資料處理附錄
本資料處理附錄(「DPA」)係規範 Anysphere, Inc.(「Anysphere」或「供應商」)依據 Anysphere 與客戶間之主服務協議(「協議」),透過服務處理由客戶提供之個人資料之行為。本 DPA 載明客戶就個人資料處理所為之指示,以及雙方當事人的權利與義務。除本 DPA 另有規定者外,協議其餘條款不作任何變更,並繼續完全有效。如本 DPA 與協議有任何牴觸,於該等牴觸範圍內,以本 DPA 為準。
-
定義。 就本 DPA 之目的而言,下列術語具有如下所述之含義。本 DPA 中使用但未加以定義的首字母大寫術語,應具有本協議中賦予其的含義。本 DPA 中其他未在本協議中另行定義的術語,則應具有隱私法中賦予其的相應含義。
-
「控制者對處理者條款」係指:(a) 就受 GDPR 規範之個人資料傳輸而言,指歐盟委員會於 2021 年 6 月 4 日作成之決議 2021/914 所載,關於向第三國移轉個人資料之標準合約條款,特別包括模組二(控制者對處理者)(「EU SCCs」);以及 (b) 就受 UK GDPR 規範之個人資料傳輸而言,指英國資訊專員所發布之「歐盟委員會標準合約條款國際資料傳輸附錄」(版本 B.1.0)(「UK Addendum」),且於每種情況下,均包括其不時修訂、更新或取代之版本。
-
「EU/UK 隱私法規」係指:(a) 一般資料保護規則 2016/679(「GDPR」);(b) 隱私與電子通訊指令 2002/58/EC;(c) 英國 2018 年資料保護法、英國一般資料保護規則(依英國 2018 年資料保護法之定義,並經 2019 年「資料保護、隱私與電子通訊(修訂等)(英國脫歐)規則」修訂)(與英國 2018 年資料保護法合稱為「UK GDPR」),以及 2003 年隱私與電子通訊規則;以及 (d) 任何實施上述任何一項之相關法律、指令、命令、規則、規章或其他具拘束力之文書,於每種情況下,均以適用且當時有效為準,並包括其不時修訂、整併、重新制定或取代之版本。
-
「個人資料(Personal Data)」係指任何由 Vendor 為提供服務而代表 Customer 處理,且依任何隱私法規被定義為「personal data」或「personal information」之資訊。
-
「隱私法規(Privacy Laws)」係指,於適用範圍內,EU/UK 隱私法規、US 隱私法規,以及任何法域內與資料保護、隱私或個人資料之使用相關之類似法律,於每種情況下,均以適用且當時有效為準,並包括其不時修訂、整併、重新制定或取代之版本。
-
「處理者對處理者條款」係指:(a) 就受 GDPR 規範之個人資料傳輸而言,指歐盟委員會於 2021 年 6 月 4 日作成之決議 2021/914 所載,關於向第三國移轉個人資料之標準合約條款,特別包括模組三(處理者對處理者);以及 (b) 就受 UK GDPR 規範之個人資料傳輸而言,指英國資訊專員所發布之「歐盟委員會標準合約條款國際資料傳輸附錄」(版本 B.1.0),且於每種情況下,均包括其不時修訂、更新或取代之版本。
-
「第三國(Third Country)」係指不在歐洲經濟區或英國之資料保護法適用範圍內之任何國家或領土(視情況而定),惟不包括經相關主管機關不時核准,認定對個人資料提供足夠保護之國家或領土。
-
「US 隱私法規」係指,於適用範圍內,加州消費者隱私法(經加州隱私權法修訂)、維吉尼亞消費者資料保護法、科羅拉多隱私法、康乃狄克資料隱私法、猶他消費者隱私法,以及任何州內與資料保護、隱私或個人資料之使用相關之類似法律。
-
-
