>> 檢視所有法律同意書

控制者對控制者標準合約條款 (SCC)

 

最近更新日期:2022 年 6 月 8 日

這些控制者對控制者標準合約條款 (SCC) 構成適用於作為賣家的你(以下稱「你」或「商店」)與 PayPal 之間的 PayPal 用戶同意書(以下稱「同意書」)之一部分,其內容以引用方式合併於此。若本 SCC 的條款與同意書之間有任何衝突,應以本 SCC 的條款為準。本 SCC 中使用但未定義的大寫術語,應具有同意書所述之含義。

於適用範圍內:(i) 你簽署此同意書後,即視為商店作為資料匯出方及控制者簽署並接受歐盟執委會於 2021 年 6 月 4 日以歐盟第 2021/914 號決議發布,有關根據歐盟第 2016/679 號規則(以下稱「歐盟傳輸條款」)將個人資料傳輸至第三國之標準合約條款;(ii) PayPal 簽署同意書後,即視為 PayPal 作為資料匯入方及控制者簽署並接受歐盟傳輸條款;且 (iii) 雙方應遵守歐盟傳輸條款之模組 1 的規定。

若歐盟執委會修改並隨後發佈新的歐盟傳輸條款(或歐盟執委會另行提出要求或實施),則雙方同意新版的歐盟傳輸條款將會取代目前的歐盟傳輸條款,且雙方同意採取一切必要行動,使新版歐盟傳輸條款實施生效。

歐盟傳輸條款(模組 1)將透過引用的方式納入本同意書,並在此同意書生效時被視為在雙方之間正式執行,但需遵循以下細節:

  1. 應以第 17 條第 1 項(準據法)為準,且歐盟傳輸條款應受盧森堡法律管轄;
  1. 根據第 18 條(合意選擇法院與司法管轄權),盧森堡法院將解決任何因歐盟傳輸條款產生的糾紛申訴;以及
  1. 雙方皆同意歐盟傳輸條款附錄所要求的詳細資訊,如附件 1 所載。

 

 

附件 1

歐盟傳輸條款附錄

附件 1.A. 根據歐盟傳輸條款的規定,適用下列事項

資料匯出方

  • 姓名和地址:資料匯出方為商店,地址如本同意書所列
  • 聯絡人姓名、職位和詳細聯絡資料:如本同意書所列
  • 根據標準契約條款傳輸之資料相關的活動:如本同意書所列
  • 簽名和日期:請參閱本 SCC 所提供的資料
  • 角色(控制者 / 處理者):控制者

資料匯入方

  • 姓名和地址:資料匯入方為根據本同意書提供服務的 PayPal 集團成員,地址如本同意書所列
  • 聯絡人姓名、職位和詳細聯絡資料:如本同意書所列
  • 根據標準契約條款傳輸之資料相關的活動:如本同意書所列
  • 簽名和日期:請參閱本 SCC 所提供的資料
  • 角色(控制者 / 處理者):控制者

 

附件 1.B.傳輸說明

個人資料經過傳輸的資料主體
傳輸的個人資料涉及以下資料主體類型:

  • 資料匯出方及其客戶、員工和其他業務聯絡人。

傳輸的個人資料類型

  • 姓名、收費金額、日期 / 時間、銀行帳戶詳細資料、付款信用卡詳細資料、信用卡驗證碼 (CVC)、郵遞區號、國家 / 地區代碼、地址、電子郵件地址、傳真、電話號碼、網站、有效期限、運送詳細資料、納稅身分、唯一客戶識別碼、IP 位址、地點,以及 PayPal 根據此同意書所取得的任何其他資料。

敏感性資料(若適用)及適用限制或保障措施
傳輸的個人資料涉及以下類型的敏感性資料:

  • 不適用,除非商店設定該服務以取得此類資料。

適用限制和保障措施:

  • 不適用,除非商店設定該服務以取得此類資料。

處理性質

如本同意書中所述。

傳輸目的

資料傳輸目的如下:

