資料處理協議

此資料處理協議（以下稱「本協議」）由香港商雅虎資訊股份有限公司台灣分公司（以下稱「甲方」）與供應商雙方簽訂。考量雙方在此所約定的共同義務，本協議自生效日期起生效，並適用於供應商在依採購合約條款（定義如下）提供服務的過程中，代表甲方處理歐洲資料的情形。

背景說明

一、供應商依據採購單（PO）、工作計畫書（SOW）、採購合約條款，採購合約條款位於https://legal.yahootwec.com/tw/VendorMasterTermsandConditions.html，及/或供應商與甲方之間議定之其他條款（合稱「採購合約條款」），向甲方提供服務。

二、 在提供服務過程中，供應商可能需要代表甲方處理歐洲資料。此等處理行為應受採購合約條款、本協議及網路安全條款（Network Security Terms）之約束。

三、本協議僅適用於在歐洲隱私法（European Privacy Laws）下關於處理歐洲資料之範圍。

雙方茲同意如下：

1. 定義與解釋

1.1 在本協議（包括背景說明及附件）中，除另有定義與解釋外，以下詞語及表達應具有以下含義，並為採購合約條款其他定義的補充：

「適足性決定 (Adequacy Decision) 」指歐盟委員會（European Commission）依據一般資料保護規範（GDPR）第45條第1項所作之決定，認定第三國、該第三國境內的一個或多個特定領域，或相關國際組織確保在個人資料（Personal Data）處理方面提供足夠的保護水準，不包括與適足性框架（Adequacy Framework）相關之決定。

「適足性框架 (Adequacy Framework)」指 (i) 歐盟委員會於2023年7月10日實施決定所採納之歐盟-美國資料隱私框架（EU-US Data Privacy Framework, EU-U.S. DPF）；(ii) 歐盟-美國資料隱私框架之英國延伸（UK Extension to the EU-U.S. DPF）；以及 (iii) 瑞士-美國資料隱私框架（Swiss-U.S. Data Privacy Framework）。

「關係企業 (Affiliate) 」指直接或間接控制、受控制於或與主體實體（the subject entity）共同控制之任何實體。「控制」（Control）指直接或間接擁有或控制主體實體超過50%之投票權益。

「應適用之歐洲法律 (Applicable European Law)」 指任何適用之歐盟法律（或歐盟一個或多個成員國之法律）、瑞士或英國法律，為避免疑義，包括歐洲隱私法。

「控制者至處理者標準條款 (Controller to Processor Standard Clauses) 」指標準契約條款（Standard Contractual Clauses）之模組2（經本協議修訂、解釋或補充以符合瑞士隱私法（Swiss Privacy Laws）及/或英國隱私法（UK Privacy Laws）之要求）。

「控制者 (Controller) 」指依據歐洲隱私法，就個人資料而言被視為「控制者」之自然人或法人。

「資料主體 (Data Subject) 」具有歐洲隱私法中「資料主體」所賦予之含義。

「生效日期 (Effective Date) 」指採購合約條款中所定義之開始日期或，若協議為其他條款，則為供應商開始提供服務，包括任何歐洲資料處理之日期。

「歐洲資料 (European Data) 」指歐洲員工資料（European Employee Data）、歐洲合作夥伴資料（European Partner Data）及歐洲使用者資料（European User Data）。

「歐洲員工資料 (European Employee Data) 」指與甲方任何關係企業員工相關之任何個人資料。

「歐洲合作夥伴資料主體 (European Partner Data Subject) 」指與甲方關係企業之商業合作夥伴、供應商或銷售潛在客戶有關係之任何資料主體，包括其各自之員工、主管、董事、代理人、承包商、客戶或代表。

「歐洲合作夥伴資料 (European Partner Data)」 指與歐洲合作夥伴資料主體相關之任何個人資料。

「歐洲隱私法 (European Privacy Laws) 」指不時在歐洲經濟區（European Economic Area）、英國及瑞士生效之所有關於資料保護、個人資料處理、隱私及/或電子通訊之適用法律，包括（如適用）(i) 一般資料保護規範（GDPR），(ii) 任何依據、轉置或依據一般資料保護規範所制定之適用歐盟成員國立法，(iii) 英國隱私法；以及 (iv) 瑞士隱私法。

