以下合作夥伴資料保護附錄是合作夥伴計畫協議的一部分,並制定了有關個人資料處理的條款。
本合作夥伴資料保護附錄(「DPA」)是合作夥伴計畫協議(「協議」)的一部分,規定了有關個人資料處理的附加條款。大寫術語具有本文檔下一節或協議其他部分中定義的含義。如果本 DPA 的條款與協議的任何其他條款之間存在衝突,則以本 DPA 為準。就本 DPA 而言,「提供者」指合作夥伴。
雙方應遵守適用於其的資料保護法並依照本協議的要求。在提供服務時,提供者應特別遵守適用資料保護法中有關作為處理者處理個人資料的規定。
提供者僅應 (a) 根據本 DPA 和協議的條款處理個人資料;(b) 根據西門子的其他書面指示。除非本 DPA 允許,提供者不得出於自身目的處理個人資料或將其傳輸給第三方。如果提供者認為西門子的指令違反了適用的資料保護法,則應立即通知西門子。
提供者提供的處理操作的詳細資訊(特別是處理的主題、處理的性質和目的、處理的個人資料類型以及受影響的資料主體的類別)在本 DPA 的附件一中詳細說明。
考慮到現有技術、實施成本以及處理的性質、範圍、背景和目的,以及自然人權利和自由的不同可能性和嚴重程度的風險,提供者應實施適當的技術和組織措施確保適合風險的安全級別的措施,包括但不限於:(a) 個人資料的假名化和加密;(b) 確保處理系統和服務持續保密性、完整性、可用性和彈性的能力;(c) 在發生實體或技術事件時及時恢復個人資料的可用性和存取的能力;(d) 定期測試、評估和評估技術和組織措施有效性的流程,以確保處理的安全性。在不影響前一句普遍性的情況下,提供者應始終至少實施本 DPA 附件 II 中所述的技術和組織措施。
提供者應根據需要限制其人員對個人資料的存取。提供者應向其人員提供有關資料保護的適用法律和合約條款的詳細通知。提供者應要求其人員有義務遵守此類規定,特別是對個人資料保密,並且不得在未按照西門子指示的情況下處理個人資料。本協議以及人員與提供者的合約關係到期後,保密義務仍將繼續適用。提供者將根據要求提供此類義務的證明。
如果向提供者進行限制性傳輸,提供者應確保此類限制性傳輸受到本 DPA 第 9 條和附件 III 中規定的充分傳輸保障措施的保護。
提供者應合理協助西門子確保遵守適用的資料保護法,特別是透過以下方式協助西門子:
資料處理關係終止後,除非西門子另有指示或本協議另有規定,提供者應將向提供者提供的或提供者取得或產生的與合約約定的服務相關的所有個人資料返還給西門子,並應不可撤銷地刪除或銷毀任何個人資料。刪除或銷毀應由提供者根據要求以書面確認。
如果服務使用 cookie 或類似技術,則應適用以下規定:除非西門子參考本第 14 條另有明確同意,否則提供者應僅儲存資訊(例如,透過寫入 cookie),或存取已儲存在服務使用者的終端設備中的資訊(例如,透過 cookie)的唯一目的是透過電子通訊網路進行通訊傳輸,或是提供者提供服務核心功能所必需的。
提供者瞭解並同意,本 DPA 中的要求是協議不可分割的一部分,嚴重違反任何這些要求均應被視為協議提供者的重大違約行為,西門子有權獲得協議中包含的重大違約相關補救措施。
如果提供者存取從在美國成立的西門子集團公司(「Siemens US Company」)或美國居民資料主體收到的個人數據,則除了以上,提供者:(i) 應遵守有關適用於提供者、此類個人資料以及此類個人資料的所有者或控制者的個人資料的美國聯邦、州和地方法律;當前述規定適用時,本文所使用的術語「適用的資料保護法」應包括前述法律;(ii) 除非本協議或協議明確規定,否則不得向第三方出售、分享、出租、發布、揭露、傳播或提供個人資料;且不得將個人資料與其他資訊結合;(iii) 若提供者確定提供者無法再履行其在本協議下的義務,則應通知西門子;(iv) 應確保處理個人資料的每個人均承擔個人資料的保密義務;(v) 根據適用資料保護法(包括《加州消費者隱私法》、其實施條例及其任何修正案),應被視為並充當「服務提供者」;(vii) 特此證明其瞭解此處所含的限制並將遵守這些限制。
姓名: | 執行表上指定的西門子實體 |
地址: | 依照執行表格上的規定 |
