資料隱私權協議

附錄

本資料隱私權協議包括下列所有附件 (本「 DPA 」) 之間為合約指定之 Seagate 公司 (「 Seagate 」) 及合約中所指名之公司 (「公司) 」(分稱「一方」合稱「各方」)。

供應商已簽訂一份或多份請購單、合約及/或協議，包括工作說明 (以下稱「合約)」，據此，本公司同意向 Seagate 提供協議中更詳細規定的某些服務 (「服務」)。

各方簽訂本 DPA 目的是確保供應商在處理向供應商提供或由供應商代表 Seagate 及/或代表 Seagate 收集之個人資料時，其處理方式符合《資料保護法》及其對資料主體之個人資料之收集、使用及留存。

本 DPA 已納入並構成協議的一部分。本 DPA 中未定義的所有大寫詞彙均採用合約中所載涵義。

當事人確知並同意以下事項：

1. 定義
   1. 「關係企業」係指任何控管主體方、受管於主體方或與主體方共同控管的實體。
   2. 「控管」係指佔該實體當時未行使之總權益 (以完全稀釋基準計算) 百分之五十 (50%) 以上的所有權、投票權或類似權益。「受管」一詞應據此解釋。
      
   3. 「資料隱私洩漏」係指因意外或非法行為造成 Seagate 個人資訊受到破壞、損失、改動、未授權揭露、存取或者獲取，或是其他任何對 Seagate 個人資訊未授權的處理行為。
      
   4. 「資料保護法」是指適用於相關個人資料的全球性資料保護、資料安全性和隱私權法律、規則和法規，包括在適用情況下：(i) 歐洲資料保護法(ii) 經不時修訂、取代或更新之美國所有法律、規則與條例包括美國各州隱私法(iii) 適合個人資料性質之適用業界標準。
   5. 「歐洲資料保護法」是指適用於歐盟的所有資料保護法律和法規 (「歐盟」) 或歐洲經濟區 (「 EEA 」)，包括：
      
      1. 通用資料保護規範 2016/679 (「 EU GDPR 」)；
      2. GDPR 依據英國 2018 年歐盟 (退出) 法案第 3 節及英國 2018 年資料保護法案 (以下稱英國 GDPR 」)
      3. 1992 年 6 月 19 日的瑞士聯邦資料保護法及其相應條例 (「瑞士 DPA 」)；以及
         
      4. 2002/58/EC 號指令 (關於電子通訊磁區中的個人資料處理及隱私保護)以及
         
      5. (i)、(ii) 及 (iii) 的適用國家/地區實作方式。
         
   6. 「資料主體」為已識別或可識別的自然人，可依此 DPA 規範處理其相關的個人資訊。
      
   7. 「歐盟 SCC」係指歐盟執委會於 2021 年 6 月 4 日頒布的第 2021/914 號實施決議中所附的合約條款，該決議針對依據歐洲議會與理事會第 2016/679 號條例 (EU) 將個人資料傳輸至第三國的標準合約條款。
   8. 「個人資料」係指受資料保護法保護為個人資料、個人資訊或個人識別資訊，或類似定義之用語的任何資訊。
   9. 「處理」或「處理作業」係指但不限於對個人資訊執行的作業，不論是否透過自動化方式皆然，例如 Seagate 個人資訊的蒐集、記錄、排序、結構化、更動、使用、存取、揭露、傳播、複製、傳送、儲存，亦或是保留、刪除、對齊、合併、限制、調整、擷取、諮詢、破壞或棄置。
   10. 「受限轉移」的意思為：
       1. 在歐洲 GDPR 適用的情況下，將個人資料從 EEA 傳輸到 EEA 以外的國家/地區不受歐盟委員會適用性判定的約束。
          
       2. 在英國 GDPR 適用的情況下，將個人資料從英國傳輸到不受 2018 年英國資料保護法第 17A 節適用性法規約束，或不受適用性法規約束的任何其他國家/地區以及
       3. (在適用瑞士 DPA 的情況下) 指並非基於瑞士資料保護法所認可之適用性判定而將個人資料從瑞士傳輸至任何其他國家/地區。
   11. 「 Seagate 個人資訊」係指由 Seagate 建立、擁有或提供的任何受個人資料、個人識別資訊或資料保護法保護之個人資訊，或由 Seagate 為 Seagate 提供且供應商有權存取、取得、使用、維護或處理之任何資訊。代表 Seagate 處理雙方及/或其關係企業間之任何合約。
       
   12. 「敏感資訊」係指任何以下類型的 Seagate 個人資訊：(i) 社會安全號碼、納稅人識別碼、護照號碼、駕照號碼或政府核發的其他識別碼；(ii) 信用卡或簽帳卡詳細資料或金融帳號，包含或不含任何可供存取帳戶或信用記錄的代碼或密碼；或 (iii) 種族、宗教、族裔、性生活或性行為或性取向、醫療或健康資訊、遺傳或生物特徵資訊、生物特徵範本、政治或哲學理念、政黨或工會會員資格、背景調查資訊或司法資料 (如犯罪記錄或其他司法或行政訴訟程序等資訊)。就本 DPA 而言，敏感資訊包括敏感的個人資訊、敏感資料或適用資料保護法所定義的類似用語，歐盟 GDPR 和英國 GDPR 所定義的特殊類別資料，以及瑞士 DPA 所定義的敏感個人資料。
       
   13. 「標準條款」係指本 DPA 第 3.1(i)(3) 節所述歐盟 SCC、英國附錄及瑞士修訂條款 (視適用情況而定)。
       
   14. 「次要處理者」係指能夠存取、接收或處理任何 Seagate 個人資訊的任何其他次要處理者合作的第三方。
       
   15. 「監管機構」係指對資料保護法之遵循具有管轄權或監督之任何法規、監督、政府、州機關、律政司或其他主管機關。
       
   16. 「公司人員」係指公司授權可處理 Seagate 個人資訊的任何公司員工、承包商、次要處理者或代理人。
   17. 「英國附錄」係指由資訊委員辦公室 (Information Commissioners Office) 依據 2018 年英國資料保護法 (UK Data Protection Act 2018) 所頒布之國際資料傳輸附錄 (B1.0 版) 並會不時更新或修訂。
   18. 「美國各州隱私法」係指適用於「公司」個人資料之一切適用之資料隱私權、資料保護及網路安全法律、規則及法規。
   19. 條款「控制器」、「資料主體」、「 處理器」、「商業」、「商業目的」、「商業目的」、「收集」、「消費者」、「分享」、「銷售」、、「監控權威、」及「服務供應商」應具有資料保護法所賦予的涵義。
   20. 「包括」一詞應理解為包括但不限於，且類似詞彙應據此解釋。
2. 資料安全性與保護
   1. 雙方身分。就 Seagate 個人資訊而言，雙方當事人於此確認並同意供應商應代表 Seagate 以處理者身分處理該等個人資料。茲此指示供應商在必要範圍內處理個人資料以提供合約及本 DPA 所載之服務。
   2. CCPA角色。就 2018 年加州消費者隱私法 (California Civil Code §§ 1798.100 et seq) 而言CCPA 」)，經加州隱私權法 (「 CPRA 」) (如適用)，供應商應將個人資料處理為服務供應商應依 Seagate 指示行事。
      