「歐洲使用者資料 (European User Data) 」指與甲方關係企業提供之產品或服務相關而處理之任何甲方使用者（YTH Users）個人資料。

「一般資料保護規範 (GDPR) 」指歐盟一般資料保護規範 2016/679。

國際傳輸要求 (International Transfer Requirements) 」GDPR第五章之要求。

「網路安全條款 (Network Security Terms) 」指適用於供應商之網路與資訊安全要求，詳見附件2。

「個人資料 (Personal Data) 」指依據歐洲隱私法被視為「個人資料」之資訊。

「個人資料外洩 (Personal Data Breach) 」具有歐洲隱私法中「個人資料外洩」所賦予之含義，限於此類外洩發生於歐洲資料之情形。

「處理 (Processing) 」具有歐洲隱私法中賦予之含義，「處理（Process or Processes）」應據此解釋。

「處理者 (Processor) 」指依據歐洲隱私法，就個人資料而言被視為「處理者」之自然人或法人。

「處理者標準條款 (Processor Standard Clauses) 」指標準契約條款之模組3（經本協議修訂、解釋或補充以符合瑞士隱私法及/或英國隱私法之要求）。「受限國家 (Restricted Country)」 指未受適足性決定涵蓋之國家、領土或司法管轄區。

「受限傳輸 (Restricted Transfer) 」指個人資料從其個人資料處理受國際傳輸要求（International Transfer Requirements）影響之實體，傳輸至(i)在受限國家處理相關個人資料之實體；且 (ii) 未參與適足性框架之實體。

「服務 (Services) 」指依據採購合約條款第2條或依據採購合約條款提供之服務。

「標準契約條款 (Standard Contractual Clauses) 」指歐盟委員會於2021年6月4日實施決定 (EU) 2021/914 中為依據GDPR將個人資料傳輸至第三國所規定之標準契約條款，可於以下網址查閱：https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32021D0914&qid=1632820530446。

「次級處理者 (Sub-Processor) 」就歐洲資料而言，指供應商依據本協議第5.1條所聘用之任何進一步處理者。

「監管機關 (Supervisory Authority) 」指依據GDPR由歐盟成員國設立之獨立公共機關，或英國資訊委員會辦公室（Information Commissioner’s Office, ICO），或瑞士聯邦資料保護與資訊專員（Federal Data Protection and Information Commissioner）。

「補充措施 (Supplementary Measures) 」指任何相關之契約、技術或組織保障措施，以補充處理者標準條款（Processor Standard Clauses），包括歐盟資料保護委員會（European Data Protection Board）於2021年6月18日採納之建議01/2020（關於補充傳輸工具以確保符合歐盟個人資料保護水準之措施）中規定之措施，該措施可能不時更新、修訂或取代，或資料輸出者可能要求之任何其他措施或保障措施。

「瑞士隱私法 (Swiss Privacy Laws) 」指在瑞士現行有效最新之所有關於資料保護、個人資料處理、隱私及/或電子通訊之適用法律，包括1992年6月19日之瑞士聯邦資料保護法（Federal Data Protection Act of 19 June 1992 (Switzerland)），經不時更新或取代者。

「第三方請求 (Third Party Request)」 指任何第三方要求揭露歐洲資料之請求，包括依據適用法律或法規要求或聲稱要求遵守此類請求之情形。

「英國附錄 (UK Addendum) 」指英國資訊委員會辦公室（ICO）依據或根據2018年英國資料保護法（UK Data Protection Act 2018）第119A(1)條發布之歐盟委員會國際資料傳輸標準契約條款之國際資料傳輸附錄（International Data Transfer Addendum to the European Commission's standard contractual clauses for international data transfers）（可能不時由ICO依其條款修訂）。

「英國一般資料保護規範 (UK GDPR) 」具有2018年英國資料保護法中賦予之含義。

「英國隱私法 (UK Privacy Laws) 」指於英國現行有效最新之所有關於資料保護、個人資料處理、隱私及/或電子通訊之法律，包括英國一般資料保護規範（UK GDPR）及2018年資料保護法（Data Protection Act 2018）。