修訂。 雙方同意本於善意協商修改本 DPA,如為使 Vendor 能在遵守隱私法的情況下,依協議或本 DPA 所預期的方式持續處理個人資料,或為因應對隱私法之法律解釋而須作出變更。Vendor 保留在為遵守隱私法或配合不斷演變之法律要求而有必要時,更新本 DPA 之權利,惟任何此類更新不得在實質上減損 Customer 於本 DPA 下之權利,或在實質上增加 Customer 於本 DPA 下之義務。除非法律要求較短之通知期間,Vendor 應於任何此類更新生效日前至少三十(30)日,以書面通知 Customer。
-
雙方的角色。 雙方確認,就隱私法之適用而言,Customer 為「服務接受方」、「控制者」、「企業」或隱私法中使用的任何類似術語,而 Vendor 則為「服務提供者」、「處理者」、「承包商」或隱私法中使用的任何類似術語。
-
處理細節。 雙方同意,關於處理的詳細內容如本協議所附之 附件一 所載。
-
客戶義務。 客戶為使用本服務而向供應商提供個人資料時,應遵守所有隱私法。客戶陳述並保證:(a) 適用於客戶的隱私法並不妨礙供應商依客戶之指示行事及履行供應商於本 DPA 項下之義務;(b) 所有個人資料之蒐集,以及於任何時點之處理與維護,均由客戶或代表客戶之人依所有隱私法規定為之,包括關於向個人提供通知及/或取得其同意之任何義務;且 (c) 客戶具有合法依據將個人資料揭露予供應商,並使供應商得依本 DPA 之約定處理該等個人資料。若客戶認定依據本協議對個人資料之處理不符或將不符隱私法,客戶應不當遲延地通知供應商,在此情形下,供應商無義務繼續處理該等個人資料。
-
個人資料處理。 客戶保留在本 DPA 下處理之所有個人資料的所有權。供應商僅得於下列情形處理個人資料:(i) 為履行附件一中進一步描述之服務,並依據客戶不時提供之紀錄化指示(包括透過服務所提供之同意與授權)中所載之目的處理;(ii) 為遵守適用於供應商之法律義務;以及 (iii) 依客戶另行以書面提出之指示。若供應商判斷其已無法再履行其於適用隱私法下之義務,或無法遵守客戶就個人資料使用所作出的任何指示,供應商應毫不遲延地通知客戶。在隱私法要求之範圍內,且於客戶在合理相信供應商使用個人資料違反隱私法或本 DPA 時發出合理書面通知後,供應商應授予客戶權利,使其得採取合理且適當之措施,以協助確保供應商對個人資料之使用方式符合客戶在隱私法下之義務,並停止及補救任何未經授權使用個人資料之行為。供應商應要求每一位處理個人資料之員工或其他人員,就該等個人資料承擔適當之保密義務,並符合本協議條款之規定。
-
禁止行為。 在適用隱私法規要求的範圍內,Vendor 被禁止:(a)出售個人資料,但已去識別化、彙總或匿名化形式除外;(b)為跨情境行為廣告之目的分享個人資料;(c)為下列情形以外之任何目的保留、使用或披露個人資料:(i) 用於履行服務的特定目的,(ii) 利用已去識別化、彙總或匿名化的資料來開發、改進或強化服務,或 (iii) 依隱私法規另有允許者;(d)在 Vendor 與 Customer 之間的直接商業關係之外保留、使用或披露個人資料,惟上述情形不在此限;以及(e)將自 Customer 或其代表取得的個人資料,與 Vendor 因與該等個人資料所涉之個人另行互動而蒐集之個人資料,或自任何其他來源蒐集之任何個人資料加以結合,惟為履行商業目的或依隱私法規另有允許者,不在此限。
-
使用次級處理者。 在供應商委託任何次級處理者代表其處理個人資料之範圍內:
-
客戶在此授予供應商一般書面授權,允許其依照本第 8 節的要求聘用列於 附件 2 中的次處理者。
-