   3. 未經 Seagate 事先書面授權，供應商不得為任何目的以任何方式向任何第三方揭露 Seagate 個人資訊，按以下第 2.5 節所述，揭露給次要處理者之情況則為例外。除上述情形之外，供應商在任何情形下，皆不得因供應商或任何第三方之商業利益，將 Seagate 個人資訊銷售給第三方，或以其他方式揭露給第三方。任何獲授權可處理 Seagate 個人資訊之人員均應依合約同意為此類資訊保密或負有適當之法定保密義務。
   4. 處理限制。供應商處理 Seagate 個人資訊僅得依據本合約以向 Seagate 提供服務為目的，並遵循 Seagate 書面合法指示 (「許可用途」)。基於上述目的，Seagate 指示供應商依據附件 I (傳輸說明) 中所述之目的處理 Seagate 個人資訊。公司不得處理或允許處理 Seagate 個人資訊，除非有必要根據，雙方及/或其關係企業之間的任何合約或 Seagate 之其他書面指示向 Seagate 提供服務。
   5. 處理需求。供應商應隨時：(a) 僅為獲准用途處理個人資料；(b) 不得為本公司本身或任何第三人之目的處理個人資料。供應商不得：(i) 出售或共享個人資料；(ii) 為許可用途以外的任何目的保留、使用或揭露個人資料，包括基於履行合約服務以外的商業目的而保留、使用或揭露個人資料；(iii) 保留、使用或揭露 Seagate 與供應商直接業務關係以外之個人資料。供應商若無法再履行 CCPA/CPRA 之義務應通知 Seagate。供應商確認其了解並將遵守本第 2.5 節所載之規定與限制，並將進一步遵守 CCPA/CPRA 下適用於服務供應商之規定。此外雙方當事人確認並同意雙方當事人之間之個人資料交換不構成銷售亦不構成雙方當事人就本合約或本 DPA 交換之任何金錢或其他有價對價。在任何情況下，供應商都不會將從 Seagate 收到的個人資料與供應商從他人或代表他人接收的個人資料，或供應商從其與消費者之間的任何互動中收集的個人資料結合。Seagate 及供應商均表示已詳閱並了解 CCPA/CPRA 所載規定。
   6. 供應商會實行、維護、監控以及在必要時更新整份書面的資訊安全計劃，計劃內含用以保護 Seagate 個人資訊的適當管理、技術和實體安全防護措施，以保護 Seagate 個人資訊的安全性、機密性或完整性不受預測的威脅或危險影響 (例如未經授權的存取、收集、使用、複製、修改、棄置或揭露，以及未經授權、非法或意外損失、破壞、獲取、損害，或任何其他未經授權的處理形式) (以下稱「資訊安全計劃」)。資訊安全計劃將包含安全標準 (附件 II) 所列的要求與措施。
   7. 次要處理者之限制。次要處理者必須向 Seagate 執行其服務時，供應商可向次要處理者揭露 Seagate 個人資訊，視本文第 2.7 節所述之條件而定。供應商應留存其揭露 Seagate 個人資訊之次要處理者的清單，並在 Seagate 提出要求時將此清單提供給 Seagate。自本合約生效日起 (如適用)，供應商次要處理者的最新清單包含於本合約或供應商提供予 Seagate 並由雙方簽署之任何其他文件中列明次要處理者清單。供應商應在加入任何次要處理者至清單的至少 30 個工作天之前通知 Seagate：[email protected]。若 Seagate 並未在收到通知後 30 個工作天內對提議的次要處理者提出異議，該次要處理者即視作獲得核可。若 Seagate 對於允許次要處理者存取 Seagate 個人資訊有任何異議，供應商不得向該次要處理者揭露 Seagate 個人資訊。若任一方於任何時間點發現次要處理者並未充分保障受到處理之 Seagate 個人資訊相關風險的適宜防護，Seagate 得自行審酌後將該次要處理者移出清單。在次要處理者遭 Seagate 拒絕或移除的情況下，會提供合理的時間給供應商更換次要處理者。若供應商無法在不將 Seagate 個人資訊揭露給遭拒之次要處理者的情況下提供服務，則 Seagate 得終止雙方及/或其關係企業之間任何適用之條款，而無需承擔費用或責任。
   8. 次要處理者合規及違規。供應商對次要處理者的採用行為並不會減少供應商遵守本 DPA 或適用的資料保護法之義務。供應商應就其次要處理者的服務表現、資料隱私違規行徑、本 DPA 及適用的資料保護法之違規行徑向 Seagate 負責，適用的程度與供應商違反的程度相同。
      
   9. 供應商人員與次要處理者之義務。供應商應確保任何有權存取 Seagate 個人資訊的人員或次要處理者簽訂書面協議，其中包含至少與本 DPA 相同的限制性條款。供應商應確保所有隱私權和資料保護義務在其提供給 Seagate 的處理作業結束後仍繼續保持。此項義務永久存續，或者至少至供應商已證明所有 Seagate 個人資訊已全數刪除、銷毀且無法恢復為止。
   10. 限制存取權限。對於要求存取權以令供應商執行按雙方及/或其關係企業之間任何協議或 Seagate 書面指示規定之義務的供應商人員或次要處理者，供應商應限制對 Seagate 個人資訊的存取權，其 (a) 受過資料保護及安全規範訓練，且 (b) 同意遵守資料保密規定，程度至少與 Seagate 於其為 Seagate 提供處理作業期間或之後所要求的限制相當。
       
