Oracle 法務

隱私權 @ Oracle
Oracle 服務隱私權政策

本 Oracle 服務隱私權政策 (以下稱「服務隱私權政策」) 分為三個部分：

I. 第一部分 (服務個人資訊資料處理條款) 說明 Oracle Corporation 及其關係企業 (以下稱「Oracle」) 在您的服務訂單期間處理服務個人資訊 (如下文定義) 以提供 Oracle 客戶 (以下稱「您」或「您的」) 技術支援、諮詢、雲端或其他服務 (以下稱「服務」) 的佈建時所採取的隱私權與安全性措施。

服務個人資訊是由您提供且位於 Oracle、客戶或第三方系統與環境的個人資訊，並且會由 Oracle 為履行服務而代表您來處理。根據服務而定，服務個人資訊可能包括：有關家庭、生活風格和社會情況的資訊；就業詳細資料；財務詳細資料；行動裝置識別碼和 IP 位址等線上識別碼，以及第一方線上行為與興趣資料。服務個人資訊可能與您的代表和終端使用者相關，例如您的員工、工作應徵者、承包商、共同作業者、合作夥伴、供應商和客戶。

II.第二部分 (系統操作資料處理條款) 將針對我們的服務的 (終端) 使用者 (以下稱「使用者」) 與用於監控、保護和提供服務給我們客戶的 Oracle 系統互動所產生而隨附於系統操作資料的個人資訊，說明適用於該類個人資訊的隱私權與安全性措施。

系統操作資料可能包括記錄檔、事件檔案和其他追蹤及診斷檔案，以及統計和彙整資訊，而這些資訊與使用和操作我們的服務，以及執行這些服務的系統和網路相關。

III.第三部份 (通訊及客戶與使用者通知) 適用於服務個人資訊及包含在系統操作資料中的個人資訊，說明 Oracle 如何處理法律要求的公開要求，並告知您和使用者如何與 Oracle 的全球資料保護長通訊或提出申訴。

服務個人資訊和系統操作資料的定義不包括透過您或使用者的 Oracle 網站之使用，或者您或使用者在簽約過程期間與我們互動過程所蒐集而得的聯絡和相關資訊。Oracle 處理此資訊的方式受到 Oracle 一般隱私權政策之約束。

I. 服務個人資訊資料處理條款

Oracle 根據本政策的第 I 節第 III 節條款和您的服務訂單來處理所有服務個人資訊。

倘若本「服務隱私權政策」與納入您服務訂單的任一隱私權條款 (包括 Oracle 資料處理協議) 相衝突，則您服務訂單的相關隱私權條款應優先。

1.執行服務

Oracle 可能會針對執行服務所需之處理活動來處理服務個人資訊，包括測試和套用新產品或系統版本、修補程式、更新和升級，以及解決您向 Oracle 報告的錯誤和其他問題。

2.客戶說明

對於 Oracle 為執行服務所處理的服務個人資訊，您有其控制權。Oracle 將會依照您的服務訂單以及您已記錄的其他書面說明中指明之事項，處理您的服務個人資訊，以達成以下目的：(i) 在適用的資料保護法之下遵守其處理方義務，或 (ii) 協助您在與您所使用之服務有關的適用資料保護法之下，遵守您的控制方義務。若根據 Oracle 的合理判斷，您的指示涉及侵害適用的資料保護法，我們將立即通知您。可能會收取額外費用。

3.個人權利

您的終端使用者對服務個人資訊之存取係由您控制，而您的終端使用者如對其服務個人資訊有任何要求，應向您提出。在您無法取得此類存取權的情況下，Oracle 將提供合理的協助，來處理個人存取、刪除或清除、限制、改正、接收和傳輸、封鎖存取或拒絕處理 Oracle 系統之服務個人資訊的要求。

4.安全與保密

Oracle 已實施且將會維護技術性和組織性措施，旨在保護服務個人資訊免於意外或非法破壞、損失、竄改、未經授權的揭露或存取。這些措施大體上符合 ISO/IEC 27001:2013 標準，並規範適用於服務之所有安全性面向，包括實體存取、系統存取、資料存取、傳輸、輸入、安全監督和執行。