「供應商 (Vendor) 」指與甲方簽訂採購合約條款之締約方。

「甲方使用者 (YTH User) 」指使用甲方提供服務之任何資料主體。

「甲方人員 (YTH Personnel) 」指甲方之人員。

1.2 就本協議、背景說明及附件中：

1.2.1 本協議中未使用但已定義之詞語及表達應具有採購合約條款中賦予此類詞語及表達之含義，或若此類詞語未在採購合約條款中定義，則具有歐洲隱私法中賦予此類詞語及表達之含義。

1.2.2 任何提及法規之處，除非上下文另有要求，應解釋為現行有效最新修訂、整合、修改、擴展、取代或重新頒布之該法規，以及現行有效最新修訂、整合、修改、擴展、取代或重新頒布之其下所制定之任何次級立法。

1.2.3 任何提及GDPR及/或一般資料保護規範之條文或章節之處，若上下文要求且適用歐洲法律為英國隱私法或瑞士隱私法，應解釋為提及英國一般資料保護規範或瑞士隱私法及/或英國一般資料保護規範或瑞士隱私法（如適用）之等效條文、章節或規定。

1.3 若本協議中所使用之定義與歐洲隱私法所提供之定義存在衝突或不一致，則就此類衝突或不一致而言，應以歐洲隱私法所提供之定義為準。

1.4 本協議應取代並替換雙方之間先前任何與歐洲資料處理相關之資料處理協議。

1.5 本協議應作為採購合約條款中包含之任何其他條款之補充，而非替代。本協議中之任何內容均不得改變任一方依據採購合約條款所負之責任排除及/或限制（包括任何賠償），且所有此類規定應在本協議生效後繼續適用，該等條款亦應適用於本協議。若本協議條款與採購合約條款中其他與歐洲資料處理及安全相關之條款存在衝突或不一致，則僅就此類衝突或不一致而言，應以本協議條款為準。

1.6 本協議第4條有關GDPR第28條及英國一般資料保護規範第28條之要求，本協議第6條有關控制者至處理者標準條款第8.8條及第9(b)條之要求。若第4條與第6條之條款重疊，應以第6條之條款優先適用。

2. 處理操作之細節

2.1 歐洲資料處理之標的及細節詳見本協議附件1，該附件構成本協議及採購合約條款之不可分割部分。

3. 甲方之義務

3.1 甲方係為甲方處理歐洲資料之處理者（Processor）。

3.2 甲方知悉，就歐洲資料而言，其作為處理者之法定職責，並同意遵守歐洲隱私法對其適用之義務。

4. 供應商之義務

4.1 供應商僅於執行歐洲資料之處理代表甲方。

4.2 在履行其依據採購合約條款及本協議所負之義務時，供應商應負責遵守GDPR及/或英國一般資料保護規範。

4.3 在不影響第4.2條之情況下，供應商同意並擔保將自費：

4.3.1 僅代表甲方並依據書面指示、採購合約條款及本協議（「指示（Instructions）」）處理歐洲資料。指示可由甲方代表甲方關係企業提供，包括與國際資料傳輸相關之指示。供應商不得為履行採購合約條款中服務以外之目的處理任何歐洲資料；

4.3.2 若供應商認為某項指示違反應適用之歐洲法律，應立即以書面形式通知甲方；

4.3.3 遵守第5條「禁止傳輸與揭露」中關於歐洲揭露資料之規定；

4.3.4 確保歐洲資料之準確性及最新性，且供應商應在得知所處理之歐洲資料不準確或過時時，立即通知甲方；

4.3.5 於處理歐洲資料前，應依照網路安全條款落實技術及組織性安全措施，並於採購合約條款有效期間內維持此類安全措施（或更優之安全措施），於處理資料開始前前，供應商應向甲方提供其隱私及安全政策之副本，並於採購合約條款有效期間內若有任何政策變動計畫，應立即以書面通知甲方；

4.3.6 採取所有合理步驟確保歐洲資料之存取嚴格限縮於其為履行服務而需要進行處理之人員，且應確保該等人員知悉並遵守本協議；

4.3.7 遵守歐洲資料之嚴格保密義務，並確保其所有人員及任何次級處理者（Sub-Processors）均受具法律約束力之書面保密義務約束，該等義務在終止其僱傭、契約或指派後仍應繼續有效；

