入侵偵測機制，保護其外部攻擊面。Jibe 會考量潛在的攻擊向量，並在外部端系統中加入適當的用途技術。

入侵偵測。入侵偵測旨在提供持續進行攻擊的深入分析，並提供充分資訊來回應事件。Jibe 入侵偵測包括：

1. 透過預防措施有效控制 Jibe 攻擊面的規模和結構；

2. 在資料進入點採用智慧偵測控制項；以及

3. 聘僱技術，自動修復特定危險情況。

事件回應機制：Jibe 會監控各種通訊管道，用於處理安全性事件，而 Jibe 的安全性人員會立即回應已知事件。

加密技術。Jibe 提供 HTTPS 加密功能 (也稱為傳輸層安全標準 (TLS) 連線)。Jibe 伺服器支援暫時的橢圓曲線 Diffie Hellman 加密編譯金鑰交換 (使用 RSA 和 ECDSA 簽署)。這些完全正向密碼 (PFS) 方法可協助保護流量，並盡量減少金鑰遭到盜用或加密編譯突破的影響。

2. 存取權和網站控制選項

(a) 網站控制項。

現場資料中心安全性作業。Jibe 的資料中心維持現場安全作業，所有實體資料中心的安全性作業全年無休，全年無休。現場安全作業人員監控 Closed Circuit TV (「CCTV」) 攝影機和所有警報系統。現場安全作業人員會定期執行資料中心的內部和外部此功能。

資料中心存取程序：Jibe 制定了正式的存取程序，允許實體存取資料中心。資料中心位於需要電子卡片金鑰存取權的設施，且設有連結至現場安全作業的鬧鐘。所有進入資料中心的員工都必須識別自己的身分，並能夠出示現場安全性作業的身分證明。只有獲得授權的員工、承包商和訪客才能進入資料中心。只有獲得授權的員工和承包商，才能要求存取這些設施的電子卡片金鑰。資料存取電子卡片金鑰的存取要求必須事先以書面形式撰寫，且必須取得已授權的資料中心人員核准。所有其他需要臨時資料中心存取權的進入者，必須：(i) 預先前往特定資料中心和要造訪的內部區域取得核准；(ii) 在現場安全作業中登入；以及 (iii) 參照經核准的資料中心存取記錄，表明此個人已獲核准。

現場資料中心安全性裝置：Jibe 的資料中心採用電子卡片金鑰和生物特徵辨識存取權控管機制，且連結至系統鬧鐘。存取控制系統會監控並記錄每個人的電子卡片金鑰，以及存取範圍門、運送與接收區塊和其他重要區域。未授權活動和存取失敗記錄都會由存取權控管系統記錄，並視情況調查。根據業務和個人工作職責，所有業務營運和資料支出的授權存取權皆設有限制。資料中心的火門警報器正在啟動。連網電視內部的資料中心在資料中心內外正常運作。攝影機的定位可用來涵蓋策略區域，包括邊界、資料中心的門把，以及運送/收納作業。現場安全作業人員負責管理 CCTV 監控、記錄和控制設備。所有資料中心的連接線都能連接 CCTV 設備。攝影機每天透過數位錄影工具錄製現場內容，全年無休。監控作業會保留至少 7 天的活動記錄。

(b) 存取權控管。

基礎架構安全性人員。Jibe 必須為員工維護並維護安全性政策，且需要其人員針對其訓練套件進行安全性訓練。Jibe 的基礎架構安全人員負責監控 Jibe 安全性基礎架構、審查處理者服務及回應安全事件。