Oracle 員工均須維護個人資訊之機密性。員工應負義務包括簽訂書面保密合約、針對資訊保護接受定期訓練，以及遵守有關機密資訊保護之公司政策。

適用於服務之特定安全性手段的其他詳細資料已列於該些服務的安全性措施中，內容包含資料的保留與刪除，可供您檢閱。

5.事件管理與資料外洩通知。

對於服務個人資訊疑似有或顯示已有遭到未經授權的存取或處理之事件，Oracle 均針對該事件進行立即的評估與回應。

如果 Oracle 察覺並判定涉及服務個人資訊的事件違反安全性，導致傳輸至或儲存於 Oracle 系統或於該系統上進行處理的服務個人資訊遭到不當挪用，或遭到或意外或非法破壞、損失、竄改、未經授權的揭露或存取，而危及該些服務個人資訊的安全性、機密性或完整性，Oracle 將毫不遲延向您報告此類違規。

隨著 Oracle 陸續蒐集到或合理取得更多與違規相關之資訊，只要在法律允許範圍內，Oracle 將會向您提供 Oracle 已合理得知或取得的額外違規相關資訊。

6.第三方處理單位

Oracle 授權第三方處理單位存取服務個人資訊以便協助提供服務，因此，該些第三方處理單位應比照 Oracle，依據您服務訂單的條款，受同一層級的資料保護和安全規範所約束。Oracle 應負責確保其第三方處理單位遵守您服務訂單的條款。

Oracle 維護著處理服務個人資訊之 Oracle 關係企業及第三方處理單位的清單。其他資訊可透過 My Oracle Support (https://support.oracle.com) 文件 ID 2121811.1，或針對服務提供的其他適用主要支援工具來取得。

7.跨境資料傳輸

Oracle 可在執行服務的必要情況下，於全球傳輸、存取及儲存服務個人資料。

在進行此類全球存取時，若涉及由歐洲經濟區和英國 (「EEA」) 和/或瑞士傳輸服務個人資訊至位於 EEA 或瑞士以外之國家/地區的 Oracle 關係企業或第三方處理單位，且若該關係企業或第三方處理單位尚未獲得歐盟委員會或具法定權力的國家 EEA 資料保護機構的約束適足性認定，此類傳輸將受到約束和適當傳輸機制的規範，以提供符合適用資料保護法 (例如歐盟示範條款 (EU Model Clauses)) 所制定的保護層級。

若您與 Oracle 以契約方式同意，由 EEA 或瑞士傳輸之服務個人資訊，均應依據美國商業部所制定的歐美隱私權屏障架構 (EU-U.S. Privacy Shield Framework) 與瑞士-美國隱私權屏障架構 (Swiss-U.S. Privacy Shield Framework) 進行傳輸與處理，則 Oracle 蒐集、使用與保存該些服務個人資訊時均將遵守相關的隱私權屏障架構。Oracle 同時也會負責確保以代理人身分代替本公司行事之第三方一併遵照同樣原則行事。

Oracle 已通過商務部認證，證明本公司恪守隱私權屏障原則。若本「服務隱私權政策」條款與隱私權屏障原則有任何抵觸，應以隱私權屏障原則為準。如欲進一步了解隱私權屏障專案並審閱我們的認證，請造訪 https://www.privacyshield.gov/list。

請查看隱私權屏障網站，以取得 Oracle 隱私權屏障自我認證涵蓋的實體清單。針對依照隱私權屏障架構而接收或傳輸的服務個人資訊，Oracle 茲接受美國聯邦貿易委員會的法規執行權力所約束，並承諾與歐盟資料保護機構及瑞士 FDPIC 合作。

8.稽核權利

根據您的服務訂單內所載明之權利(如有)，您可以自行支付費用，稽核 Oracle 是否遵守本服務隱私權政策的條款，方式為在提議的稽核日期的六個星期前，將含有詳細稽核計畫的書面申請寄送至 Oracle。您和 Oracle 將共同合作來擬定最終稽核計畫。