   11. 要求或申訴通知。除非法律禁止，否則公司接獲任何與 Seagate 個人資訊處理相關的要求或申訴後 2 個工作天內應通知 Seagate [email protected] ，包括
       1. 資料主體對資料可攜性之要求、對存取、變更、刪除或限制之要求，及類似要求；
       2. 關於處理侵害資料主體權利之申訴或指控。
   12. 公司回應。除非 Seagate 明確授權，否則供應商不得回應第 2.11 節內任何要求或申訴。針對任何要求或申訴採取之相關行動 (包括但不限於要求刪除之申請)，供應商皆應與 Seagate 合作。除非法律禁止，否則供應商應設法施行適當程序 (包括技術性與組織措施)，協助 Seagate 回應這類要求或申訴。
   13. 揭露要求。除非法律禁止，否則供應商應在收到任何要求或意圖強制揭露 Seagate 個人資訊之文件 (例如口頭提問、質詢、聽證程序中對資訊或文件之要求、傳票、民事調查要求，或其他類似要求或程序；統稱「揭露要求」) 後立即通知 Seagate。若揭露要求不具約束性，供應商不予回應。若揭露要求具約束性，除非適用法律禁止，否則供應商應在回應前至少 48 小時通知 Seagate，以便 Seagate 履行權利，避免或限制該揭露。供應商應採取合理措施，以避免及限制任何揭露並保護 Seagate 個人資訊之機密性。針對為回應揭露要求所採取之相關行動，供應商皆應與 Seagate 合作，包括合作取得適當的保護令或其他確保措施，以保護 Seagate 個人資訊之機密性。
       
   14. 合作。供應商應協助 Seagate 達成資料保護法所規定之義務，包括 (a) 註冊及通知；(b) 權責；(c) 確保 Seagate 個人資訊之安全性；以及 (d) 履行隱私權與資料保護衝擊評估 及監管機構相關諮詢。
       
   15. 參與法務調查。針對供應商或供應商之次要處理者所處理之 Seagate 個人資訊範圍內的相關調查，供應商應協助並支援 Seagate 完成任何監管機關的任何調查。
   16. 可能違規或無法遵守之通知。供應商於下列狀況下應立即通知 Seagate：
       1. 供應商有理由相信任何 Seagate 提出的 Seagate 個人資訊處理指示可能違反適用法律；
       2. 供應商有理由相信其無法履行本 DPA 或資料保護法中的任何義務，且其無法於合理時間內修正此狀況；或
       3. 供應商得知適用法律下的任何事項或變更可能使其無法履行本 DPA 下之義務。
   17. 合規中止或調整。Seagate 得暫停供應商或次要處理者對 Seagate 個人資訊的處理作業，以免出現可能違反或不符適用法律、本 DPA 或任何雙方及/或其關係企業與隱私權或資料保護有關之適用協議的狀況。供應商應與 Seagate 合作，調整其處理方式，以修正可能的違規或不合規情形。Seagate 得終止雙方及/或其關係企業之間任何適用之協議，而供應商無需承擔費用或責任。
3. 資料傳送
   1. 歐洲經濟區、英國及瑞士標準條款。
      1. 雙方當事人同意若將 Seagate 個人資訊從 Seagate 傳輸至公司屬於受限傳輸，則應受適當標準條款的拘束。標準條款將自動以參照方式納入本 DPA 並構成本 DPA 的組成部分，如下所述：
         1. 若 Seagate 個人資訊受歐盟 GDPR 保護，則適用以下歐盟 SCC：
            1. Seagate 為資料匯出方，公司為資料匯入方
               
            2. 單元二 (C2P) 適用；
               
            3. 於第 7 條中適用選擇性入庫條款；
               
            4. 單元二 (C2P) 第 9 條適用選項 2，且次要處理者變更的事先通知期限如本 DPA 第 7 節所述；
               
            5. 條款 11 中的選擇性語言不適用
            6. 第 17 條規定
               1. 對於單元二 (C2P) 則適用選項 1，且
                  
               2. 歐盟 SCC 將受愛爾蘭法律管轄，
                  
            7. 在第 18(b) 條中爭端應交由愛爾蘭法院解決，
               
            8. EU SCC 的附件 I 應視為完整包含本 DPA 附件 I 中所載的資訊以及
            9. EU SCC 的附錄 II 應視為完整包含本 DPA 附錄 II 中所列的資訊。
         2. 對於受英國 GDPR 保護的資料，歐盟 SCC(i) 應適用於上述第 (1) 條所填入的內容；(ii) 應視為依英國附錄之規定，而修訂該附錄應視為由雙方簽署並納入本 DPA，並構成本 DPA 不可分割的一部分。歐盟 SCC 條款與英國附錄之條款如有牴觸應依英國附錄第 10 節及第 11 節之規定解決。此外，英國附錄第 1 部分中的表 1 至 3 應分別填入本 DPA 附件 I 和 II 中所載的資訊，而第 1 部分中的表 4 不選擇任何一方即視為已填寫。
         3. 關於受瑞士 DPA 保護的 Seagate 個人資訊將適用根據上述第 (1) 條實施的 EU SCC，但前提是
            1. 歐盟 SCC 中對 (EU) 2016/679 法規或 GDPR 的參照應解釋為參照瑞士聯邦資料保護法 (FADP)，
               