4.3.8 立即將以下事項通知網路安全條款中所指定之甲方通知聯絡人：

（Ａ）供應商、其人員及/或任何次級處理者不遵守本協議及/或歐洲隱私法或任何其他與本協議下處理之個人資料保護相關法律之情形；

（Ｂ）收到監管機關（Supervisory Authority）之任何信函、通知、詢問或調查；以及

（Ｃ）收到資料主體直接提出之任何投訴、詢問或請求（特別是要求存取、更正或封鎖歐洲資料之請求），然而未經甲方書面授權，不得回應此類請求。

4.3.9 在得知個人資料外洩後，應立即通知甲方之通知聯絡人，且通知無論如何不得遲於24小時內。供應商應遵循網路安全條款中規定之程序，並盡可能確保任何此類通知包含以下資訊：

（Ａ）外洩性質之描述（包括資料主體之類別及約略數量以及相關資料記錄）；

（Ｂ）供應商業務中可取得更多外洩資訊之聯絡點詳細資訊；

（Ｃ）個人資料外洩之可能後果以及為處理個人資料外洩所採取或擬採取之措施，包括減輕其可能之不利影響，以及

若無法同時提供上述資訊，則初始通知應包含當時可用之資訊，且後續應在取得更多資訊時立即提供給甲方之通知聯絡人，不得無故延遲。

4.3.10 對於甲方（或其關係企業）就以下事宜所需之協助，供應商應全力並即時配合：

（Ａ）資料主體關於存取或更正、刪除、限制、封鎖或刪除歐洲資料之請求；

（Ｂ）調查任何個人資料外洩並通知相關監管機關及資料主體關於此類個人資料外洩；

（Ｃ）準備資料保護影響評估，以及與監管機關進行諮詢；

（Ｄ）依據本協議第4.3.4條確保歐洲資料準確及最新之義務；以及

（Ｅ）歐洲資料之安全，包括實施網路安全條款中規定之技術及組織安全措施。

4.3.11 迅速、妥善並以善良管理人之義務處理所有與供應商處理歐洲資料相關之詢問，無論此類詢問是由甲方、甲方關係企業、資料主體或相關監管機關提出。除法律嚴格要求外，供應商不得在未經甲方事先書面同意之情況下，回應資料主體或監管機關關於歐洲資料之詢問；

4.3.12 若法律要求供應商處理歐洲資料，應在處理歐洲資料前提前告知甲方，除非供應商因重要公共利益原因被禁止告知甲方；以及

4.3.13 在不影響且受第4.5條或採購合約條款中之任何其他甲方之審計或檢查權利情況下，應立即向甲方提供所有必要資訊以證明遵守本協議之義務，並允許及協助甲方、甲方關係企業或甲方委託之其他審計師進行審計，包括檢查，此類審計應在合理可行之範圍內，在合理通知及正常營業時間內進行，且在所有情況下均應在保密義務下進行，由甲方、甲方關係企業及/或甲方指定之第三方進行。

4.4 供應商同意並保證其沒有理由相信適用於其之法律，包括任何適用歐洲法律，會阻止其履行從甲方收到之指示及本協議下之義務，且若法律發生變化可能對供應商在本協議中提供之保證及義務產生實質性不利影響，供應商將在得知後立即以書面形式通知甲方此類變化，在此情況下，甲方有權暫停相關歐洲資料之處理及/或甲方可終止採購合約條款或其中一部分。

4.5 在不限制或影響採購合約條款中為甲方規定之任何其他審計或檢查權利（包括網路安全條款下）之情況下，供應商同意並保證應甲方或甲方關係企業之要求，將其處理設施及/或供應商及/或其人員或代表可存取歐洲資料之任何地點提交審計，以確認及/或監控本協議、採購合約條款及歐洲隱私法之遵守情況，此類審計應在合理可行之範圍內，在合理通知及正常營業時間內進行，且在所有情況下均應在保密義務下進行，由甲方、甲方關係企業及/或甲方指定之第三方進行。

