本經銷商資料處理補充附件 (「DPA」) 為 GoDaddy.com,LLC (若考量本協議,則包含其附屬實體) (「GoDaddy」) 及您 (「經銷商」) 為透過 GoDaddy 經銷商計畫販售 GoDaddy 產品與服務 (「服務」) 而執行之協議的一部份,執行上需以經銷商代 GoDaddy 處理任何個人資訊為考量。經銷商代替自己以及 (在適用資料保護法律與法規範圍內) 其授權聯盟商簽訂此 DPA。原文條目中所有此處未定義的大寫詞彙皆應以協議內之意義為準。此處「我們」或「我們的」等詞彙皆代表 GoDaddy。「您」、「您的」或「經銷商」皆代表任何接受本協議的個人或實體。本協議中的任何內容不得被視為賦予任何第三方權利或利益。本 DPA 應在您以電子形式接受當日生效,並開始具備法律效力。
本 DPA 分為兩 (2) 部分,以下詳細說明:
- 資料隱私及安全標準及規範:資料隱私及安全標準及規範之適用範圍。在參與經銷商計畫的性質與範疇之內,適用於所有可存取並處理 PII (如「此處所定義」) 經銷商。
- 標準契約條例 (與其附錄 1 與 2):標準契約條款之應用。標準契約條款將適用於在 EEA 外直接或透過繼續傳送傳輸至歐洲聯盟委員會未認可之國家的客戶資料,以便提供合宜等級的個人資料保護 (如 GDPR 所述)。標準契約條款不適用於在 EEA 外直接或透過繼續傳送傳輸的客戶資料。儘管有上述規定,但標準契約條款不適用於在 EEA 之外為合法傳輸個人資料而按照已知標準傳輸之資料 (如 GDPR 所定義),如歐洲/美國與瑞士-美國隱私權護盾框架。
資料隱私權與安全性 SLA
1.主旨與範疇
本資料隱私權與安全性 SLA (「安全性 SLA」) 皆附於並納入本協議之中,以便確保您任何收集或使用的 PII (定義請見下文) 皆以安全且根據本協議、本安全性 SLA 與適用法律及法規的條款進行處理。
2.優先順序。
本安全性 SLA 已納入協議中,並為協議的一部份。本安全性 SLA 未說明的事項以協議內容為準。考量各方權利和義務相等,當協議條款與本安全性 SLA 相衝突時,以此安全性 SLA 為準;若此安全性 SLA 條款與標準契約條款衝突,則以標準契約條款為準。
3.個人資訊。
- 「PII」或「個人資訊」應指和已辨識或可辨識的自然人或家庭有任意關聯的資訊,且以任何管道或形式存在;可辨識自然人即為可被直接或間接辨識,尤其是查閱姓名、地址、社會安全碼或其他識別碼、email 地址、電話號碼、金融資料、信用卡資訊、駕照號碼等身分識別資訊,或其他可合理連結至特定人士、電腦、裝置 (例如透過追蹤技術收集的資訊,如 IP 位址) 的資訊,或一或多種和該人士的實際、生理、一般、精神、經濟、文化或社會身分有關的要素。
- 本 DLA 內,處理方式應包含收集、錄製、整理、組織、儲存、改編或改變、擷取、查閱、使用、揭露、散播或以其他方式公開、組合、限制、消除或摧毀 PII。
- GoDaddy 僅以讓您代表 GoDaddy 施行服務為目的向您揭露 PII,而您只能以本協議和我們書面指示上描述之特定目的處理 PII,不可以其他目的為由進行處理,包含將歐盟個人使用者的 PII 傳輸至歐盟以外地區,但若由歐盟或歐盟會員國要求如此則不在此限 (這種情形下您必須立即通知我們,除非法律禁止您進行通知)。
- 您不得:(i) 販售 PII;(ii) 基於和提供服務無關的商業目的保留、使用或揭露 PII;(iii) 在您與 GoDaddy 所簽訂之協議所述範圍外保留、使用或揭露 PII。
- 您知悉並確認所有由 GoDaddy 根據本協議提供之服務皆未揭露 PII。您不得販售 PII 的「販售」一詞之定義來自 2018 年修訂之加州消費者隱私保護法案 (「CCPA」),並特此確認您瞭解 CCPA 之規則、規範以及定義,並瞭解本 DPA 的所有限制。您同意不會進行任何符合 CCPA 及其他任何適用法規所定義之「販售個人資訊」的任意 PII 傳輸行為。