            2. 凡提及歐盟、歐盟及成員國法律時應視情況解釋為參照瑞士及瑞士法律，
               
            3. 「成員國」一詞不應解釋為使位於瑞士的資料主體無法在其慣常居住地 (瑞士) 提起訴訟，
               
            4. 在修訂後的 FADP 生效之前，歐盟 SCC 條款應解釋為保護法人實體的資料以及
               
            5. 提述主管監管機關及主管法院時應解釋為參照瑞士聯邦資料保護及資訊委員會 (FDPIC) 及瑞士境內主管法院。
               
         4. 本 DPA 或合約的任何規定若有直接或間接與標準條款相抵觸，則以標準條款為準。
         5. 供應商應確保任何次要處理者在適用情況下亦執行此標準條款。
      2. 替代傳輸機制：若「公司」採用本 DPA 未載明之替代資料匯出機制 (包括依據適用歐洲資料保護法而採用之標準條款的任何新版本或後續版本)傳送個人資料 (替代傳輸機制)應適用替代傳輸機制以取代本 DPA 中所述的任何適用傳輸機制但僅限於此類替代傳輸機制 (i) 符合歐洲資料保護法(ii) 延伸至個人資料傳輸至之地區(iii) 符合下列通知考量因素) 及 (iv) 供應商簽立其他及進一步文件並採取合理必要之其他及進一步行動以使該替代傳輸機制具有法律效力。此外，若有管轄權的法院或具有約束力的監管機關命令或判定 (無論何種原因) 本 DPA 中所述之措施不得合法傳輸此類 Seagate 個人資訊，Seagate 確認並同意在符合後述通知考量的前提下，本公司得採取其他合理必要措施或保護措施以利合法傳輸 Seagate 個人資訊。通知事項要求公司通知 Seagate [email protected] 至少 30 個工作天後才可採取「替代移轉機制」或任何其他措施。若 Seagate 並未於接獲通知後 30 個工作天內反對建議的替代傳輸機制或其他措施，則視同替代傳輸機制或措施已獲核准。若 Seagate 反對任何該等替代傳輸機制或其他措施，供應商不得使用該替代傳輸機制或任何其他措施。若 Seagate 反對「替代傳輸機制」或「其他措施」，Seagate 得全權裁量終止雙方及/或其關係企業之間的任何適用合約且無需向公司支付費用或賠償責任。
      3. 從有資料匯出要求的國家/地區傳輸資料。若任何資料保護法要求針對任何適用的資料出口限制採取進一步措施以允許 Seagate 個人資訊傳輸給供應商 (包括其次要處理者)，供應商將遵守此類資料保護要求，包括取得必要的同意或執行任何適用的資料傳輸協議 (例如標準合約條款) 或替代解決方案，以確保針對此類傳輸採取適當的保護措施。
   2. 其他管轄權條款。在適用情況下，供應商應遵守特定管轄區的規範 (即隨附之附件 III。
      
4. 合規與權責
   1. 合規性。供應商應確保供應商和次要處理者對 Seagate 個人資訊的處理符合所有適用法律、自我管理架構，以及適用於供應商及次要處理者的合約要求。供應商應每年檢視供應商與次要處理者之作法，以確定符合本 DAP 及所有適用法律規定。供應商應自付費用與 Seagate 合作完成要求，證明供應商已履行本 DPA 所參考之資料保護與安全性條款。
   2. 處理活動記錄。供應商應留有以下項目最新的詳細記錄：供應商代表人員及資料保護人員、所執行之處理活動類別、跨境資料傳輸相關資訊、對處理資料採取之安全措施的一般說明、Seagate 個人資訊各次要處理者的名稱、聯絡人和處理作業的詳細資料，且在適用情況下也包括次要處理代表人員及資料保護人員。供應商應於 Seagate 或監管機構提出要求時向其提供該記錄的歷史與目前副本。
      
   3. 稽核。收到書面請求時，供應商應將所有能夠展現符合本 DPA 的必要資訊公開給 Seagate，且應允許並協助稽核作業，包括由 Seagate 或 Seagate 委託之獨立第三方稽核單位進行 Seagate 個人資訊處理方面的現場調查。任何此類獨立第三方稽核單位均需與雙方簽訂保密協議。供應商應在合理時間內修正任何不合規之情形。若無法修補，Seagate 得終止雙方及/或其關係企業之間任何適用之協議，無需承擔費用或責任。
      
5. 發生資料隱私洩漏後之供應商責任
   1. 資料隱私洩漏通知。供應商應在得知可能有資料隱私洩漏情況的 24 小時內以書面通知 Seagate，告知已知或懷疑可能發生的資料隱私洩漏情況，並應立即：
      1. 將資料隱私洩漏情況通知 Seagate：[email protected]；
      2. 進行調查或於調查資料隱私洩漏情況期間提供必要協助；
         
      3. 向 Seagate 提供詳盡的資料隱私洩漏資訊，包括但不限於涉及資料主體的類別、位置和大致數量，以及 Seagate 個人資訊記錄的類別、位置和大致數量，並在出現其他資料隱私洩漏相關資訊時，繼續儘速提供給 Seagate；
      4. 採取所有商業上合理的步驟來消除資料隱私洩漏的影響，或協助 Seagate 進行該步驟；並且
      5. 經 Seagate 同意下，實施補救計劃並監控與 Seagate 個人資訊相關之資料隱私洩漏與弱點的解決過程，確保即時採取適當的修正動作。
   2. 控制與補救。供應商應立即遏止和修復任何資料隱私洩漏的情況，避免資料隱私進一步外洩；且供應商應採取所有必要措施以遵守適用之資料保護法和業界標準，以遏止並修復資料隱私洩漏情形。
   3. 通訊。未經 Seagate 事前同意，供應商不得發出任何與資料隱私洩漏相關，能夠判別或可能合理判別或透露 Seagate 身分的通訊。
   4. 證據保留。供應商應維護事件反應計劃。發現資料隱私洩漏後，供應商應保留資料隱私洩漏相關之證據，並依據供應商的事件反應計劃維持清楚的指揮系統。
   5. 合作。供應商應與 Seagate 合作進行任何訴訟、調查或其他 Seagate 為保護 Seagate 使用、揭露、保護及維護 Seagate 個人資訊之權利所需要的行動。供應商應進一步同意依 Seagate 及/或 Seagate 指定代表人所提出的請求，提供合理的協助和合作，以促進對資料隱私洩漏的修正、補救或調查作業，及/或減輕可能造成的傷害，包括任何 Seagate 判定應發送給受影響之資料主體、主管機關或第三方的通知，及/或佈建任何 Seagate 認定適合提供給受影響之資料主體的信用報告服務。供應商應替 Seagate 負擔供應商資料隱私洩漏相關的合理開銷，包括但不限於調查、補救和通知作業。
6. 返還及安全刪除 SEAGATE 個人資訊
   1. 資料完整性。供應商應遵守與維護資料完整性相關的所有 Seagate 指示，包括 (a) 棄置供應商所維護但已非提供服務時所需要的 Seagate 個人資訊；(b) 確保供應商代表 Seagate 所建立的任何 Seagate 個人資訊均正確且為最新資訊；(c) 依 Seagate 之請求，在符合適用法律的情形下，允許 Seagate 存取任何 Seagate 個人資訊。
      