  • 資料匯入方遵照此同意書,向資料匯出方履行其所提供的服務。
  • 識別會影響或可能影響資料匯入方、資料匯出方或資料匯入方其他客戶的詐騙活動與風險。
  • 遵守適用於資料匯入方的法律及執法要求。
  • 如資料匯入方的隱私權聲明所述。

個人資料將被保留的期限,若不適用,則提供用於決定期限的標準

資料匯入方僅於收集個人資料相關目的所需的時間內保留該個人資料(請參閱上述目的)。為了確定適當的個人資料保留期限,資料匯入方會考慮個人資料的數量、性質和敏感性、未授權使用或披露個人資料的潛在損害風險、處理個人資料的目的以及該等目的是否可透過其他方式實現,以及適用法律、法規、稅務、會計或其他要求。

傳輸至(分包)處理者,並說明處理的主題、性質和期限

資料匯入方可能會與依據資料匯入方指示,並代表其執行服務和功能的第三方服務供應商分享個人資料。這些第三方服務供應商可能會提供本同意書規定提供服務之元素(例如客戶認證、交易處理或客戶服務),或向資料匯入方提供服務,以支援本同意書規定提供的服務(例如儲存)。決定第三方服務供應商進行處理的期限時,資料匯入方應採用本附件 1.B 中的上述標準。

附件 1.C.監管機關

根據歐盟傳輸條款第 13(a) 條,負責確保資料匯出方遵守歐盟第 2016/679 規則進行資料傳輸的監管機關(如本 SCC 所示),應擔任主管機關。

 

B. 技術和組織措施,包括確保資料安全的技術和組織措施

  1. 虛擬假名、加密和傳輸時的資料保護

PayPal 的政策確保遵守此原則,並要求使用技術管制以預防披露個人資料的風險。PayPal 對所有個人資料採用傳輸中加密和靜態加密。我們同樣採用業界標準的虛擬假名技術,例如在適用的情況下以標記化來保護個人資料。PayPal 擁有完善的政策,提供關鍵義務與流程,以保護在企業內部和外部與第三方之間傳輸的資料。

  1. 變更管理與營運持續。

PayPal 的健全變更管理流程透過確保變更得到適當的規劃、核准、執行和審查,在整個生命週期內保護資料和系統的持續可用性和彈性。公司的營運持續管理流程為建立組織韌性提供了一個框架,具有有效回應的能力,可保障重要關係人的利益。

  1. 災害復原。

PayPal 的健全災害復原方案設有在任何嚴重中斷情況下復原資料系統或技術系統的流程,主要針對支援關鍵業務流程與客戶活動的 IT 系統。PayPal 技術基礎架構設於多個安全資料中心,具有主要和次要功能,均配有網路和安全基礎架構、專屬應用程式、資料庫伺服器和儲存裝置。

  1. 定期測試、評估和評量技術與組織措施的效能。

PayPal 定期規劃、執行和報告公司的測試方案結果,以評估和評量其技術與組織措施的效能。該方案由我們的企業風險與法規遵循團隊管理,他們與相關的關係人合作,以獲得並評量進行必要測試、報告和補救時所需的資訊。

  1. 用戶身分識別與授權。

PayPal 存取管理流程要求用戶在存取任何其他範圍內應用程式前,使用專屬的企業網路帳戶 ID 和密碼登入企業網路,進行用戶身分識別與驗證。自動適用密碼組成、長度、變更、重複使用和鎖定的相關政策。在所有範圍內的系統中實施角色型存取與核准,每季度進行一次認證,以執行最小特權原則。

  1. 處理個人資料地點的實體安全。

PayPal 全球安全和交易安全政策與流程根據適用法律、法規和合作夥伴需求規定了必需的要求,以促進健全的安全和交易安全流程,包括實體交易安全。根據公司的資訊安全處理標準,在建造郵件收發室、器材存放、運送和接收區、電腦 / 伺服器室、通訊保管庫或機密文件 / 資訊儲存區等特殊或敏感性區域時,特別重視交易安全系統和保障措施。

  1. 事件記錄與設定。

PayPal 已概述並定義事件記錄和監控類型與屬性。公司會收集並彙總數種記錄檔類型至集中安全監控系統。啟用標準設定管理控制,確保從系統中收集記錄檔,然後轉至我們的集中安全監控系統。PayPal 政策和支援流程規定,所有系統均需實施系統設定和強化基準。