- 您只有在遵守本 DPA 條款與 GDPR 第 44 項至第 49 項 (定義請見下文) 的情況下方可將歐盟居民相關之 PII 傳輸至歐盟之外 (如果該 PII 已在歐盟之外,則指傳輸至歐盟外的第三方)。
- 如果您認為我們的指示違反任何適用的資料保護法律與法規,包含歐盟資料保護法 (定義請見下文) 在內,您必須立即透過 privacy@godaddy.com 通知我們。
- 您必須將 PII 視為嚴格機密性之資訊,並讓所有員工或和處理 PII 相關之經核准專員瞭解 PII 的機密性質,並確保以上人士或各方皆已簽署合宜之機密協議,以便維持 PII 之機密性。
- 在您按照本協議,並在經銷商計畫相關的接收、維護、處理或以其他方式存取 PII 的範圍內,您知悉並同意您須負責維護合宜的組織及安全方法來保護上述之 PII。您必須根據所有適用的隱私權與資料保護法律保護上述的 PII,包含但不限於歐洲議會法規 (歐盟) 2016/679 (Regulation (EU) 2016/679 of the European Parliament) 與歐洲理事會於 2016 年 4 月 27 日針對在處理個人資料與移動該資料上保護自然人所下之決議 (「通用資料保護規則」或稱「GDPR」) 以及相關的歐盟會員國法規或規範 (統稱為「歐洲資料保護法律」) 及 CCPA。
- 符合第 3.7 節描述之合宜組織與安全性方法應包含 (但不限於):
- 列在下文第 3 節及第 4 節內的方法;
- 確保僅有經授權的個人可依照本協議描述之目的存取 PII 的方法;
- PII 之假名化與加密;
- 確保您的處理系統與服務持續保有機密性、完整性、可得性與恢復性的能力;
- 儲存可得性並可適時存取 PII 的能力;
- 對 PII 技術與組織方法的成效定期進行測試與評估;及
- 辨識您系統內處理 PII 程序漏洞的方法。
- 在您發包給分包商、供應商或其他第三方廠商按照本協議執行工作的範圍內,您必須 (i) 先向我們申請書面同意書;並 (ii) 和該第三方簽訂書面協議,確保該方同樣遵守本 DPA 及本協議之條款內容。
- 儘管我們已按照第 1.11 節提供授權,但是如果任何分包商、供應商或其他第三方無法遵守此 DPA (或其他在本 DPA 規範下讓您負責的第三方負起相等義務的相似契約安排) 或適用隱私權法律的義務,則您還是須對該方的行為負起完整責任。
- 若因任何 PII 遭到暫時或永久、意外或非法的不可得、損失、摧毀、未經授權揭露或存取、盜竊、洩漏,或其他任何違反適用資料保護法規或本 DPA 之情事,導致任何責任、成本、損失,則您將會自行負擔成本,並維護、保障且避免我們免受上列情況損害。
- 您發現從我們這裡收到在此協議中並非意圖傳送給您或授權給您的機密資訊或 PII 時,您必須 (i) 立即透過 privacy@godaddy.com 通知我們,並 (ii) 在 privacy@godaddy.com 聯絡您並指示您如何處理該資訊之前,先留存該等資訊,除非另有書面指示。
4.影響評估與安全性稽查
- 資料保護影響評估。您必須協助我們進行資料保護影響評估,以便辨識任何此協議下經銷商方案相關之隱私權或安全性風險,或極力減低其風險。
- 定期稽查。我們保留定期稽查 (或請第三方依照我們的指示稽查) 您是否有遵守本 DPA 的權利。
- 事件後稽查。在經銷商發生違反安全性的事件後,我們得進行安全性稽查,確保無 PII 受到影響。若經過稽查而辨別出任何問題,則您有 90 天的時間可以回應。辨別問題解決後,我們得進行安全性稽查,以便確定該問題已解決完畢。
- 未遵守通知。如果您因為任何理由無法遵守本 DPA 之規範,則必須立即通知我們。在這種情況下,您必須告知是否可在短時間內進行補救,或是否可以不會傷害任何 PII 的安全性。若不行,則我們得選擇立即終止協議,並不對您產生處罰或其他責任。