存取權控管和權限管理。合作夥伴的管理員和使用者必須使用中央驗證系統或單一登入系統，才能自行驗證處理者服務。

內部資料存取程序與政策 - 存取權政策。Jibe 的內部資料存取程序與政策經過特別設計，可防止未經授權的人士和/或系統取得處理個人資料的系統存取權。Jibe 的目標是設計自家系統，(i) 僅允許授權人員存取他們有權存取的資料；以及 (ii) 確保在處理、使用和記錄後，在未經授權的情況下讀取、複製、修改或移除個人資料。系統可偵測任何不當存取行為。Jibe 採用集中式存取管理系統來控管實際工作環境伺服器的存取權限，並只提供有限授權的人員。LDAP、Kerberos 及運用數位憑證的專屬系統，為 Jibe 提供安全又靈活的存取機制。這些機制只能授予網站主機、記錄檔、資料和設定資訊的核准存取權限。Jibe 必須使用不重複使用者 ID、高強度密碼、雙重驗證，並仔細監控存取清單，以盡量避免未經授權的帳戶使用行為。授予存取權限或修改作業的依據為：授權人員的工作職責、執行授權工作所需的工作職責要求，以及需要知道的資訊。授予或修改存取權的權利也必須遵守 Jibe 的內部資料存取政策和訓練。核准程序是由工作流程工具管理，這類工具專門維護所有變更稽核記錄，系統會存取系統的存取權，以建立稽核追蹤記錄，以便追蹤責任。如果使用密碼進行驗證 (例如登入工作站)，則會遵循至少符合業界標準做法的密碼政策。這些標準包括限制重複使用密碼，以及高強度密碼強度。

3. 資料

(a) 資料儲存、隔離和驗證。

Jibe 會將資料儲存在 Google LLC 擁有的多用戶群環境中。資料、處理器服務資料庫和檔案系統架構會在多個分散分散的資料中心之間複製。Jibe 以符合邏輯的方式區隔每個合作夥伴或客戶資料。所有處理者服務都會使用中央驗證系統，藉此提高資料的安全性。

(b) 停用磁碟和磁碟刪除規範。

部分含有資料的磁碟可能會發生效能問題、發生錯誤，或導致硬體故障 (「停用磁碟」)。每個已停用的磁碟都必須按照一系列的資料刪除程序 (即「資料刪除指南」) 才能離開 Jibe 設施，以重複使用或刪除。已停用的磁碟會在多步驟程序中清除，並至少通過兩個獨立驗證工具完成驗證。清除結果會由停用的磁碟序號記錄以便追蹤。最後，清除的「磁碟」將釋出至庫存，以便重複使用及重新部署。如果因為硬體故障，「已停用的磁碟」無法清除，「安全磁碟」將會安全地存放，直到可以刪除為止。每個設施會定期接受稽核，以監控是否符合資料刪除規範。

(c) 匿名資料。

線上廣告資料通常會與線上 ID 建立關聯，這些 ID 本身就會被視為「匿名」(也就是說，在沒有其他資訊的情況下，這類資訊無法歸因給特定使用者)。Jibe 制定了一套完善的政策與技術性管理機制，確保匿名資料與個人識別資訊 (例如個人專屬的資訊 (例如個人的 Jibe 帳戶資料) 可以用來識別、聯絡或精確找出個人的資訊) 之間設有分離。Jibe 政策只允許在少數情況中以匿名和個人識別資訊傳送資訊。

(d) 啟動評論。

Jibe 會在新產品與功能推出前進行評論。 這包括由受過專門訓練的隱私權工程師進行的隱私權審查。在隱私權審查流程中，隱私權工程師必須遵循所有適用的 Jaybe 政策與規範，包括但不限於匿名和資料保留和刪除相關政策。

4.人員安全性

員工必須以符合機密性、商業道德、適當用途和專業標準等方面的規範執行公司。Jibe 對適用的當地勞動法規和法定法規而言，在合理範圍內能夠進行適當的背景調查。

人員必須執行保密協議，且必須確認收到 Jibe 的保密和隱私權政策並遵守相關規定。提供保全人員訓練。處理「合作夥伴個人資料」的人，必須符合其所角色適用的其他規定。Jibe 人員未經授權，就無法處理「合作夥伴個人資料」。

5. 複委託者安全性

在啟用複委託者之前，Jibe 會委託分包處理者的安全性和隱私權實務做法，確保其複委託者針對資料存取所採取的安全性和隱私權層級，以及他們提供的服務提供服務。一旦 Jibe 評估複委託者承擔的風險時，分包處理者必須根據第 11.3 節 (複委託者參與度規定) 的規定輸入適當的安全性、機密和隱私權合約條款。

附錄 3：「非歐盟資料保護法規」補充條款

下列「非歐盟資料保護法規」補充條款補充本《資料處理附加條款》：

• LGPD 處理者附加條款 (business.safety.google/processorterms/lgpd) (發布日期：2020 年 8 月 27 日)
• 美國州立法律附錄 (business.safety.google/processorterms/us-state-laws) (2022 年 12 月 12 日)

LGPD 處理者附加條款和美國的 Google LLC 或 Google 相關實體將由 Jibe 提供。

Jibe Data Processing 附加條款 4.0 版

舊版本

• 2020 年 11 月 2 日