若供應商指派新的次處理者,或打算就任何次處理者的新增或替換進行變更,供應商應於三十(30)個營業日前,以在 trust.cursor.com/subprocessors 公布更新之方式向客戶提供事前書面通知。在此期間,客戶得基於與個人資料之機密性或安全性,或次處理者遵守隱私法相關之合理且有文件記錄的理由,對該指派或替換提出異議(若客戶未提出異議,供應商得繼續該指派或替換)。在緊急情況下(例如:資安事件、服務中斷)需要立即變更次處理者時,供應商得先行進行變更,並於其後十(10)個營業日內提供通知。若客戶依本條對次處理者的指派或替換提出異議,供應商應在商業上合理的範圍內盡力回應客戶之關切,其中得包括建議更換不同的次處理者,或實施額外的保護措施以降低所識別之風險。若雙方自客戶提出書面異議通知之日起三十(30)日內無法解決該異議,客戶得以書面通知供應商終止受影響之服務部分。若發生此類終止情形,供應商應就該終止服務剩餘未使用期間所預先支付之費用,按比例向客戶退費。
-
供應商僅得依據書面協議聘用次處理者,且該協議須對次處理者課予義務,使其受約束之資料保護程度至少不低於本 DPA 所規定之水準。對於此等次處理者未能履行其各自義務之情形,供應商應向客戶承擔責任。
-
-
協助。 在隱私法所要求的範圍內,並考量處理活動的性質,供應商應就個人資料的處理,為使客戶得以遵守其因此而產生之義務,透過適當的技術與組織措施,向客戶提供合理的協助,包括:(a) 因應個人依據隱私法所享有權利所提出的請求,包括提供、刪除或更正相關個人資料,或在可能範圍內使客戶能自行為之;(b) 實施與個人資料性質相適應的合理安全程序與作法,以保護個人資料免於未經授權或非法之存取、毀損、使用、修改或揭露;(c) 通知相關具管轄權之主管機關及/或受影響之個人有關個人資料侵害事件;(d) 進行資料保護影響評估,並於有需要時,事先與相關具管轄權之主管機關進行諮詢;以及 (e) 簽署本 DPA。
-
安全措施。 供應商應考量最新技術水準、實施成本,以及處理活動的性質、範圍、背景與目的,實施並確保其授權人員遵循適當的技術與組織措施,以提供與風險相稱之安全等級,如附件三所載,或由客戶與供應商不時另行協議並書面記錄之措施。供應商在處理期間不得實質降低服務的整體安全性。在隱私法規要求之範圍內,供應商應在不無故拖延之情形下,且無論如何應於四十八(48)小時內,以書面通知客戶任何導致個人資料偶然或非法毀損、遺失、變更、未經授權揭露或存取之安全事件,並隨著更多細節可取得時,分階段提供有關該等事件的進一步資訊。客戶同意,在不限制前述規定的情況下,客戶應單獨負責其自身對服務的使用,包括:(a) 保護客戶用以存取服務之帳戶驗證憑證、系統與裝置的安全;(b) 保護客戶與服務搭配使用之系統與裝置的安全;以及 (c) 維護其自身之客戶資料備份。
-
存取與稽核。 於客戶合理請求時,Vendor 應向客戶提供其所持有且在合理必要範圍內足以證明 Vendor 依據本 DPA 履行其義務的相關資訊,並允許且配合由客戶或由客戶指定且經 Vendor 合理接受的其他稽核方所進行的稽核(包括檢查),相關費用由客戶全額負擔,除非發現重大違反情事。客戶每十二(12)個月最多得進行一次此類稽核或評估,且須於三十(30)日前以書面事先通知 Vendor,並且僅得在雙方就稽核範圍達成協議且稽核人受保密義務約束之情形下為之。此外,如於發生個人資料外洩事件後,或接獲監管機關或資料保護機關之請求,而對 Vendor 資料保護合規情形產生合理疑慮時,客戶得額外再進行一次稽核。作為由客戶或依其指示進行稽核之替代方案,在隱私法所允許之範圍內,Vendor 得自費安排具資格且獨立之稽核人,依適當且普遍接受之控制標準或框架及其評估程序,對 Vendor 之政策以及為履行其在隱私法下義務所採取之技術及組織措施進行評估,並於客戶合理請求時向客戶提供該評估報告。儘管有前述規定,在任何情況下,若會導致 Vendor 違反其對其他客戶所負之保密義務或其法律義務,Vendor 均無須允許客戶存取相關資訊、場所或系統。