聯絡人姓名、職位和聯絡方式 | 西門子資料保護官辦公室 Werner-von-Siemens-Straße 1, 80333 Munich, Germany |
與傳輸/處理的資料相關的活動 | 合作夥伴將根據協議,按照合作夥伴授權表中的規定向客戶提供客戶成功服務和/或維護和支援。在執行這些服務時,合作夥伴也可能有權存取西門子最終客戶系統和網絡,並且不能排除對個人資料的存取。 |
角色(控制器/處理器) | 西門子充當提供者針對西門子提供的處理活動的控制者,並根據其授權實體的指示充當提供者針對授權實體提供的處理活動的處理者。 |
姓名: | 執行表上指定的提供者實體 |
地址: | 依照執行表格上的規定 |
聯絡人姓名、職位和聯絡方式 | 依照合作夥伴授權表上的規定 |
與傳輸/處理的資料相關的活動 | 見上表 |
角色(控制器/處理器) | 提供者充當代表西門子和授權實體(視情況而定)處理個人資料的處理者。 |
傳輸/處理個人資料的資料主體類別: | ☒ 員工和工作人員(包括申請人、正式員工、臨時員工、兼職員工、實習生、承包商和代理商) ☒ 業務合作夥伴、供應商、銷售商及其他合作夥伴的聯絡人 ☒ 客戶和/或其員工和員工(包括申請人、正式員工、臨時員工、兼職員工、實習生、承包商和代理商) ☒ 西門子軟體產品/服務的用戶 其他,請列出: 其個人資料包含在所提供服務範圍內的應用程式或 IT 系統中的進一步受影響的資料主體。 |
傳輸/處理的個人資料的類別 | ☒ 聯絡資訊(如姓名、地址、電話或傳真號碼、電子郵件地址等) ☒ 組織機構(如職位、部門等) ☒ 位置資料(如 GPS 等) 政府和個人識別碼(例如社會安全號碼、駕駛執照號碼、社會保險號碼等) 財務資料(如收入、貸款檔案、交易、信用資訊、購買和消費習慣、破產狀況等) ✓ 就業資料(例如招聘資料和資格、薪資和薪資資料、員工身分資料、員工狀態、出勤資料、工作歷史資料等) ☒ 使用者帳戶資料(例如使用者名稱/ID 和密碼等) ☒ 與資料主體使用 IT 資產相關的資訊(例如 IP 位址、登入資訊、憑證等) 財務帳戶資訊(例如銀行/信用卡資料、帳號、信用卡號等) 其他;請列出: 所提供服務範圍內的應用程式或 IT 系統中包含的任何其他個人資料。 |
要存取或處理的特殊類別的個人數據 | 有關種族或民族血統的信息 政治觀點訊息 ☐ 有關宗教或哲學信仰的訊息 工會會員資訊 有關性生活或性取向的信息 ☐ 生物辨識數據 ☐ 遺傳數據 ✓ 健康資料(如精神或身體殘疾、家族病史、個人病史、醫療記錄、處方等) 其他;請列出: 本 DPA 的附件 II 描述了適用於此類敏感個人資料的限製或保護措施 |
傳輸頻率(訪問/處理) | ☐ 提供者代表西門子和授權實體(視情況而定)託管個人數據 ☒ 提供者在提供服務時遠端存取個人數據 ☒ 一次性 ☒ 持續不斷 ☐ 提供者在提供服務時以其他方式處理個人數據 一次性的 連續的基礎上 |
處理的性質 | ☐ 收藏 ☒ 錄音 ☒ 組織機構 ☒ 構建 儲存 ☒ 適應或改變 檢索 ☒ 諮詢 ☒ 使用 ☐ 透過傳輸披露 傳播 ☐ 以其他方式提供 ☐ 對齊或組合 ☐ 限制 ☐ 刪除或銷毀數據 ☒ 遠端存取 其他: |
與傳輸/處理的資料相關的目的/活動 | ☒ 提供者提供維護和支援服務,並可能具有存取權限,包括遠端存取個人資料。 ☐ 提供者透過執行與應用程式/系統或網路相關的服務來提供專業服務,例如:安裝、設定或資料遷移或其他相關 IT 服務,並且可能具有存取權限,包括遠端存取個人資料。 ☐ 供應商提供託管服務,包括資料中心和基礎設施管理、備份和復原管理,並可能具有存取權限,包括對個人資料的遠端存取。 ✓ 提供者透過提供託管、營運、管理、維護和支援服務來提供 XaaS(軟體、平台或基礎設施即服務)。 ☒ 其他:提供者提供客戶成功服務,並可能有權存取(包括遠端存取)個人資料。 |
期間 | ☐ 個人資料將在協議期限內保留。 ☐ 個人資料將保留一段時間: ☒ 其他:除非另有說明,個人資料將在訂單期間保留。 |
對於向子處理者的轉移,也請指定處理的主題、性質和持續時間 | 本 DPA 附件 III 中規定了每個子處理者的處理主題、性質和持續時間。 |