5.安全性事件回應
- 通知時機。發現與您的服務與/或 PII 相關的安全性事件後,您必須立即進行通訊,並立即提供此事件可能/確定會對我們或 PII 造成的影響。您在偵測到安全性事件後,必須以最大努力通知我們,無論任何情形下,通知皆不得晚於偵測到事件後一小時內。本 DPA 所說的事件也應包含:
- 和依照適用法律 (包含歐盟資料保護法律) 行使個人權利相關的申訴或要求;
- 由政府官員、執法專員所調查或扣押的 PII,或有進行上述調查或扣押的可能性;
- 任何 PII 遭到暫時或永久、意外或非法的不可得、損失、摧毀、未經授權揭露或存取、盜竊、洩漏;且
- 任何違反本 DPA 所規範安全性及/或機密性義務之情事。
- 通知格式與內容。安全性滲透通知將以電話通知我們的網路操作中心 (NOC),號碼為 (480) 505-8809,之後再寄送書面通知到 securitybreach@godaddy.com。您必須透過通知電話與書面通知,在最大可能範圍內提供以下資訊,當有額外資訊出現時,也須提供最新消息:
- 事件性質敘述與可能的後果;
- 預估解決時間 (如果知道的話);
- 採取或計畫用來處理事件的方法敘述,包含減緩其對我們、PII 以及相關個人造成有害衝擊的方法;
- 如果通話時尚不知道解決之道,您必須澄清說明解決方法尚未決定完畢;
- 可能被事件影響的 PII 與個別人士之類別與大約數量,以及該事件對 PII 與相關個人可能產生的影響,以及
- 我們可以聯絡並以此獲取事件最新消息的經銷商代表人姓名與電話號碼。
- 安全性資源。在和您互相同意後,我們得提供我們安全團體的資源,以便協助進行已知的安全性違反情事。您同意協助我們執行和歐盟資料保護法律或其他法令、法規、管理、契約違反通知義務等規範之安全性違反情事相關的通知義務。
6.加密
- 專利加密。您和分包商、供應商或其他第三方之間的安全交易,以及儲存我們機密資訊或 PII 的位置可能不會使用任何由您內部研發的加密演算法。任何由應用程式基礎架構所使用的對稱、非對稱或雜湊演算法皆會使用由一般加密社群所發佈並評估的演算法。
- 加密強度。加密演算法須為現存業界標準的技術,且須有足夠之強度,如 AES。SHA-256 或 RSA 公用金鑰加密。
- 雜湊功能。雜湊功能為 SHA-256 與 MD-5、SHA-2、SHA-3 或類似演算方法至少其中之一組合而成,不包含 SHA-1。如果要使用其他雜湊功能,則該功能需通過我們資訊安全性團隊的明確認可,且必須搭配上述至少一種經認可的演算法。
7.處理 PII
- 遵守法律。在適用範圍內,您必須協助我們進行回應 PII 按照本協議處理的個人之要求的義務,以及希望實行歐盟資料保護法律下權利的個人的義務,其中包含 (但不限於):(i) 存取權;(ii) 資料可攜權;(iii) 消除權;(iv) 修正權;(v) 反對自動決策的權利;或 (vi) 反對處理的權利。
- 刪除/摧毀。終止協議後,在我們提出要求或未提出要求後,您必須隨時以安全方式刪除/摧毀或返還所有 PII,並用加密清除 (NIST SP-800-88r1) 或同等方式覆寫儲存該資訊的實體硬碟,並摧毀上述資訊現存複本,或將複本還給我們。
標準契約條款
為讓傳輸個人資料到於未確保合宜資料保護水準的第三方國家成立的處理方之行為符合指令 95/46/EC 之第 26(2) 項規範而設
資料輸出方:GoDaddy.com, LLC 和其附屬實體
以及
資料輸入方:此處列出之參與經銷商計畫,且須遵守協議條款的經銷商。
皆稱作「參與方」,
同意以下契約條款 (條款),以便在資料輸出方傳輸附錄 1 內規範之個人資料給資料輸入方時,援引合宜隱私權保護與基本權利與個人自由相關之防護措施。
定義
在本條款內:
(a)「個人資料」、「特別類別資料」、「處理」、「控管者」、「處理方」、「資料主體」與「主管機關」應與歐洲議會指令 95/46/EC 及 1995 年 10 月 24 日個人資料處理保護與該資料之自由移動的議會決議具有相同意義;
(b) 「資料輸出方」意指個人資料傳輸的控制者;
(c)「資料輸入方」意指同意接收資料輸出方個人資料以便在根據對方指示與本條款的情形下替對方進行處理的處理方,且並非以指令 95/46/EC 條款 25(1) 定義之受第三方國家系統確保適當保護規範的對象;
(d)「再處理方」意指由資料輸入方所聘請之任意處理方,或其他由資料輸入方同意可僅以代資料輸出方執行處理活動為目的,而依照資料輸出方之指示、條款內規範以及書面轉包契約接收資料輸入方或其他再處理方提供之資料輸入方個人資料的再處理方;
(e) 「適用之資料保護法律」意指保護基礎權利與個人自由,特指資料輸出方建立所在會員國內資料控管者所適用之個人資料處理相關的隱私權權利之法律;
(f)「技術與組織安全性方法」意指意圖保護個人資料不受意外或非法摧毀或意外流失、竄改、非經授權之揭露或存取所採取之方法,特指網路間傳輸資料之處理,並防止其他任何之非法處理形式。
傳輸詳情
附錄 1 另有收錄個人資料 (尤其是特別個人資料) 轉移相關資訊,並納入本條文內。
條款 3第三方受益人條款
-
資料主體可以第三方受益人身分強制向資料輸出方執行本條款、條款 4(b) 到 (i)、條款 5(a) 到 (e) 和 (g) 到 (j)、條款 6(1) 與 (2)、條款 7、條款 8(2) 與條款 9 到 12。
-
若資料輸出方實質上消失或在法律上消滅,則資料主體可強制對資料輸入方執行本條款內容、條款 5(a) 到 (e) 與 (g)、條款 6、條款 7、條款 8(2)、條款 9 到 12,除非繼承實體可依照契約或法律效力實行該資料輸出者的完整法律義務,此時,該實體將獲得該資料輸出方之權利與義務,而資料主體可對該實體強制執行以上條款。
-
若資料輸出方和資料輸入方實質上消失或在法律上消滅,或無力償還,則資料主體可強制對再處理方執行本條款內容、條款 5(a) 到 (e) 與 (g)、條款 6、條款 7、條款 8(2)、條款 9 到 12,除非繼承實體可依照契約或法律效力實行該資料輸出者的完整法律義務,此時,該實體將獲得該資料輸出方之權利與義務,而資料主體可對該實體強制執行以上條款。上述第三方之再處理方責任應按照本條款以其處理範圍為限。
-
如果資料當事人明確表示,且符合國家法律規定,則各方不反對由組織或其他實體代表資料當事人。
資料輸出方義務
資料輸出方同意並保證:
(a) 包含傳輸本身的個人資料處理一貫根據相關資料保護法律之條款進行 (有必要時也必須通知資料輸出方建立所在會員國之相關主管機關),且不違背該國家相關條款;
(b) 需指示並在個人資料處理服務期間指示資料輸入方僅代替資料輸出方處理所傳輸的個人資料,並遵守合適之資料保護法律及本條款;
(c) 資料輸入方將針對本契約附錄 2 所規範之技術與組織安全性方法提供足夠擔保;
(d) 在評估適用資料保護法律之必要性後,安全性方法即適合用來保護個人資料不受意外或非法摧毀或意外流失、竄改、非經授權之揭露或存取所採取之方法,特指網路間傳輸資料之處理,並防止其他任何之非法處理形式,此等方法確保考慮到最新技術與施行成本下,即使處理過程與欲保護資料之性質有其風險,但依然可享有合適之安全等級;
(e) 確保遵守該安全性方法;
(f) 如果所傳輸之資料包含特殊類別的資料,則會告知資料主體其資料將會傳輸至未提供指令 95/46/EC 規範之合適保護的第三方國家,若傳輸前未告知,也會在傳輸後盡快告知;
(g) 如果資料輸出方決定繼續傳輸,或復原終止行為,則需依照條款 5(b) 及條款 8(3) 之規範將資料輸入方送出之通知轉交資料保護主管機關;