   2. 返還及刪除 Seagate 個人資訊。在 (a) Seagate 提出申請，或 (b) 雙方及/或其關係企業之間與處理 Seagate 個人資訊相關的協議到期或提前終止時 (以先發生者為準)，依 Seagate 的指示，供應商本身應當且應命其次要處理者匯出 Seagate 個人資訊，或讓 Seagate 獲其第三方指定者得以匯出所有 Seagate 個人資訊，且需為機器可讀取並具互通格式，以 Seagate 的判斷為準，除非資料保護法要求保留 Seagate 個人資訊。供應商應保留 Seagate 個人資訊直至 Seagate 判定為合理必要之期間，以便 Seagate 能在不額外支付費用的情況下完整存取及匯出 Seagate 個人資訊。雙方應分別指定一位聯絡人負責移轉 Seagate 個人資訊，並應迅速、負責、真誠且即時完成轉移。在 Seagate (a) 確認已正確接收並移轉 Seagate 個人資訊，或 (b) 告知所選的供應商不移轉 Seagate 個人資訊後的 90 天內，供應商與次要處理者應以安全的方式銷毀所有 Seagate 個人資訊，取消 Seagate 工作區識別碼的連結，並以新資料覆寫或是透過經核可的清除方式來銷毀 Seagate 個人資訊。
   3. Seagate 個人資訊銷毀。若供應商要處置任何紙本、電子或其他包含 Seagate 個人資訊的記錄，供應商應採取一切合理步驟 (根據 Seagate 個人資訊的敏感度) 銷毀 Seagate 個人資訊，除非資料保護法要求保留 Seagate 個人資訊：(a) 碎紙處理；(b) 永久清除與刪除；(c) 消磁；或 (d) 以其他方式修改 Seagate 個人資訊，使之無法讀取、無法重建、無法辨認。若供應商退役或淘汰內含 Seagate 個人資訊的硬碟機，供應商應使用安全方式破壞或銷毀硬碟機，依照 NIST 800-88 修訂版 1 銷毀 Seagate 個人資訊，使其無法讀取。供應商應以書面證明硬碟機已清除或銷毀，且 Seagate 個人資訊已無法供讀取、擷取或重新建構。
   4. 關於保留之通知。若供應商有法律義務應保留 Seagate 個人資訊至超過本 DPA 允許的期間，供應商應以書面將其義務通知 Seagate，且不得為了實行供應商的法律義務，而對此類資訊進行保留以外的進一步處理作業，並於法定保留期間屆滿後立即返還或銷毀 Seagate 個人資訊。本 DPA 的效期直到供應商不再保管或控管或不再有權存取任何 Seagate 個人資訊為止。
   5. 文件。供應商應依照本 DPA 以文件記錄 Seagate 個人資訊的保留或棄置。若 Seagate 提出要求，供應商應提供保留文件和 Seagate 個人資訊均已根據本 DPA 安全銷毀的書面證明。
7. 其他
   1. 期限。本 DPA 的效期直到 (i) 雙方之間不再有任何有效協議且 (ii) 供應商不再保管或控管或不再有權存取任何 Seagate 個人資訊為止。供應商將處理 Seagate 個人資訊至合約所載關係終止為止。供應商在本 DPA 下之義務與 Seagate 權利於供應商處理 Seagate 個人資訊期間持續有效。
      
   2. 優先順序。若本 DPA 與雙方及/或其關係企業之間的任何協議出現差異，則以本 DPA 的條款為準，除非有任何差異之處涉及附件 II (安全標準)，在此情況下應以其他協議為準，以其他合約中之安全性標準為附件 II 所載最低要求以外之規範為準。本 DPA 不應限制標準條款，而僅應視作標準條款的補充。
   3. 更新。供應商應合理合作視需要更新本 DPA 以確保符合適用法律與法規。
      
   4. 第三方受益人。Seagate 之關係企業為本 DPA 預定的第三方受益人，並得各自以 DPA 簽約人之身分執行本 DPA 條款。Seagate 亦可代表其關係企業執行本 DPA，而非由關係企業各自對供應商採取行動。
   5. 向監管機構揭露本 DPA。Seagate 會提供本 DPA 之摘要或副本給監管機構。
      
   6. 條款獨立性。若本 DPA 中的任何條款失效或無效，並不會影響其餘條款。雙方應以合法且可反映失效或無效之條款目標的條款，更換掉失效或無效的條款。在缺少必要條款的情況下，雙方應本著誠心原則新增合適的條款。
   7. 闡釋。本 DPA 中的標題僅供參考之用，不影響對本協議的解釋。
      

附件 I

資料處理說明

本附件 I 為標準條款之一部分。

單元 2：傳輸 – 控管者者至處理者 (Seagate 個人資訊相關) (C2P)

A. 各方名單

 

資料匯出商
名稱和地址	Seagate Technology LLC signing on behalf of Affiliates and subsidiaries 47488 Kato Road, Fremont, CA, 94538
聯絡人姓名及聯絡詳細資料	Seagate Technology LLC 代表關係企業與子公司簽署 47488 Kato Road, Fremont, CA, 94538 [email protected]
依據本標準條款與傳輸資料相關的活動	Seagate Technology LLC (代表關係企業及子公司) 是硬體產品及軟體解決方案及服務供應商以支援各領域行業的業務流程。
簽名與日期：	簽訂納入本 DPA 的合約即視同資料出口商於合約生效日已簽署納入本 DPA 的標準條款，包括其附件。
資料輸出者角色 (控管者/處理者)	本 DPA 第 2.1 節 (各方狀態) 中所述。

 

資料匯入商
名稱和地址	公司名稱及地址 (如合約所載)
聯絡人姓名、職位及聯絡詳細資料	公司名稱及地址 (如合約所載)
依據本標準條款與傳輸資料相關的活動	供應商係向資料輸出方提供服務及支援的服務供應商，如合約所述。
簽章與日期	簽訂納入本 DPA 的合約即視為資料進口商於合約生效日已簽署納入本 DPA 的標準條款，包括其附件。
資料匯入者角色	本 DPA 第 2.1 節 (各方狀態) 中載明。

 

B. 傳輸說明

 