-
個人資料的刪除。 依 Customer 的書面指示,Vendor 應於服務提供結束後,依 Customer 要求刪除或返還所有個人資料予 Customer,並應自該等請求之日起三十(30)日內完成,惟法律要求必須保留該等個人資料者不在此限,且 Vendor 並應於 Customer 請求時提供相關書面證明。
-
資料傳輸。 在供應商於第三國處理受歐盟/英國隱私法規約束的個人資料且其身為資料輸入方之情形下,供應商應遵守控制者對處理者條款中規定的資料輸入方義務,客戶則應遵守其中規定的資料輸出方義務,上述條款特此被納入並構成本 DPA 的一部分,且:
-
就該等控制者對處理者條款之附件一或第 1 部分(視情況而定)而言,Customer 為控制者且 Vendor 為處理者,本協議、本 DPA 及附件 1中所載之當事人、聯絡人詳細資料及處理活動之詳細資料皆適用,且起始日期為本協議之生效日,並且與一方簽署本協議相關之簽名(任何形式)及其簽署日期,應視為該方依據該等條款所要求之具日期簽署;
-
如適用,就 UK Addendum 第 1 部分而言,相關之 Addendum EU SCCs(其定義載於 UK Addendum)為依據本第 13 條而納入本 DPA 之 EU SCCs。若本 DPA 與 SCCs 之間有任何衝突或歧義,以 SCCs 為準;
-
就該等控制者對處理者條款之附件二或第 1 部分(視情況而定)而言,附件 3中所載之技術與組織性安全措施,以及 Vendor 為協助 Customer 所採取之技術與組織性措施,皆應適用;以及
-
如適用,就該等控制者對處理者條款之附件三或第 1 部分(視情況而定)而言,附表 4(Authorized Sub-contractors)中所載之獲授權分包商清單皆應適用;
-
如適用,就下列情形而言:(i) 就第 9 條而言,視為已選擇選項 2(「一般書面授權」),且第 8 條所載之通知期間應適用;(ii) 就第 11(a) 條而言,關於獨立爭議解決之選擇性文字視為已刪除;(iii) 就第 13 條及附件 I.C 而言,具管轄權之監管機構應為愛爾蘭資料保護委員會(Ireland Data Protection Commission);(iv) 就第 17 與 18 條而言,視為已選擇選項 1,且適用之準據法及具管轄權之法院應為愛爾蘭共和國;(vi) 就第 1 部分而言,Vendor 作為輸入方,得依該 UK Addendum 第 19 條終止 UK Addendum;
-
Vendor 得委任關係企業或第三方次處理者於第三國處理個人資料;在此情況下,Vendor 應代表 Customer 與其所委任之任何相關次處理者(包括關係企業)簽署處理者對處理者條款;以及
-
Vendor 得依據充分性決定、EU-US Data Privacy Framework、隱私法規下特定情況之例外,或其他任何合法的資料傳輸機制,來確保符合隱私法規之要求。
-
任何與跨境資料傳輸相關,或與適用隱私法規就此類傳輸之合規要求相關的爭議,應依據協議中所載明的準據法與管轄權予以解決。
附件一
處理細節
1. 處理的性質
- 供應商為依協議向客戶提供供應商服務,而對個人資料進行的存取、使用、揭露、儲存、刪除及/或其他形式的處理。
2. 處理的目的
- 供應商依據協議向客戶提供服務。
3. 其個人資料遭處理之個人類別
- 客戶之授權使用者。
4. 所處理的個人資料類別