(h) 經要求後,向資料主體提供條款複本 (附錄 2 除外) 及安全性方法之摘要,以及根據條款制定之任何再處理服務契約;若該條款或契約內含有商業資訊則不在此限,此情形下,可移除該等商業資訊;
(i) 當再處理時,再處理方須按照條款 11 進行處理,並須按照本條款執行至少和資料輸入方相同等級之個人資料與資料主體權利保護;且
(j) 確保遵守條款 4(a) 至 (i)。
資料輸入方義務
資料輸入方同意並保證:
(a) 僅代表資料輸出方處理個人資料,並遵守相關指示與本條款;如果因任何理由無法遵守規範,則其同意立即通知資料輸出方瞭解其無法遵守規範之情形,此時資料輸出方有權終止傳輸資料並/或終止契約;
(b) 無理由相信該適用法規阻礙其完成由資料輸出方提出之指示與其契約內之義務,且該法規變更內容可能對此條款內的保證和義務有實質不良影響,則其會在得知後立即通知資料輸出方瞭解此等變更,此時資料輸出方有權終止資料傳輸並/或終止契約;
(c) 在處理所傳輸的個人資料前,已施行附錄中規範之技術與組織安全性方法;
(d) 即時通知資料輸出方以下資訊:
(i) 由執法主管機關提出任何具有法律效力之揭露個人資料要求,除非另遭禁止,如因保持執法調查之機密性而被刑法禁止;
(ii) 任何意外或未經授權之存取;以及
(iii) 未收到任何直接從資料主體接收的要求之回覆,除非另有授權。
(e) 即時並合適處理由資料輸出方針對處理所傳輸的個人資料所提出的任何詢問,並遵從主管機關針對已傳輸資料所提出的建議;
(f) 在資料輸出方要求提交資料處理設備以便稽查本條款所述之處理行為時,稽查應由資料輸出方或資料輸出方選擇之由獨立成員組成,持有必須專業資格,並受保密義務規範,並和 (若有) 主管機關達成協議的調查實體進行之;
(g) 經要求後,向資料主體提供條款複本及任意現存再處理契約之複本,若該等條款或契約內有商業資訊則不在此限,此情形下,可以除該等商業資訊;若資料主體無法向資料輸出方取得複本,則提供之內容應以安全性方法的摘要取代附錄 2;
(h) 執行再處理時,事先告知資料輸出方,並事先取得書面同意;
(i) 再處理方的處理服務將根據條款 11 進行;
(j) 即時向資料輸出方傳送任何按照本條款終止之再處理方協議的複本。
(k) 若因資料輸入方導致任何個人資料遭到損失、未經授權之揭露、盜竊、洩漏,或其他任何違反適用資料保護法規或本安全性 SLA 之情事,導致任何責任及損失,則其將會自行負擔成本,並維護、保障且避免資料輸出方免受上列情況損害。
責任
-
各方同意,因任意一方或再處理方由於違反條款 3 或條款 11 的義務,導致任何資料主體受到損害時,該資料主體有權向資料輸出者收取蒙受損害之賠償。
-
若因資料輸入方或其再處理方遭滲透,或其他由條款 3 或條款 11 所列之任意義務,由於資料輸出方因實質上消失、在法律上消滅或無力償還,導致資料主體無法依照第 1 項向資料輸出方求償,則資料輸入方同意,資料主體可將資料輸入方視為資料輸出方並求償,除非任意繼承實體可依照契約或法律效力實行該資料輸出方之完整義務,則此時資料主體可向該實體強制執行其權利。
資料輸入方不得仰賴再處理方的滲透相關義務規避自身之責任。 -
若因其再處理方遭滲透,或其他由條款 3 或條款 11 所列之任意義務,由於資料輸出方及資料輸入方因實質上消失、在法律上消滅或無力償還,導致資料主體無法依照第 1 項及第 2 項向資料輸出方或資料輸入方申訴,則再處理方同意,資料主體可針對本條款中該再處理方的處理過程,將資料再處理方視為資料輸出方或資料輸入方並進行申訴,除非任意繼承實體可依照契約或法律效力實行該資料輸出方或輸入方之完整義務,則此時資料主體可向該實體強制執行其權利。再處理方之責任應按照本條款以其處理範圍為限。
調解與司法管轄
-
資料輸入方同意,若資料主體就此條款規範之損失向第三方受益人提出權利及/或申請賠償,則資料輸入方將會接受下列資料主體之決定:
(a) 由獨立人士 (或情況許可時,由主管機關) 將爭議轉向調解;
(b) 將爭議轉至資料輸出方建立所在會員國的法院。 -
各方同意,資料主體所作之決定不會為根據國內或國際法規的其他條文尋求救濟而損害其實際或程序上之權利。
與主管機關合作
-
若經主管機關要求,或適用之資料保護法律要求留存複本,則資料輸出方同意在主管機關處留存一份本契約之複本。
-
各方同意主管機關有權稽查資料輸入方及任意再處理方,後者和適用資料保護法律下的資料輸出方之稽查具有相同範疇,且須遵守相同條件。
-
資料輸入方應遵守第 2 項規範即時通知資料輸出方瞭解適用之法規,或者任何妨礙資料輸入方進行資料稽查之再處理方,或任意處理方之存在。此種情形下,資料輸出方應有權採取條款 5 (b) 說明之方法。
主管法規
本條款受資料輸出方建立所在會員國之法律規範,或當資料輸出方為跨多個管轄範圍建立時,則以英格蘭和威爾斯的法律為依歸。
條款 10契約變更
各方不得變更或修改本條款。但此規定不影響各方針對商務議題之必要新增條款內容,前提是不得與本條款內相衝突。
條款 11再處理
-
此條款中,若無事先取得資料輸出方之書面同意書,資料輸入方不得將其代替資料輸出方進行之處理操作進行轉包。若資料輸入方按照本條款規範在取得資料輸出方之同意後將其義務轉包,則須和再處理方制定書面協議,規定該再處理方須遵守與該資料輸入方按照此條款所需遵守之相同義務。若再處理方無法達成該書面協議上所指之資料保護義務,則資料輸入方應對資料輸出方負起該協議中再處理方的執行義務之完整責任。
-
根據條款 3 之規範,前述由資料輸入方與再處理方之間締結之書面契約應另外提供第三方受益人條款,以便因應資料輸出方或資料輸入方因實質上消失、在法律上消滅或無力償還,且無繼承實體可依照契約或法律效力實行該資料輸出者或輸入者的完整法律義務時,導致資料當事人無法依照條款 6 第 1 項申請補償之情形。上述第三方之再處理方責任應按照本條款以其處理範圍為限。
-
第 1 項文中與該合約再處理方面的資料保護之條文應受該資料輸出者建立所在會員國之法律規範。
-
資料輸出方應維護一份按照本條款建立之再處理協議清單,並接收資料輸入方按照條款 5 (j) 所傳送之通知,此通知每年應至少更新一次。資料輸出方的資料保護主管機關應可存取此清單。
終止個人資料處理服務後之義務
-
各方同意,停止提供資料處理服務後,資料輸入方與再處理方應按照資料輸出方之選擇返還所有傳輸的個人資料及其複本給傳輸資料的資料輸出方,除非該資料輸入方所需遵守的法規規定不得返還或摧毀所有或部分的已傳輸個人資料。此情形下,資料輸入方保證該等已傳輸個人資料之機密性,且未來不會主動處理該等已傳輸個人資料。
-
資料輸入方與再處理方保證,一經資料輸出方及/或主管機關要求,則會提出資料處理設備,以便依照第 1 項所述之方式進行稽查。
附錄 1
若其他必要資訊未含在附加的 SOW 內,則應附在此附錄內:
資料輸出方:
資料輸出方即為被辨識為 GoDaddy 的實體,其為為資料輸入方提供經銷商計畫的供應商,以便讓資料輸入方向客戶經銷 GoDaddy 的特定產品及服務。
資料輸入方:
資料輸入方為 GoDaddy 的產品與服務之經銷商。
資料主體
資料主體即為客戶。
資料類別
傳輸的個人資料和下列資料類別有關:
客戶得向服務送出個人資料,其他包含但不限於以下類別的個人資料:
- 名字和姓氏
- 電子郵件
- 電話號碼
- 實際地址
- 處理操作
傳輸的個人資料須遵守下列基本處理活動:
經銷商將會按照經銷商協議執行服務之必要,以及按照客戶使用服務期間所提出之指示處理個人資料。
附錄 2
技術與組織安全性方法
資料輸入方應維護技術與管理上的防護方式,以便保護客戶資料的安全性、機密性與完整性,包含本資料處理補充附件內定義的個人資料。資料輸入方應定期監控這些防護方式是否符合規範。資料輸入方不會在實質上降低服務或經銷商計畫的整體安全性。