5. 禁止傳輸與揭露

5.1 在不限制或影響採購合約條款任何其他條款之情況下，若供應商希望委託一個或多個代表其行事之第三方以協助其履行本協議及採購合約條款之義務，並將全部或部分處理活動委託給此類次級處理者（Sub-Processor），應至少提前30天以書面形式通知甲方，從而給予甲方足夠時間在委託前提出異議。供應商應向甲方提供必要資訊，以使甲方能夠行使其異議權。供應商應與此類次級處理者簽訂合適之合約，其內容應就歐洲資料提供與本協議及處理者標準條款中約束供應商之相同水準之資料保護及資訊安全義務，包括資料主體之第三方受益權。若次級處理者未能遵守其對歐洲資料之資料保護義務，供應商仍應就次級處理者對歐洲資料之資料保護義務之履行（或未能履行）向甲方負全部責任。

5.2 供應商不得揭露或允許揭露歐洲資料予任何第三方（包括備份目的），除非：

5.2.1 依據本協議授權之任何次級處理者之揭露；及/或

5.2.2 第三方請求且供應商被適用法律或法規禁止通知甲方，包括為維護相關機關調查之機密性而依據刑法之禁止。在此類情況下，供應商應盡合理努力在揭露前告知甲方，且無論如何應在揭露後盡快告知。

5.3 未經甲方事先書面授權，供應商不得將或允許將任何歐洲資料傳輸至臺灣或美國境外。

5.4 若供應商因任何原因無法遵守本條，供應商同意並保證立即告知甲方其無法遵守之情況，在此情況下，甲方有權暫停相關歐洲資料之處理及/或終止採購合約條款或其中一部分。

6. 標準契約條款（Standard Contractual Clauses）

6.1 甲方作為歐洲資料之處理者，依據控制者至處理者標準條款（Controller to Processor Standard Clauses）或依賴適足性框架（Adequacy Frameworks）從甲方關係企業接收歐洲資料。若供應商對個人資料之處理構成受限傳輸（Restricted Transfer），甲方與供應商同意遵守處理者標準條款（如適用，經英國附錄（UK Addendum）修訂）中之相關規定，該等規定特此以引用方式併入並構成本協議之不可分割部分，具有完全效力，如同該等規定已完全載明於此。為避免疑義，雙方同意處理者標準條款應被視為已由雙方簽署，無需任何一方進一步簽署。

6.2 就處理者標準條款之目的（但自始受限於以下6.3條及第6.4條所適用之任何優先規定為準），就受限傳輸而言，雙方同意甲方為資料輸出者（data exporter），供應商為資料輸入者（data importer），且處理者標準條款適用如下：

6.2.1 不適用第7條「對接條款（docking clause）」下之選項（the option）；

6.2.2 適用第9條「使用次級處理者（use of sub-processors）」下之選項2（the option 2），且通知資料輸出者之期間為30天；

6.2.3 不適用第11(a)條中之可選規定（the optional provision）；

6.2.4 第17條「管轄法律（governing law）」之管轄法律應為本協議第8條指定之法律；

6.2.5 第18條「選擇法庭地及管轄權（choice of forum and jurisdiction）」之法院應為本協議第8條指定之法院；附件I.C之監管機關應為愛爾蘭資料保護委員會（Irish Data Protection Commission）；以及

6.2.6 處理者標準條款應如下完成：

（Ａ）本協議附件1之內容應構成附錄（Annex）1.A及1.B；以及

（Ｂ）本協議附件2之內容應構成附錄（Annex）II。

6.3 就受英國資料隱私法（UK Data Privacy Laws）約束之受限傳輸而言，雙方同意：

6.3.1 英國附錄（連同上述就處理者標準條款所作之任何適用選擇及資訊）特此以引用方式併入並構成本協議之不可分割部分，具有完全效力，如同該等規定已完全載明於此。為避免疑義，雙方同意英國附錄應被視為已由雙方簽署，無需任何一方進一步簽署。

6.3.2 就英國附錄表4（Table 4 of the UK Addendum）之目的而言，資料輸出者可依據英國附錄第19節終止英國附錄。

6.4 就受瑞士隱私法（Swiss Privacy Laws）約束之受限傳輸而言，雙方同意處理者標準條款應解讀如下：

6.4.1 凡提及歐盟法規（EU）2016/679、或其所指稱之「該法規」、或歐盟或成員國法律之一般及特定條文，於適用瑞士隱私法時，應解釋為係指等同之瑞士隱私法規；