  1. IT 治理與管理;流程和產品的認證與保證。

PayPal 在全公司內推廣健全的交易安全理念。我們的資安長負責監督我們全球企業的資訊交易安全。作為我們企業風險與法規遵循管理方案的一部分,我們的技術監督與資訊交易安全方案旨在協助公司管理技術和資訊交易安全風險,並識別、保護、偵測、回應資訊交易安全威脅並從中恢復。PayPal 透過各種各業方案認證及保證其流程與產品,包括 (i) 對 PayPal 技術產業標準義務的稽核與評估,包括但不限於 ISO 27001、支付卡產業 (PCI) 適用標準(DSS、PIN、P2PE 等)和美國註冊會計師協會 (AICPA) SOC-1 和 SOC-2;(ii) 風險控制識別流程 (RCIP),確保早期參與,並以標準方法測量、管理和監控與產品解決方案的開發與發佈相關的風險;(iii) 隱私衝擊評估,納入產品和軟體開發流程初期階段,以及 (iv) 全面的第三方管理方案,透過在與第三方合作的生命週期內持續的風險管理來提供保證。

  1. 資料最小化。

我們的政策要求,透過技術管制,收集和生成的資料元素是那些充分、相關並限於與處理目的相關的必要內容。PayPal 隱私衝擊評估流程確保遵守這些政策。

  1. 資料品質與保存。

PayPal 存取與品質政策確保所有個人資料均正確、完整並且為最新狀態,使個人用戶能夠存取系統以修正並變更特定資料(例如地址、詳細聯絡資料等),並在收到資料主體的修正要求時,提供履行其修正權的服務。我們的資料治理方案會在必要時監控資料品質、問題和補救措施。根據 PayPal 的法律、法規和營運紀錄保存要求,我們要求所有資料均依據其商業價值進行分類,並指定保留期限。保留期限屆滿時,資料和資訊將被清除、刪除或銷毀。

  1. 當責。

PayPal 開發一套符合業界標準的資訊交易安全、技術、資料治理、第三方管理和隱私權政策及原則,旨在讓關係人協作與合夥經營,使整個組織了解並遵守這些政策和控制措施,以確保整個組織自上而下的參與和當責。每個方案都定義了跨功能資訊的相關決策、流程和控制決策的責任。作為資料控制者,PayPal 負責並證明遵守《一般資料保護規範》(GDPR) 和其他適用資料保護法中具有當責義務的相關條款,透過實施隱私權方案政策和基本分層組織與技術控制結構,以確保整個企業遵循法律、法規、政策和流程。這包括能透過以下方式證明對資料保護法的遵守:1) 深厚的守法文化;2) 企業風險與法規遵循治理結構,包括管理委員會、監督角色、隱私權報告;3) 企業機能對遵守隱私權方案的責任,包括建立、記錄和維護業務流程與控制措施;4) 企業法規遵循組織內的全球隱私權部門,監督企業對隱私權方案的遵守情況,並定義由企業機能部門進行操作的政策、標準、流程和工具;5) 全球隱私權部門與企業通訊,以促進對隱私權的認識和了解;6) 企業風險與法規遵循管理框架,以確保採用一致的流程,包括隱私衝擊評估、隱私監控與測試、隱私問題管理、隱私培訓、年度隱私權方案;以及 7) 向監督隱私權方案的管理委員會進行報告與分析。

  1. 資料主體之權利。

PayPal 設有方案,用於確保資料主體的權利得以履行,包括存取、修正和清除。除非 PayPal 具有法律、法規義務或其他正當業務理由保留資料,否則將履行資料清除的要求。PayPal 政策確保資料清除在整個客戶生命週期內進行。

  1. 處理者。

PayPal 設有完善的第三方管理方案,透過在與第三方合作的整個生命週期內持續管理風險來提供保證。我們有契約控制措施,要求我們的處理者與其分包處理者在整個程序鏈中制定全面的資料交易安全和隱私權標準。所有分包處理者都必須在參與前取得我們的預先核准。