稽核工作應在一般上班時間內進行，且不得在十二個月內執行超過一次，而稽核將受 Oracle 的現場政策和規定所約束，且不得無理妨礙業務活動。如果您想要透過第三方進行稽核，則當事各方應互相同意此第三方稽核機構之採用，且第三方稽核機構必須簽署 Oracle 所要求的書面保密合約。稽核工作完成時，您將提供給 Oracle 該稽核報告之副本，而根據您與 Oracle 所同意的合約條款，該稽核報告屬於機密資訊。

Oracle 將提供給您進行稽核合理所需的資訊和協助以完成該些稽核，包括提供任何適用於服務的相關處理活動記錄。如果要求的稽核範圍已於 SOC 1 或 SOC 2、ISO、NIST、PCI DSS、HIPAA 中說明，或已有合格的第三方稽核機構在十二個月內核發類似的稽核報告，而 Oracle 提供該稽核報告給您確認所稽核的控制中沒有已知的重大變動，您將同意接受第三方稽核報告中的調查結果，且不要求進行與該稽核報告相同的控制之稽核。其他稽核條款可能會包含在您的服務訂單中。

9.刪除或退回服務個人資訊

若服務訂單中沒有另外註明或沒有法律上的要求，當服務終止時或當您提出刪除之要求時，Oracle 將刪除您在 Oracle 電腦中的生產客戶資料，並確保該些資料不會遭到非法存取或讀取，但若 Oracle 因法律義務而無法刪除全部或部分資料，此項目將不適用。您可以諮詢您的 Oracle 服務聯絡人，以取得在服務完成前刪除資料的詳細資訊。

II.系統操作資料處理條款

1.處理個人資訊的責任和用途

Oracle Corporation 及其關係企業，負責依照本政策的第 II 節和第 III 節來處理隨附於系統操作資料中的個人資訊。請參閱 Oracle 實體的清單。請選擇地區和國家以檢視位於各國家之 Oracle 實體的註冊地址和聯絡詳細資料。

我們可能會為了下列目的蒐集或產生系統操作資料：

• a) 協助確保我們的服務安全，包括安全性監控和身分管理；
• b) 協助調查並預防我們的系統和網路發生潛在詐騙或非法活動，包括防止網路攻擊和偵測機器人；
• c) 管理我們的備份災難復原計畫和政策；
• d) 確認是否符合授權及其他使用條款 (授權合規性監控)；
• e) 進行研究和發展用途，包括分析、開發、改進和最佳化我們的服務；
• f) 遵守適用的法律和法規，以及營運我們的業務，包括遵守法律強制規定的報告、揭露或其他法律流程之要求、用於合併和併購、財務和會計、歸檔和保險目的、法律及商業諮詢，以及解決爭議。

針對在歐盟內蒐集包含在系統操作資料中的個人資訊，我們乃為執行、維護和保護我們產品與服務，而依據我們的合法權益處理該些資訊，並且以有效和適當的方式營運本公司業務。我們也可能根據法律義務或根據遵守該些法律義務之合法權益而處理個人資訊。

2.分享個人資訊

包含在系統操作資料中的個人資訊可能會在整個 Oracle 全球性組織中分享。上述提供 Oracle 實體的清單。

我們也可能會與下列第三方分享個人資訊：

• 第三方服務供應商 (例如 IT 服務供應商、律師和稽核機構)，使該服務供應商得以代表 Oracle 執行業務功能；
• 涉及重整、合併、出售、合資、轉讓、移轉本公司所有或任何部分之業務、資產或股票以及涉及該些業務、資產或股票的其他處置 (包括與任何破產或類似法律程序相關者) 的相關第三方；
• 依照法律要求分享個人資訊，例如當我們為了遵守傳票或其他法律流程，而誠摯地相信為了維護我們的權利、保護您或其他人的安全以及調查詐騙，有必要揭露此等資訊時，又或者例如為了回應政府 (包括您的居住國家外的公共和政府機構) 以國家安全和/或執法目的為考量而提出之要求時，我們會提供此等資訊給相關第三方。