資料 主體類別	所傳輸的個人資料可能涉及下列類別的資料主體： - 過去與現在： o Seagate 的員工、顧問、顧問、供應商、承包商、外包商及代理商； o Seagate 的業務合作夥伴和潛在業務合作夥伴及其員工、合作夥伴、顧問、顧問、供應商、承包商、轉包商和代理商； o 潛在行銷客戶以及過去和現在的消費者； o Seagate 過去和現在的客戶及其員工、合作夥伴、顧問、顧問、供應商、承包商、轉包商和代理商。
傳輸的個人資料類別	由 Seagate 或 Seagate 代表向供應商提供或由供應商收集且與上述資料主體類別相關的個人資料，且供應商有必要依合約向 Seagate 提供服務，依 Seagate 提供的合法指示文件，提供包括聯絡資訊例如名字、姓氏、電子郵件地址、公司地址、電話號碼以及 Seagate 提供的任何其他個人資料。
傳輸的敏感資料 (如適用) 並採取充分考量資料性質及相關風險的限制或保護措施**	合約載明
傳輸頻率	持續有效，但合約或雙方文件另有規定者不在此限。
處理性質/處理活動	如合約所述。
資料傳輸與處理之目的	依相關合約提供服務。
個人資料的保留期間或 (若無法) 用於判斷該期間的準則	個人資料將在下列情況下留存： (a) 依照本 DPA 第 6.2 節 (Seagate 個人資訊之返還及刪除) 或 (b) 法律另有規定者或 (c) 或在包含適用於相關服務之相關資訊之合約或其他雙方文件所載之期間內 以較長者為準。
若傳輸至次要處理者亦應註明處理之主題、性質及持續時間	供應商應向次要處理者提供資料傳輸之處理的標的物、性質及持續時間至 [email protected]，若該資訊尚未載於合約或雙方同意之其他文件。

 

C. 主管監督機關

 

依據 EU SCC 第 13 條之規定，監管主管機關為 (i) 資料輸出者於其 EEA 所設國家/地區適用的監管機構或 (ii) 資料輸出者並非設於 EEA依歐盟 GDPR 第 27 條第 (1) 款指定資料輸出方之歐盟代表之歐洲經濟區 (EEA) 國家/地區適用之監管機構或 (iii) 如資料輸出方無義務指定代表適用之監管機構與傳輸相關的資料主體所在的 EEA 國家/地區。就英國 GDPR 所適用的個人資料處理而言，主管監管機關為資訊委員辦公室 (以下稱「ICO」)。關於適用於瑞士 DPA 的個人資料處理，監管主管機關為瑞士聯邦資料保護及資訊委員。

 

附件 II

安全標準

本附錄 II 為標準條款之一部分。

本附錄 II 代表最低限度的安全措施將由公司收取。若雙方之間的任何協議需要供應商提供更高層級或更大範圍的安全措施，供應商會接受這類條款。供應商必須維持或強制執行各種按業界標準保護 Seagate 個人資訊和其他資料安全的原則，例如 NIST Cyber Security Framework 和 ISO 27001 或 27002，並讓供應商員工皆可存取。

1. 資訊安全原則與標準。供應商必須施行對有權存取指定 Seagate 個人資訊之員工和所有子承包商、供應商或代理人的安全規範：
   1. 避免未經授權的人員取得 Seagate 個人資訊處理系統的存取權 (實體存取控管)；
   2. 避免 Seagate 個人資訊處理系統遭到未經授權使用 (邏輯存取控管)；
   3. 確保授權使用 Seagate 個人資訊處理系統的人員僅可存取其授權權限允許存取的 Seagate 個人資訊，且在處理或使用過程中和儲存後，不可未經授權讀取、複製、修改或刪除 Seagate 個人資訊 (資料存取控管)；
   4. 確保在電子傳輸、傳送或儲存的過程中，無法未經授權讀取、複製、修改或刪除 Seagate 個人資訊，並可建立和認證透過資料傳輸設施進行之任何 Seagate 個人資訊傳輸作業的目標實體 (資料傳輸控管)；
   5. 確保建立稽核追蹤，以記錄在 Seagate 個人資訊處理過程中，Seagate 個人資訊是否有遭到存取、修改、傳輸或移除，以及進行動作的對象 (實體控管)；
      
   6. 確保 Seagate 個人資訊僅根據指示處理 (指示控管)；
   7. 確保 Seagate 個人資訊受到保護，不受意外毀損或遺失影響 (可用性控管)；以及
   8. 確保因不同目的所收集的 Seagate 個人資訊會分別處理 (隔離控管)。

   供應商會執行定期風險評估和審查，並且視適當情況，至少每年修改一次本資訊安全實作，或當供應商業務實作有重大變動而會合理影響 Seagate 個人資訊的安全性、保密性或完整性時加以修改，而前提是供應商不會以削弱或影響 Seagate 個人資訊之機密性、可用性或完整性的方式來修改其資訊安全實作。

2. 實體安全性。在會用到或存放有 Seagate 個人資訊的資訊系統所位於的所有站點上，供應商必須維護好商業上合理的安全系統。供應商要合理限制對此 Seagate 個人資訊的適當存取權限。
3. 組織安全性。
   1. 當要棄置或重新利用媒體時，必須採取必要程序，以免之後可在媒體上擷取到任何 Seagate 個人資訊，之後才可從庫存中取出。當檔案所在的媒體為了維護作業而即將離開廠房時，必須採取必要程序以免過度擷取儲存其上的 Seagate 個人資訊。
   2. 供應商必須實施安全原則和程序，以將敏感資訊的資產分類，釐清安全責任，並提高員工的警覺性。
   3. 所有 Seagate 個人資訊的安全事件均需依照適當的事件反應流程加以管理。
   4. 供應商必須使用符合業界標準的加密工具來加密所有傳輸中或靜態保存的敏感資訊。
4. 網路安全性：供應商必須使用商業上可取得的設備和業界標準技術來維護網路安全性，包括防火牆、入侵偵測及防禦系統、存取控制清單和路由協定。
5. 存取控管。供應商必須維持適當的存取控管，包括但不限於限制 Seagate 個人資訊的存取至最低限度，僅授予需要此存取權的供應商人員。
   1. 對於會使用或存放 Seagate 個人資訊之資訊系統的存取權限，僅有經過授權的員工可授予、修改或將之撤銷。供應商必須維護正確的存取記錄，當 Seagate 提出要求時需提供給 Seagate。
   2. 使用者管理程序必須定義使用者的角色和其權限，以及存取權限的授予、變更和終止方法，且需適當地分配權責，並訂定記錄/監控的規範和機制。
   3. 供應商的所有員工均需分配到不重複的使用者 ID。
   4. 必須根據「最小權限」的做法來實行存取權。
   5. 供應商必須採取商業上合理的實體和電子安全措施來建立和保護密碼。
6. 病毒與惡意軟體控管。供應商必須在系統上安裝並維護最新的防毒和惡意軟體防護軟體，並定期安排惡意軟體監控和系統掃描作業，以保護 Seagate 個人資訊不受預料中的威脅或危險影響，並避免 Seagate 個人資訊遭到未經授權的存取或使用。
7. 人員。在提供 Seagate 個人資訊存取權給供應商人員前，供應商必須先要求供應商人員遵守供應商的資訊安全計劃。供應商必須實施安全意識計劃，訓練人員瞭解自身的安全防護義務。此計劃包括資料分類義務的教育訓練、實體安全控管教育訓練、安全實作教育訓練和安全意外回報教育訓練。供應商需清楚定義員工的職權和責任。在按適用的聘僱條款與條件加以雇用前，需先進行篩選。供應商員工必須嚴格遵守訂下的安全原則及程序。若員工違反資料隱私規定，必須按紀律處理。
8. 業務持續性。供應商必須實施合適的備份及災難復原和業務復原計劃。供應商需定期審核業務連續性計劃和風險評估作業。業務連續性計劃需定期測試更新，以確保為最新且有效的狀態。
9. 主要安全管理人員。供應商必須告知 Seagate 其指定的主要安全管理人員。安全管理人員需負責管理和協調供應商的資訊安全計劃和本 DPA 內所訂定的供應商義務績效。
   