如果西門子在歐盟成員國設立,則負責確保西門子在資料傳輸方面遵守 GDPR 的監管機構應充當主管監管機構。對於德國西門子股份公司,監理機關是:
巴伐利亞州資料保護局 (BayLDA)
海濱長廊 18
91522 安斯巴赫
德國
如果西門子並非在歐盟成員國設立,但根據其第 3 條第 (2) 款屬於 GDPR 適用的領土範圍,則第 27 條含義內的代表所在成員國的監管機構 (1) GDPR 成立後應充當主管監管機構;即:
巴伐利亞州資料保護局 (BayLDA)
海濱長廊 18
91522 安斯巴赫
德國
以下措施僅適用於供應商,只要底層 IT 系統、網路和應用程式由提供者負責和/或保管或控制。提供者及其子處理者實施的技術和組織安全措施的描述:
# | 措施 | SFFeRA 規則 ID |
實體和環境安全 | ||
提供者採取適當的措施來防止未經授權的人員存取資料處理設備(即資料庫和應用程式伺服器以及相關硬體)。這應透過以下方式完成: 建立安全區域; 保護和限制存取路徑; 確保分散資料處理設備和個人電腦的安全; 為員工和第三方建立存取授權,包括相應的文件; 門禁卡規定; 門禁卡的限制; 對託管個人資料的資料中心的所有存取都將被記錄、監控和追蹤; 託管個人資料的資料中心受到限制存取控制和其他適當安全措施的保護;和 IT 區域和資料中心配套設備的維護和檢查只能由授權人員進行。 | 11.1.1-02 | |
存取控制(IT 系統和/或 IT 應用程式) | ||
提供者實施角色和責任概念。 | 06.1.1-01 | |
提供者實現授權和認證框架,包括但不限於以下元素: 實施基於角色的存取控制; 實施建立、修改和刪除帳戶的流程; 對 IT 系統和應用程式的存取受到身份驗證機制的保護; 根據 IT 系統或應用程式的特性和技術選項,使用適當的身份驗證方法; 存取 IT 系統和應用程式至少需要對特權帳戶進行雙重認證; 所有對個人資料的存取都會被記錄、監控和追蹤; 實施 IT 系統和應用程式入站網路連線的授權和日誌記錄措施(包括允許或拒絕入站網路連線的防火牆); 對 IT 系統、應用程式和網路服務的特權存取權限僅授予需要完成任務的個人(最小特權原則); 對 IT 系統和應用程式的特權存取權已記錄並保持最新狀態; 定期審查和更新 IT 系統和應用程式的存取權限; 實施密碼政策,包括有關密碼複雜性、最短長度和足夠時間後過期的要求,不得重複使用最近使用過的密碼; IT 系統和應用程式從技術上強制執行密碼策略; 在僱用或合約終止後,員工和外部人員對 IT 系統和應用程式的存取權限立即被取消;和 確保使用最先進的安全認證證書。 | 09.1.1-02 09.1.1-03 09.2.3-01 09.4.2-02 | |
IT 系統和應用程式在超過合理定義的空閒時間限制後自動鎖定或終止會話。 | 11.2.9-03 11.2.9-04 | |
提供者將對雲端資產的特權存取限制為單一或特定範圍的 IP 位址。 | ST002-0008 | |
對雲端資產的特權存取是透過堡壘主機完成的。 | ST002-0009 | |
提供者在 IT 系統上維護登入程序,並防範可疑登入活動(例如,防止暴力破解和密碼猜測攻擊)。 | 09.4.2-02 | |
可用性控制 | ||
提供者透過實施適當且最先進的反惡意軟體解決方案來保護系統和應用程式免受惡意軟體的侵害。 | 12.2.1-01 | |
提供者定義、記錄並實施 IT 系統的備份概念,包括以下技術和組織要素: 備份儲存媒體受到保護,免受未經授權的存取和環境威脅(例如熱、濕度、火災); 定義的備份間隔;和 根據 IT 系統或應用程式的重要性定期測試從備份還原資料。 | 12.3.1-01 | |
提供者將備份儲存在與託管生產系統的位置不同的實體位置。 | ST002-0013 | |
非生產環境中的 IT 系統和應用程式與生產環境中的 IT 系統和應用程式在邏輯或物理上分離。 | 12.1.4-01 | |
儲存或處理個人資料的資料中心受到保護,免受自然災害、實體攻擊或事故的影響。 | 11.1.4-02 | |
IT 區域和資料中心的支援設備(例如電纜、電力、電信設施、供水或空調系統)受到保護,免受干擾和未經授權的操作。 | 11.1.4-02 | |
