>> 查看所有法律同意書

 

適用於信用卡和扣帳卡直接付款處理產品之資料保障控制方增編

 

 

2.0 版

本資料保障控制方增編(下稱本「增編」)適用於以下產品:PayPal 集團實體(下稱「PayPal」)向你這位商家(下稱「商家」或「你」)提供 Braintree 及其他類似的信用卡和扣帳卡付款、閘道服務及 / 或欺詐防護工具的任何產品。本增編不適用於 PayPal 品牌錢包服務,例如 Express Checkout 或使用 PayPal 按鈕付款。本增編應構成商家與 PayPal 之間相關同意書的一部分,規管 PayPal 向你提供付款處理服務(下稱「同意書」)。若本增編與同意書的條款之間存在任何衝突,應以本增編的條款為準。本增編使用的詞彙如無定義,則其含意應與同意書上載定義一致。

本增編的生效日期為 (i) 自同意書中列明的生效日期起計,或 (ii) 自同意書或本增編修訂通知中列明的生效日期起計,以較晚者為準。我們可以透過在公司網站上發佈修訂版本,藉此隨時修改本增編。修訂版本將會在本公司發佈時生效。此外,如果我們在變更增編時減少了你的權利或增加了你的責任,我們將於同意書要求的期限內,透過在公司網站的「政策更新」頁面上發佈通知,從而事先以書面通知你。我們亦可能會以電郵或其他方式通知你有關變更。如果你不同意增編的任何變更,你可以隨時終止同意書。

定義


以下詞彙在本增編中使用時定義如下:

控制方」是指一個實體,此實體決定處理個人資料的目的及方式;如果資料保障法中對此詞彙(或指涉類似作用的詞彙)有所定義時,「控制方」則應採用適用資料保障法所定義的含義。

客戶」是指在美國境外使用付款處理服務的客戶,在本增編當中他們均屬資料主體。

客戶資料」是指 (i) 客戶提供予商家的個人資料,而商家透過其所使用的付款處理服務將其傳送給 PayPal,和 (ii) PayPal 可透過商家使用的付款處理服務,從客戶的裝置及瀏覽器中收集的個人資料。本增編中所指的客戶資料不包括商家的美國客戶個人資料。

資料保障法」是指適用於提供付款處理服務的任何適用資料保障法律、規例、指令、監管要求及行為守則,包括其中的任何修訂及任何相關規例或文件(例如《一般資料保障條例(歐盟)2016/679 (GDPR)、《1988 年澳洲私隱法例》(聯邦)、《個人資訊保護與電子文件法》(加拿大)、《個人資料(私隱)條例》(第 486 章)(香港)、《巴西一般資料保護法》(《聯邦法律》第 13,709/2018 號)及《2012 年個人資料保護法》(新加坡))。

PayPal 集團實體」是指 PayPal, Inc. 及由 PayPal 或其繼任者直接或間接不時擁有或控制的所有公司。

個人資料」指與已識別或可識別自然人(即「資料主體」)相關的任何個人資料;可識別自然人是指可直接或間接識別的自然人,尤其是指可透過以下資料識別的自然人,例如:姓名、身份證號碼、位置資料、網上識別碼,或者專屬於此自然人的身體、心理、基因、精神、經濟、文化或社會身份等特定的一個或多個因素。

在本增編中使用的「流程」或具有類似含義的詞彙,均應採用適用資料保障法所定義的含義。

PayPal 作為資料控制方

根據本增編,PayPal 在使用個人資料時應遵守適用於控制方的資料保障法要求(包括但不限於:在處理個人資料方面,始終實行並維持所有適當的安全措施),且不得在知情的情況下,就個人資料作出或允許可能導致商家違反資料保障法的行為。PayPal 應僅出於提供付款處理服務的目的將個人資料傳送給第三方、子處理商或 PayPal 集團實體的成員,並且應與此等第三方及子處理商訂立包含客戶資料保障條款的書面同意書,該等同意書的保障力度不得低於本增編所列條款。

處理與付款處理服務相關的個人資料

各方確認並同意,在與付款處理服務有關的所有個人資料處理事宜上,商家及 PayPal 均為獨立的控制方。因此,PayPal 將獨立決定處理此等個人資料的目的及方式,並且不會與商家共同構成此等個人資料的聯合控制方。

各方確認並同意,PayPal 可以出於以下有限目的來使用、複製及處理客戶資料和付款交易資料:

  • 此為合理且必要的操作,以提供及改善向商家及其客戶提供的付款處理服務,包括預防欺詐工具;
  • 監察、預防及偵測欺詐性付款交易,並防止對商家、PayPal 及第三方造成損害;
  • 遵守適用於付款資料處理及保留,且 PayPal 需受其約束的法律或監管義務,包括適用的反洗黑錢及身份核實義務;
  • 分析、研發及改善 PayPal 的產品和服務;
  • 內部使用,包括但不限於資料分析及數據衡量;
  • 彙編和披露無法識別個人或用戶個人資料的綜合客戶數據和付款交易資料,包括按區域或行業計算平均值;
  • 根據法律規定回覆有關資料披露之請求,遵守適用法律要求並協助執法機構;及
  • 有向商家通知的任何其他目的,惟該等目的必須符合資料保障法。

商家向客戶發出的通知

商家應採用商業上合理的方式,(i) 於其私隱權聲明中通知客戶,PayPal 在處理客戶資料上為獨立控制方,如本增編所述;並且 (ii) 在其商家的私隱權聲明中加入適用的 PayPal 或 Braintree 私隱權聲明連結。

相互協助

各方同意在合理必要的範圍內相互合作,以便另一方充分履行其在資料保障法下作為獨立控制方的責任。各方同意,如果商家收到主體存取要求,或收到客戶要求行使其在資料保障法下的任何權利,商家應直接回覆此等客戶存取要求。商家應同時告知客戶,根據 www.paypal.com的《私隱權聲明》所述指示,行使其與 PayPal 付款處理服務相關的資料主體權利。此外,如果在涉及任何安全事件的情況下,PayPal 自行決定其必須通知受影響的客戶,但如果 PayPal 沒有與受影響客戶通訊所需的聯絡方式,則商家僅應為使 PayPal 履行資料保障法下適用的向受影響客戶通知之相關責任,採用商業上合理的方式向 PayPal 提供商家可能擁有的客戶資料。

跨境資料傳輸

各方同意,PayPal 可以將根據本同意書處理的個人資料傳輸至收集該等資料以外的國家或地區,以便提供付款處理服務。如果 PayPal 將受本增編保護的個人資料傳輸至另一司法管轄區,而資料收集國家或地區的適用監管機構未對此司法管轄區作出適足性認定,則 PayPal 將確保根據適用的資料保障法,為個人資料傳輸採取適當的安全保障措施。舉例來說,為符合 GDPR 的規定,我們依靠具有權限之監管機構核准的 PayPal 公司約束規則及其他資料傳輸機制,將客戶個人資料傳輸至其他 PayPal 集團實體。

當你就位於歐盟、瑞士、歐洲經濟區和 / 或其成員國和英國的客戶向 PayPal 傳送資料時,各方同意 (i) 你簽署的同意書將被視為以商家作為資料匯出方對 2004 年 12 月 27 日歐洲委員會協定 (C(2004)5721) 所核准的控制方對控制方標準合約條款(下稱「 C2C 傳送條款」)的簽訂和接受,和 (ii) PayPal 簽署的同意書將被視為以 PayPal 作為資料匯入方對 C2C 傳送條款的簽署和接受。若歐洲委員會修訂並發布新的 C2C 傳送條款,或按照歐洲委員會的其他要求或實施,則各方同意該等 C2C 傳送新條款將取代現有 C2C 傳送條款。C2C 傳送條款將以提述方式納入本同意書,並在本同意書生效後由各方嚴格執行,同時遵守以下詳細條款:

  1. PayPal 同意按照 C2C 傳送條款的第 II 組第 II (h)(iii) 條處理客戶資料,同時簽署本同意書即視為已正式簽訂並接受第 II (h)(iii) 條;和
  2. 各方同意 C2C 傳送條款附錄 B 中所要求的詳細資料如附件 1 所述。

附件 1

C2C 傳送條款附錄 B

資料主體
所傳送的個人資料涉及以下資料主體:

資料匯出方及其客戶。

傳送目的
資料傳送出於以下目的:

資料匯入方根據本同意書向資料匯出方提供的服務表現。

資料類別
所傳送的個人資料包括以下類別:

客戶姓名、支付金額、日期 / 時間、銀行戶口詳細資料、付款卡詳細資料、CVC 代碼、郵政編碼、國家或地區代碼、地址、電郵地址、傳真、電話、網站、到期資料、運送資料、稅務狀況、客戶唯一識別碼、IP 地址、位置及 PayPal 根據本同意書收到的任何其他資料。

接收方
所傳送的個人資料僅可向以下接收方披露:

資料匯入方的服務供應商、分支機構和根據本同意書提供服務的人員。

敏感資料(如適用)
所傳送的個人資料涉及以下類別的敏感資料:

不適用,除非商家設置服務以取得此類資料。

匯出方的資料保障登記資料(如適用)

不適用

其他有用資料(儲存限額及其他相關資料)

如本同意書所述。

資料保障查詢的聯絡方式

資料匯入方:聯絡方式載於本同意書。

資料匯出方:聯絡方式載於本同意書。