10. 稽核。Seagate 保留稽核本公司承諾之權利如附件 II並依照本 DPA 第 4.4 節「稽核」。
    
11. 違規。若認定供應商違反本 DPA，供應商必須補救此類違規情況，而不可過度拖延，在任何情況下期限為 30 個日曆天。任何已知或懷疑中的資料隱私洩漏情形，均受本 DPA 第 5 節〈發生資料隱私洩漏後之供應商責任〉一節規範。

附件 III

特定管轄權的資料隱私規範

以下需求適用於指定的管轄地：

1. 澳洲
   1. 適用性。第 1 節之條款適用於 (a) 供應商接收或存取來自位於澳洲的 Seagate 關係企業之資訊；或 (b) Seagate 通知供應商 Seagate 個人資訊適用於這類規範的情況。
   2. 職業或貿易協會之會員。「敏感資訊」一詞亦包含個人具備職業或貿易協會會員資格的個人資訊。
      
   3. 澳洲隱私權原則。供應商在處理 Seagate 個人資訊或按照本 DPA 提供服務時，必須遵守 Privacy Act 1988 (Cth) 內任何適用的義務，包括澳洲隱私權原則 (Australian Privacy Principles)。
   4. 針對執法目的之使用或揭露聲明。若供應商在由執法單位執行或代表其執行的一或多個執法活動中使用或揭露個人資訊，供應商應保留使用及揭露的書面記錄，並立即提供一份記錄副本予 Seagate，除非法律禁止。
      
   5. 澳洲政府相關識別碼。若個人資訊內含澳洲政府的相關識別碼，供應商 (a) 不應採用個人的澳洲政府相關識別碼作為內部的個人識別碼，除非經 Seagate 明確指示；(b) 不應使用或揭露澳洲政府相關識別碼，除非合理必要用於確認個人的身分，或除非經 Seagate 明確指示。
      
   6. 個人資訊之收集。當 Seagate 對供應商的指示中，要求供應商代表 Seagate 收集個人資訊時，供應商必須 (a) 尋求 Seagate 對以下事項的指示：(i) 關係到收集資料主體的個人資訊時，必須提供給資料主體的任何資訊；以及 (ii) 任何直接行銷目的所需的選擇加入同意表態；(b) 不在未經資料主體同意下收集任何敏感資訊。
   7. 供應商與澳洲政府之協議。若 Seagate 為澳洲聯邦層級、州層級或地區層級政府實體的合約服務供應商，且在 Seagate 因與相關政府實體之間訂定之協議，而應遵守的其他資料保護義務範圍內，按適用澳洲法律之要求，Seagate 會將同等義務加諸於供應商。Seagate 與供應商均同意在有需要的情況下簽訂額外協議，以反映這類義務。
2. 中國
   1. 適用性。第 2 節之條款適用於 (a) 供應商接收或存取來自位於中國的 Seagate 關係企業之資訊；或 (b) Seagate 通知供應商 Seagate 個人資訊適用於這類規範的情況。
      
   2. PIPL 角色。根據中華人民共和國個人資訊保護法 (PIPL)，Seagate 將擔任個人資訊處理者決定處理之目的和方式。供應商係代表 Seagate 依據本 DPA 之要求及 Seagate 指示處理個人資訊之委託方。
      
   3. 次要處理者。縱有 DPA 第 2.4 節之規定，未經 Seagate 明確同意，供應商不得委聘任何次要處理者處理 Seagate 個人資訊。同意條款適用 DPA 第 2.5 節。
      
   4. 有限處理時間。供應商僅能在為完成處理目的所需的期間內處理 Seagate 個人資訊，除非雙方達成其他期間之合意。
   5. 傳輸限制。若 Seagate 個人資訊儲存或持有於中國，供應商未經 Seagate 明確同意，不得將 Seagate 個人資訊傳輸至中國境外。Seagate 特此同意供應商於必要時傳輸此類 Seagate 個人資訊，但供應商已採取一切措施遵守資料保護法以保護此類 Seagate 個人資訊
3. 印度
   1. 適用性。第 3 節之條款適用於 2000 年資訊技術法案 (「 IT 法案」) 及 2011 年資訊技術 (合理的安全措施與程序以及敏感的個人資料或資訊) 規則 (以下稱「隱私權規則」) (經不時修訂及取代)，適用於公司對印度 Seagate 關係企業所提供之 Seagate 個人資訊的處理不論，處理地點是否在印度
      
   2. 應修改 DPA 第 1.12 條以納入隱私權規則第 3 節所指定的個人資料類別
4. 日本
   1. 適用性。第 3 節之條款適用於 Seagate 個人資訊供應商接收或存取來自位於日本的 Seagate 關係企業之資訊的情況。
   2. 公司人員。供應商應負責監督旗下供應商人員是否遵守本 DPA。
   3. 就業管理措施。供應商應保護與就業管理相關的 Seagate 個人資訊，如日本厚生勞動省 (以下稱「MHLW」) 就業管理指南之規定。
      