營運安全 | ||
提供者維護並實施反映本文所述措施的資訊安全框架,並定期審查和更新。 | 05.1.1-01 | |
提供者記錄與安全性相關的事件,例如使用者管理活動(例如建立、刪除)、登入失敗、IT 系統和應用程式上的系統安全配置的變更。 | 12.4.1-01 | |
提供者不斷分析各自的 IT 系統和應用程式日誌數據,以發現異常、違規行為、妥協跡象和其他可疑活動。 | 12.4.1-03 | |
提供者定期掃描和測試 IT 系統和應用程式是否有安全漏洞。 | 12.6.1-01 | |
提供者實施並維護 IT 系統和應用程式的變更管理流程。 | 12.1.2-01 | |
提供者維護一個流程來更新和實施供應商安全修復程序以及相應 IT 系統和應用程式的更新。 | 12.6.1-03 | |
提供者在處置或重複使用 IT 系統之前不可挽回地擦除資料或實體銷毀資料儲存媒體。 | 11.2.7-01 | |
變速箱控制 | ||
提供者定期記錄並更新網路拓撲及其安全要求。 | 13.1.1-02 | |
提供者持續、有系統地監控 IT 系統、應用程式和相關網路區域,以偵測惡意和異常網路活動 防火牆(例如狀態防火牆、應用程式防火牆); 代理伺服器; 入侵偵測系統(IDS)和/或入侵防禦系統(IPS); 網址過濾;和 安全資訊和事件管理 (SIEM) 系統。 | 13.1.1-06 | |
提供者透過使用最先進的加密連接來管理 IT 系統和應用程式。 | 13.1.3-09 | |
提供者透過最先進的網路協定(例如 TLS)在傳輸過程中保護內容的完整性。 | 13.2.3-05 | |
提供者對透過公共網路傳輸的提供者資料進行加密,或使其提供者能夠對其進行加密。 | ST002-0017 | |
提供者使用安全金鑰管理系統 (KMS) 將金鑰儲存在雲端。 | ST002-0018 | |
安全事件 | ||
提供者維護並實施事件處理流程,包括但不限於: 安全漏洞記錄; 提供者通知流程;和 事件回應計劃,用於在事件發生時解決以下問題:(i) 發生妥協時的角色、職責以及溝通和聯繫策略 (ii) 具體事件回應程序以及 (iii) 所有關鍵系統組件的覆蓋範圍和回應。 | 06.1.3-01 | |
資產管理、系統採購、開發與維護 | ||
提供者在開發和取得新 IT 系統和應用程式以及改進現有 IT 系統和應用程式之前識別並記錄資訊安全要求。 | 14.1.1-01 | |
提供者建立正式流程來控制和執行對已開發應用程式的變更。 | 14.2.2-01 | |
提供者計劃並將安全測試納入 IT 系統和應用程式的系統開發生命週期。 | 14.2.8-01 | |
提供者實施了充分的安全修補流程,其中包括: 監控組件的潛在弱點(CVE); 修復的優先順序; 及時實施修復;和 從可靠來源下載補丁。 | 08.1.1-01 PR001-0001 | |
人力資源保障 | ||
供應商在人力資源保障方面實施以下措施: 有權存取個人資料的員工受保密義務的約束;和 有權存取個人資料的員工定期接受有關適用資料保護法律和法規的培訓。 | 07.1.1-01 | |
提供者為提供者員工和外部供應商實施離職流程。 | 07.3.1-02 08.1.4-01 | |
密碼學(與網路服務情境中的 DP 相關) | ||
提供者使用最先進的安全證書並實現以下內容: 只有當數位憑證由受信任的憑證授權單位頒發時,數位憑證才會被接受和信任; 證書被使用並分配給專用 IT 系統和應用程式;和 驗證數位證書的有效性。 | 07.1.1-01 | |
提供者實施管理和實施加密金鑰的流程,包括產生、儲存、備份、分發和撤銷加密金鑰的規則和要求。 | 07.3.1-02 08.1.4-01 |
子處理者和資料中心位置列表
「合作夥伴授權表」規定了
參與個人資料儲存/託管的實體(包括合作夥伴和子處理者),
適用的資料中心位置,
出於非儲存/託管目的而從事個人資料處理的分處理者,
其經引用併入本文。
未經西門子同意,提供者不得從相應資料中心位置傳輸個人資料。第 8 條所包含的通知和反對機制不適用於此。