6.4.2 「成員國（Member State）」一詞不得解釋為排除瑞士資料主體依據處理者標準條款第18(c)條在其慣常居住地（瑞士）起訴其權利之可能性；以及

6.4.3 瑞士聯邦資料保護與資訊專員（Swiss Federal Data Protection and Information Commissioner）為處理者標準條款第13條之主管監管機關。

6.5 若受限傳輸（Restricted Transfer）不再是受限傳輸之範圍內，處理者標準條款應停止適用。

6.6 雙方同意並承認，處理者標準條款本身可能無法符合國際傳輸要求（International Transfer Requirements）。因此，供應商應在甲方要求時（無論是在受限傳輸之前或其他情況下），立即實施並維持受限傳輸之任何必要補充措施（Supplementary Measures），以確保受限傳輸符合國際傳輸要求。

6.7 若處理者標準條款停止存在或因任何原因不再被資料輸出者視為符合國際傳輸要求之合法方法，供應商應停止（並確保任何相關第三方停止）所有歐洲資料之實質性處理，直至供應商依據甲方指示簽訂替代傳輸機制及/或實施必要之補充措施以符合國際傳輸要求為止。

6.8 在不影響第6.10條之情況下，若甲方合理地認定無法實施替代傳輸機制及/或補充措施以確保符合國際傳輸要求，甲方可自行決定：

6.8.1 要求供應商（及/或確保任何相關第三方處理者）僅在某些司法管轄區內及/或受某些其他限制下處理歐洲資料；及/或

6.8.2 刪除（或確保刪除）及/或銷毀歐洲資料，使其不再在相關受限國家中處理；及/或；及/或

6.8.3 提前14天書面通知，全部或部分終止所提供之服務（且若服務費用已預付，供應商應就截至終止生效日期未依採購合約條款提供之服務，按比例退還甲方已支付之費用）。

6.9 供應商應履行第6.7條及第6.8條所載義務，且甲方不因此負擔任何額外費用。

6.10 若供應商因適用之當地法律相關禁止規定致無法遵循第6.8條，供應商承諾將竭盡合理努力確保本協議之遵守，並僅依該當地法律之要求，於其必要範圍及期間內處理相關歐洲資料。

6.11 若且於個人資料傳輸不再是受限傳輸（Restricted Transfer）之範圍內，處理者標準條款應停止適用。

6.12 若供應商依據其參與一個或多個適足性框架之基礎將個人資料傳輸至第三國，供應商應：

6.12.1 提供符合適足性框架要求之個人資料保護水準；

6.12.2 若供應商認定其無法再遵守第6.12.1條及/或若供應商參與適足性框架之資格到期或終止，應立即通知甲方；

6.12.3 若供應商被要求向任何相關政府機構提供本協議之副本（包括任何摘要或相關條款之代表性副本），應立即通知甲方，並遵守甲方關於此類揭露內容及形式之合理指示。

6.13 若供應商依據第6.12.2條向甲方發出通知，或相關適足性框架停止存在或不再是符合國際傳輸要求之合法方法，則供應商將個人資料傳輸至第三國應受第6.1條至6.10條所載之處理者標準條款約束。

7. 終止

7.1 除本協議下之其他暫停及終止權利外，甲方（代表相關甲方關係企業）有權在以下情況下，終止本協議及/或採購合約條款涉及歐洲資料之處理：

7.1.1 供應商實質性或持續性違反本協議或其依據歐洲隱私法所負之義務；或

7.1.2 供應商未能遵守有管轄權之法院或監管機關

關於其依據本協議或歐洲隱私法所負義務之具約束力之決定。

7.2 在不限制或影響採購合約條款之任何其他規定（包括網路安全條款下）之情況下，雙方同意，在本協議及採購合約條款下與歐洲資料處理相關之服務終止或部分終止時，供應商及任何經甲方依據本協議第5條批准之次級處理者，應依甲方之選擇，將所有歐洲資料及其副本返還給甲方或安全銷毀，並向甲方證明其已採取此類措施，除非應適用歐洲法律要求儲存此類歐洲資料。在此情況下，供應商保證其應（並應確保任何次級處理者亦如此）保證其所儲存歐洲資料之機密性，且在此日期之後僅在適用歐洲法律要求之範圍內主動處理此類歐洲資料。在此情況下，供應商保證其將（並應確保任何次級處理者亦如此）確保其所儲存歐洲資料之機密性，且在此後僅在適用歐洲法律要求之範圍內主動處理此類歐洲資料。