當第三方取得包含在系統操作資料中之個人資訊的存取權時，我們將採取適當的契約化、技術性和組織性措施，其目的包括確保該等個人資訊僅在必要範圍內進行處理，且處理方式符合本隱私權政策，並遵守適用的法律。

3.跨境資料傳輸

若要將包含在系統操作資料中之個人資訊傳輸給位於未提供足夠個人資訊保護層級之國家的 Oracle 接收者，Oracle 將會採取專為充分保護關於使用者的資訊而設計之措施，例如確保此類傳輸符合歐盟示範條款 (EU Model Clauses) 的規範。

4.安全性

Oracle 已按照「Oracle 企業安全措施」實施適當的技術性、實體性和組織性方針，旨在保護個人資訊免於意外或非法破壞或意外損失、損壞、竄改、未經授權的揭露或存取，以及其他所有形式的非法處理 (包括但不限於不必要的蒐集) 或進一步處理。

5.使用者用的選擇

在適用的法律範圍內，使用者可在特定情況下要求存取、更正、更新或刪除包含在系統操作資料中的個人資訊，或是填寫詢問表格以其他方式來行使其個人資訊的使用選擇。

III.通訊及客戶與使用者通知

1.法律要求。

Oracle 可能應法律要求提供服務個人資訊及包含在系統操作資料中之個人資訊的存取權，例如當我們為了遵守傳票或其他法律流程，而誠摯地相信為了維護我們的權利、保護您或其他人的安全以及調查詐騙，有必要揭露此等資訊時，又或者例如為了回應政府 (包括您的居住國家外的公共和政府機構) 以國家安全和/或執法目的為考量而提出之要求時，我們會提供此等資訊給相關第三方。

除非法律另有要求，否則 Oracle 會立即通知您關於提供服務個人資訊之存取權的事項。

2.全球資料保護長

Oracle 已任命一位資料保護長。若您或使用者認為個人資訊被以不符合本「隱私權政策」的方式使用，或者，若您或使用者對 Oracle 處理服務個人資訊或處理包含在系統操作資料中之個人資訊有進一步的疑問、意見或建議，請填寫詢問表格聯絡資料保護長。

若要寄送書面詢問給資料保護長，請寄至下列地址：

Oracle Corporation
Global Data Protection Officer
10 Van de Graaff Drive
Burlington, MA 01803
U.S.A.

對於歐盟/歐洲經濟區內蒐集到的個人資訊，若要寄送書面詢問給資料保護長，請寄至下列地址：

Robert Niedermeier
Hauptstraße 4
D-85579 Neubiberg / München
Germany
Email：mail@legislator.de

3.爭議解決或提出投訴

若您或使用者對於我們遵守隱私權及安全實務的情形有任何不滿，請先與我們聯絡。我們將會調查並嘗試解決任何關於我們隱私權實務的投訴和爭議。

若使用者提出隱私或資料使用疑慮，而本公司的處理方式尚無法完善解決，請聯絡本公司位於美國的第三方爭議解決提供者 (免費提供)：https://feedback-form.truste.com/watchdog/request。

在隱私權屏障網站中所指明的特定情況下，若使用者已嘗試所有其他爭議解決程序而未果，則可提起具約束力的仲裁程序。若使用者是歐盟成員國的居民，則使用者也有權利向具法定權力的資料保護機構提出投訴。

4.本服務隱私權政策的變更

本「隱私權政策」的最新更新日期為 2019 年 3 月 7 日。然而，「服務隱私權政策」可能會在日後有所變動，例如我們會為了遵守法律要求或因應不斷變化的業務需求而變更政策。如欲查看最新版本，請至此網站。如有重大變動，我們也會在變更生效前以其他適當的方式通知您 (例如透過我們網站上的快顯通知視窗或變更聲明進行告知)。