   4. 工作中接觸之個人資訊。供應商應確保其員工不會洩漏或濫用在工作中接觸到的 Seagate 個人資訊。
   5. 傳送或揭露前同意。供應商應在將社會安全號碼或稅務號碼揭露或傳送予非本 DPA 指定之任何第三方 (包括任何關係企業) 之前取得 Seagate 書面同意，次要處理者亦包含於此列。
   6. 達成目的後返還或銷毀。供應商應在達成資訊蒐集之目的後，停止處理並返還或銷毀所擁有的 Seagate 個人資訊。
   7. 備份目的。供應商不應複製或重製 Seagate 個人資訊，除非是用於備份目的。
5. 南韓
   1. 適用性。第 4 節之條款適用於 Seagate 個人資訊供應商接收或存取來自位於南韓的 Seagate 關係企業之資訊的情況。
   2. 限制存取權限。針對合理需要存取資訊以進行處理之供應商人員，供應商應限制其對個人資訊的存取。
   3. 必要保護機制。供應商應建立並維護保護機制，包括：
      1. 安全處理個人資訊的內部程序；
      2. 技術保護機制，例如防火牆、防毒及防惡意軟體；
         
      3. 實體存取限制，例如上鎖；
      4. 可避免存取記錄或處理記錄遭到竄改或偽造的措施；
      5. 可安全儲存及傳送個人資訊的措施，例如依個人資訊保護法 (PIPA)、PIPA 實施辦法、資通訊網路之利用促進及資訊保護法 (PICNU)、PICNU 實施辦法 (以下稱「PICNU 辦法」)、信用資訊使用及保護法 (UPCIA) 或其他韓國適用法律之要求對個人資訊進行加密。
   4. 特有識別資料之加密。供應商應於下列狀況下加密居民登記號碼、駕照號碼和護照號碼：
      1. 透過資訊或通訊網路傳送時；
      2. 儲存於可攜式儲存媒體或周邊裝置上時；
      3. 儲存於外部電腦網路上，或非軍事區內，或個人電腦或行動裝置上時；或
      4. 若供應商的系統不符合 Seagate 指定之風險條件，儲存於供應商內部網路時。
   5. 密碼及生物特徵資料之加密。供應商應加密以任何格式儲存的所有密碼及生物特徵資料。
   6. 揭露前之資訊。供應商應在揭露或傳送 Seagate 個人資訊予第三方資料處理者之前提前合理告知 Seagate。供應商應在 Seagate 要求時提供下列資訊：(a) 外包之處理活動；(b) 第三方資料處理者的身分；(c) 任何 (a) 或 (b) 的變更。
   7. 教育訓練。供應商應參與任何 Seagate 選擇提供給供應商，以防 Seagate 個人資訊在處理過程中遭竊取、洩漏、更動或損害的教育訓練。
6. 新加坡
   1. 適用性。第 6 節的條款適用於新加坡 2012 年個人資料保護法 (2012 年第 26 號)，適用於公司對 Seagate 個人資訊的處理。
      
   2. DPA 第 1.3 條應由下列條款取代：

      1.3 「資料隱私洩漏」意指導致 Seagate 個人資訊遭到意外或非法破壞、遺失、竄改、未經授權揭露、存取、取得的任何安全破壞行為，包括：(a) 未經授權存取、收集、使用、揭露、複製、修改或棄置 Seagate 個人資訊 (b) 在 Seagate 個人資訊可能遭到未經授權存取、收集、使用、揭露、複製、修改或棄置的情況下儲存 Seagate 個人資訊的儲存媒體或裝置遺失。

   3. DPA 第 5.1 條應由下列條款取代：

      資料隱私洩漏通知。若供應商有理由相信已發生資料隱私洩漏情形，供應商應以書面通知 Seagate，資料隱私洩漏不得有不當延遲並應

      1. 進行調查或於調查資料隱私洩漏情況期間提供必要協助；
      2. 向 Seagate 提供資料隱私洩漏的相關資訊並在出現其他相關資訊時立即提供，以及
         
      3. 採取商業上合理的措施以遏止資料隱私洩漏、減輕資料隱私洩漏的影響或協助 Seagate 進行相關作業，費用由供應商支付。
7. 臺灣
   1. 適用性。第 5 節之條款適用於 (a) Seagate 個人資訊供應商接收或存取來自位於台灣的 Seagate 關係企業之資訊的情況。
   2. 次要處理者。儘管有本 DPA 第 2.4 節，在未經 Seagate 書面同意前，供應商不會揭露或傳送 Seagate 個人資訊給任何次要處理者，或允許次要處理者存取 Seagate 個人資訊。
   3. 有限處理時間。供應商僅能在為完成處理目的所需的期間內處理 Seagate 個人資訊，除非雙方達成其他期間之合意。
   4. 保留存取記錄。供應商應視需要保留存取記錄，確保這些記錄可定期檢視，以找出是否發生未經授權之存取。
8. 泰國
   
   1. 適用性。第 6 節之條款適用於「泰國個人資料保護法」(BE)2562 (2019) (「PDPA」) 經不時修訂及取代之適用於 Seagate 個人資訊供應商接收或存取來自位於泰國 Seagate 關係企業之資訊的情況。
      
   2. DPA 第 1.3 條應由下列條款取代：

      1.3 「資料隱私洩漏」係指因蓄意、蓄意、疏忽、意外、未經授權或非法行為或與電腦犯罪有關的行為而導致個人資料遭非法或未經授權而遺失、存取、使用、修改或揭露之安全措施破壞行為、網路威脅、錯誤或意外或任何其他行為 (如根據 PDPA 發出的通知所訂明)。
      

   3. 應修改 DPA 第 1.12 條以納入 PDPA 第 26 節所指定的個人資料類別
   4. 安全標準。供應商應盡其最大努力並採取一切合理措施以實施及維護安全標準，至少應符合附件 II 之要求以及 PDPA 及任何其他規則、法規、通知及/ 或據此發布的命令，包括但不限於通知個人資料保護委員會：資料控制者 BE 安全措施 2565 (2022)，可能會不定時修改、補充或替換。

「資料隱私權協議」於 2025 年 7 月 31 日起生效。

於 2024 年 6 月 20 日至 2025 年 7 月 31 日達成的協議請參閱此處的 PDF：資料隱私權協議 2024 年 6 月 20 日

於 2022 年 12 月 8 日至 2024 年 6 月 20 日達成的協議請參閱此處的 PDF：資料隱私權協議 2022 年 12 月 8 日

於 2020 年 8 月 11 日至 2022 年 12 月 8 日達成的協議請參閱此處的 PDF：資料隱私權協議 2020 年 8 月 11 日

於 2019 年 11 月 20 日至 2020 年 8 月 10 日達成的協議請參閱此處的 PDF：資料保護規定2019 年 11 月 20 日

於 2019 年 3 月 31 日前達成的協議請參閱此處的 PDF：資料保護要求2019 年 3 月 31 日