8. 準據法與管轄權 

在不限制或影響採購合約條款之任何其他規定之情況下，雙方特此同意，本協議之訂立、解釋及運作以及因本協議引起或與本協議相關之所有事項、索賠、爭議或問題，均受中華民國法律管轄，且就本協議而言，雙方同意以臺灣臺北地方法院為專屬管轄法院。

9. 通知條款

雙方同意，供應商應監控安全事件、資料保護查詢及資料主體請求，並將其通知甲方。

10. 進一步保證
各方應應他方之要求，執行額外文件並履行或促使履行他方合理要求之其他行為或事項，以使本協議完全生效。

 

附件 1（Appendix 1）：處理之活動細節(Details of Processing Activities)

本附錄 1 載明了受本 DPA 規範的處理作業之主題、範圍、性質與目的，並構成本 DPA 不可分割之整體。

「標準合約條款」各方 (Parties to Standard Contractual Clauses)

資料輸出者 (Data Exporter): 香港商雅虎資訊股份有限公司台灣分公司，地址：台北市南港區三重路66號14樓 與依據本條款傳輸之資料相關之活動：資料輸出者作為甲方關係企業之歐洲資料處理者，已聘用資料輸入者提供服務，該服務可能涉及資料輸入者執行以下所述之處理操作。 簽名與日期：雙方同意簽訂協議即構成簽署本條款。 角色：處理者 (Processor) 資料輸入者 (Data Importer)：資料輸入者已在雙方協議中指明。 名稱：如協議中所載 地址：如協議中所載 聯絡人姓名、職位及聯絡方式：如協議中所載或不時通知資料輸出者之方式 與依據本條款傳輸之資料相關之活動：資料輸入者依據協議向甲方提供服務，且在依據協議提供服務時，供應商可能需要代表資料輸出者處理歐洲資料。資料輸入者將協助資料輸出者執行以下所述之處理操作。 簽名與日期：雙方同意簽訂協議即構成簽署本條款。 角色：處理者 (Processor) 標的 (Subject matter)：為供應商提供服務而處理歐洲資料，詳見協議中之描述。 期間 (Duration)：協議中描述之期間。 傳輸頻率 (Frequency of the transfer)：在協議期間將不時進行傳輸。 處理之性質與目的 (Nature and purpose of the Processing)：供應商僅應依據協議提供協議中描述之歐洲資料處理活動，以向甲方提供服務。 資料主體類別 (Categories of Data Subjects)： • 甲方使用者 (YTH Users) • 甲方人員 (YTH Personnel) • 歐洲合作夥伴資料主體 (European Partner Data Subjects) 個人資料類型 (Types of Personal Data)： 歐洲資料包含協議中定義之個人資料，將為： • 歐洲使用者資料 (European User Data)，包括與使用者及其設備相關之識別符及相關資料。 • 歐洲員工資料 (European Employee Data)，包括與人資相關之資料。 • 歐洲合作夥伴資料 (European Partner Data)，包括業務聯絡資料及與歐洲合作夥伴和甲方之間業務關係相關之資料。 保留期限 (Retention period)：受本協議第7條約束，為服務及協議之期間。 次級處理者 (Sub-processors)：受本協議第5條約束，供應商在獲授權將需要處理個人資料之任何服務元素轉包時，可使用次級處理者，以協助供應商履行本協議及協議之義務。     附件2 (Appendix 2) 技術與組織安全措施 (Technical and Organizational Security Measures) 依據本協議第4.3.5條，在處理歐洲資料之前，供應商將採取並維持適當之（包括組織及技術）安全措施來處理歐洲資料，以保護此類資料免受未經授權或意外之存取、遺失、變更、揭露或銷毀，特別是當處理涉及透過網路傳輸資料時，以及防止所有其他非法形式之處理。 在不限制或影響前述規定之情況下，供應商應實施並維持位於 https://legal.yahootwec.com/tw/NetworkSecurityTerms.html之網路安全條款中包含之特定組織及技術安全措施，但就網路安全條款第5(2)(3)條而言，供應商應在法律不禁止之範圍內，避免將任何個人資料外洩通知執法機關、政府機構及/或監管機關，直至甲方書面同意供應商進行通知。