- 由供應商代表客戶所蒐集,或由客戶提供給供應商的、與個人相關的資料。
5. 依隱私法被視為「敏感」或「特殊類別」且受處理之個人資料類型
- 客戶及/或其人員不得在本協議下提供任何敏感或特殊類別資料,且供應商對客戶提供之敏感資料的處理不負任何責任。供應商並未有意蒐集或處理任何特殊類別的個人資料。
6. 處理的頻率(例如一次性或持續性)及持續期間
- 相關個人資料將在協議有效期間內,以及協議中所載之終止後保留期間內持續地進行處理。
7. 依據第 8 條授權之任何次處理者所執行處理的標的、性質及期間
- 如本附件一及附件二所載。
附件二
授權次處理者
供應商授權之次處理者清單將維護並更新於 https://trust.cursor.com/subprocessors。
附件三
技術與組織措施
本附件三列明 Anysphere, Inc.(「Anysphere」)依據資料處理協議(「DPA」)所實施之技術與組織性安全措施。Anysphere 已取得 SOC 2 Type II 認證,您可透過我們的 Trust Center(「Trust Center」)索取認證副本:https://trust.cursor.com。此外,Anysphere 的安全實務亦進一步說明於我們的安全頁面,網址為 https://www.cursor.com/security。Anysphere 的技術與組織性安全措施包括:
-
存取控制: 對個人資料的存取僅限於授權人員,並透過以角色為基礎的存取控制及多因子驗證等強健驗證機制來確保存取安全。
-
員工訓練與意識提升: 員工會定期接受有關資料保護、隱私與資安最佳實務的訓練。
-
資料加密: Anysphere 採用業界標準的加密協定,以確保個人資料在靜態儲存及傳輸過程中皆受到加密保護。加密金鑰會以安全方式管理並定期輪替。
-
基礎設施安全: Anysphere 的基礎設施架構與安全協定已於我們的 Trust Center 中說明。
-
網路安全: 透過部署防火牆、入侵偵測與防護系統來維護網路安全,並定期執行弱點評估與滲透測試。您可以透過我們的 Trust Center 申請取得滲透測試報告副本。
-
應用程式安全: 遵循安全軟體開發實務,包括程式碼審查與安全測試,並使用 Web 應用程式防火牆來防禦常見的 Web 攻擊。
-
資料備份與復原: 定期對個人資料進行備份並以安全方式儲存,同時制定並定期測試災難復原與營運持續計畫。
-
資料中心安全: 資料中心受到實體安全控制保護,包括存取控制、監控系統與安全人員。對資料中心的存取僅限於授權人員。
-
辦公室安全: 辦公場所透過存取控制、警報系統與監視攝影機加以保護,訪客須登記並由授權人員全程陪同。
-
安全監控: Anysphere 持續監控系統與網路,以偵測並回應安全事件,並使用安全資訊與事件管理系統來關聯與分析安全事件。
-
事件回應: 已建立事件回應計畫,以及時且有效地處理安全事件,並依適用的法律與法規執行資料外洩通報程序。
-
隱私保護設計(Privacy by Design): 透過導入隱私保護設計,在系統與流程的設計與開發階段即納入資料保護原則。並定期執行隱私影響評估,以識別並降低風險。
-
資料最小化: 個人資料的蒐集與處理僅限於達成特定目的所必要的範圍,並在適當情況下採用資料去識別化與假名化技術。
-
持續監控與改進: Anysphere 持續監控其資料隱私與安全政策,並視需要進行改進與更新,以確保為使用者資料提供最高等級的保護。我們致力於走在業界最佳實務與不斷演進的法律要求之前沿,以維持客戶的信任與信心。
透過實施上述措施,Anysphere 致力於維持高標準的資料隱私與安全,使我們的使用者能安心受益於本服務。